Ngày 25/07/2025, Ngân hàng Trung ương UAE (CBUAE) yêu cầu tất cả các ngân hàng tại UAE loại bỏ việc sử dụng OTP qua SMS và email trước tháng 3/2026. Đây được xem là bước ngoặt lớn trong quá trình nâng cấp hạ tầng thanh toán, hướng tới chuẩn hóa xác thực sinh trắc học trong ứng dụng (in-app biometric authentication) trên toàn bộ hệ sinh thái ngân hàng.
Trong nhiều năm qua, OTP qua SMS và email được xem là phương thức xác thực phổ biến cho các giao dịch tài chính. Tuy nhiên, hình thức này ngày càng bộc lộ nhiều rủi ro như rò rỉ mã OTP, nhận mã chậm trễ do hạ tầng viễn thông không đồng nhất. Cùng với đó, theo thống kê, thiệt hại toàn cầu do gian lận liên quan đến SMS OTP lên tới 6,7 tỷ USD trong năm 2021. Riêng UAE ghi nhận mức tăng 43% số vụ lừa đảo so với cùng kỳ năm trước, ảnh hưởng hơn 40.000 người trong năm 2023. OTP qua SMS trở thành mục tiêu dễ dàng cho tội phạm mạng.

Nhằm giảm thiểu rủi ro và nâng cao trải nghiệm người dùng trong thanh toán, giao dịch, CBUAE đã yêu cầu toàn ngành ngân hàng chuyển sang các cơ chế xác thực an toàn và hiện đại hơn, thông qua các công nghệ bảo mật được tích hợp trong ứng dụng di động của ngân hàng.
Quy định này yêu cầu tất cả ngân hàng tại UAE:
- Cấm sử dụng OTP qua SMS và email: Các ngân hàng buộc phải ngừng cung cấp OTP bằng SMS hoặc email trước ngày 31/03/2026
- Áp dụng các phương thức xác thực an toàn hơn: CBUAE yêu cầu chuyển sang các giải pháp mạnh mẽ như xác thực sinh trắc học thông qua UAE Pass hoặc Emirates Facial Recognition, cùng các soft token mã hóa và passkey tương thích chuẩn FIDO2.
- Giám sát gian lận theo thời gian thực: Các tổ chức tài chính phải triển khai giám sát phiên giao dịch và cơ chế kiểm soát truy cập dựa trên rủi ro, tự động khóa hoặc đình chỉ truy cập khi phát hiện hành vi đáng ngờ.
Điều này đồng nghĩa, chỉ trong 8 tháng đầu triển khai, các tổ chức tài chính phải xây dựng lộ trình chuyển đổi, thử nghiệm và đưa vào vận hành hệ thống xác thực mới, thay thế hoàn toàn OTP truyền thống. Người dùng sẽ không còn nhận OTP qua tin nhắn hay email mà phê duyệt trực tiếp trong ứng dụng ngân hàng bằng vân tay, khuôn mặt hoặc thông báo đẩy. Điều này giúp giảm độ trễ giao dịch, nâng cao trải nghiệm và tăng cường bảo mật.
Hiện tại, một số ngân hàng như Emirates NBD và ADIB đã triển khai đăng nhập sinh trắc học và soft token, trong khi nhiều ngân hàng khác vẫn phụ thuộc OTP truyền thống và cần thay thế sớm trước thời hạn.
Động thái này của UAE được dự báo sẽ nhanh chóng lan sang các nước GCC, đặc biệt là Saudi Arabia, trong vòng 12 tháng tới. Khi đó, một tiêu chuẩn chung về xác thực thanh toán an toàn trên toàn khu vực MENA sẽ hình thành, thay đổi hạ tầng thanh toán hiện tại.
Savis tiên phong các giải pháp thanh toán xác thực mạnh tại thị trường MENA
Trong bối cảnh các yêu cầu về bảo mật thanh toán và xác thực người dùng ngày càng khắt khe, đặc biệt với các quy định mới của Ngân hàng Trung ương UAE, Savis – nhà cung cấp dịch vụ tin cậy hàng đầu, chuyên cung cấp Nền tảng – Dịch vụ – Giải pháp Chuyển đổi số, An toàn thông tin và Fintech, sẵn sàng đồng hành cùng các tổ chức tài chính và nhà cung cấp dịch vụ thanh toán tại khu vực MENA.
Savis mang đến hệ sinh thái giải pháp xác thực mạnh tiên tiến, đáp ứng đầy đủ các tiêu chuẩn quốc tế, dựa trên các công nghệ xác thực không mật khẩu hiện đại, nâng cao trải nghiệm người dùng:
- Passwordless FIDO2 – Sử dụng tiêu chuẩn FIDO2 để xác thực an toàn thông qua sinh trắc học hoặc thiết bị cá nhân;
- PKI Passwordless: Tận dụng hạ tầng khóa công khai (PKI) để cấp chứng chỉ số mạnh mẽ, bảo mật giao dịch và danh tính người dùng với độ tin cậy cao nhất, đáp ứng các yêu cầu xác thực mạnh trong thanh toán và ngân hàng số
- SmartOTP Passwordless: Thay thế SMS OTP truyền thống bằng OTP thông minh được sinh trực tiếp trên thiết bị di động của người dùng, hoạt động cả khi ngoại tuyến, kết hợp sinh trắc học, xác thực Push và WYSIWYS để đảm bảo bảo mật đa lớp và trải nghiệm liền mạch.
Savis xây dựng hệ giải pháp xác thực mạnh toàn diện cho thanh toán, giao dịch:
- SAM Auth Server: Nền tảng xác thực mạnh dành cho thanh toán di động
- SAM Appliance – Giải pháp mã hoá dữ liệu, chứng thực chữ ký số all – in – one và định danh mobile
- TrustCA PKI BOX – Giải pháp hạ tầng khoá công khai PKI all-in-one
- Mobile Identity base on PKI – Giải pháp định danh di động dựa trên nền tảng PKI
- Savis CIAM/SCA – Quản lý danh tính và truy cập khách hàng/Xác thực mạnh
- Smart eKYC – Giải pháp định danh người dùng từ xa
Kết hợp giữa công nghệ xác thực mạnh mẽ và tuân thủ nghiêm ngặt các tiêu chuẩn bảo mật quốc tế như FIDO2, PSD2, eIDAS, GDPR và PCI DSS,…, các giải pháp của Savis giúp các ngân hàng, fintech và nhà cung cấp dịch vụ tại MENA triển khai nhanh chóng nền tảng xác thực hiện đại, linh hoạt tích hợp với hệ thống hiện có, tuân thủ cao nhất theo quy định của Ngân hàng Trung ương UAE.
Kết nối ngay với chuyên gia của Savis để xây dựng hệ sinh thái thanh toán an toàn và tuân thủ.