Hoàn thiện khung pháp lý về ứng dụng trí tuệ nhân tạo trong giám sát giao dịch liên quan đến phòng, chống rửa tiền

Trong khi đó, các hệ thống giám sát truyền thống dần bộc lộ hạn chế, đặc biệt là tỷ lệ cảnh báo sai cao, gây lãng phí nguồn lực và làm giảm hiệu quả quản lý. Trước bối cảnh này, việc tích hợp trí tuệ nhân tạo (AI) vào hoạt động giám sát giao dịch (GSGD) đã trở thành xu hướng tất yếu. Mặc dù Việt Nam đã có những bước tiến pháp lý quan trọng, tiêu biểu như Luật Phòng, chống rửa tiền (PCRT) 2022 hay Luật Trí tuệ nhân tạo 2025, song hệ thống quy định vẫn còn phân tán và chưa theo kịp thực tiễn công nghệ. Điều này đặt ra yêu cầu cấp thiết phải hoàn thiện một hành lang pháp lý đồng bộ, tạo nền tảng cho đổi mới sáng tạo, đồng thời bảo đảm an ninh tài chính quốc gia.

 Bản chất pháp lý về ứng dụng trí tuệ nhân tạo trong giám sát giao dịch liên quan đến phòng, chống rửa tiền

Căn cứ theo quy định về phân loại rủi ro tại Điều 9 Luật Trí tuệ nhân tạo 2025, việc ứng dụng AI trong PCRT được pháp luật xếp vào nhóm hệ thống AI rủi ro cao do hệ thống này có thể tác động trực tiếp đến an ninh tài chính và quyền lợi của khách hàng. Bản chất của hoạt động này là sự chuyển đổi cách thức thực thi nghĩa vụ của ngân hàng: từ việc giám sát thụ động sang phương pháp tiếp cận chủ động dựa trên mức độ rủi ro. Thay vì tạo ra một nghĩa vụ mới, AI đóng vai trò là một công cụ pháp lý nâng cao, giúp ngân hàng nhanh chóng xác lập “cơ sở hợp lý để nghi ngờ” đối với các giao dịch có dấu hiệu che giấu tội phạm. Đây chính là căn cứ pháp lý vững chắc để ngân hàng hoàn thành trách nhiệm lập “Báo cáo giao dịch đáng ngờ” gửi cơ quan nhà nước theo quy định.

Bên cạnh đó, căn cứ theo Điều 4 và Điều 14 Luật Trí tuệ nhân tạo 2025, việc ứng dụng AI bắt buộc phải tuân thủ nguyên tắc “lấy con người làm trung tâm”. Điều này có nghĩa AI chỉ là “công cụ hỗ trợ” đưa ra cảnh báo, còn quyền thẩm định và trách nhiệm pháp lý cao nhất vẫn hoàn toàn thuộc về con người. Vì vậy, việc sử dụng AI không làm thay đổi hay giảm bớt trách nhiệm pháp lý của ngân hàng. Hơn nữa, khi khai thác khối lượng dữ liệu khổng lồ, các ngân hàng bị ràng buộc khắt khe bởi Luật Bảo vệ dữ liệu cá nhân 2025, buộc phải gánh vác trách nhiệm cao nhất đối với mọi rủi ro xâm phạm quyền riêng tư hay rò rỉ thông tin của khách hàng.

Ảnh minh họa

Thực trạng các quy định pháp luật về ứng dụng trí tuệ nhân tạo trong giám sát giao dịch liên quan đến phòng, chống rửa tiền

Hiện nay, khung pháp lý về ứng dụng AI trong PCRT tại Việt Nam mới dừng ở những nguyên tắc chung mà chưa có quy định kỹ thuật chuyên biệt.

Thứ nhất, pháp luật chưa rõ ràng trong việc phân định trách nhiệm khi phát sinh sai sót như cảnh báo nhầm hoặc bỏ lọt tội phạm, đặc biệt là ranh giới giữa tổ chức tín dụng và các đơn vị cung cấp công nghệ. Đặc tính thiếu minh bạch của thuật toán cũng gây khó khăn cho ngân hàng trong việc thực hiện nghĩa vụ giải trình lý do đưa ra quyết định.

Thứ hai, hệ thống quy định về tiêu chuẩn kỹ thuật và kiểm định vẫn chưa được thiết lập đầy đủ. Hiện nay, chưa có các ngưỡng đánh giá bắt buộc đối với hiệu quả vận hành của hệ thống, cũng như thiếu quy trình kiểm tra định kỳ về chất lượng dữ liệu hay độ tin cậy của kết quả. Điều này khiến việc triển khai mang tính thử nghiệm nhiều hơn là tuân thủ chuẩn mực thống nhất, đồng thời gây khó khăn cho công tác thanh tra, giám sát và hậu kiểm.

Thứ ba, sự cân bằng giữa an ninh tài chính và bảo vệ quyền riêng tư chưa đảm bảo. Trong quá trình AI quét dữ liệu để tìm hành vi rửa tiền, ranh giới giữa giám sát và xâm phạm quyền riêng tư của khách hàng hiện còn mong manh. Ngoài ra, việc quá phụ thuộc vào máy móc mà thiếu sự can thiệp của con người, thuật toán có thể đưa ra những đánh giá thiên lệch, gây ảnh hưởng đến quyền lợi của người dùng.

Ảnh minh họa

 Định hướng hoàn thiện khung pháp lý và tiêu chí kiểm định

Để tối ưu hóa việc ứng dụng AI trong công tác PCRT, khung pháp lý cần tập trung vào các định hướng trọng tâm sau:

Thứ nhất, cụ thể hóa cơ chế "Thử nghiệm có kiểm soát" (Regulatory Sandbox) và hóa giải xung đột pháp lý. Cơ quan quản lý cần ban hành các văn bản dưới luật để vận hành không gian Sandbox, cho phép ngân hàng thử nghiệm các thuật toán AI trên dữ liệu thực tế dưới sự giám sát chặt chẽ. Đồng thời, cần có văn bản hướng dẫn làm rõ ranh giới và giải quyết xung đột giữa cơ chế "miễn trách nhiệm báo cáo" theo Luật Phòng, chống rửa tiền 2022 và nguyên tắc "trách nhiệm bồi thường thiệt hại nghiêm ngặt" đối với hệ thống AI rủi ro cao theo Luật Trí tuệ nhân tạo 2025.

Thứ hai, luật hóa tiêu chuẩn "AI có khả năng giải thích". Cần bắt buộc các tổ chức tín dụng lập "Hồ sơ kỹ thuật mô hình" để minh bạch hóa thuật toán, bảo đảm các cảnh báo tự động có đủ tư cách cấu thành "cơ sở hợp lý để nghi ngờ" khi lập Báo cáo giao dịch đáng ngờ. Mọi quyết định trọng yếu có tác động đến khách hàng (như phong tỏa tài khoản, từ chối giao dịch) không được giao phó hoàn toàn cho máy móc mà phải có sự kiểm duyệt, can thiệp cuối cùng của con người.

Thứ ba, cụ thể hóa cơ chế phân định lỗi và hóa giải xung đột quy phạm về trách nhiệm bồi thường. Mặc dù Điều 29 Luật Trí tuệ nhân tạo 2025 đã ghi nhận nguyên tắc bồi thường đối với hệ thống AI rủi ro cao, cơ quan quản lý vẫn cần ban hành các văn bản hướng dẫn chi tiết nhằm hóa giải sự xung đột trực tiếp với cơ chế "miễn trách nhiệm báo cáo" tại Điều 39 Luật Phòng, chống rửa tiền 2022. Khi một hệ thống AI tạo ra cảnh báo sai dẫn đến việc phong tỏa nhầm tài khoản hợp pháp, pháp luật cần phân định ranh giới rõ ràng: khi nào ngân hàng được miễn trừ trách nhiệm theo Luật PCRT, và khi nào phải chịu trách nhiệm bồi thường nghiêm ngặt theo Luật AI. Đồng thời, để quy tắc "trách nhiệm hai lớp" thực sự đi vào thực tiễn, cần thiết lập hành lang pháp lý chi tiết quy định về các tiêu chuẩn chứng cứ. Điều này giúp các ngân hàng có cơ sở pháp lý minh bạch để chứng minh "lỗi thuật toán cốt lõi" hoặc "thiên lệch dữ liệu", từ đó mới có thể thực thi quyền truy đòi bồi thường đối với các đơn vị cung cấp giải pháp công nghệ một cách khả thi, tránh tình trạng quy định đã có trên giấy nhưng ngân hàng lại phải gánh toàn bộ rủi ro do không thể giải mã được của thuật toán.

Ảnh minh họa.

Thứ tư, ban hành Bộ tiêu chí kiểm định và lượng hóa các "ngưỡng tuân thủ kỹ thuật" bắt buộc của hệ thống AI được ứng dụng. Thay vì đánh giá định tính, cơ quan quản lý cần quy định "mức sàn" tối thiểu cho các chỉ số đo lường hiệu năng thuật toán như độ nhạy (Recall - khả năng chống bỏ lọt tội phạm) và độ chính xác (Precision - khả năng chống cảnh báo giả). Đồng thời, bắt buộc các tổ chức lưu trữ "Nhật ký quyết định" để ghi lại các tham số thời gian thực và sự can thiệp của con người, phục vụ công tác thanh tra và hậu kiểm thuật toán định kỳ.

Thứ năm, chi tiết hóa quy định về bảo vệ dữ liệu cá nhân và thúc đẩy mô hình Học liên kết (Federated Learning). Cần ghi nhận pháp lý đối với việc sử dụng dữ liệu ẩn danh làm nguồn nguyên liệu hợp pháp để huấn luyện AI mà không vi phạm quyền riêng tư. Bắt buộc các ngân hàng thực hiện báo cáo Đánh giá tác động quyền riêng tư của thuật toán đối với các hệ thống AI rủi ro cao. Song song đó, tạo hành lang pháp lý trong môi trường Sandbox cho phép các ngân hàng áp dụng mô hình Học liên kết. Cụ thể, thay vì phải chia sẻ dữ liệu thô nhạy cảm của khách hàng, các ngân hàng chỉ chia sẻ "kết quả học máy" (tức là các quy luật, dấu hiệu và mô hình hành vi rủi ro đã được thuật toán đúc kết và mã hóa). Cách tiếp cận này hiểu đơn giản là các ngân hàng sẽ "chia sẻ kinh nghiệm và bài học bắt tội phạm" cho một hệ thống AI dùng chung mà không làm lộ bất kỳ hồ sơ cá nhân nào, qua đó vừa giúp nhận diện các đường dây rửa tiền xuyên ngân hàng, vừa tuân thủ tuyệt đối quy định bảo mật dữ liệu.

Ứng dụng AI là xu hướng tất yếu giúp các ngân hàng thương mại cổ phần phát hiện tội phạm nhanh và chính xác hơn. Tuy nhiên, để công nghệ này thực sự phát huy tác dụng, các bộ, ngành cần sớm ban hành những quy định cụ thể về quản trị thuật toán và dữ liệu ẩn danh. Đồng thời, các ngân hàng cũng cần chủ động đầu tư máy móc và đào tạo đội ngũ nhân viên am hiểu cả về nghiệp vụ lẫn công nghệ. Việc xây dựng một khung pháp lý rõ ràng về trách nhiệm và tiêu chuẩn kiểm tra sẽ giúp hệ thống ngân hàng khai thác tối đa lợi ích của AI, đảm bảo an toàn và bền vững cho nền tài chính nước nhà.

NGUYỄN THỊ NGỌC MAI - VŨ THỊ KIM NGÂN - NGUYỄN THÙY DƯƠNG - ĐOÀN THỊ PHƯƠNG LY - PHẠM KHÁNH LINH (Đại học Kinh tế Quốc dân)