Nhận diện rủi ro AI trong ngân hàng

Trong thời đại chuyển đổi số, AI đang trở thành một trong những công nghệ trọng yếu định hình tương lai của ngành tài chính - ngân hàng. Tại Việt Nam, AI không chỉ mở ra cơ hội tối ưu hóa chi phí, nâng cao hiệu quả vận hành và cải thiện trải nghiệm khách hàng, mà còn đặt ra những thách thức chưa từng có về quản trị rủi ro, bảo mật dữ liệu và tuân thủ pháp luật. Khi AI dần trở thành “bộ não” của hệ thống ngân hàng, việc nhận diện và kiểm soát rủi ro không còn là lựa chọn, mà là yêu cầu bắt buộc để đảm bảo sự ổn định và phát triển bền vững.

Bà Dương Nguyễn, Chủ tịch Công ty cổ phần Tư vấn EY Việt Nam (EY Consulting VN)

AI - Động lực tăng trưởng và thách thức mới

Những năm gần đây, các ngân hàng Việt Nam đã bước vào cuộc đua ứng dụng AI với tốc độ đáng kể. Các công nghệ như định danh điện tử (eKYC), phân tích dữ liệu lớn, chấm điểm tín dụng, phát hiện gian lận và nhiều giải pháp khác đang được triển khai rộng rãi, giúp rút ngắn thời gian xử lý giao dịch, giảm chi phí vận hành và nâng cao chất lượng phục vụ khách hàng.

Không chỉ trong ngành ngân hàng, AI đã trở thành “từ khóa” của nhiều lĩnh vực và là trọng tâm trong chiến lược công nghệ của doanh nghiệp Việt Nam. Báo cáo “2026 CIO Priorities and Technology Trends” - Khảo sát xu hướng công nghệ và ưu tiên của các giám đốc công nghệ thông tin (CIO) trong kỷ nguyên AI do CIO Việt Nam thực hiện với sự hỗ trợ kỹ thuật của EY Consulting VN cho thấy, AI và AI tạo sinh (Generative AI, viết tắt là GenAI) tiếp tục nằm trong Top 5 công nghệ được ưu tiên hàng đầu cho năm 2026; hơn 54% CIO xem AI là trọng tâm chiến lược, trong khi 48% tập trung vào các ứng dụng GenAI. Điều này phản ánh sự dịch chuyển mạnh mẽ từ giai đoạn thử nghiệm sang triển khai ở quy mô doanh nghiệp, khi AI được kỳ vọng tạo ra giá trị thực tiễn và đóng góp trực tiếp vào hiệu quả kinh doanh.

Ngân sách công nghệ thông tin năm 2026 cũng được dự báo tăng đáng kể, với hơn 60% lãnh đạo cấp cao (CxO - Giám đốc trải nghiệm) cho biết, sẽ gia tăng chi tiêu cho AI, an ninh mạng (Cybersecurity), hiện đại hóa hệ thống quản trị nguồn lực doanh nghiệp (ERP) và quản lý quan hệ khách hàng (CRM), nâng cao trải nghiệm khách hàng số. Đây là những ưu tiên then chốt trong hành trình chuyển đổi số toàn diện của doanh nghiệp.

Các ngân hàng cần xây dựng lộ trình triển khai rõ ràng, xác định các lĩnh vực ưu tiên có khả năng tạo giá trị nhanh chóng

Đáng chú ý, CIO tại Việt Nam đang chuyển dịch mạnh mẽ từ vai trò hỗ trợ kỹ thuật sang vai trò dẫn dắt chiến lược. Hơn 50% CIO tham gia trực tiếp vào hoạch định chiến lược kinh doanh và chuyển đổi số; 48% ưu tiên thúc đẩy đổi mới sáng tạo dựa trên AI trong toàn doanh nghiệp, nhằm tăng khả năng thích ứng trong bối cảnh AI bùng nổ và rủi ro an ninh mạng gia tăng. Đây là tín hiệu tích cực cho thấy, AI đang được tích hợp vào chiến lược tổng thể, thay vì chỉ là công cụ kỹ thuật.

Tuy nhiên, khi AI dần trở thành nền tảng ra quyết định, rủi ro cũng tăng theo cấp số nhân. Các mô hình AI hiện có khả năng tự động hóa quy trình và phối hợp đa tác nhân. Trong đó, Agentic AI - thế hệ AI tiên tiến có khả năng tự chủ ra quyết định, lập kế hoạch và thực thi nhiệm vụ mà không cần con người can thiệp liên tục - đang mở ra một kỷ nguyên mới, vượt xa mô hình AI phản hồi theo quy tắc truyền thống.

Đối với ngân hàng, Agentic AI có thể tự động hóa phê duyệt tín dụng, quản lý phát hành thẻ và các nghiệp vụ phức tạp khác. Nhưng cùng với bước tiến vượt bậc đó là rủi ro: một sai lệch nhỏ trong thuật toán có thể kích hoạt hiệu ứng dây chuyền trên toàn hệ thống, gây ảnh hưởng đến kết quả tài chính và niềm tin thị trường. Thực tế đã ghi nhận sự cố trên thế giới khi AI chấm điểm tín dụng tự động đưa ra hàng loạt quyết định sai lệch, gây thiệt hại hàng triệu USD và buộc ngân hàng phải tạm dừng triển khai. Đây là lời cảnh báo rõ ràng về AI như một “con dao hai lưỡi” nếu thiếu cơ chế kiểm soát phù hợp.

Dữ liệu là “nhiên liệu” của AI, nhưng cũng là điểm yếu dễ bị khai thác nhất. Một trong những rủi ro nổi bật hiện nay là “prompt injection” - hình thức tấn công vào mô hình AI, đặc biệt là các mô hình ngôn ngữ lớn (LLM), thông qua chèn nội dung độc hại để khiến hệ thống làm lộ dữ liệu nội bộ hoặc phá vỡ các rào chắn bảo mật. Các lệnh độc hại có thể ẩn trong email, file PDF hoặc website, khiến AI thực thi hành vi trái phép.

Nếu không được quản lý tốt, AI có thể tạo ra “vùng xám trách nhiệm” cho các ngân hàng

Chuỗi cung ứng AI cũng ẩn chứa nhiều nguy cơ, do mô hình phụ thuộc vào hàng trăm thư viện và bộ dữ liệu nguồn mở; chỉ một thành phần bị nhiễm mã độc cũng có thể tạo ra rủi ro trên toàn hệ thống.

Để tiết kiệm chi phí, nhiều ngân hàng chọn tái sử dụng hoặc tinh chỉnh mô hình có sẵn thay vì xây dựng từ đầu, ví dụ ứng dụng LLM tạo chatbot tư vấn tài chính hoặc xây dựng “nhân viên ảo” dựa trên bản sao số của nhân sự thật. Xu hướng này hình thành nền kinh tế nhân bản mô hình (clone economy) - nơi rủi ro có thể bị nhân bản theo. Nếu mô hình gốc từng nhiễm độc hoặc tồn tại lỗ hổng, các phiên bản sao chép sẽ thừa hưởng toàn bộ rủi ro, đặc biệt nguy hiểm nếu sử dụng dữ liệu khách hàng thật, dẫn đến nguy cơ vi phạm Luật Bảo vệ dữ liệu cá nhân 2025 và đẩy ngân hàng vào “vùng xám trách nhiệm”, nhất là khi xác định trách nhiệm giữa ngân hàng và bên cung cấp dịch vụ nếu AI đưa ra quyết định sai.

AI - Con đường tất yếu hay lựa chọn chiến lược?

Mặc dù hứa hẹn giá trị lớn, AI vẫn là khoản đầu tư tốn kém, đặc biệt với các ngân hàng vừa và nhỏ: chi phí hạ tầng dữ liệu, điện toán đám mây, nhân sự, bảo mật có thể lên đến hàng triệu USD mỗi năm, trong khi hiệu quả thực tế không phải lúc nào cũng tương xứng, nhất là khi mô hình vẫn trong giai đoạn thử nghiệm hoặc chưa được tối ưu cho điều kiện thị trường Việt Nam.

Điều này dẫn đến câu hỏi chiến lược: AI là bắt buộc hay là lựa chọn? Nhiều ý kiến cho rằng, AI không phải “cây đũa thần”. Để tránh “bẫy công nghệ”, ngân hàng cần có lộ trình ưu tiên rõ ràng, bắt đầu từ các mảng tạo giá trị nhanh như tự động hóa quy trình back-office hay phát hiện gian lận.

Bài toán cân đối giữa chi phí và hiệu quả đầu tư (ROI) hoặc giá trị kinh doanh thực tế từ các khoản đầu tư công nghệ cũng phải được tính toán kỹ lưỡng. Báo cáo 2026 CIO Priorities and Technology Trends cho thấy, 70% CIO lo ngại về khả năng chứng minh giá trị và hiệu quả đầu tư của các dự án công nghệ, bao gồm AI. Điều này đòi hỏi ngân hàng phải thiết lập hệ thống đo lường hiệu quả, từ chỉ số về tiết kiệm chi phí, tăng hiệu suất đến cải thiện trải nghiệm khách hàng.

Một số ngân hàng tiên phong tại Việt Nam đang triển khai AI theo mô hình “controlled pilot” (thử nghiệm có kiểm soát), nhằm đánh giá tác động trước khi mở rộng - cách tiếp cận giúp giảm rủi ro và tạo dữ liệu thực tế làm cơ sở đo lường ROI.

Về dài hạn, AI là xu thế không thể đảo ngược, nhưng cần đi kèm chiến lược quản trị rủi ro và kiểm soát chi phí. Các biện pháp quan trọng bao gồm: giới hạn quyền truy cập AI vào dữ liệu nhạy cảm, đào tạo nhân sự về an toàn AI và đầu tư vào hệ thống giám sát toàn vòng đời mô hình. Ngân hàng cũng cần tham chiếu chuẩn mực quốc tế từ Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (National Institute of Standards and Technology - NIST), Viện Tiêu chuẩn Anh (British Standards Institution - BSI) để cập nhật thực hành tốt nhất.

Việt Nam chưa có khung pháp lý riêng cho AI, trong khi nhiều quốc gia đã hành động. Tháng 3/2024, EU thông qua Đạo luật AI (EU AI Act) - khung pháp lý đầu tiên điều chỉnh toàn bộ vòng đời AI, phân nhóm rủi ro theo 4 cấp độ gồm rủi ro tối thiểu, rủi ro hạn chế, rủi ro cao và rủi ro không chấp nhận được. Với hệ thống AI rủi ro cao, ngân hàng phải tuân thủ một loạt yêu cầu nghiêm ngặt nhằm đảm bảo an toàn, minh bạch và trách nhiệm trong toàn bộ vòng đời của hệ thống.

Cuộc đua ứng dụng AI trong lĩnh vực tài chính - ngân hàng đang diễn ra mạnh mẽ

Trước hết, ngân hàng cần thiết lập hệ thống quản lý rủi ro xuyên suốt vòng đời AI, từ khâu thiết kế đến vận hành và cập nhật. Dữ liệu dùng để huấn luyện, kiểm thử và xác thực mô hình phải đảm bảo tính đại diện, đầy đủ và chính xác, phù hợp với mục tiêu sử dụng. Các ngân hàng cũng phải xây dựng tài liệu kỹ thuật chi tiết để chứng minh sự tuân thủ và cung cấp thông tin cho cơ quan quản lý đánh giá.

Hệ thống AI cần được thiết kế để ghi lại các sự kiện quan trọng, phục vụ việc nhận diện rủi ro và theo dõi các thay đổi lớn. Ngoài ra, ngân hàng phải cung cấp hướng dẫn sử dụng rõ ràng cho bên triển khai, đảm bảo khả năng giám sát bởi con người, đạt được mức độ chính xác, khả năng chống chịu và an ninh mạng phù hợp.

Cuối cùng, việc thiết lập hệ thống quản lý chất lượng nội bộ là bắt buộc để duy trì sự tuân thủ liên tục.

Trong bối cảnh Việt Nam đang xây dựng khung pháp lý riêng, các ngân hàng nên chủ động áp dụng các chuẩn mực quốc tế như một bước đi chiến lược để chuẩn bị cho tương lai.

Quá trình xây dựng luật AI tại Việt Nam có thể tham khảo ba bước: ban hành bộ tiêu chuẩn AI cho ngành tài chính - ngân hàng; triển khai cơ chế AI Bill of Materials (AI-BOM) để quản lý mô hình và dữ liệu; thành lập Trung tâm Kiểm định mô hình AI quốc gia, tương tự AI Office của EU.

Dự báo, trong 5 năm tới, AI sẽ không chỉ dừng ở chatbot hay phân tích dữ liệu mà còn tiến tới AI tự động hóa toàn diện quy trình nghiệp vụ (hyper-automation) và AI dự đoán hành vi khách hàng. Điều này mở ra cơ hội cá nhân hóa dịch vụ ở mức cao nhất, nhưng cũng đặt ra yêu cầu về bảo mật và đạo đức.

Các ngân hàng Việt Nam cũng cần chuẩn bị cho kịch bản AI tích hợp với blockchain, điện toán lượng tử và các công nghệ bảo mật tiên tiến. Đây sẽ là cuộc chơi dài hạn, nơi năng lực quản trị rủi ro sẽ quyết định lợi thế cạnh tranh.

AI là chìa khóa cho ngân hàng số. Nhưng nếu không kiểm soát rủi ro, tiềm năng có thể trở thành gánh nặng. Đầu tư vào an toàn mô hình, minh bạch dữ liệu và khung pháp lý đồng bộ là nền tảng phát triển bền vững của ngành ngân hàng Việt Nam trong kỷ nguyên AI.

* Quan điểm trong bài báo là của tác giả và không nhất thiết phản ánh quan điểm của tổ chức EY toàn cầu và các tổ chức thành viên.

Dương Nguyễn / Chủ tịch Công ty cổ phần Tư vấn EY Việt Nam (EY Consulting VN)