Nghị định 94/2025/NĐ-CP (Sandbox ngân hàng) — Bài báo phân tích chuyên môn

Tóm tắt: Nghị định 94/2025/NĐ-CP (ban hành 29/4/2025, hiệu lực 01/07/2025) chính thức thiết lập “cơ chế thử nghiệm có kiểm soát” (regulatory sandbox) trong lĩnh vực ngân hàng tại Việt Nam. Văn bản mở cửa cho một số giải pháp Fintech — như chấm điểm tín dụng, chia sẻ dữ liệu qua Open API và cho vay ngang hàng (P2P) — được thử nghiệm trong phạm vi, thời hạn và điều kiện do Ngân hàng Nhà nước (NHNN) quản lý. Bài viết này phân tích chi tiết cấu trúc quy định, logic chính sách, rủi ro thực thi, so sánh ngắn với mô hình sandbox quốc tế và đề xuất chiến lược cho các bên liên quan (cơ quan quản lý, ngân hàng, fintech, luật sư tư vấn). 

1. Khung pháp lý — những điểm thực tế quan trọng

Nội dung pháp lý cốt lõi. Nghị định 94/2025 quy định phạm vi (cơ chế thử nghiệm cho sản phẩm/dịch vụ/mô hình kinh doanh ứng dụng giải pháp Fintech trong lĩnh vực ngân hàng), liệt kê tiêu biểu các giải pháp có thể được thử nghiệm (chấm điểm tín dụng; chia sẻ dữ liệu qua Open API; cho vay ngang hàng — P2P), và giao NHNN thẩm quyền vận hành, giám sát, cấp/thu hồi “Giấy chứng nhận tham gia thử nghiệm”. Văn bản có hiệu lực từ 01/07/2025.

Quy trình cấp phép & thời hạn thử nghiệm. Hồ sơ do tổ chức đề nghị gửi NHNN; NHNN xác nhận tiếp nhận trong 5 ngày; thời gian thẩm định tối đa 90 ngày; sau khi cấp giấy chứng nhận tổ chức có 90 ngày để triển khai thử nghiệm, và thời hạn tối đa cho một dự án thử nghiệm là 2 năm (có thể gia hạn theo điều kiện). Như vậy Nghị định xác lập quy trình khá cụ thể từ nộp hồ sơ đến giai đoạn ra mắt thử nghiệm — giúp giảm bất định thủ tục cho doanh nghiệp.

Giới hạn không gian pháp lý. Các hoạt động thử nghiệm phải diễn ra trên lãnh thổ Việt Nam, trong phạm vi được cấp phép. NHNN có quyền đình chỉ, thu hồi giấy chứng nhận khi phát hiện rủi ro hoặc vi phạm; tổ chức tham gia chịu trách nhiệm minh bạch, KYC/AML, bảo mật, tách bạch tài sản khách hàng và báo cáo định kỳ (hàng quý hoặc theo mẫu). 

2. Logic chính sách: tại sao NHNN chọn sandbox và mục tiêu đặt ra

Tạo môi trường “an toàn để thử” (safe space). Sandbox là công cụ phổ biến toàn cầu để cân bằng hai mục tiêu có vẻ đối lập: khuyến khích đổi mới công nghệ tài chính và bảo vệ hệ thống tài chính/quyền lợi người tiêu dùng. Bằng cách cho phép thử nghiệm có kiểm soát NHNN có thể thu dữ liệu thực tế, đánh giá rủi ro và chuẩn hóa cơ chế quản lý trước khi mở rộng quy mô. Điều này phản ánh định hướng tương tự các sandbox nổi tiếng như FCA (Anh) hay MAS (Singapore).

Ưu tiên các giải pháp mang ý nghĩa hệ thống và mở rộng tài chính toàn diện. Việc Nghị định nêu rõ chấm điểm tín dụng, Open API và P2P cho thấy mục tiêu hướng tới: (i) mở rộng tín dụng cho các nhóm chưa được phục vụ, (ii) thúc đẩy chia sẻ dữ liệu để giảm chi phí tín dụng, và (iii) tìm giải pháp thay thế cho kênh tín dụng truyền thống. Đây là những giải pháp có khả năng tác động lớn nếu được kiểm soát tốt.

3. Phân tích điều khoản chủ chốt và hệ quả pháp lý

3.1. Phạm vi giải pháp được phép thử nghiệm

Nghị định liệt kê các nhóm Fintech được ưu tiên (credit scoring, Open API, P2P). Ưu điểm: giúp NHNN tập trung nguồn lực đánh giá những mảng có rủi ro cao nhưng cũng có lợi ích xã hội. Hạn chế: danh mục khởi điểm tương đối hẹp — có thể cần mở rộng nhanh để không bỏ lỡ các đổi mới khác (DLT, tokenization trong thanh toán, AI quản trị rủi ro). Nếu Nghị định quá “đóng khung”, thị trường sáng tạo có thể tìm đường ra nước ngoài. 

3.2. Điều kiện, tiêu chí đánh giá hồ sơ và yêu cầu nhân sự

Nghị định đặt ra yêu cầu minh bạch, năng lực công nghệ, năng lực quản trị rủi ro; thông tin báo chí đề cập đến yêu cầu năng lực quản lý và cam kết tuân thủ. Ở thực tế, tiêu chí này nếu áp dụng quá cứng sẽ gây rào cản cho startup. Cân bằng hợp lý giữa tiêu chí “chất lượng hồ sơ” và không tạo ra rào cản vốn/nhân lực cho startup là then chốt. 

3.3. Quy định về KYC/AML, bảo mật, tách bạch tài sản khách hàng và báo cáo

Nghị định yêu cầu tuân thủ quy định phòng, chống rửa tiền, an ninh mạng và bảo vệ dữ liệu; đồng thời bắt buộc tách bạch tài sản khách hàng, báo cáo định kỳ cho NHNN. Nghĩa vụ này chuyển sang tính thực thi: cần chuẩn mực kỹ thuật (log, audit trail), năng lực giám sát giao dịch bất thường, và hợp đồng đầy đủ giữa fintech – ngân hàng đối tác. Thiếu tiêu chuẩn kỹ thuật rõ ràng sẽ khiến doanh nghiệp “kêu nhưng không làm được”. 

3.4. Rủi ro pháp lý khi vượt phạm vi thử nghiệm

Nghị định quy định chế tài: đình chỉ, thu hồi, thanh lý. Ứng xử khi doanh nghiệp “chạy” ngoài phạm vi thử nghiệm (ví dụ cung cấp dịch vụ cho khách ngoài biên giới, hoặc nhân rộng quy mô giao dịch) sẽ chuyển thành vi phạm hành chính hoặc hình sự tuỳ mức độ. Đây là rủi ro lớn cho fintech nếu hồ sơ quản trị rủi ro không đủ nghiêm. 

4. So sánh ngắn với mô hình sandbox quốc tế

Phạm vi & tính linh hoạt. FCA (Anh) và MAS (Singapore) đều có sandbox với mục tiêu tương đồng nhưng cách tiếp cận rộng hơn: FCA chấp nhận nhiều loại hoạt động tài chính đổi mới, hỗ trợ việc xin phép mở rộng mô hình sau thử nghiệm; MAS có nhiều hướng hỗ trợ kỹ thuật và cho phép những “guardrails” (ví dụ giới hạn khách hàng, giới hạn giá trị giao dịch). Nghị định 94 khởi điểm với danh mục hẹp (3 giải pháp) và quy định rõ không gian thử nghiệm trên lãnh thổ Việt Nam — cách tiếp cận này thận trọng nhưng có thể kìm hãm tốc độ đổi mới nếu không sớm mở rộng. 

Thời hạn thử nghiệm. Nghị định 94 đặt thời hạn tối đa 2 năm — tương đương mức phổ biến quốc tế (MAS/FCA thường áp giới hạn tương tự tuỳ chương trình). Điểm khác biệt lớn nằm ở năng lực hành chính của regulator: hiệu quả sandbox phụ thuộc vào tốc độ thẩm định, khả năng hỗ trợ, và minh bạch tiêu chí — nơi mà NHNN cần xây dựng năng lực nhanh. 

5. Ảnh hưởng tới các bên liên quan & chiến lược hành động

5.1. Đối với fintech startups

Cơ hội: có thể thử nghiệm sản phẩm thật với người dùng trong môi trường có bảo hộ pháp lý; tăng khả năng huy động vốn nếu thử nghiệm chứng minh mô hình.
Rủi ro: điều kiện tham gia, chi phí tuân thủ (an ninh, KYC, audit), và khả năng bị đình chỉ nếu quản trị yếu.
Chiến lược khuyến nghị: trước khi nộp hồ sơ, hoàn thiện: (i) bản mô tả giải pháp & kịch bản rủi ro; (ii) KYC/AML flow và hợp tác ngân hàng; (iii) bản test plan với KPIs; (iv) chính sách bảo vệ dữ liệu; (v) kế hoạch “exit” (kịch bản dừng thử nghiệm, bảo vệ khách hàng). 

5.2. Đối với ngân hàng/truyền thống

Cơ hội: hợp tác với fintech để đẩy nhanh chuyển đổi số, tận dụng dữ liệu và mô hình chấm điểm mới.
Rủi ro: trách nhiệm pháp lý nếu đối tác fintech vi phạm; rủi ro đối với danh mục tín dụng; áp lực tích hợp công nghệ.
Chiến lược: xây dựng khung hợp tác (contractual risk allocation), due diligence kỹ thuật & pháp lý đối tác, SLA an ninh, kiểm toán độc lập, lập “war room” để xử lý sự cố. 

5.3. Đối với cơ quan quản lý

Thách thức: phải cân bằng giữa tạo không gian đổi mới và trách nhiệm ổn định hệ thống tài chính; tăng năng lực thẩm định hồ sơ, giám sát công nghệ, phối hợp liên ngành (NHNN – Bộ Công an – Bộ Tài chính – Bộ Thông tin & Truyền thông) để xử lý AML, an ninh mạng, và ngoại hối.
Kiến nghị: minh bạch tiêu chí xét duyệt, công bố hướng dẫn mẫu cho hồ sơ, thiết lập kênh hỗ trợ kỹ thuật cho doanh nghiệp, thực hiện đánh giá trung hạn theo mốc (6 tháng, 12 tháng) và công bố kết quả. Báo chí và các chuyên gia cũng kêu gọi NHNN sớm cụ thể hoá tiêu chí để doanh nghiệp dễ tham gia. 

6. Rủi ro kỹ thuật và quản trị cần được xử lý trước khi vào sandbox

1. An ninh hệ thống & SOC / incident response — phải có quy trình, bằng chứng testing (pen test), và hợp đồng SLA.

2. Dữ liệu & bảo mật — rõ ràng luồng dữ liệu, nơi lưu trữ (on-shore), mã hoá, phân quyền truy cập.

3. KYC & AML kỹ thuật — tích hợp với hệ thống nhận diện chính thống, logs cho audit.

4. Minh bạch cho người dùng — công bố rủi ro, phí, quyền lợi và cơ chế bồi thường nếu có lỗi.

5. Khả năng tất toán / chuyển giao khi dừng thử nghiệm — hợp đồng escrow, cơ chế chuyển tài sản khách hàng sang bên khác hoặc trả lại.
   (Nghị định yêu cầu tách bạch tài sản khách hàng và các nghĩa vụ khi thu hồi giấy chứng nhận; những điểm này phải được chuẩn bị kỹ)

7. Checklist pháp lý — Quy trình tối thiểu trước khi nộp hồ sơ thử nghiệm

• Hồ sơ mô tả sản phẩm, use cases và phạm vi thử nghiệm (target users, caps).

• Phân tích rủi ro (rủi ro hoạt động, rủi ro pháp lý, rủi ro thanh khoản) kèm biện pháp giảm thiểu.

• Chính sách KYC/AML và quy trình giám sát giao dịch.

• Bản sao hợp đồng hợp tác với ngân hàng (nếu có), hợp đồng lưu ký/escrow cho tài sản khách hàng.

• Chứng nhận an ninh thông tin (SOC2/ISO27001 hoặc báo cáo pentest).

• Kế hoạch truyền thông & giải quyết khiếu nại khách hàng.

• Kế hoạch “exit” và chuyển giao dữ liệu/tài sản khi dừng thử nghiệm.

8. Kiến nghị chính sách ngắn & trung hạn cho NHNN

1. Minh bạch mẫu hồ sơ & checklist công khai — giảm chi phí tuân thủ ban đầu.

2. Phân tầng rủi ro & tiêu chí cho startup — không để tiêu chí quá cứng dẫn đến một “đường hẹp” chỉ dành cho doanh nghiệp vốn lớn.

3. Kết nối sớm với các cơ quan liên quan (AML, an ninh mạng, bảo vệ dữ liệu) để tránh mâu thuẫn trong yêu cầu.

4. Mở rộng danh mục thử nghiệm linh hoạt — bổ sung DLT/AI/embedded finance nếu kết quả đánh giá cho phép.

5. Công bố kết quả đánh giá định kỳ (transparency report) — giúp nhà đầu tư và thị trường nắm được hiệu quả chính sách. 

9. Kết luận

Nghị định 94/2025/NĐ-CP là bước tiến quan trọng, đặt nền móng cho đổi mới tài chính có kiểm soát tại Việt Nam: nó cung cấp khuôn khổ, thủ tục và công cụ can thiệp cho NHNN để thử nghiệm các sáng tạo Fintech với mục tiêu vừa tạo không gian đổi mới vừa bảo vệ hệ thống tài chính và người tiêu dùng. Tuy nhiên, thành công thực thi phụ thuộc vào năng lực thẩm định, minh bạch tiêu chí, phối hợp liên ngành và khả năng hỗ trợ kỹ thuật cho fintech — nếu NHNN thực hiện tốt các yếu tố này và nhanh chóng mở rộng, Việt Nam có thể rút ngắn khoảng cách với các sandbox tiên tiến trên thế giới. 

Tài liệu tham khảo (chọn lọc)

• Toàn văn Nghị định 94/2025/NĐ-CP (Cổng văn bản Chính phủ).

• Thư viện Pháp luật — tổng văn bản, phụ lục mẫu hồ sơ, quy trình thẩm định.

• Bài viết, phỏng vấn NHNN, phân tích báo chí (CAFÉF, Thanh Niên, Tạp chí Ngân hàng) về triển khai sandbox.

• Tài liệu tham khảo quốc tế: FCA Regulatory Sandbox (UK), MAS FinTech Regulatory Sandbox