Sau tám tuần, kết quả tổng hợp được công bố cho thấy lực lượng chức năng đã bắt giữ 651 đối tượng, thu giữ 2.341 thiết bị, gỡ bỏ 1.442 địa chỉ IP, tên miền và máy chủ độc hại, xác định 1.247 nạn nhân và làm rõ thiệt hại tài chính hơn 45 triệu USD. Đây là phiên bản thứ hai của chiến dịch Red Card. Trước đó, phiên bản đầu tiên kết thúc vào tháng 02/2025 đã bắt giữ 306 nghi phạm và thu giữ 1.842 thiết bị. Việc số đối tượng bị bắt giữ tăng hơn gấp đôi chỉ sau một năm phản ánh hai thực tế song hành: tội phạm mạng đang được tổ chức và công nghiệp hóa với tốc độ ngày càng nhanh, trong khi các cơ quan thực thi pháp luật quốc tế cũng buộc phải tăng tốc để theo kịp.
Ba mô hình điều chỉnh pháp lý
Trên bình diện pháp lý, ba mô hình điều chỉnh khác nhau đang được các nền kinh tế lớn trên thế giới triển khai.
Mô hình thứ nhất là cách tiếp cận tổng thể của Liên minh Châu Âu (EU) thông qua Đạo luật Trí tuệ nhân tạo (AI Act), dự kiến có hiệu lực đầy đủ vào tháng 8/2026. Đạo luật này yêu cầu mọi nội dung do AI tạo ra hoặc bị chỉnh sửa phải được gắn nhãn rõ ràng, ngoại trừ các trường hợp phục vụ mục đích nghệ thuật hoặc báo chí. Đây là một khuôn khổ pháp lý mang tính bao quát, áp dụng đối với tất cả nhà cung cấp công nghệ và các nền tảng hoạt động trên thị trường EU.

Ảnh minh họa deepfake
Mô hình thứ hai là cách tiếp cận của Trung Quốc với hai văn bản pháp lý nền tảng. Quy định về Tổng hợp sâu (Deep Synthesis Provisions), có hiệu lực từ tháng 01/2023, và Biện pháp quản lý AI tạo sinh (Generative AI Measures), có hiệu lực từ tháng 8/2023, đều yêu cầu gắn nhãn nguồn gốc đối với nội dung do AI tạo ra, đồng thời bắt buộc phải có sự đồng ý của người được tái hiện trong mọi sản phẩm deepfake. Trung Quốc là một trong những quốc gia đầu tiên ban hành quy định chuyên biệt về deepfake và hiện được xem là mô hình tham khảo đối với nhiều nước châu Á.
Mô hình thứ ba là cách tiếp cận phân mảnh của Mỹ. Tính đến tháng 4/2026, đã có 29 bang ban hành quy định hình sự đối với hành vi tạo hoặc phát tán hình ảnh thân mật deepfake không có sự đồng thuận. Đồng thời, ngày càng nhiều bang ban hành quy định nhằm kiểm soát deepfake trong lĩnh vực chính trị, đặc biệt trước các kỳ bầu cử. Ở cấp liên bang, Cơ quan Phòng, chống tội phạm tài chính Mỹ (FinCEN) đã phát đi cảnh báo về xu hướng gia tăng sử dụng nội dung truyền thông tổng hợp trong các vụ lừa đảo tài chính. Trong khi đó, Ủy ban Thương mại Liên bang (FTC) triển khai chiến dịch Operation AI Comply nhằm xử lý các hành vi lừa đảo dựa trên AI.
Bên cạnh đó, Singapore đã sửa đổi Bộ luật Hình sự theo hướng hình sự hóa hành vi trộm danh tính có liên quan đến nội dung truyền thông tổng hợp, bảo đảm các hành vi giả mạo bằng nội dung do AI tạo ra có thể bị truy cứu trách nhiệm hình sự. Trong khi đó, Ấn Độ lựa chọn cách siết chặt trách nhiệm của các nền tảng trực tuyến. Theo các quy định mới có hiệu lực từ năm 2026, các nền tảng phải gỡ bỏ nội dung deepfake đã bị đánh dấu trong vòng ba giờ đối với một số trường hợp, thay vì 36 giờ như trước đây. Sự khác biệt giữa thời hạn ba ngày (như EU) và ba giờ (như Ấn Độ) phản ánh cách các quốc gia cân bằng giữa quyền tự do biểu đạt và yêu cầu bảo vệ nạn nhân.
Chiến dịch hợp tác đa quốc gia
Bên cạnh việc hoàn thiện các khung pháp lý, các chiến dịch trấn áp tội phạm xuyên quốc gia cũng đang được đẩy lên quy mô chưa từng có. Ở lĩnh vực tài chính, trong các tháng 10 và 11/2025, lực lượng thực thi pháp luật nhiều nước, dưới sự điều phối của Europol, đã triệt phá một mạng lưới tội phạm chịu trách nhiệm rửa hơn 700 triệu euro thông qua các nền tảng đầu tư tiền điện tử giả mạo. Đợt truy quét đầu tiên diễn ra ngày 27/10/2025 với các cuộc đột kích đồng loạt tại Cyprus, Đức và Tây Ban Nha theo đề nghị của cơ quan chức năng Pháp và Bỉ, dẫn đến việc bắt giữ 9 nghi phạm bị cáo buộc tham gia hoạt động rửa tiền.

Tháng 5/2025, Công an Thái Bình đã triệt phá đường dây đánh bạc 1.000 tỷ đồng, sử dụng công nghệ AI qua mặt sinh trắc học ngân hàng
Song hành với pháp lý và hợp tác hình sự là cuộc đua trên mặt trận công nghệ. Tiêu chuẩn quốc tế ISO/IEC 30107-3 về phát hiện tấn công trình diện sinh trắc học (Presentation Attack Detection - PAD) đang dần trở thành chuẩn mực bắt buộc đối với nhiều lĩnh vực được quản lý. Theo phân tích của hãng Identy.io, PAD Level 2 - cấp độ kiểm thử khả năng chống lại các hình thức tấn công bằng mặt nạ silicone 3D, ảnh in tùy chỉnh và nội dung truyền thông tổng hợp (deepfake) – đã trở thành yêu cầu tiêu chuẩn trong các lĩnh vực ngân hàng, chính phủ và viễn thông tại nhiều quốc gia phát triển.
Các nhà cung cấp giải pháp công nghệ cũng liên tục tung ra những sản phẩm phòng thủ đa lớp. Gần đây, Entrust giới thiệu giải pháp Motion Authentication, được thiết kế nhằm chống lại các hình thức tấn công bằng deepfake, phát lại (replay attack) và tiêm nhiễm (injection attack) trong các quy trình yêu cầu mức độ bảo đảm cao. Giải pháp này tuân thủ tiêu chuẩn ISO/IEC 30107-3 PAD Level 1 và Level 2, đồng thời được tổ chức kiểm định độc lập iBeta Quality Assurance chứng nhận.
Tại Đông Nam Á - khu vực mà INTERPOL ghi nhận số lượng các cuộc thảo luận về deepfake trên các diễn đàn tội phạm tăng tới 600% trong nửa đầu năm 2024 - các cơ quan thực thi pháp luật cũng đang có những bước chuyển đáng chú ý. Theo khảo sát của INTERPOL trong khuôn khổ ASP Desk năm 2025, 66,7% cơ quan thực thi pháp luật tại khu vực Châu Á - Thái Bình Dương đã triển khai các công cụ AI, bao gồm hệ thống phát hiện deepfake và các nền tảng nhận diện website lừa đảo sử dụng AI. Đây là tỷ lệ ứng dụng AI vào hoạt động thực thi pháp luật ở mức cao, cho thấy nhận thức về tính cấp bách của mối đe dọa này đã được hình thành rõ nét.
Trên bình diện chiến lược, Khung Chiến lược INTERPOL giai đoạn 2026 - 2030 xác định tội phạm mạng là một trong bốn trụ cột hoạt động, bên cạnh tội phạm tài chính, chống khủng bố và tội phạm có tổ chức. Việc đưa tội phạm mạng trở thành một trụ cột ưu tiên phản ánh đúng thực tế rằng, trong các loại hình tội phạm xuyên quốc gia hiện nay, đây là loại tội phạm có khả năng mở rộng quy mô nhanh nhất, chi phí thấp nhất và cũng khó truy vết nhất.
Tại Việt Nam, các biện pháp pháp lý cũng đang được siết chặt. Nghị định số 340/2025/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng, có hiệu lực từ tháng 02/2026, đã tăng cường chế tài đối với hành vi mua bán, thuê, cho thuê tài khoản ngân hàng. Đồng thời, Ngân hàng Nhà nước yêu cầu các tổ chức tín dụng phải tích hợp chức năng phát hiện giả mạo bằng deepfake và ảnh tĩnh trong quá trình xác thực định danh khách hàng trực tuyến. Tuy nhiên, bài toán xuyên biên giới vẫn còn ở phía trước, bởi không một quốc gia đơn lẻ nào, kể cả Việt Nam, có thể tự mình giải quyết vấn đề. Việc tham gia các chiến dịch quốc tế như Operation Red Card, mở rộng chia sẻ thông tin tình báo theo các cơ chế đa phương, cũng như từng bước áp dụng các tiêu chuẩn kỹ thuật như ISO/IEC 30107-3 PAD Level 2 đối với hệ thống xác thực sinh trắc học của các ngân hàng trong nước sẽ là những hướng đi cần được tính đến.
Nhìn lại toàn bộ loạt bài, có thể thấy chuyên án tại Thanh Hóa không phải là một sự cố cá biệt mà chỉ là một mảnh ghép trong bức tranh lớn hơn nhiều. Sinh trắc học, từng được kỳ vọng là "tấm khiên cuối cùng" của ngành ngân hàng, thực chất cũng chỉ là một lớp trong hệ thống phòng thủ nhiều tầng và mỗi lớp đều có thể bị xuyên thủng nếu các lớp còn lại không được xây dựng đồng bộ.
Cuộc chạy đua giữa kẻ tấn công và người phòng thủ trong lĩnh vực này chưa có và có lẽ sẽ không bao giờ có hồi kết. Mỗi vụ án được triệt phá, dù ở Thanh Hóa, Hà Nội, Hồng Kông (Trung Quốc) hay Singapore, đều là lời cảnh báo đối với mọi mắt xích trong hệ thống: cơ quan quản lý phải liên tục cập nhật khung pháp lý; các ngân hàng phải đầu tư tương xứng cho công nghệ; và mỗi người dùng cũng phải chủ động bảo vệ dữ liệu cá nhân của chính mình.
(CATP) Deepfake không còn là những đoạn video giả mạo gây tò mò trên mạng xã hội. Chỉ trong vài năm, công nghệ này đã trở thành công cụ giúp các băng nhóm tội phạm chiếm đoạt hàng chục triệu USD, qua mặt doanh nghiệp, ngân hàng và cả hệ thống xác thực sinh trắc học.