(ĐTTCO) - Phát triển NH điện tử đang trở thành xu hướng ở các nước phát triển và Việt Nam cũng không nằm ngoài để thực hiện mục tiêu giảm thanh toán bằng tiền mặt. Hiện người dân cũng đã bắt đầu đi theo xu hướng này. Theo thống kê của Vụ Thanh toán thuộc NHNN, chỉ riêng trong quý II-2016, giao dịch thanh toán nội địa theo các phương thức thanh toán bằng thẻ lên tới gần 78.000 tỷ đồng. Các phương tiện thanh toán qua NH điện tử đã đạt gần 60 triệu giao dịch với hơn 4,2 triệu tỷ đồng. Tuy nhiên, gần đây khách hàng mất tiền trong tài khoản đã khiến người dân bất an về vấn đề bảo mật của các NH khi triển khai dịch vụ NH điện tử. ĐTTC đã ghi nhận ý kiến nhận định của một số chuyên gia xung quanh vấn đề này.
Luật sư Trương Thanh Đức, Chủ tịch Hội đồng thành viên Công ty Luật Basico:
Khách hàng có quyền khởi kiện
Bộ luật Dân sự vừa có hiệu lực 1-7-2016, quy định về nguyên tắc tòa án không được từ chối mọi trường hợp khởi kiện vì lý do gì. Vấn đề không phải ở chỗ khởi kiện được hay không, mà quan trọng nếu như khách hàng không chứng minh được mình không có lỗi, hay nguyên nhân chính dẫn đến việc bị mất tiền do bị thâm nhập hệ thống chuyển khoản, tức NH không bảo vệ được quyền lợi khách hàng. Thông thường, 2 bên sẽ thương lượng với nhau làm thế nào để chia sẻ trách nhiệm hoặc tự xác định với nhau lỗi chính, lỗi phụ thuộc về ai, vì khách hàng khó chứng minh được lỗi thuộc về NH, còn NH chứng minh lỗi của khách hàng dễ hơn. Bởi các giao dịch điện tử không thực hiện qua giấy tờ, chủ yếu phụ thuộc vào các dịch vụ NH và NH chi phối về trình độ công nghệ, tính bảo mật. Hiện nay các kết luận ai đúng ai sai đều chỉ phán đoán, muốn biết chính xác phải nắm được kỹ thuật, dấu vết, đặc tính đặc điểm của hệ thống mới có thể đánh giá được tính pháp lý.
Trước đây cũng đã có những trường hợp mất tiền trong tài khoản, như vụ việc xảy ra vào năm 2005, tòa đã bác yêu cầu đòi bồi thường của khách hàng đối với Techcombank khi khách hàng khởi kiện do mất 30 triệu đồng trong thẻ ATM. Theo hội đồng xét xử, khách hàng đã không có cơ sở để yêu cầu NH bồi thường số tiền đã mất. Như vậy, xét cho cùng mấu chốt phải xác định được lỗi thuộc bên nào, vì vấn đề không chỉ riêng trường hợp xảy ra tại Vietcombank mà cả hệ thống cũng đã từng xảy ra những trường hợp tương tự. Khi khởi kiện ra tòa phải xác định lỗi, phải có trưng cầu giám định, có căn cứ, tranh luận và ý kiến cơ quan quản lý.
Trong trường hợp xảy ra đối với các giao dịch NH điện tử có 3 tầng bảo mật: Tên tài khoản và mật khẩu truy cập, khi mất 2 tầng bảo mật ban đầu không có nghĩa là khách hàng đã bị mất tiền, nếu như khách hàng đánh mất luôn tầng bảo mất thứ ba là mã xác nhận OTP thì khách hàng phải tự chịu trách nhiệm. Nếu do lỗi của NH bị sơ hở, không đảm bảo về độ an toàn, gây rủi ro khách hàng thì sẽ xem xét trách nhiệm. Tuy nhiên, việc theo đuổi các vụ kiện tốn nhiều thời gian và các vấn đề phức tạp liên quan, nên khách hàng cũng cân nhắc. Công nghệ càng hiện đại càng phải thường xuyên nâng cấp, bảo mật, nên tội phạm cũng tìm mọi cách thức để xâm nhập.
TS. Nguyễn Trí Hiếu, chuyên gia tài chính NH:
Phổ biến kiến thức bảo mật thông tin
Liên quan đến vụ việc mất 500 triệu đồng từ tài khoản thẻ Vietcombank của khách hàng Hoàng Thị Na Hương vừa xảy ra, để xác định lỗi của ai cần phải điều tra cụ thể. Trước đây cũng đã xảy ra nhiều vụ việc, có trường hợp lỗi hoàn toàn thuộc về khách hàng chẳng hạn như khách hàng đưa thẻ, mật khẩu của mình cho người khác sử dụng, hoặc cẩu thả trong việc giữ thông tin tài khoản cá nhân; cũng có trường hợp lỗi thuộc NH khi hệ thống thông tin của họ không được bảo mật chặt chẽ để các hacker truy cập vào lấy thông tin và sử dụng, từ đó lấy tiền từ tài khoản của khách hàng; cũng có trường hợp là lỗi của 2 bên. Do đó, nhận định lỗi của ai, trách nhiệm đến đâu cũng như NH có bồi thường hay không phải cần có kết quả điều tra của NH và cơ quan chức năng.
Song thực tế tại các nước, đặc biệt tại Hoa Kỳ, khi khách hàng báo cho NH biết rằng tài khoản cũng như tài sản của họ bị xâm phạm, lập tức các NH xử lý tức thì, luôn trấn an khách hàng và thông báo sẽ tiến hành điều tra. NH sẽ đóng tài khoản bị xâm phạm để không ai có thể sử dụng được tài khoản này. Tiếp theo, NH sẽ tiến hành điều tra và chỉ khoảng từ 1-3 ngày phía NH sẽ có kết quả sơ khởi. Còn với các NH trong nước, khi xảy ra các trường hợp tương tự, NH thường thông báo cho khách hàng biết đã báo với cơ quan chức năng và chờ kết quả của cơ quan chức năng. Theo tôi, NH tự điều tra là một việc cần thiết ngoài việc chờ kết quả của cơ quan chức năng. Đồng thời NH cần phải trấn an để khách hàng tin tưởng vào mình và các khách hàng khác không cảm thấy bất an.
Hiện nay dịch vụ NH đang phát triển nhanh chóng, các NH cần phải chú trọng hơn trong vấn đề thông tin đến khách hàng, tránh việc chạy đua bán dịch vụ một cách nhanh nhất trong khi người sử dụng chưa thật sự hiểu hết những rủi ro. Chẳng hạn các NH nên có những cẩm nang hay hướng dẫn rất cụ thể về việc giao dịch và bảo mật khi triển khai dịch vụ, nhất là đối với những lĩnh vực như internet banking, SMS banking. Đây là thiếu sót của các NH. Ở Hoa Kỳ, các NH đều có những thông tin chính xác và cụ thể về kiến thức tài chính cho người dân. Vào khoảng hơn 10 năm trước, Tổng công ty Bảo hiểm tiền gửi liên bang (FDIC) của Hoa Kỳ đã đưa ra một chương trình huấn luyện tài chính cơ bản, gọi là Money Smart bằng phim ảnh và sách, họ yêu cầu các NH và trường học phổ biến các chương trình này cho người dân. Chương trình này bao gồm cả vấn đề bảo mật thông tin như sử dụng thẻ tín dụng, thẻ ghi nợ như thế nào để bảo vệ tài sản của mình. Theo tôi, Chính phủ nên thực hiện một chương trình giáo dục tài chính để phổ biến đại trà cho người dân biết, nắm được những rủi ro khi sử dụng dịch vụ NH.
 |
Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo quản trị mạng và an ninh mạng quốc tế (Athena):
Rà soát lại quy trình bảo mật
Sau khi khách hàng trình báo mất 500 triệu đồng trong tài khoản, Vietcombank đã đưa ra thông tin chính thức trong đó hoàn toàn lỗi về khách hàng, bởi khách hàng thực hiện bấm vào link giả mạo và cung cấp các thông số dẫn đến lộ thông tin, mất tiền. Đồng thời, Vietcombank lờ đi tính năng SMS gửi mã OTP, trong khi đây là tính năng bảo vệ khách hàng khi giao dịch trên NH điện tử. Theo tôi đây là mấu chốt quan trọng vì tính năng gửi mã OTP qua SMS chỉ có NH mới có và phải nhập đúng mã đó mới chuyển được tiền. Mặc dù Vietcombank đã tiếp cận chiếc điện thoại của khách hàng và đã xem được tất cả nội dung trong đó, nhưng thông tin gửi ra cộng đồng không nhắc đến tính năng gửi SMS của Vietcombank. Thông báo của Vietcombank khiến cho khách hàng bất an hệ thống SMS của Vietcombank có bị lỗi hay không khi trong thông tin đưa ra Vietcombank không có thông tin khẳng định chức năng SMS hoạt động an toàn tuyệt đối. Theo tôi, Vietcombank phải có trách nhiệm kiểm soát quy trình vận hành gửi tin nhắn xác nhận giao dịch OTP.
Trong trường hợp vừa xảy ra, tôi không loại trừ khả năng hệ thống an toàn bảo mật thẻ tại một số NH vẫn còn có lỗ hổng. Thực tế, việc bảo mật hệ thống SMS OTP không đơn giản. Đồng thời một vấn đề nữa là về nguyên tắc, phần mềm bảo mật rất tốt nhưng quy trình làm việc không bảo mật, quy trình ở đây là con người, nếu nhân viên chưa được trang bị thông tin, kiến thức bảo mật cần thiết cũng sẽ dẫn đến việc không phát hiện những lỗ hổng bảo mật. Vì vậy, các NH cần nhanh chóng rà soát lại quy trình an toàn bảo mật thẻ bao gồm cả hạ tầng, công nghệ thông tin và nhân sự tham gia vào vận hành hệ thống đó.
Hiện nay, các NH đang phát triển dịch vụ internet banking với sự cạnh tranh rất khốc liệt, nhưng đầu tư không đồng bộ, toàn diện về bảo mật, nhiều đơn vị không kiểm thử hệ thống khi đưa vào sử dụng nên vẫn còn lỗ hổng. Đồng thời, một số yêu cầu đặt ra đối với quy trình bảo mật lại bị bỏ đi. Thí dụ như yêu cầu nhận tin nhắn SMS về điện thoại, khi muốn thay đổi số điện thoại, khách hàng có thể ở nhà tự thay đổi trực tuyến trong khi đáng ra chủ tài khoản phải đến NH thay đổi mới được cài đặt, do đó sẽ có những người lợi dụng sự bất cẩn của người dùng để đánh cắp thông tin, truy cập vào tài khoản thay đổi thông tin để chuyển SMS sang số điện thoại mạo danh, thay vì vào số chính chủ khiến khách hàng mất niềm tin vào dịch vụ SMS OTP.
