Tài khoản "bốc hơi", ngân hàng vô can? (*): Có giải pháp với các giao dịch bất thường

Dù liên tục cảnh báo nhưng thời gian qua, các ngân hàng (NH) thương mại vẫn thường xuyên nhận khiếu nại của khách hàng khi bị mất tiền trong tài khoản.

Ngân hàng cũng "đau đầu"

Những tình huống phổ biến là chủ tài khoản bị đối tượng lừa đảo dụ dỗ, cài đặt mánh khóe thực hiện giao dịch theo hướng dẫn của chúng hoặc yêu cầu cung cấp tên đăng nhập, mật khẩu truy cập tài khoản, mã xác thực OTP rồi thực hiện việc rút tiền; hoặc khách hàng trong quá trình giao dịch trực tuyến, thanh toán online, giao dịch thẻ... vô tình để lộ thông tin tài khoản; bị phần mềm, mã độc tấn công khi truy cập các đường link lạ, website không rõ nguồn gốc…

Các ngân hàng thương mại vẫn thường xuyên gửi những cảnh báo lừa đảo chiếm đoạt tài sản đến khách hàng của mình để giảm thiểu rủi ro mất tiền .Ảnh: TẤN THẠNH

Ông Nguyễn Đình Thắng, Phó Chủ tịch Hội Tin học Việt Nam, nhận định trường hợp người dùng mất tiền trong tài khoản NH có thể hiểu nôm na như làm mất "chìa khóa nhà" và kẻ trộm đột nhập lấy cắp tiền. Dù các NH có tăng cường bảo mật, đầu tư cho giải pháp về công nghệ nhưng người dùng cũng cần chủ động bảo mật thông tin tài khoản của mình, tuyệt đối không cung cấp tên, mật mã đăng nhập ứng dụng thanh toán online, mã OTP cho bất kỳ ai; không vào các trang web giả mạo để vô tình bị lừa lấy thông tin đăng nhập.

Thực tế, công nghệ bảo mật trong thanh toán của các NH ở Việt Nam hiện nay tương đương với các nước. "Với công nghệ hiện tại, việc tin tặc (hacker) xâm nhập hệ thống quản trị của NH thương mại để đánh cắp thông tin là chưa xảy ra, trừ trường hợp nhân viên NH chủ động để lọt thông tin ra ngoài nhưng vấn đề này liên quan đến quản trị hệ thống, nội bộ NH. Riêng với công nghệ NH mới như blockchain, có thể ngăn chặn được hacker nội bộ; trừ khi khách hàng để lộ thông tin hoặc bị lừa đảo trên mạng đã vô ý cung cấp thông tin cho kẻ gian" - ông Nguyễn Đình Thắng phân tích.

Cũng theo chuyên gia này, xu hướng thanh toán trực tuyến ngày càng tiện lợi cũng phát sinh vấn đề. Hệ thống cho phép người dùng thanh toán càng đơn giản về xác thực thì càng dễ bị lộ thông tin như thanh toán online, thẻ. Báo cáo của các tổ chức thẻ quốc tế cho thấy họ cũng thiệt hại hàng trăm triệu USD mỗi năm liên quan đến lộ thông tin thẻ, mất tiền trong tài khoản của khách hàng. Nhiều giao dịch thanh toán thẻ ở nước ngoài theo công nghệ cũ chỉ cần điền số thẻ, không cần mã OTP hay các bước xác nhận bảo mật khác…

"Vì vậy, cùng với việc các NH thương mại đầu tư mạnh cho chuyển đổi số, công nghệ thanh toán bảo mật hơn, người dùng cũng cần cẩn trọng khi giao dịch trực tuyến, thanh toán online. NH có thể áp dụng công nghệ "hỏi lại một lần nữa" với những giao dịch được đánh giá là bất thường, chẳng hạn giao dịch phát sinh liên tục vào đêm khuya, ở nước ngoài, thanh toán nhiều lần trong cùng thời gian ở nhiều điểm khác nhau… Tính năng bảo mật bằng công nghệ này có thể hạn chế rủi ro cho khách hàng" - ông Nguyễn Đình Thắng nói.

Tăng cường giải pháp bảo mật xác thực

Chuyên gia tài chính - TS Huỳnh Trung Minh cho rằng một NH thương mại có vốn điều lệ tối thiểu thời điểm này ít nhất là 3.000 tỉ đồng và hệ thống công nghệ được đầu tư cũng lên tới vài trăm tỉ đồng. Các NH cũng không ngừng đầu tư thêm hằng năm để cải thiện và tăng cường bảo mật. Do đó, việc hacker xâm nhập hệ thống NH lõi (Core banking) của NH gần như là rất khó.

"Giải pháp để giảm tối đa những vụ việc mất tiền trong tài khoản là bên cạnh việc khách hàng chủ động bảo mật thông tin thì các NH có thể triển khai hệ thống cảnh báo sớm cho khách hàng khi thấy giao dịch bất thường. Trong trường hợp khách hàng không thật sự tiến hành giao dịch này, NH sẽ ngăn chặn được nguy cơ mất tiền. Mỗi NH cũng đặt ra hạn mức giao dịch riêng và khách hàng có thể tùy theo nhu cầu giao dịch thường xuyên của mình để chọn hạn mức phù hợp" - TS Huỳnh Trung Minh nói.

Kể trường hợp cụ thể của mình, ông Huỳnh Trung Minh cho biết một lần, ông chuyển khoản nhanh qua Internet Banking số tiền 100 triệu đồng/giao dịch và 3 giao dịch liên tiếp thì hết hạn mức trong ngày. Ngay lập tức, nhân viên tổng đài NH nơi ông mở tài khoản gọi đến xác nhận xem có đúng ông là người vừa thực hiện giao dịch đó không? Do đó, khách hàng có thể đăng ký hạn mức giao dịch/thanh toán tối đa một ngày theo nhu cầu của mình, để phòng ngừa rủi ro trong trường hợp bị kẻ gian đánh cắp tài khoản.

Với những vụ việc mất tiền của khách hàng, theo các chuyên gia, nếu cơ quan quản lý nhà nước phát hiện NH thương mại có lỗ hổng về an ninh thì NH phải chịu trách nhiệm. Nhưng về bản chất, những lỗi này là rất khó vì hệ thống bảo mật của các NH thời gian qua được tăng cường đầu tư.

Cụ thể, một số NH đã tăng cường bảo mật tài khoản theo hướng xác thực 2 lớp, nghĩa là sau khi chủ tài khoản nhập đúng tên, mật khẩu (lớp xác thực thứ nhất), NH sẽ gửi về điện thoại một mã xác thực có sự khác biệt rất lớn so với mã OTP qua tin nhắn SMS. Mã này bao gồm nhiều chữ số và sẽ biến mất sau vài giây nếu chủ tài khoản nhập vào hệ thống giao dịch (lớp xác thực thứ 2).

Như thế, nếu người chuyển tiền sơ suất tiết lộ mã xác thực này thì kẻ xấu gần như không đủ thời gian để thực hiện giao dịch. Còn trường hợp chủ tài khoản bị người khác đánh cắp được tên, mật khẩu cũng không nhận được mã xác thực để thực hiện giao dịch vì mã này chỉ gửi vào điện thoại của chủ tài khoản.

Một lãnh đạo của NH Á Châu (ACB) cho biết NH luôn khuyến cáo khách hành đăng ký sử dụng ACB SafeKey - một ứng dụng được nâng cao giúp khách hàng giao dịch trực tuyến gia tăng bảo mật, an toàn hơn so với phương thức xác thực OTP SMS và OTP Token.

Theo đó, ứng dụng này sẽ cung cấp cho chủ tài khoản mã xác thực phát sinh theo thời gian thực, gắn liền với thông tin của từng giao dịch. Khách hàng sử dụng ACB SafeKey không cần nhớ mật khẩu truy cập ứng dụng, có thể dễ dàng truy cập bằng vân tay/khuôn mặt, không cần kết nối internet và không cần chuyển đổi mạng (roaming) khi thực hiện giao dịch ở ngoài nước.

Ngoài ra, các NH thương mại đang xúc tiến phát triển dịch vụ NH mở (Open Banking). Theo đó, khách hàng có thể sử dụng dịch vụ tài chính NH không chỉ ở các kênh do NH cung cấp mà còn trên các kênh do đối tác thứ 3, như: công ty tài chính công nghệ (fintech), các ứng dụng mobile app… nhằm đáp ứng đa dạng các nhu cầu cuộc sống.

Dù vậy, ông Phạm Thanh Ngọc, Phó Vụ trưởng Vụ Pháp chế - NH Nhà nước, cho biết các quy định pháp luật điều chỉnh mối quan hệ trên vẫn đang thiếu. Theo quy định hiện nay, chỉ các trung gian thanh toán được NH Nhà nước cấp phép mới được phép sử dụng dịch vụ thanh toán của NH, còn việc cung cấp dịch vụ NH trên ứng dụng của fintech khác chưa có quy định.

Hiện cũng chưa có quy định hướng dẫn về những dịch vụ, dữ liệu nào của NH mà fintech được sử dụng (chuyển tiền, thanh toán, sao kê, truy vấn số dư...); chưa có quy định về tiêu chuẩn công nghệ thông tin liên quan lưu trữ thông tin khách hàng, bảo mật dữ liệu trong quá trình kết nối…

Để khắc phục, NH Nhà nước đang gấp rút hoàn thiện dự thảo nghị định về cơ chế thử nghiệm (sandbox) đối với hoạt động fintech, trong đó có điều kiện về xây dựng hệ thống công nghệ thông tin đáp ứng yêu cầu an toàn thông tin và bảo mật thông tin. Bộ Công an xây dựng dự thảo nghị định về bảo vệ dữ liệu cá nhân quy định về xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân.

"Tuy nhiên, cho đến khi các nghị định này được ban hành, tổ chức tín dụng cần chủ động giám sát, ràng buộc các công ty fintech trong việc sử dụng đúng mục đích thông tin NH, đồng thời phải có chính sách bảo mật nội bộ phù hợp. Các fintech cũng cần quan tâm đến khía cạnh bảo mật khi đưa ra ý tưởng và triển khai hợp tác cung ứng dịch vụ trên thực tế" - ông Phạm Thanh Ngọc nói.

(*) Xem Báo Người Lao Động từ số ra ngày 28-3