(KTSG Online) - Trong nhiều năm qua, mỗi khi khách hàng bị lừa đảo chiếm đoạt tiền thì động thái hỗ trợ của các ngân hàng chỉ giới hạn ở việc hỗ trợ trình báo công an. Với Thông tư 77 của Ngân hàng Nhà nước sắp có hiệu lực, các ngân hàng phải có trách nhiệm bảo đảm hệ thống kỹ thuật phải phát hiện và ngăn chặn được hoạt động chuyển tiền khả nghi.
- Chống lừa đảo cần hướng đến trách nhiệm liên đới của ngân hàng và nhà mạng
- Khách hàng mất tiền vì lỗ hổng 2G, nhà mạng và ngân hàng vẫn vô can?
- Chống lừa đảo bằng xác thực sinh trắc học khi chuyển tiền: Cần nhưng chưa đủ
- Thông tư số 77/2025/TT-NHNN của Ngân hàng Nhà nước
Mới đây nhất, hôm 4-1 một phụ nữ đã bị mất sạch gần 3,5 tỉ đồng trong tài khoản ngân hàng chỉ trong vài phút sau khi bị bọn lừa đảo mạo danh cơ quan bảo hiểm xã hội yêu cầu tải ứng dụng (app) giả mạo để đồng bộ thông tin làm thủ tục nhận lương hưu. Sau khi cài app, tài khoản ngân hàng của chị này bị chiếm quyền kiểm soát. Chỉ trong vài phút, toàn bộ số tiền gần 3,5 tỉ đồng bị chuyển đi sạch, kết quả sao kê sau đó cho thấy, tiền được chuyển nhiều lần với, trong đó 6 lần đầu tiên số tiền y hệt nhau là 499 triệu đồng (*).
Nếu ngân hàng có trang bị một hệ thống quản lý danh tính (ID management) đúng chuẩn, các giao dịch này sẽ có thể bị chận ngay từ lần giao dịch đầu tiên trên ứng dụng mobile banking. Dưới góc độ an ninh mạng, chuỗi giao dịch này rất khả nghi vì có nhiều dấu hiệu bất thường như số tiền y hệt nhau được chuyển liên tục trong thời gian rất ngắn. Ngoài ra còn phải kể đến các yếu tố kỹ thuật không thể che giấu như trong điện thoại khách hàng đang có ứng dụng chiếm quyền điều khiển.
Thêm vào đó, có thể thấy là hệ thống xác thực sinh trắc học qua khuôn mặt của ngân hàng đã bị vượt qua, có thể bằng công nghệ trí tuệ nhân tạo (AI) để giả mạo khuôn mặt (deepfake). Điều này rất rõ ràng vì hiện tại chuyển tiền trên 10 triệu đồng phải xác thực khuôn mặt qua app ngân hàng, trong khi chủ tài khoản không hề thao tác mà tiền vẫn được chuyển đi dễ dàng.
Với ID management đúng chuẩn, hệ thống sẽ tự phát cảnh báo khi thấy các yếu tố kỹ thuật cho thấy thiết bị có dấu hiệu bị xâm nhập kèm theo giao dịch khác thường so với lịch sử thường lệ. Khi đó, quy trình bảo vệ khách hàng sẽ được kích hoạt, ngân hàng sẽ yêu cầu chủ tài khoản xác thực lại trước khi chuyển tiền. Cảnh báo và yêu cầu xác thực có thể gởi qua nhiều kênh đến khách hàng như thông báo trên app ngân hàng, e-mail, tin nhắn SMS và cuộc gọi từ nhân viên ngân hàng.
Vì khách hàng ngân hàng, đặc biệt là người lớn tuổi và không rành công nghệ khó lòng mà đối phó nổi với chiêu trò của hacker lừa đảo nên trong vài năm gần đây, xu thế làm luật ở nhiều nước đã quy định ràng buộc trách nhiệm ngân hàng đầu tiên khi xảy ra lừa đảo chiếm đoạt tiền.
Việt Nam cũng đang đi theo hướng tiếp cận này khi bắt buộc các ngân hàng phải triển khai giải pháp nhằm phòng, chống, phát hiện hành vi can thiệp trái phép vào ứng dụng mobile banking của khách hàng. Đây là quy định mới tại Thông tư số 77/2025/TT-NHNN của Ngân hàng Nhà nước, sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
Quy định này sẽ có hiệu lực từ ngày 1-3-2026, nhằm tăng cường an ninh mạng và bảo vệ tài sản của khách hàng trong bối cảnh lừa đảo trực tuyến bùng nổ hiện nay.
Thông tư số 77 ràng buộc các ngân hàng định kỳ tối thiểu 3 tháng một lần phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng cung cấp cho khách hàng cài đặt, nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng. Thông tư này cũng yêu cầu tổ chức tín dụng phải triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng mobile banking đã cài đặt trong thiết bị của khách hàng.
Mobile banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong ba dấu hiệu mất an toàn. Một là có trình gỡ lỗi (debugger), chạy trong môi trường giả lập (emulator) hay hoạt động ở chế độ máy tính điều khiển thiết bị Android (Android Debug Bridge); hai là phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy và ba là thiết bị đã bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).
Ngoài ra, để ngăn chặn tội phạm sử dụng deepfake để vượt qua xác thực sinh trắc học, Thông tư 77 cũng quy định hệ thống công nghệ của các ngân hàng phải trang bị giải pháp phát hiện giả mạo thông tin sinh trắc học đạt tiêu chuẩn quốc tế ISO 30107 Level 2.
Có thể thấy, với các quy định chặt chẽ về kỹ thuật trên của Thông tư 77, các ngân hàng không còn vô can như trong vụ người phụ nữ bị mất tiền nói trên. Đây là nền tảng pháp lý cần thiết để các nạn nhân khởi kiện ngân hàng đòi bồi thường thay vì phải cắn răng chịu đựng mất tiền còn ngân hàng thì không phải chịu trách nhiệm gì như trong mấy năm vừa qua.
---------------------------------
(*) https://nld.com.vn/mat-sach-35-ti-dong-trong-tai-khoan-vi-thu-doan-lua-dao-tinh-vi-19626011016243734.htm
Điều vô lý nhất là trước quầy giao dịch có bảng ghi : quý khách kiểm tra tiền trước khi rời khỏi quầy, không được khiếu nại khi đã rời khỏi quầy. Tức là nếu thiếu tiền thì ráng chịu dù có camera có thể xem lại. Nhưng nếu ngân hàng giao tiền cho khách mà bị dư, dù khách đã rời khỏi quầy và về nhà, ngân hàng vẫn có quyền đòi lại và khách hàng phải trả lại. Gửi tiền tiết kiệm thì tính lãi suất một năm đủ 365 ngày, nhưng vay tiền thì một năm chỉ có 360 ngày, 5 ngày còn lại phải trả thêm tiền lãi cho ngân hàng.
Ngân hàng là nơi khách hàng gởi gắm “tài sản + lòng tin”. Vậy nên uy tín và năng lực của một ngân hàng phải là mối quan tâm hàng đầu khi khách hàng muốn thiết lập mối quan hệ giao dịch. Tất nhiên, mọi mối quan hệ đều phải dựa trên cơ sở quy định đạo đức và pháp luật, có sự ràng buộc giữa quyền lợi và nghĩa vụ cụ thể. Ai sai, phải chịu trách nhiệm. Sai đến đâu, xử lý đến đó. Trong thời đại số hóa, nhiều khi cái sai không phụ thuộc vào ngân hàng hoặc khách hàng, mà đến từ bên thứ ba/ thứ tư… trên không gian mạng ?Thời gian qua rất nhiều khách hàng đã được ngân hàng “ngăn chặn hộ” việc chuyển tiền cho bên lừa đảo, tránh mất tài sản lên đến hàng tỷ đồng… Đây là nghĩa vụ đạo đức hay là pháp luật của ngân hàng ? Rất khó để phân biệt và phán quyết. Vậy nên, cần định nghĩa lại “cái sai” trong bối cảnh mới, sao cho hợp lý và hợp pháp ?