Sự việc chị Hoàng Thị Na Hương ở Hà Nội bỗng dưng bị mất 500 triệu đồng (nhưng rất may là thu lại được 300 triệu đồng) trong tài khoản mở ở Ngân hàng Ngoại thương Việt Nam (Vietcombank) đang gây ra nhiều tranh luận.
Đến lúc này chưa thể kết luận bên nào đúng, bên nào sai mà phải chờ cơ quan chức năng đưa ra kết luận cuối cùng. Nhưng vấn đề không chỉ riêng chị Hương mà được rất nhiều người quan tâm là ai sẽ phải chịu trách nhiệm với số tiền 200 triệu đồng bị mất, Vietcombank hay chị Hương?
Cần có “trọng tài”
Luật sư Nguyễn Thanh Hà, chuyên ngành tài chính ngân hàng, cho biết khi đã mở thẻ chắc chắn giữa khách hàng và Vietcombank đã ký một hợp đồng dịch vụ. Trong đó Vietcombank có trách nhiệm phải đảm bảo an toàn về giao dịch cho khách hàng, tức đảm bảo tiền của khách không bị thất thoát.
“Do đó, tôi cho rằng trong sự cố vừa qua cần có bên thứ ba làm nhiệm vụ giám định, điều tra độc lập và xác định lỗi thuộc về ai, tránh gây oan sai và thiệt hại cho một bên nào đó. Cụ thể là lỗi do khách hàng, ngân hàng hay là lỗi hỗn hợp. Nếu để cho một bên là Vietcombank hoặc chị Hương đổ lỗi cho nhau thì rất khó khách quan” - luật sư Hà bày tỏ quan điểm.
Luật sư Trương Thanh Đức, Chủ tịch Công ty Luật Basico, phân tích trong vụ giao dịch của chị Na Hương có ba tầng bảo mật gồm mật khẩu giao dịch, mã giao dịch và mật khẩu xác nhận giao dịch. Nếu khách hàng để lộ cả ba tầng bảo vệ đó thì về nguyên tắc khách hàng phải chịu hoàn toàn thiệt hại.
Tuy nhiên, nếu Vietcombank gây ra lỗi do những nguyên nhân sau: Do công nghệ bảo mật bị hạn chế, không đảm bảo; sơ ý để mất OTP (mật khẩu chỉ sử dụng một lần gửi tới chủ tài khoản qua điện thoại) hoặc cán bộ tiêu cực, cố ý làm sai trái gây thiệt hại cho khách. Nếu Vietcombank để xảy ra một trong hai lỗi này thì phải chịu trách nhiệm bồi thường thiệt hại cho khách hàng.
Sau vụ mất nửa tỉ đồng vừa xảy ra, khách hàng đã quan tâm hơn đến vấn đề bảo mật thông tin khi sử dụng ATM. Ảnh: HTD
“Nhưng về nguyên tắc, khách hàng có hai lỗi mà ngân hàng có một lỗi thì ngân hàng sẽ phải chịu trách nhiệm một phần. Bởi mắc một phần lỗi cũng có nghĩa là ngân hàng đã không đảm bảo an toàn cho khách hàng như cam kết trong hợp đồng” - ông Đức nói.
Cũng theo ông Đức, điều đáng lưu ý là lỗi ở tầng bảo vệ cuối cùng, tức là mã xác nhận OTP. ngân hàng phải có giải pháp để đảm bảo xác nhận chính chủ tài khoản là người thực hiện giao dịch.
Giám đốc Trung tâm Đào tạo quản trị mạng và An ninh mạng quốc tế Võ Đỗ Thắng cũng cho rằng chuyện khách hàng truy cập vào web giả mạo thì ngân hàng không thể nào kiểm soát được nhưng Vietcombank phải có trách nhiệm kiểm soát quy trình vận hành gửi tin nhắn xác nhận giao dịch OTP.
“Cụ thể kẻ lừa đảo đã rút gọn 200 triệu đồng mà khách hàng không hề nhận được tin nhắn mã xác thực sử dụng một lần. Nếu hệ thống bảo mật của Vietcombank để xảy ra lỗ hổng nào đó mà hacker có thể vượt qua được thì đó là trách nhiệm của ngân hàng” - ông Thắng phân tích.
Tính bảo mật của thẻ có vấn đề
Đánh giá về hệ thống an toàn bảo mật thông tin của một số ngân hàng dẫn đến tình trạng các chủ thẻ bị mất tiền mà “không hiểu vì sao” trong thời gian vừa qua, ông Võ Đỗ Thắng nhận định: “Không loại trừ khả năng hệ thống an toàn bảo mật thẻ tại một số ngân hàng vẫn còn có lỗ hổng”.
Trong khi đó, ông Nguyễn Hữu Thăng, chuyên gia công nghệ thông tin, nói việc chuyển đổi đăng ký online từ OTP sang Smart OTP là vô cùng nguy hiểm. Do đó ngân hàng cần phải yêu cầu khách hàng đến các phòng giao dịch để làm thủ tục thay đổi thì tính năng bảo mật thông tin mới có thể đảm bảo được.
“Các ngân hàng cần nhanh chóng rà soát lại quy trình an toàn bảo mật thẻ bao gồm cả hạ tầng, công nghệ thông tin và nhân sự tham gia vào vận hành hệ thống đó. Bên cạnh đó thay vì sử dụng chế độ mật mã cố định, ngân hàng cần chuyển sang chế độ sử dụng ma trận mật mã (OTP ma trận). Theo đó mật mã sẽ không cố định mà thay đổi theo từng lần giao dịch” - ông Thắng khuyến cáo.
Đồng thời ông Thăng cũng khuyến cáo nguy cơ mất thông tin tài khoản khi mua hàng qua mạng. Bởi đây là những địa chỉ web mà hacker nhắm tới nhiều nhất. Một khi tìm ra kẽ hở để truy cập được vào cơ sở dữ liệu của trang mua bán trực tuyến nào đó thì hacker dễ dàng có được toàn bộ dữ liệu mà khách hàng đã cung cấp khi thanh toán online. Do đó, nguy cơ mất an toàn thẻ tín dụng rất cao.
Chuyên gia an ninh mạng tại một ngân hàng cho biết thêm ngay cả đối với thẻ tín dụng (loại thẻ chip) cũng có thể dẫn tới rủi ro nếu chủ thẻ không có ý thức bảo mật thông tin. Do vậy, khi thanh toán tại các nhà hàng, quán ăn..., chủ thẻ không bao giờ được rời mắt khỏi người thu ngân. Thậm chí yêu cầu thu ngân thực hiện thanh toán ngay trước mặt. Nếu nhân viên thu ngân có ý định gian dối hoặc câu kết với hacker sẽ dẫn tới khả năng thẻ bị đánh cắp thông tin trên bề mặt thẻ dẫn tới hậu quả thẻ bị làm giả.
Chưa biết ai đúng Ngay sau khi sự việc xảy ra, Vietcombank cho rằng khách hàng mất tiền do đã truy cập vào trang web giả mạo và bị mất mật khẩu tài khoản. Hiểu một cách nôm na thì việc mất tiền là do khách hàng. Phía chị Hương thì cho biết đang rất lo lắng vì không hiểu tại sao tiền bị mất tiền khi chị không hề nhận được tin nhắn chứa mã OTP từ Vietcombank để xác thực giao dịch khi đối tượng lừa đảo tiến hành giao dịch. Trước khi chưa có kết luận từ phía cơ quan điều tra thì không nên đẩy hoàn toàn trách nhiệm cho người tiêu dùng. Cách xử lý khủng hoảng truyền thông như vậy không những không dập tắt được khủng hoảng mà còn khơi thêm nỗi hoang mang cho khách hàng. Ông VÕ ĐỖ THẮNG, Giám đốc Trung tâm Đào tạo quản trị mạng và An ninh mạng quốc tế |