Nghe thì rất nhiều và từ lâu rồi, nhưng có lẽ trong thời gian gần đây, những người sử dụng các dịch vụ ngân hàng ở Việt Nam mới cảm nhận được đầy đủ nguy cơ lửa cháy tới tận đầu ngõ với hàng loạt sự cố ngân hàng nội địa nối nhau xảy ra. Điều đáng nói ở đây là các sự cố này đều gây ra những thiệt hại (dĩ nhiên là mất tiền) từ trên trời rơi xuống cho các khách hàng của ngân hàng. Và lại càng đáng nói hơn nữa khi chỉ có một số nhỏ ngân hàng chịu nhận trách nhiệm và bồi thường cho nạn nhân, cho dù thường là chỉ sau khi vụ việc được đưa ra công chúng và ngân hàng chịu sức ép từ công luận.

Có nhiều dạng và nhiều nguyên nhân khác nhau gây ra những sự cố ngân hàng. Nhưng tất cả đều xuất phát từ con người, ngay cả với các sự cố về công nghệ.

Trong hội nghị chuyên đề về an ninh mạng do công ty an ninh mạng Fortinet (Mỹ) tổ chức tại TP.HCM ngày 25-8-2016, khi trao đổi với báo giới về những sự cố của ngành ngân hàng Việt Nam gần đây, các chuyên gia của Fortinet cũng có nhận định rằng yếu tố con người chiếm phần quan trọng nhất trong các nguyên nhân. Cụ thể là do nhận thức còn nhiều bất cập của những con người cả ở phía ngân hàng lẫn khách hàng. Tình trạng ở Việt Nam cũng tương tự như ở nhiều nước đang phát triển khác. Về an ninh thông tin và bảo mật dữ liệu, những nước này không chỉ yếu kém về cơ sở hạ tầng mà còn chưa ứng dụng tốt các giải pháp bảo vệ.

Cho tới tận ngày nay, số người Việt Nam sử dụng các dịch vụ ngân hàng trong thanh toán hay giao dịch tiền bạc vẫn chưa nhiều. Nếu xét về nhiều khía cạnh và đặt trong thực trạng ngân hàng ở Việt Nam, tình hình này tuy đáng buồn cho ngành ngân hàng – tiền tệ, nhưng nói cách nào đó lại là điều may mắn cho cộng đồng xã hội nói chung. Bởi lẽ với những gì mà nhiều ngân hàng đã hành xử vừa qua, người ta khó tin rằng đa số ngân hàng có thể bảo đảm được giao dịch thông suốt và an toàn khi có quá đông người dùng các dịch vụ ngân hàng. Không phải là bi quan, nhưng những người thực tế có thể nghĩ rằng chỉ mới với bao nhiêu khách hàng như hiện nay mà giao dịch ngân hàng còn bất cập như vậy, huống chi có nhiều người tham gia.

Tài khoản – mồi ngon kín mà hở

Để giao dịch ngân hàng, khách hàng phải có tài khoản do ngân hàng cấp. Nó không chỉ như một chứng minh thư mà còn là một địa chỉ để nhận tiền tới, chuyển tiền đi. Tài khoản thì có thể công khai, nhưng chìa khóa của nó thì chủ nhân phải giữ thật cẩn mật, ngoài ngân hàng ra thì chỉ có một mình mình biết hay xác thực. Ở đây lại có hai yếu tố. Chìa khóa là chuyện của chủ tài khoản. Còn chất lượng cái ổ khóa ra sao là thuộc về ngân hàng.

Trước thời có Internet, các tài khoản ngân hàng chỉ có thể bị mất bởi các tay cướp nhà băng trực tiếp vơ vét tiền trong các két sắt. Còn ngày nay, như khuyến cáo của hãng nghiên cứu đầu tư Casey Research (Mỹ) đã có 25 năm kinh nghiệm, nếu bạn có sử dụng Internet, tài khoản ngân hàng của bạn có những nguy cơ. Ngoài những lỗi do chủ tài khoản gây ra, tài khoản ngân hàng có thể bị bọn tin tặc giở trò xâm nhập hệ thống mạng của ngân hàng để trộm cướp tiền trong các tài khoản khách hàng.

Theo Casey Research, hồi năm 2013, một nhóm tin tặc, phần lớn là người Nga, đã đánh cắp được khoảng 1 tỷ USD từ nhiều tài khoản ngân hàng. Bọn chúng đã chiếm quyền kiểm soát hệ thống máy tính của hơn 100 ngân hàng. Bọn tin tặc đã ra lệnh cho các máy rút tiền ATM tự nhả ra một số tiền nào đó vào những giờ giấc được định sẵn, và đồng bọn của chúng đã túc trực tại những máy ATM đó để gom số tiền từ máy nhả ra. Có một ngân hàng đã mất 7,3 triệu USD theo cách này.

Trong những năm gần đây, bọn tin tặc đã thực hiện vô số những cuộc tấn công mạng vào nhiều ngân hàng. Hồi năm 2015, người ta đã chứng kiến những cuộc tấn công mạng lớn vào các định chế tài chính như JPMorgan Chase, E*Trade, và Scottrade vốn nằm trong số ít những định chế tài chính tinh vi nhất thế giới. Người Mỹ tin tưởng vào các định chế tài chính này nên giao cho chúng giữ hàng trăm tỷ USD của mình. Vậy mà chúng vẫn bị bọn tin tặc vượt qua các lớp tường bảo vệ xâm nhập đánh cắp dữ liệu cá nhân của hơn 100 triệu khách hàng.

Hồi tháng 2-2016, vụ cướp nhà băng lớn nhất trong lịch sử đã xảy ra tại ngân hàng trung ương mạnh mẽ nhất thế giới, đó là Cục Dự trữ Liên bang Mỹ (Fed). Một nhóm tin tặc quốc tế đã dùng một con virus máy tính vượt qua hệ thống an ninh của ngân hàng trung ương Bangladesh, đánh cắp các usename và mật khẩu mà ngân hàng nước này dùng để giao dịch với tài khoản của mình mở tại Fed. Sau đó, bọn tin tặc ra lệnh chuyển thành công hơn 100 triệu USD từ tài khoản của ngân hàng Bangladesh tại Fed tới những ngân hàng ở Philippines và Sri Lanka. Từ đó, bọn tin tặc chuyển tiếp tiền tới các sòng bạc rồi cuối cùng rút tiền mặt. Nhà chức trách đã cố gắng xử lý, nhưng chỉ thu hồi được có 19 triệu USD.

Vào năm 2015, bọn tin tặc đã dùng một virus máy tính hay mã độc (malware) tên là Dridex để rút ra khỏi những tài khoản ngân hàng Anh ít nhất là 20 triệu bảng Anh. Các chuyên gia bảo mật Anh tình nghi rằng tính tới nửa cuối năm 2015, virus này đã gây ra nhiều vụ mất tiền từ các tài khoản ngân hàng trên thế giới với số tiền mất khoảng 100 triệu USD.

Hồi giữa năm 2016, ở Anh rộ lên vụ Tập đoàn TalkTalk chuyên cung cấp dịch vụ viễn thông, truyền hình trả tiền, truy cập Internet, và các dịch vụ mạng di động cho các doanh nghiệp và cá nhân bị tin tặc tấn công đánh cắp thông tin cá nhân, đặc biệt là về tài khoản ngân hàng, của nhiều khách hàng. Bọn tin tặc giả danh nhân viên TalkTalk gọi điện cho các nạn nhân và khi nạn nhân tin lời vào Internet truy cập tài khoản của mình là máy tính của họ lập tức bị tin tặc chiếm quyền điều khiển. Kevin, một khách hàng của TalkTalk, kể rằng ông đã tận mắt chứng kiến cảnh con trỏ chuột của mình tự động di chuyển như bị ma điều khiển trên màn hình máy tính tới ngay nút ra lệnh chuyển tiền đi. May mắn là ông đã nhanh trí ngắt điện máy tính.

Vụ TalkTalk là một điển hình cho một chiêu thức đang phổ biến trên thế giới về cách thức bọn xấu xâm nhập tài khoản ngân hàng nạn nhân. Thay vì đột nhập vào thẳng ngân hàng vốn khó khăn hơn, bọn tội phạm mạng đi đường vòng, tìm nhiều cách để có thể biết được các chìa khóa mở các tài khoản ngân hàng của khách hàng.

Còn ở Việt Nam, thời gian gần đây xảy ra một loạt vụ khách hàng của Ngân hàng Ngoại thương Việt Nam (Vietcombank) đột ngột bị ai đó rút tiền từ các tài khoản của mình. Nổi cộm nhất là vụ một khách hàng Vietcombank khiếu nại việc mất 500 triệu đồng trong tài khoản thẻ ATM chỉ sau một đêm.

Hầu hết các vụ mất tiền trong tài khoản ngân hàng này có liên quan tới dịch vụ ngân hàng điện tử (Internet banking) hay giao dịch thẻ ngân hàng. Đó là các sự cố có đính tới công nghệ. Bên cạnh đó còn có những vụ mất tiền do chính con người, đặc biệt khi có sự tiếp tay của nhân viên ngân hàng. Đang lùm xùm là vụ một nữ khách hàng của Ngân hàng Việt Nam Thịnh Vượng (VPBank) trình báo bị rút mất tới 26 tỷ đồng khỏi tài khoản của công ty mình. Nhà chức trách đang điều tra liệu có phải người của ngân hàng câu kết với người của công ty giả mạo chữ ký và chứng từ để rút tiền. Nếu là sự thật, đây là một vụ mất tiền ngân hàng có mức thiệt hại lớn nhất ở Việt Nam. Vẫn có người ngạc nhiên khi đây là một số tiền quá lớn và xảy ra trong một thời gian không ngắn mà chủ tài khoản thật sự lại không hề hay biết gì.

Những chiếc thẻ nhựa mong manh

Nếu như miếng trầu là đầu câu chuyện, thì chính những chiếc thẻ nhựa ngân hàng là đầu mối của vô số sự cố ngân hàng. Hồi trung tuần tháng 5-2016, hội nghị thường niên về thẻ ngân hàng năm 2016 đã được Hiệp hội Ngân hàng Việt Nam tổ chức đánh dấu 20 năm ra đời của Hội Thẻ ngân hàng Việt Nam (VBCA). Theo báo cáo, tính tới ngày 31-12-2015, toàn thị trường có 40/51 ngân hàng phát hành được hơn 81,85 triệu thẻ nội địa, chủ yếu là thẻ ghi nợ (debit), và trên 9,24 triệu thẻ quốc tế. Như vậy với số dân khoảng 92 triệu người, Việt Nam đạt mức bình quân 1 thẻ ngân hàng cho 1 người dân. Cũng tới cuối năm 2015, trên cả nước đã có 16.573 máy ATM và 217.470 máy thanh toán tiền qua thẻ POS. Cùng với sự gia tăng số lượng thẻ là sự tăng trưởng không ngừng về doanh số sử dụng và doanh số thanh toán thẻ. Trong năm 2015, doanh số sử dụng qua thẻ đạt 1.637.000 tỉ đồng (tăng 126% so với năm 2011) và doanh số thanh toán hơn 1.685.000 tỉ đồng (tăng 88% so với năm 2011).

Có thể nói rằng chỉ nhìn vào những con số thống kê về thị trường thẻ ngân hàng ở Việt Nam, người ta có thể hình dung được nguy cơ lớn chừng nào về những tai ương ngân hàng có dính tới công nghệ.

Trong những năm gần đây, các ngân hàng chạy đua nhau phát hành thẻ ngân hàng. Việc các điều kiện phát hành thẻ được mở rộng hơn và thủ tục đơn giản hơn rõ ràng đem lại nhiều lợi ích cho cả 2 bên. Nhưng đây cũng chính là những gót chân Achilles tiềm ẩn những nguy cơ mất tiền trong tài khoản ngân hàng.

Ngân hàng phát hành thẻ ồ ạt. Người dùng mở thẻ vô tội vạ. Số người có hơn 1 thẻ ngân hàng rất lớn, thậm chí không ít người có cả chục thẻ của nhiều ngân hàng khác nhau. Chỉ 1 thẻ ngân hàng thôi mà đã phải quản lý mệt mỏi rồi huống chi có quá nhiều thẻ trong tay. Nguy cơ sự cố ngân hàng tỷ lệ thuận với số thẻ phát hành.

Không thể thống kê nổi đã xảy ra bao nhiêu vụ mất tiền từ tài khoản ngân hàng có liên quan tới dùng thẻ. Số lượng những vụ được báo chí đưa tin chủ yếu là những vụ cộm cán và nhỏ như phần nổi của tảng băng trôi.

Trong những vụ mới đây nhất là hồi trung tuần tháng 8-2016 có 2 chủ thẻ Vietcombank bị mất tiền một cách khó hiểu ở nước ngoài. Sáng 16-8, thức dậy tại một khách sạn ở Tokyo (Nhật Bản), một chủ thẻ Vietcombank MasterCard Debit thường trú tại TP.HCM đã thấy trong điện thoại có 14 tin nhắn về những vụ cà thẻ của mình tại một loạt điểm. Có 5 vụ giao dịch thành công rút sạch 17 triệu đồng trong tài khoản của anh. Kịch tính không kém là chiều 19-8, trong lúc đang chạy xe tại Đồng Nai và thẻ Vietcombank MasterCard vẫn đang nằm trong ví, một nữ chủ thẻ ở Biên Hòa nhận được tin nhắn từ Vietcombank thông báo thẻ vừa được giao dịch ở Singapore với số tiền 592 đôla Singapore (khoảng 10 triệu đồng).

Cái chính vẫn là ngân hàng

Hãng tin Anh BBC News (26-8-2016) đã có bài với tựa đề “Dồn dập báo mất tiền ở ngân hàng Việt Nam”. BBC dẫn lời chuyên gia tài chính – ngân hàng Nguyễn Trí Hiếu nói rằng: “Các vụ mất tiền trong tài khoản ngân hàng thì ở nước nào cũng xảy ra, kể cả Mỹ, nhưng dồn dập như những vụ vừa qua tại Việt Nam thì khiến tôi ngạc nhiên. Tuy vậy, tôi loại trừ đấy là dấu hiệu các ngân hàng đối thủ chơi xấu để hạ uy tín lẫn nhau.” Theo ông này, nguyên nhân chính là sự thiếu kinh nghiệm ở cả phía ngân hàng lẫn người sử dụng thẻ. Tiến sĩ Nguyễn Trí Hiếu nhấn mạnh: “Qua những vụ khách hàng mất tiền, các ngân hàng cần có thái độ tích cực hơn mỗi khi tiếp nhận khiếu nại. Họ không thể đẩy hết trách nhiệm cho khách hàng mà nên khẩn trương tiến hành điều tra vụ việc.”

Tài khoản ngân hàng là một chiếc tủ sắt. Khách hàng là người gửi tiền vào tủ sắt đó và được giao cho chiếc chìa khóa. Mức độ an toàn của ổ khóa và chiếc tủ sắt thuộc về ngân hàng. Chuyện bảo quản và sử dụng chìa khóa là trách nhiệm của khách hàng. Nhưng với một ngân hàng chuyên nghiệp và muốn giữ được uy tín của mình, ngân hàng cũng phải có trách nhiệm kiểm tra nhất cử nhất động về những gì được gửi trong két sắt của mình.

Công nghệ cho dù hiện đại tới đâu cũng chỉ là một sản phẩm do con người tạo ra với định luật người có thể tạo ra thì người cũng có thể phá bỏ với triết lý vỏ quýt dày có móng tay nhọn. Vì thế, công nghệ chỉ là công cụ và có chức năng tối thiểu hóa các nguy cơ. Hiệu năng của công nghệ vẫn phụ thuộc vào ý thức và tri thức của người ứng dụng.

Theo các chuyên gia bảo mật, việc bảo mật cần phải có giải pháp lâu dài, toàn diện và đồng bộ với nguyên tắc phòng ngừa là chính và có khả năng ứng phó càng nhanh càng tốt.

Thực tế cho thấy, hầu hết các sự cố ngân hàng xuất phát từ phía người dùng (chủ tài khoản). Họ thường tiến hành các giao dịch ngân hàng điện tử đầy nguy hiểm, chủ yếu là thiếu cẩn trọng. Ở đây cũng có phần lỗi của ngân hàng. Trong khi tập trung phát hành thẻ, gia tăng khách hàng (mở thêm nhiều tài khoản), quảng bá về các dịch vụ,… hầu hết ngân hàng xem nhẹ việc tuyên truyền, nhắc nhở thường xuyên cho khách hàng của mình để sử dụng thẻ và tài khoản an toàn hơn. Chuyện không phải đùa là có rất nhiều chủ thẻ chỉ biết đưa thẻ vào máy ATM rồi nhập mật khẩu để rút tiền mà chẳng hề có một kiến thức gì về việc dùng thẻ.

Liệu pháp bảo mật an toàn tối ưu là luôn có được sự nối kết thông tin giữa ngân hàng và khách hàng. Tuy có thể phiền phức một chút, nhưng ngân hàng nên bảo đảm rằng mọi thay đổi, dù chỉ một đồng, trong tài khoản ngân hàng thì chủ tài khoản cũng phải được thông tin và tốt nhất là có thể xác thực trước khi tiến hành giao dịch. Mỗi khi xảy ra sự cố, bất kế lỗi xuất phát từ ai, ngân hàng cần tích cực hỗ trợ khách hàng xử lý tới mức cao nhất có thể được.

Tất nhiên, chủ tài khoản ngân hàng vẫn có trách nhiệm trước hết là tự mình bảo vệ tài khoản của mình. Có quá nhiều việc để làm. Nhưng điều đầu tiên vẫn là luôn cẩn trọng trước khi thực hiện một giao dịch ngân hàng nào, nhất là qua Internet và thẻ.

PHẠM HỒNG PHƯỚC

+ Ảnh: Internet. Thanks.

+ Có thể đọc bài in trên báo Pháp Luật TP.HCM Chủ nhật 28-8-2016 và trên báo Pháp Luật TP Online.