Những dấu hỏi lớn quanh vụ mất nửa tỷ đồng trong tài khoản Vietcombank

Vụ việc nửa tỷ đồng trong tài khoản Ngân hàng Vietcombank của chị Hoàng Thị Na Hương bị kẻ lạ rút mất chỉ trong một đêm là chuyện hết sức bất ngờ với khách hàng, gây hoang mang cho các khách hàng khác. Nhiều câu hỏi được đặt gia xung quanh vụ việc này.

Khách hàng đã thao tác gì trên website giả mạo

Thông tin trên báo VnExpress, nhiều chuyên gia cho rằng có thể kẻ gian đã chiếm quyền kiểm soát tài khoản Internet Banking tại Vietcombank của khách hàng từ ngày 28/7, chứ không chờ đến đêm 3/8, rạng sáng 4/8 - khi các giao dịch chuyển tiền thực hiện. Vì vậy khi bị mất tiền, chị mới không nhận được tin nhắn OTP từ ngân hàng.

Theo Vietcombank, chị Na Hương (Cầu Giấy, Hà Nội) đã truy cập vào một website giả mạo từ ngày 28/7 - tức là trước thời điểm xảy ra 7 giao dịch lừa đảo 6 ngày. Đường link http://creatingacreator.com/kob/1/index.htm) với giao diện giống hệt của Vietcombank khiến khách hàng vô tình nhập các thông tin như tên tài khoản (username), mật khẩu vào Internet Banking mà không hề hay biết. Dù chị Hương vẫn khẳng định không vào trang web lạ nhưng Vietcombank nói, trong cuộc làm việc ngày 11/8, nhân viên ngân hàng đã hướng dẫn chị kiểm tra và thấy có đường link này vẫn còn lưu trên lịch sử của điện thoại.

Nhiều khả năng, trên một giao diện giả mạo Internet Banking của Vietcombank, tin tặc từng bước lừa người dùng vào cài đặt Smart OTP mà chị Hương không hề biết. Để kích hoạt được phương thức xác thực mới này, khách hàng sẽ nhận một mã xác thực OTP bằng SMS.

Một chuyên gia về thanh toán thẻ lý giải, trên website giả mạo sẽ không hiển thị nội dung thực hiện giao dịch của khách hàng là kích hoạt Smart OTP mà có thể chỉ đơn giản là dẫn dụ chị để xác nhận một thông tin nào đó về tài khoản. Vì thế không loại trừ khả năng chính chị Hương đã điền mã OTP vào website giả mạo mà không biết mục đích là để kích hoạt phương thức xác thực mới.

Khách hàng cho biết không nhận được thông báo nào từ ngân hàng về việc đã chuyển đổi hình thức đăng ký xác thực từ OTP sang Smart OTP.

Cơ chế hoạt động Smart OTP của Vietcombank thế nào?

Nếu thực sự chị Na Hương vào website giả mạo và bị dẫn dụ nộp không thông tin, cả quyền kích hoạt Smart OTP cho tin tặc thì nhiều chuyên gia cho rằng, Vietcombank cũng cần có trách nhiệm với quy trình bảo mật chưa chặt chẽ.

Smart OTP được Vietcombank ra mắt vào đầu năm 2015, được giới thiệu là ứng dụng có lợi thế vượt trội so với các hình thức tạo mã OTP hiện có. Một trong những lợi thế đầu tiên là Smart OTP có thể tạo mã OTP bất kỳ lúc nào, không cần phải có sóng điện thoại, cũng không cần thiết bị tạo mã OTP cứng tốn kém đi kèm. Tuy nhiên, theo tổng giám đốc một ngân hàng cổ phần, có thể sơ hở nằm ở chỗ Vietcombank cho phép người dùng cài Smart OTP trên một thiết bị di động khác - không phải thiết bị có chứa sim điện thoại đã đăng ký ban đầu với ngân hàng. Tức là, nếu bạn đăng ký nhận OTP qua SMS thông thường bằng chiếc điện thoại thông minh iPhone với số đăng ký 091xxx123 thì bạn vẫn có thể đăng ký cài Smart OTP trên một chiếc điện thoại hoặc máy tính bảng khác mà không cần với chính số đuôi 123 này. Trường hợp của khách hàng Na Hương, sau khi dẫn dụ được chị vào website giả mạo, kẻ gian đã lừa được chị nhập mã OTP một lần duy nhất để kích hoạt Smart OTP của chị Hương trên thiết bị di động của tin tặc.

Bên cạnh đó, còn một nghi vấn đặt ra, ngay cả khi chị Na Hương bị tin tặc lừa nhập mã OTP để kích hoạt Smart OTP (mà chị không biết), đáng lẽ ra, ngay sau khi tin tặc đã kích hoạt Smart OTP của chị thành công, ngân hàng vẫn phải có một tin nhắn thông báo, tài khoản của bạn đã được chuyển đổi phương thức xác thực từ OTP sang Smart OTP. Vậy tại sao chị Na Hương không nhận được tin nhắn này và vẫn không hề hay biết gì về khái niệm Smart OTP cho tới khi trình báo với Vietcombank.

"Trường hợp này có thể là một trong hai đơn vị chưa nói đúng sự thật nhưng việc không có một tin nhắn hay email nào từ ngân hàng thông báo việc đã chuyển đổi thành công phương thức xác thực là vô lý", chuyên gia bảo mật này cho hay.

Không chỉ vậy, theo nhiều chuyên gia bảo mật, chính áp lực tạo thuận tiện tối đa cho khách hàng giao dịch online đã khiến một số ngân hàng mở điều kiện "thoáng" với một số dịch vụ. Như với Smart OTP của Vietcombank, khách hàng không cần ra quầy để đăng ký cài đặt và kích hoạt, chỉ cần qua một lần nhập OTP (SMS).

Phó tổng giám đốc một ngân hàng khác cũng cho biết, Smart OTP là phương thức xác thực được sử dụng nhiều ở một số nước. Tuy nhiên, thường các ngân hàng trên thế giới không để hạn mức giao dịch bằng Smart OTP cao mà hầu như đều thấp hơn với OTP thông thường bởi tính rủi ro cao hơn. Trong trường hợp này, mỗi giao dịch của tin tặc (với Smart OTP) đều với số tiền lớn, 50 và 100 triệu đồng.

Ai chịu trách nhiệm?

Thông tin trên báo VietQ, Luật sư Đặng Văn Cường, trưởng văn phòng Luật sư Chính Pháp (Đoàn Luật sư TP Hà Nội) cho rằng đây là một sự cố đáng tiếc trong quan hệ dân sự giữa chị Hương với Vietcombank. Để giải quyết sự cố này thì hai bên cần phải phối hợp để làm rõ nguyên nhân và cùng nhau đưa ra giải pháp giải quyết có tình, có lý.

Vụ việc chị Hương bị rút mất 500 triệu đồng trong tài khoản khi chị không hề giao dịch (Ngân hàng đã kịp phong tỏa nên chỉ còn lại 200 triệu đồng bị mất - PV), Luật sư Đặng Văn Cường cho rằng nếu phía Vietcombank từ chối trách nhiệm, không bồi thường hỗ trợ cho cho chị Hương thì sẽ làm mất uy tín của ngân hàng (kể cả trong trường hợp lỗi hoàn toàn thuộc về chị Hương).

Nhưng xét về mặt nguyên tắc, chị Hương để lộ mật khẩu tài khoản cá nhân cho người khác dẫn đến mất 200 triệu đồng thì chị Hương chịu rủi ro

Nếu số tiền bị mất đó không phải do chị Hương làm lộ thông tin tài khoản mà do lỗi bảo mật của ngân hàng thì ngân hàng phải trả lại số tiền đó cho chị Hương

Tuy nhiên, theo quan điểm cá nhân Luật sư, kể cả trong trường hợp lỗi thuộc về chị Hương thì ngân hàng Vietcombank cũng nên có chính sách hỗ trợ để đảm bảo quyền lợi khách hàng và uy tín của ngân hàng.

Vietcombank cho phép khách hàng cài đặt Smart OTP ở một thiết bị di động khác với thiết bị chứa sim nhận mã OTP.

Khách hàng có thể khởi kiện ngân hàng không?

Theo Luật sư Trần Sỹ Hoàng – Văn phòng luật sư Ánh Sáng Công Lý, quyền lợi của người dân là luôn được khởi kiện, nhưng khách hàng phải chứng minh được ngân hàng sai.

Có thể ngân hàng sẽ chịu trách nhiệm về thiệt hại trong vụ việc trên và bồi thường, hỗ trợ cho chị Hương nếu lỗi thuộc về phía ngân hàng, hoặc theo chính sách hỗ trợ của ngân hàng với những rủi ro của người gửi.

Tuy nhiên, một trường hợp khác cũng có thể xảy ra là ngân hàng sẽ "từ chối thẳng thừng". Khi đó, khách hàng như chị Hương chỉ còn khách khởi kiện tới tòa án để yêu cầu tòa án giải quyết tranh chấp theo quy định pháp luật.

Xét dưới góc độ pháp lý thì quan hệ giữa chị Hương và Ngân hàng Vietcombank trong vụ việc này là quan hệ dân sự, là hợp đồng vay tài sản.

Quan hệ dân sự này được điều chỉnh bởi các quy định của Bộ luật dân sự và các quy định về hoạt động tín dụng. Quy định pháp luật về Hợp đồng vay tài sản được quy định cụ thể từ điều 471 đến điều 479 Bộ luật Dân sự 2005.

Loại gửi tiền vào tài khoản ATM là hợp đồng vay tài sản không kỳ hạn và có lãi, pháp luật quy định là "Đối với hợp đồng vay không kỳ hạn và có lãi thì bên cho vay có quyền đòi lại tài sản bất cứ lúc nào nhưng phải báo trước cho bên vay một thời gian hợp lý và được trả lãi đến thời điểm nhận lại tài sản. Còn bên vay cũng có quyền trả lại tài sản bất cứ lúc nào và chỉ phải trả lãi cho đến thời điểm trả nợ, nhưng cũng phải báo trước cho bên cho vay một thời gian hợp lý".

Theo đó, khách hàng có thể rút tiền, chuyển khoản qua điện thoại, internet, cây ATM.. theo quy định của ngân hàng. Để thực hiện hoạt động rút tiền (đòi nợ) này thì khách hàng cần phải nhập mật khẩu cá nhân. Mật khẩu này được ngân hàng bảo mật, đảm bảo an toàn cho các giao dịch của khách hàng.

Nếu khách hàng tự ý cung cấp mật khẩu tài khoản cá nhân cho bên thứ ba và bên thứ ba thực hiện hoạt động rút tiền trong tài khoản của khách hàng đó thì rủi ro thuộc về khách hàng.

Xem thêm: Tin tức thời sự doanh nghiệp quản trị

Nếu khách hàng không cung cấp tài khoản, mật khẩu tài khoản cá nhân cho bên thứ ba. Việc lộ thông tin tài khoản là do chế độ bảo mật của ngân hàng không đảm bảo thì ngân hàng phải chịu rủi ro trong trường hợp này, có nghĩa là ngân hàng phải bồi hoàn số tiền bị mất cho khách hàng.

Tòa án sẽ căn cứ vào các chứng cứ do hai bên xuất trình và chứng cứ mà tòa án thu thập được để giải quyết tranh chấp. Nếu các bên thương lượng được với nhau về rủi ro trong vụ việc này thì không cần phải khởi kiện.