Gian lận kỹ thuật số trong lĩnh vực ngân hàng: Kinh nghiệm quốc tế và khuyến nghị đối với Việt Nam
Tóm tắt: Quá trình số hóa nhanh chóng của lĩnh vực ngân hàng tại Việt Nam bên cạnh việc mang lại những lợi ích to lớn như tính phổ cập, tiện lợi thì cũng song hành những rủi ro, thách thức lớn, trong đó có gian lận kỹ thuật số. Gian lận kỹ thuật số tác động tiêu cực và gây thiệt hại đến thị trường ngân hàng như gây tổn thất tài chính, uy tín của các ngân hàng và cơ quan giám sát, gây thiệt hại và xâm phạm quyền, lợi ích hợp pháp của người tiêu dùng tài chính. Vì lý do đó, nhận diện, giám sát, hạn chế, xử lý gian lận kỹ thuật số đã và đang là vấn đề cấp bách mang tính toàn cầu, liên ngành, đòi hỏi nỗ lực chung của tất cả các chủ thể tham gia thị trường, trong đó, vai trò của các cơ quan quản lý, giám sát là vô cùng quan trọng. Kinh nghiệm quốc tế, đặc biệt là thông lệ quốc tế tốt, kinh nghiệm của các nước có thị trường tài chính số phát triển là bài học hữu ích cho Việt Nam để góp phần phát triển lĩnh vực ngân hàng an toàn, lành mạnh, hội nhập quốc tế mạnh mẽ và bảo vệ hiệu quả quyền, lợi ích hợp pháp của người tiêu dùng tài chính.
Từ khóa: Gian lận kỹ thuật số, gian lận do bên ngoài thực hiện, giảm thiểu rủi ro.
DIGITAL FRAUD IN BANKING SECTOR: INTERNATIONAL EXPERIENCE
AND RECOMMENDATIONS FOR VIETNAM
Abstract: The rapid digitalization of the banking sector in Vietnam, not only bring great benefits such as popularity and convenience, but also come with great risks and challenges, including digital banking fraud. Digital fraud negatively impacts and causes damage to the banking market such as financial losses to banks, reputation of banks and supervisory agencies, violating the rights and legitimate interests of financial consumers. For that reason, identifying, monitoring, limiting and handling digital fraud has been an urgent global and interdisciplinary issue that requires the joint efforts of all market participants, in which the role of management and supervision agencies is extremely important. International experience, especially international good practices and experiences from countries with developed digital financial markets, are useful lessons for Vietnam to contribute to the development of a safe, healthy banking sector, strong international integration and effective protection of the legitimate rights and interests of financial consumers.
Keywords: Digital fraud, fraud by external parties, minimizing risks.
1. Tác động của gian lận kỹ thuật số đến giám sát và ổn định tài chính
Nguồn ảnh: Internet
Gian lận kỹ thuật số có thể có nhiều hình thức khác nhau và không có định nghĩa thống nhất giữa các khu vực pháp lý. Theo Ủy ban Basel về giám sát ngân hàng, gian lận kỹ thuật số trong lĩnh vực ngân hàng được định nghĩa là tất cả các hoạt động gian lận do bên ngoài thực hiện thông qua các phương tiện kỹ thuật số (email, trang web, phần mềm alicious...) với mục đích đánh cắp tài sản ngân hàng hoặc thông tin xác thực của khách hàng ngân hàng. Dựa trên định nghĩa và các đặc điểm này, gian lận kỹ thuật số có thể được chia thành bốn loại chính: Thứ nhất, gian lận kỹ thuật số liên quan đến giao dịch thanh toán trái phép: Loại hoạt động này nhắm vào các dịch vụ thanh toán của khách hàng ngân hàng (thẻ, chuyển khoản tín dụng, ghi nợ trực tiếp, tiền điện tử). Chúng bao gồm các giao dịch thanh toán trái phép phát sinh do bị đánh cắp hoặc chiếm dụng dữ liệu thanh toán của khách hàng hoặc quyền truy cập vào tài khoản ngân hàng trực tuyến của họ1. Thứ hai, gian lận kỹ thuật số liên quan đến thao túng người trả tiền để phát hành lệnh thanh toán. Hoạt động gian lận kỹ thuật số này bao gồm các giao dịch gian lận được thực hiện do người trả tiền bị kẻ gian thao túng để phát hành lệnh thanh toán hoặc cung cấp cho nhà cung cấp dịch vụ thanh toán hướng dẫn, một cách thiện chí, đến một tài khoản thanh toán mà họ tin là thuộc về người nhận hợp pháp2. Thứ ba, gian lận kỹ thuật số liên quan đến các sản phẩm ngân hàng khác của khách hàng ngân hàng: Danh mục thứ ba bao gồm các hoạt động gian lận đối với các sản phẩm ngân hàng khác3. Thứ tư, gian lận kỹ thuật số liên quan thông qua dữ liệu của khách hàng hoặc hệ thống của ngân hàng. Gian lận này nhắm vào chính ngân hàng thông qua việc sử dụng sai dữ liệu của khách hàng hoặc ngân hàng. Ví dụ, việc mở tài khoản ngân hàng và/hoặc đăng ký thẻ tín dụng bằng danh tính bị đánh cắp hoặc danh tính giả.
Theo Ủy ban Basel, gian lận trong chuyển khoản tín dụng trực tuyến có xu hướng tăng ở một số khu vực pháp lý được khảo sát trong giai đoạn 2017 - 2021, từ phạm vi 0,01 - 0,25 điểm cơ bản lên phạm vi 0,01 - 0,40 điểm cơ bản. Tuy nhiên, tỉ lệ gian lận trong các khoản thanh toán trực tuyến bằng thẻ có xu hướng giảm ở hầu hết các khu vực pháp lý có dữ liệu. Có một mối quan hệ đồng biến của lợi ích và rủi ro số hóa trong hoạt động ngân hàng. Điều này có nghĩa, số hóa nhất là các dịch vụ ngân hàng trực tuyến mang lại nhiều lợi ích to lớn cho cả ngân hàng và khách hàng nhưng cũng phải trả giá bằng rủi ro gian lận kỹ thuật số đáng kể.
Từ góc độ giám sát tài chính, có ít nhất hai tác động từ gian lận kỹ thuật số đến các ngân hàng nói riêng và hệ thống ngân hàng nói chung. Thứ nhất, tổn thất tài chính các ngân hàng phải gánh chịu trực tiếp. Theo đó, ngân hàng vô tình gửi tiền cho các đối tác gian lận hoặc phải bồi thường cho những tổn thất khách hàng, bất kể đó có phải lỗi của ngân hàng hay không. Trong những trường hợp cực đoan, những tổn thất tài chính như vậy có thể làm giảm nguồn vốn và khả năng hấp thụ cú sốc của các ngân hàng, gây hiệu ứng domino đến các ngân hàng khác hoặc những người tham gia thị trường. Thứ hai, rủi ro về uy tín đối với các ngân hàng và cơ quan giám sát. Các trường hợp gian lận kỹ thuật số bị truyền thông rộng rãi kết hợp với sự bất bình của công chúng và nhiều yếu tố tiêu cực khác có thể dẫn đến khủng hoảng niềm tin, làm suy giảm khả năng phục hồi của các ngân hàng trong hệ thống, có thể dẫn đến những hành vi tiêu cực nguy hiểm khác như hiện tượng rút tiền hàng loạt…
2. Một số biện pháp giảm thiểu rủi ro từ gian lận kỹ thuật số cho các ngân hàng
2.1. Hệ thống quy định và hướng dẫn Ủy ban Basel
Mặc dù gian lận kỹ thuật số không được định nghĩa rõ ràng trong bất kỳ tài liệu nào của Ủy ban Basel nhưng nó có trong các tiêu chuẩn rủi ro hoạt động. Theo đó:
Thứ nhất, yêu cầu về vốn rủi ro hoạt động (trụ cột 1): Những khoản lỗ tài chính đối với các ngân hàng phát sinh từ gian lận kỹ thuật số được ghi nhận theo tiêu chuẩn vốn rủi ro hoạt động. Theo khuôn khổ rủi ro hoạt động Basel III đã sửa đổi, các yêu cầu về vốn trụ cột 1 rủi ro hoạt động của ngân hàng là sản phẩm của thành phần chỉ số kinh doanh (đại diện cho khối lượng kinh doanh của ngân hàng) và một thang đo, hệ số nhân tổn thất nội bộ, tính đến các khoản lỗ rủi ro hoạt động trung bình trong lịch sử của ngân hàng mười năm trước đó. Có bảy loại tổn thất được xác định, bao gồm hai loại liên quan đến gian lận kỹ thuật số (gian lận bên ngoài, gian lận nội bộ). Về nguyên tắc, các yêu cầu về vốn của trụ cột 1 đối với rủi ro hoạt động phản ánh các khoản lỗ của ngân hàng phát sinh từ gian lận kỹ thuật số. Tuy nhiên, trên thực tế, điều này sẽ phụ thuộc một phần vào: (i) Liệu các ngân hàng có phải chịu trách nhiệm hoàn trả bất kỳ khoản lỗ nào do gian lận kỹ thuật số từ khách hàng hay không (tức là liệu gian lận kỹ thuật số có khiến ngân hàng phải chịu tổn thất tài chính hay không); (ii) Liệu các cơ quan giám sát có đưa những khoản lỗ trong quá khứ của ngân hàng vào tính toán các yêu cầu về vốn rủi ro hoạt động hay không.
Theo Basel II, các ngân hàng áp dụng phương pháp đo lường nâng cao (AMA) sẽ xem xét các khoản lỗ phát sinh từ gian lận kỹ thuật số khi tính toán mức phí vốn theo quy định của họ đối với rủi ro hoạt động bằng cách sử dụng những mô hình nội bộ4.
Thứ hai, quy trình rà soát giám sát (trụ cột 2): Theo quy trình, các ngân hàng được cho là có đủ vốn để hỗ trợ mọi rủi ro trong hoạt động kinh doanh; có các kỹ thuật theo dõi và quản lý tốt những rủi ro này, trọng tâm là ba lĩnh vực chính: (i) Các rủi ro được xem xét theo trụ cột 1 mà không được quy trình trụ cột 1 nắm bắt đầy đủ; (ii) Các yếu tố không được quy trình trụ cột 1 tính đến; (iii) Các yếu tố bên ngoài ngân hàng (tác động của chu kỳ kinh doanh…). Trong phạm vi mà các rủi ro liên quan đến gian lận kỹ thuật số (tổn thất tài chính và rủi ro về uy tín đối với ngân hàng) là đáng kể mà không được quy định toàn bộ trong các yêu cầu về vốn của trụ cột 1, thì phải được giải quyết phù hợp theo trụ cột 2. Tất cả các rủi ro đáng kể mà các ngân hàng phải đối mặt phải được giải quyết trong Quy trình đánh giá vốn nội bộ (ICAAP) của ngân hàng. Điều này bao gồm việc ban quản lý ngân hàng bảo đảm rằng, ngân hàng có đủ vốn để hỗ trợ các rủi ro của mình vượt quá các yêu cầu tối thiểu. Tuy nhiên, không nên coi việc tăng vốn là lựa chọn duy nhất để giải quyết các rủi ro của ngân hàng, mà cần đồng bộ với những giải pháp khác như tăng cường quản lý rủi ro, áp dụng các giới hạn nội bộ, tăng dự phòng, cải thiện kiểm soát nội bộ… Ngoài ra, cơ quan giám sát cần đánh giá mức độ quản lý rủi ro của các ngân hàng và thực hiện các biện pháp khi cần thiết.
Thứ ba, các nguyên tắc quản lý rủi ro hoạt động lành mạnh (PSMOR) và các nguyên tắc phục hồi hoạt động (POR): Mục tiêu của PSMOR là thúc đẩy hiệu quả của quản lý rủi ro hoạt động thông qua hệ thống ngân hàng, cho phép ngân hàng hiểu rõ hơn và quản lý tốt hơn rủi ro của mình, bao gồm cả những rủi ro liên quan đến gian lận kỹ thuật số. Quản lý rủi ro bao gồm xác định rủi ro đối với ngân hàng; đo lường và đánh giá mức độ tiếp xúc với những rủi ro đó (nếu có thể); theo dõi mức độ tiếp xúc và nhu cầu vốn tương ứng một cách liên tục; thực hiện các bước để kiểm soát hoặc giảm thiểu mức độ tiếp xúc; báo cáo với ban quản lý cấp cao và hội đồng quản trị về mức độ rủi ro và mức đủ vốn của ngân hàng.
POR liên quan chặt chẽ với PSMOR. Mục tiêu của POR là tăng cường khả năng của các ngân hàng trong việc chống lại những sự kiện liên quan đến rủi ro hoạt động có thể gây ra các thất bại đáng kể hoặc gián đoạn diện rộng trên thị trường tài chính. Khi áp dụng cho gian lận kỹ thuật số, khả năng phục hồi hoạt động, do đó, liên quan đến khả năng của một ngân hàng trong việc chống lại các hoạt động gian lận ảnh hưởng đến khách hàng của mình và tiếp tục cung cấp các hoạt động quan trọng. Một hệ thống quản lý rủi ro hoạt động hiệu quả và mức độ phục hồi hoạt động mạnh mẽ sẽ cùng nhau làm giảm tần suất và tác động của các sự kiện rủi ro hoạt động.
Thứ tư, nguyên tắc cốt lõi của Basel (BCP): Theo BCP, các cơ quan giám sát phải xác định rằng, các ngân hàng có những chính sách và quy trình đầy đủ để ngăn chặn việc ngân hàng bị sử dụng, cố ý hoặc vô ý cho các hoạt động tội phạm. Điều này bao gồm việc ngăn ngừa và phát hiện hoạt động tội phạm và báo cáo các hoạt động bị nghi ngờ đó cho các cơ quan có thẩm quyền (Nguyên tắc 29). Ngoài ra, các cơ quan giám sát phải xác định rằng, các ngân hàng có khuôn khổ kiểm soát nội bộ đầy đủ để thiết lập và duy trì một môi trường hoạt động được kiểm soát hợp lý cho hoạt động kinh doanh, có tính đến hồ sơ rủi ro của họ, bao gồm các biện pháp phòng ngừa, phát hiện sớm và báo cáo việc sử dụng sai mục đích như gian lận, tham ô, giao dịch trái phép và xâm nhập máy tính (Nguyên tắc 26).
Thứ năm, nguyên tắc quản lý rủi ro đối với ngân hàng điện tử: Năm 2003, Ủy ban Basel đã công bố nguyên tắc quản lý rủi ro đối với ngân hàng điện tử để giúp các ngân hàng mở rộng phạm vi giám sát rủi ro hiện có của mình. Trong số 14 nguyên tắc, có ba nguyên tắc cũng liên quan đến gian lận kỹ thuật số. Cụ thể hơn, các ngân hàng nên thực hiện những biện pháp thích hợp để xác thực danh tính và quyền hạn của khách hàng mà họ giao dịch qua internet. Việc ngân hàng không xác thực đầy đủ khách hàng, có thể dẫn đến việc những cá nhân không được phép truy cập vào các tài khoản ngân hàng điện tử (e-banking), cuối cùng là tổn thất tài chính và tổn hại đến uy tín của ngân hàng thông qua gian lận, tiết lộ thông tin bí mật hoặc vô tình tham gia vào hoạt động tội phạm (Nguyên tắc 4). Hơn nữa, các ngân hàng nên bảo đảm rằng, các biện pháp thích hợp được áp dụng để thúc đẩy phân tách nhiệm vụ đầy đủ trong các hệ thống, cơ sở dữ liệu và ứng dụng ngân hàng điện tử nhằm giảm rủi ro gian lận trong các quy trình và hệ thống hoạt động (Nguyên tắc 6). Cuối cùng, các ngân hàng nên bảo đảm rằng, những biện pháp thích hợp được áp dụng để bảo vệ tính toàn vẹn dữ liệu của các giao dịch, hồ sơ và thông tin ngân hàng điện tử. Bản chất vốn có của các quy trình trực tiếp đối với ngân hàng điện tử có thể khiến các lỗi lập trình hoặc hoạt động gian lận khó phát hiện hơn ở giai đoạn đầu (Nguyên tắc 8).
2.2. Sáng kiến của các cơ quan quản lý giải quyết gian lận kỹ thuật số trong lĩnh vực ngân hàng
Hầu hết các khu vực pháp lý đã đưa ra những sáng kiến nhằm giải quyết gian lận kỹ thuật số, thường liên quan đến nhiều bên, bao gồm nhiều bộ phận chính phủ, cơ quan thực thi pháp luật, cơ quan quản lý các lĩnh vực tài chính, viễn thông và công nghệ… cũng như các thành viên của công chúng. Các sáng kiến thường hợp tác liên ngành, bao gồm cả khu vực công và tư nhân. Nhiều sáng kiến do các cơ quan tài chính thực hiện; nhiều sáng kiến được thực hiện thông qua sự hợp tác với cơ quan thực thi pháp luật và các cơ quan chính phủ khác cũng như khu vực tư nhân, giữa các ngân hàng và hiệp hội ngành. Về cơ bản, các sáng kiến này được chia thành năm loại như sau:
Thứ nhất, nâng cao nhận thức và tăng cường quyền năng cho khách hàng: Giáo dục người tiêu dùng và nhân viên ngân hàng vẫn là một trong những công cụ phòng ngừa quan trọng nhất và là tuyến phòng thủ đầu tiên. Nhiều khu vực pháp lý đưa ra cảnh báo hoặc khuyến cáo và thực hiện các chiến dịch giáo dục để nâng cao nhận thức của người tiêu dùng về các rủi ro và gian lận mới xuất hiện, đồng thời, khuyến khích người tiêu dùng bảo vệ thông tin cá nhân như thông tin chi tiết về thẻ tín dụng và mật khẩu.
Tăng cường quyền năng cho khách hàng, chẳng hạn cung cấp các công cụ để thông báo cho ngân hàng của họ khi sử dụng nhiều kênh khác nhau như ứng dụng di động, trang web, cho chủ thẻ tín dụng chọn tham gia hoặc đặt giới hạn phụ cho các tình huống rủi ro cao hơn như giao dịch không sử dụng thẻ.
Thứ hai, các yêu cầu, hướng dẫn liên quan đến những biện pháp kiểm soát và giao thức bảo mật: Hầu hết các cơ quan quản lý/giám sát đều ban hành hướng dẫn hoặc tuyên bố chính sách cho các ngân hàng nêu rõ mục đích và yêu cầu liên quan đến những biện pháp kiểm soát đối với thanh toán, bao gồm yêu cầu các giao thức bảo mật như xác thực đa yếu tố và phản hồi gian lận kỹ thuật số. Hướng dẫn có thể được ban hành ở cấp siêu quốc gia (chẳng hạn như Chỉ thị dịch vụ thanh toán EU2 - PSD2) hoặc cấp khu vực pháp lý và thường cũng bao gồm những biện pháp bảo mật hài hòa cho các ngân hàng, nhà điều hành dịch vụ thanh toán phi ngân hàng và tổ chức tiền điện tử. Hướng dẫn thường đề cập đến nhu cầu kiểm soát đầy đủ và khuôn khổ quản lý rủi ro gian lận, bao gồm các biện pháp phòng ngừa như giới hạn giao dịch và kiểm soát xác thực, giám sát giao dịch theo thời gian thực để phát hiện hoạt động trái phép, các biện pháp phát hiện như giám sát gian lận và các biện pháp kiểm soát khắc phục như công tắc ngắt khẩn cấp.
Nhiều khu vực pháp lý nhấn mạnh khía cạnh công nghệ và dữ liệu của bảo mật thanh toán. Chúng bao gồm các yêu cầu về bảo mật thông tin/dữ liệu, giám sát giao dịch và cũng có thể bao gồm các yêu cầu báo cáo dữ liệu về gian lận thanh toán để phân tích xu hướng và mô hình nhằm hỗ trợ các hành động giám sát; Tập trung vào khả năng phục hồi của mạng lưới và các hệ thống thông tin của khu vực tài chính rộng lớn hơn, bao gồm báo cáo các sự cố lớn liên quan đến công nghệ thông tin và truyền thông (ICT); Thúc đẩy việc sử dụng các hệ thống nhận dạng kỹ thuật số được công nhận để thẩm định khách hàng. Một số công nghệ có thể hỗ trợ các nỗ lực chống gian lận kỹ thuật số như nhận dạng kỹ thuật số và chữ ký kỹ thuật số.
Thứ ba, giám sát các hoạt động quản lý rủi ro gian lận kỹ thuật số của ngân hàng: Nhiều khu vực pháp lý đưa các khía cạnh về gian lận và biện pháp kiểm soát liên quan vào chế độ giám sát, bao gồm kiểm tra tại chỗ, thu thập và phân tích dữ liệu liên quan đến gian lận cũng như khuyến khích sử dụng công nghệ để giải quyết rủi ro gian lận. Gian lận (bao gồm gian lận kỹ thuật số) có thể nằm trong các phần khác nhau của chế độ giám sát của các cơ quan chức năng như rủi ro hoạt động, rủi ro công nghệ (bao gồm an ninh mạng), rửa tiền và khủng bố.
Một số cơ quan giám sát đã tăng cường thu thập và phân tích dữ liệu để hiểu các rủi ro gian lận đang phát triển và ưu tiên những lĩnh vực có rủi ro cao, thúc đẩy các biện pháp tăng cường bảo mật cho các giao dịch ngân hàng điện tử, thẻ tín dụng trực tuyến như mã hóa dữ liệu thẻ tín dụng và cho phép khách hàng đặt giới hạn phụ cho những giao dịch thẻ tín dụng có rủi ro cao; thúc đẩy việc sử dụng các công nghệ tiên tiến. Nhiều cơ quan giám sát đã ban hành các nguyên tắc hoặc hướng dẫn quản lý rủi ro gian lận được cập nhật, có tính đến rủi ro công nghệ và mạng ngày càng tăng cũng như việc sử dụng ngày càng nhiều công nghệ đám mây, giao diện lập trình ứng dụng và phát triển phần mềm nhanh chóng.
Thứ tư, hợp tác giữa các bên liên quan để phản ứng hệ thống: Một số khu vực pháp lý áp dụng các phương pháp hợp tác và mang tính hệ thống để giám sát và xử lý các giao dịch bị ảnh hưởng bởi gian lận kỹ thuật số nhằm cải thiện khả năng phát hiện, phản ứng và ngăn chặn. Phương pháp này bao gồm tiếp cận hệ thống, báo cáo, xây dựng kho lưu trữ dữ liệu chung và tạo điều kiện chia sẻ thông tin giữa các cơ quan chức năng, ngân hàng. Các biện pháp cụ thể có thể bao gồm việc bắt buộc áp dụng những biện pháp bảo mật hài hòa giữa các ngân hàng, tổ chức thanh toán và tiền điện tử, đồng thời yêu cầu báo cáo thường xuyên thông tin về gian lận. Việc chia sẻ thông tin về gian lận hoặc những kẻ chuyển tiền liên quan đã tăng lên giữa các cơ quan chức năng, ngân hàng và công chúng theo cách tiếp cận hệ sinh thái…
Nhiều khu vực pháp lý áp dụng sự hợp tác giữa các cơ quan quản lý, thực thi pháp luật, chính phủ và các tổ chức phi lợi nhuận, những ngành công nghiệp khác nhau (chẳng hạn như công ty viễn thông). Các cơ quan này cùng hướng đến mục tiêu điều chỉnh biện pháp kiểm soát để ứng phó với những thay đổi trong chiến thuật của kẻ gian lận và bảo vệ khách hàng bằng cách chặn các cuộc gọi lừa đảo, tin nhắn văn bản hoặc trang web; cung cấp các công cụ và/hoặc dữ liệu cho khách hàng để xác định những giao dịch thực sự từ các vụ lừa đảo. Hợp tác và cộng tác với ngành thanh toán cũng là một khía cạnh quan trọng trong phản ứng của nhiều khu vực pháp lý, vì nhận thức ngày càng tăng về nhu cầu “thiết kế để loại bỏ” gian lận và hạn chế lỗ hổng ngay từ đầu5.
Thứ năm, hợp tác xuyên biên giới: Gian lận kỹ thuật số, phần lớn dựa trên internet mang tính quốc tế rõ nét. Do đó, hợp tác quốc tế có vai trò quan trọng trong việc giải quyết vấn đề này. Hiện nay, kênh hợp tác giữa các cơ quan thực thi pháp luật thông qua những yêu cầu hỗ trợ pháp lý lẫn nhau cho từng trường hợp. Về các loại hình rửa tiền, liên quan đến gian lận được chia sẻ thông qua lực lượng đặc nhiệm tài chính về chống rửa tiền (FATF) và mạng lưới các cơ quan khu vực của FATF. Ngoài ra, còn có các kênh song phương để chia sẻ thông tin có liên quan theo biên bản ghi nhớ giữa các cơ quan quản lý tài chính và cơ quan khác.
Việc chia sẻ thông tin khách hàng giữa các ngân hàng và tổ chức tài chính khác trong những trường hợp liên quan hoặc bị nghi ngờ liên quan đến gian lận kỹ thuật số, thường bị hạn chế bởi các rào cản pháp lý như rào cản liên quan đến quyền riêng tư dữ liệu. Một số khu vực pháp lý đã đưa ra hoặc đang xem xét các điều khoản cho phép ngân hàng và tổ chức tài chính khác chia sẻ thông tin trong các trường hợp có lý do để nghi ngờ tội phạm. Tuy nhiên, cho đến nay, hầu hết các điều khoản này dường như chỉ giới hạn ở việc chia sẻ trong nước.
3. Một số khuyến nghị đối với Việt Nam
Thị trường tài chính ngân hàng Việt Nam đang phát triển nhanh chóng đặc biệt là lĩnh vực chuyển đổi số. Ngành Ngân hàng đã và đang chứng kiến sự chuyển mình về số hóa mạnh mẽ. Trong năm 2023, số lượng giao dịch thanh toán không dùng tiền mặt đạt 11.342,8 triệu giao dịch với giá trị đạt 222,3 triệu tỉ đồng (tăng 49,36% về số lượng và 1,28% về giá trị). Tỉ lệ giá trị thanh toán không dùng tiền mặt gấp gần 22 lần GDP. Tại một số ngân hàng, đã ghi nhận tỉ lệ trên 95% giao dịch được thực hiện trên kênh số6. Đến nay, khoảng 90% các ngân hàng thương mại trong nước đã ban hành và triển khai chiến lược chuyển đổi số tại ngân hàng mình. Hầu hết dịch vụ ngân hàng cơ bản đã được thực hiện hoàn toàn trên kênh số (mở tài khoản, thanh toán, chuyển tiền, tiền gửi tiết kiệm...). Nhiều ngân hàng đạt tỉ lệ hơn 95% giao dịch thực hiện trên kênh số. Điều này mang lại lợi ích to lớn cho tất cả các chủ thể tham gia thị trường, gia tăng cơ hội mở rộng tiếp cận tài chính cho người dân, góp phần thúc đẩy tài chính toàn diện. Tuy nhiên, đi liền với đó, nguy cơ và rủi ro gian lận kỹ thuật số cũng ngày càng gia tăng. Theo thông tin từ Cục An toàn thông tin (Bộ Thông tin và Truyền thông)7, trong 10 tháng đầu năm 2024, các hệ thống kỹ thuật của Cục An toàn thông tin đã tiếp nhận hơn 220.000 lượt phản ánh lừa đảo, với phần lớn các trường hợp liên quan đến tài chính, ngân hàng. Theo Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05 (Bộ Công an), số lượng và hình thức các cuộc tấn công mạng ngày càng gia tăng, đặc biệt là trong lĩnh vực tài chính - ngân hàng. Năm 2023, tổng số tiền người dân bị các đối tượng lừa đảo chiếm đoạt trên mạng khoảng 8.000 - 10.000 tỉ đồng, tăng 1,5 lần so với năm 2022. Tội phạm công nghệ cao trong hoạt động thanh toán điện tử ngày càng tinh vi, với các thủ đoạn phức tạp và thay đổi liên tục. Tội phạm lợi dụng hoạt động thanh toán cho các hoạt động bất hợp pháp có xu hướng gia tăng (như cờ bạc, lừa đảo, gian lận thương mại, trốn thuế, ma túy…)8.
Để tận dụng, phát huy tối đa lợi ích và thế mạnh, đồng thời giảm thiểu rủi ro và tác động tiêu cực, trong đó có gian lận kỹ thuật số của “cuộc cách mạng số hóa” trong lĩnh vực ngân hàng ở Việt Nam, tác giả đề xuất một số khuyến nghị sau:
Thứ nhất, về môi trường pháp lý và quy định: Cần hoàn thiện thể chế, cơ chế chính sách, tạo hành lang pháp lý và quy định đầy đủ điều chỉnh chủ thể tham gia, các sản phẩm, dịch vụ tài chính - ngân hàng số (quy định pháp lý của fintech…). Quy định rõ các tiêu chuẩn sản phẩm, dịch vụ tài chính số, nghĩa vụ của các chủ thể cung cấp sản phẩm, dịch vụ tài chính số, bên cạnh đó, cần quy định cụ thể các hành vi gian lận kỹ thuật số điển hình và thường xuyên cập nhật.
Thứ hai, tăng cường công bố, minh bạch và chia sẻ thông tin, thông lệ kinh doanh, qua đó, giảm thiểu rủi ro bất đối xứng thông tin giữa các nhà cung cấp dịch vụ và khách hàng, đặc biệt đối với các sản phẩm ngân hàng số.
Thứ ba, tăng cường công tác bảo mật, an toàn thông tin, nhất là dữ liệu cá nhân của khách hàng. Chính phủ cần tiếp tục hoàn thiện khung pháp lý về hoạt động ngân hàng số tiệm cận với tiêu chuẩn, thông lệ quốc tế. Các tổ chức tín dụng tăng cường đầu tư cho công tác an ninh, bảo mật, nhất là an toàn, bảo mật hệ thống công nghệ thông tin. Xây dựng và hoàn thiện các quy trình đăng ký, giao dịch dịch vụ ngân hàng số bảo đảm cung cấp dịch vụ cho đúng đối tượng khách hàng; xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận, tiêu chí và phần mềm để xác định các giao dịch bất thường và hệ thống hỗ trợ phát hiện, giám sát, điều tra các gian lận giao dịch số.
Thứ tư, phát triển cơ sở hạ tầng kỹ thuật thông tin - viễn thông, trong đó có hạ tầng thanh toán điện tử; xây dựng và hoàn thiện cơ sở dữ liệu quốc gia để tạo điều kiện kết nối mở cho các ngân hàng truy xuất theo thẩm quyền được duyệt và có hành lang pháp lý đầy đủ về chia sẻ dữ liệu với bên thứ ba; đa dạng hóa sản phẩm, dịch vụ ngân hàng tạo nền tảng quan trọng cho phát triển hệ sinh thái ngân hàng số, nền kinh tế số. Hoàn thiện cơ sở hạ tầng tài chính, trong đó chú trọng tạo dựng một hạ tầng tài chính thiết lập chung các tiêu chuẩn, quy tắc và thủ tục giảm thiểu rủi ro cho nhà cung cấp và người dùng.
Thứ năm, đẩy mạnh và nâng cao hiệu quả công tác bảo vệ người tiêu dùng tài chính: Hoàn thiện các quy định pháp lý liên quan đến bảo vệ người tiêu dùng tài chính, nhất là cơ chế giải quyết các tranh chấp, khiếu nại, tố cáo; Nghiên cứu hình thành một cơ quan chuyên trách, có chức năng, nhiệm vụ rõ ràng, đủ nguồn lực và quyền hạn, đặc biệt là về nhân lực, công nghệ, kiến thức về sản phẩm, dịch vụ tài chính/tài chính số, công nghệ giám sát kỹ thuật số để bảo vệ hiệu quả người tiêu dùng tài chính; Cân bằng mục tiêu khuyến khích và hỗ trợ đổi mới công nghệ tài chính với mục tiêu bảo vệ người tiêu dùng tài chính.
Thứ sáu, tăng cường tuyên truyền và giáo dục nâng cao hiểu biết tài chính, đặc biệt là các đối tượng yếu thế, dễ tổn thương như người già và thanh thiếu niên. Điều này giúp người tiêu dùng tài chính nhận diện và hiểu rõ về những rủi ro khi sử dụng các dịch vụ tài chính số, đưa ra được quyết định tài chính đúng đắn, phù hợp với nhu cầu, sử dụng hiệu quả các cơ chế bảo vệ quyền và lợi ích hợp pháp của mình. Theo nghiên cứu của Tổ chức Hợp tác và Phát triển kinh tế (OECD), tổ chức đứng ra chủ trì, triển khai thực hiện chiến lược giáo dục tài chính thường là các cơ quan phụ trách về vấn đề tài chính như Ngân hàng Trung ương hoặc Bộ Tài chính.
1 Các hoạt động gian lận như vậy bao gồm đánh cắp dữ liệu thẻ thanh toán của khách hàng thông qua việc cài đặt các tập lệnh độc hại trên các trang thương mại điện tử hoặc các kỹ thuật xã hội (email lừa đảo hoặc tin nhắn SMS), gian lận tiếp quản tài khoản (ATO) và hệ thống chuyển tiền tự động (ATS).
2 Điều này bao gồm các hoạt động như vậy được thực hiện thông qua các kỹ thuật (ví dụ: email lừa đảo, tin nhắn văn bản hoặc cuộc gọi điện thoại), mạo danh ngân hàng (giả mạo…) hoặc bất kỳ bên thứ ba đáng tin cậy nào khác.
3 Khách hàng bị thao túng để đầu tư vào các sản phẩm tiết kiệm giả mạo hoặc tham gia các sản phẩm tín dụng giả mạo…
4 Tại một số khu vực pháp lý, chẳng hạn như Canada và Nhật Bản, gian lận kỹ thuật số được đưa vào các tính toán rủi ro hoạt động theo phương pháp đo lường nâng cao (AMA) của các ngân hàng. Mặc dù AMA đã bị ngừng theo khuôn khổ rủi ro hoạt động Basel III đã sửa đổi, nhưng những yêu cầu về thu thập dữ liệu tổn thất được mở rộng, yêu cầu các ngân hàng lớn hơn phải ghi lại các khoản lỗ nội bộ và công bố dữ liệu tổn thất hàng năm.
5 Ví dụ: Tháng 6/2023, Hồng Kông đã ra mắt công cụ chia sẻ đánh giá tình báo tài chính (FINEST), một nền tảng điện tử cho phép các ngân hàng bán lẻ chia sẻ thông tin khi có dấu hiệu hoạt động tội phạm. Tháng 4/2024, các cơ quan quản lý Singapore đã ra mắt nền tảng kỹ thuật số có tên là COSMIC nhằm mục đích tăng cường phòng, chống rửa tiền, cho phép các ngân hàng chia sẻ thông tin rủi ro tội phạm tài chính với nhau nếu đáp ứng các ngưỡng quy định.
6 https://laodongthudo.vn/bao-ve-nguoi-tieu-dung-truoc-cac-rui-ro-su-dung-tai-chinh-so-179658.html
7 Chia sẻ tại phiên toàn thể Hội thảo và Triển lãm Smart Banking 2024, được Hiệp hội Ngân hàng Việt Nam và IEC phối hợp tổ chức ngày 29/10/2024 tại Hà Nội.
8 http://baokiemtoan.vn/chuyen-doi-so-ngan-hang-truoc-thach-thuc-an-toan-bao-mat-35970.html
Tài liệu tham khảo:
1. Basel Committee on Banking Supervision (2024), Digital fraud and banking: Supervisory and financial stability implication.
2, Hồng Anh (2021), Ngân hàng số - Cơ hội và thách thức. Báo Nhân dân
3. Minh Hoàng (2020), “Chuyển đổi số tạo cơ hội cho ngân hàng bứt phá”, Tạp chí Thị trường Tài chính Tiền tệ.
4. Anh Minh (2021), “Chuyển đổi số ngân hàng gặp nhiều thách thức”, Báo điện tử Chính phủ.
5. https://kinhtevadubao.vn/bao-ve-nguoi-tieu-dung-tai-chinh-truoc-su-phat-trien-manh-me-cua-dich-vu-tai-chinh-so-o-viet-nam-hien-nay-23318.html
6. http://baokiemtoan.vn/chuyen-doi-so-ngan-hang-truoc-thach-thuc-an-toan-bao-mat-35970.html7. Một số tài liệu liên quan khác.
TN (Hà Nội)