Nâng cao hiệu quả quản lý gian lận số tại các ngân hàng thương mại Việt Nam

Tóm tắt: Thời gian qua, quá trình số hóa diễn ra liên tục và mạnh mẽ trong lĩnh vực tài chính, ngân hàng và đã mang lại những lợi ích đáng kể cho sự ổn định của khu vực tài chính nói riêng, sự phát triển của nền kinh tế nói chung. Nhờ quá trình này mà các tổ chức tài chính có khả năng cung cấp đa dạng các dịch vụ tài chính, ngân hàng với chi phí thấp hơn, giúp nâng cao trải nghiệm và khả năng tiếp cận sản phẩm, dịch vụ của khách hàng, tăng cường minh bạch trong giao dịch tài chính và phản ứng nhanh chóng với các cuộc khủng hoảng. Tuy nhiên, sự phát triển của công nghệ trong lĩnh vực ngân hàng cũng làm gia tăng các nguy cơ và rủi ro tiềm ẩn, trong đó có gian lận số. Tội phạm lợi dụng quá trình số hóa để thực hiện gian lận trực tuyến với quy mô và phạm vi lớn hơn trước đây, đặc biệt là giai đoạn sau đại dịch Covid-19. Điều này đặt ra nhiều thách thức cho các ngân hàng và đòi hỏi cần có các giải pháp, chiến lược và công cụ phù hợp để phát hiện, ngăn chặn, phòng ngừa và xử lí loại gian lận này trong thời gian tới.

Từ khóa: Gian lận số, ngân hàng số, quản trị rủi ro.

IMPROVING THE EFFECTIVENESS OF DIGITAL FRAUD MANAGEMENT
AT VIETNAMESE COMMERCIAL BANKS

Abstract: The digitalization process, which has been continuous and robust in the banking and financial sector recently, has brought significant benefits to the stability of the financial sector in particular and the development of the economy in general. Thanks to this process, financial institutions are able to provide a variety of banking services at lower costs, enhancing customer experience and access to products and services, increasing transparency in financial transactions, and responding quickly to crises. However, the development of technology in the banking sector also increases the risks and potential threats, including digital fraud. Criminals exploit the digitalization process to conduct online fraud on a larger scale and scope than before, particularly in the post Covid-19 period. This poses numerous challenges for banks and requires the adoption of appropriate solutions, strategies, and tools to detect, prevent, and address this type of fraud in the future.

Keywords: Digital fraud, digital banking, risk management.

1. Tổng quan về gian lận số trong ngân hàng

1.1. Khái niệm và đặc điểm của gian lận số trong hoạt động ngân hàng

Gian lận số có thể diễn ra dưới nhiều hình thức khác nhau và hiện chưa có một định nghĩa thống nhất. Về mặt bản chất, gian lận số bao gồm nhiều khía cạnh, ví dụ như: Bảo vệ quyền lợi người tiêu dùng, tính minh bạch của thị trường, phòng chống rửa tiền và tài trợ khủng bố (AML/CFT), sự ổn định tài chính... và do đó gian lận số có tính chất liên ngành. Xét riêng trong lĩnh vực ngân hàng, gian lận số được hiểu là tất cả các hoạt động gian lận do các chủ thể bên ngoài ngân hàng thực hiện thông qua các phương tiện số (ví dụ: Email, trang web, phần mềm độc hại...) với mục tiêu là lấy cắp tài sản ngân hàng hoặc thông tin đăng nhập của khách hàng (Ngân hàng Thanh toán Quốc tế - BIS, 2023). Định nghĩa này không bao gồm gian lận số trong các khu vực khác của hệ thống tài chính.

Gian lận số thường bị nhầm lẫn với một số thuật ngữ khác, ví dụ như rủi ro hoạt động hay rủi ro không gian mạng. Trong khi rủi ro hoạt động là rủi ro gây ra tổn thất do các nguyên nhân như con người, sự không đầy đủ hoặc vận hành không tốt các quy trình, hệ thống, các sự kiện khách quan bên ngoài thì gian lận số chủ yếu tập trung vào tổn thất đối với khách hàng của ngân hàng, mặc dù các tổn thất này xét đến cùng có thể dẫn đến tổn thất hoạt động đối với ngân hàng. Rủi ro không gian mạng là sự kết hợp giữa xác suất xảy ra sự cố trong không gian mạng và tác động của nó (FSB, 2023). Như vậy, các sự cố có thể ảnh hưởng đến ngân hàng và khách hàng của ngân hàng đối với rủi ro không gian mạng có phạm vi rộng hơn so với gian lận số.

Gian lận số trong hoạt động ngân hàng có một số đặc điểm chính sau đây:

Thứ nhất, gian lận số thường được thực hiện từ xa hoặc thông qua môi trường ảo. Đặc điểm này khác biệt so với gian lận nội bộ bởi gian lận nội bộ thường thông qua truy cập vật lí bởi một nhân viên ngân hàng.

Thứ hai, gian lận số dựa vào lừa đảo và/hoặc làm giả để đạt được mục tiêu. Gian lận số dựa vào khả năng không thể phân biệt một kẻ gian lận với một đối tác hợp pháp của ngân hàng hoặc khách hàng của ngân hàng. Nói cách khác, gian lận số dựa vào việc không thể xác minh ai là người khởi xướng hành động, do thiếu công nghệ phù hợp để xác định tính hợp lệ của các bên liên quan. Điều này khác biệt so với việc cưỡng đoạt tài chính dựa trên bạo lực hoặc ép buộc.

Thứ ba, gian lận số hướng đến đối tượng là khách hàng. Các hoạt động gian lận số nhắm vào hệ thống thông tin của ngân hàng và chỉ giới hạn trong những lĩnh vực liên quan đến khách hàng, ví dụ như hệ thống quản lí tài khoản, hệ thống xử lí thẻ, ứng dụng ngân hàng...

Thứ tư, gian lận số có liên quan đến vai trò gián tiếp của ngân hàng. Ngay cả khi gian lận số tập trung vào khách hàng của ngân hàng, ngân hàng có thể đóng một vai trò gián tiếp (không chủ ý) trong việc tạo điều kiện cho sự truyền bá của gian lận số. Ví dụ, ngân hàng có thể trở thành bên xử lí thanh toán cho các giao dịch gian lận; bị nhắm mục tiêu để truy cập dữ liệu của khách hàng hoặc logo và các hình ảnh liên quan đến thương hiệu bị kẻ gian chiếm đoạt.

1.2. Phân loại gian lận số trong hoạt động ngân hàng

Theo BIS (2023), gian lận số có thể được phân chia thành bốn loại như sau:

- Gian lận số liên quan đến các công cụ thanh toán trực tuyến: Các giao dịch thanh toán không được ủy quyền. Loại gian lận này nhắm vào dịch vụ thanh toán của khách hàng tại ngân hàng (ví dụ: Thẻ, chuyển khoản, thu tiền tự động, tiền điện tử). Nó bao gồm các giao dịch thanh toán không được ủy quyền do trộm cắp hoặc chiếm đoạt trái phép dữ liệu thanh toán của khách hàng hoặc truy cập vào tài khoản ngân hàng trực tuyến của họ. Ví dụ về các hoạt động gian lận loại này bao gồm việc trộm dữ liệu thẻ thanh toán của khách hàng thông qua việc cài đặt mã độc trên các trang thương mại điện tử hoặc tấn công phi kĩ thuật. Kẻ gian lận có thể thực hiện thanh toán hoặc bán dữ liệu đó trên không gian Internet, cũng như gian lận để chiếm đoạt tài khoản và chuyển tiền tự động.

- Gian lận số liên quan đến các công cụ thanh toán trực tuyến: Thao túng người thanh toán để phát hành lệnh thanh toán.

Hoạt động gian lận số loại này bao gồm các giao dịch gian lận được thực hiện do người thanh toán bị kẻ gian lận thao túng để phát hành một lệnh thanh toán hoặc để cho nhà cung cấp dịch vụ thanh toán chỉ dẫn đến một tài khoản thanh toán mà họ tin là thuộc về một người nhận hợp pháp. Kẻ gian lận có thể tấn công phi kĩ thuật, ví dụ như giả mạo email, tin nhắn hoặc cuộc gọi điện thoại, giả mạo ngân hàng hoặc bất kì bên thứ ba đáng tin cậy khác.

- Gian lận số liên quan đến các sản phẩm ngân hàng khác của khách hàng ngân hàng: Loại gian lận này bao gồm các hoạt động gian lận trên các sản phẩm ngân hàng khác, ví dụ khi khách hàng bị thao túng để đầu tư vào các sản phẩm tiết kiệm giả mạo hoặc tham gia vào các sản phẩm tín dụng giả mạo.

- Gian lận số liên quan dữ liệu khách hàng hoặc hệ thống của ngân hàng: Loại gian lận số này nhắm vào chính ngân hàng thông qua việc sử dụng trái phép dữ liệu khách hàng hoặc hệ thống của ngân hàng. Ví dụ như việc mở tài khoản ngân hàng hoặc thẻ tín dụng sử dụng danh tính bị đánh cắp, được mua trên một trang web đen hoặc danh tính giả.

1.3. Mối quan hệ giữa quá trình số hóa và gian lận số trong hoạt động ngân hàng

Một câu hỏi quan trọng đối với các nhà hoạch định chính sách và nhà quản lí là làm thế nào để các ngân hàng có thể tận dụng tốt nhất lợi ích tiến bộ công nghệ của ngân hàng trong khi giảm thiểu rủi ro gian lận số với các biện pháp bảo vệ phù hợp.

Hình 1: Mối quan hệ giữa lợi ích từ quá trình số hóa

và rủi ro gian lận số

Nguồn: Phân tích của tác giả

Hình 1 thể hiện mối quan hệ cùng chiều giữa quá trình số hóa trong hoạt động ngân hàng và rủi ro gian lận số. Một mặt, nếu quá trình số hóa được đẩy mạnh tối đa và không bị hạn chế, ngân hàng có thể thu được lợi ích lớn hơn từ các dịch vụ ngân hàng số, nhưng có thể phải trả giá bằng khả năng rủi ro gian lận số cao (điểm A). Mặt khác, nếu các ngân hàng quay trở lại mô hình ngân hàng truyền thống sẽ loại bỏ hoặc giảm đáng kể rủi ro gian lận số (điểm B). Tuy nhiên, trạng thái này sẽ phải đánh đổi bằng việc mất đi lợi ích ổn định tài chính từ phát triển ngân hàng số. Do đó, câu hỏi quan trọng cho các nhà hoạch định chính sách và các nhà quản lí là làm thế nào để tìm ra sự cân bằng phù hợp (điểm C). Khi đã xác định được điểm cân bằng này, câu hỏi tiếp theo là làm thế nào để giảm thiểu rủi ro gian lận số cho một mức độ số hóa nhất định (chuyển từ điểm C đến điểm D) hoặc làm thế nào để gia tăng thêm lợi ích của quá trình số hóa với một mức độ rủi ro gian lận nhất định (chuyển từ điểm C đến điểm D’).

Đường mũi tên bên trái trong Hình 1 đại diện cho trạng thái của đa số các ngân hàng hiện tại. Mục tiêu của các nhà quản lí là dịch chuyển đường này sang phải, sao cho lợi ích của quá trình số hóa có thể được đạt được với ít rủi ro gian lận số hơn.

2. Thực trạng gian lận số và các biện pháp phát hiện, ngăn chặn gian lận số trên thế giới và tại Việt Nam

Sự phát triển của các hệ thống thanh toán bán lẻ số và thương mại điện tử trong những năm gần đây đã thúc đẩy việc sử dụng các phương thức thanh toán số và các phương thức thanh toán trực tuyến đổi mới. Tuy nhiên, điều này cũng làm gia tăng nhu cầu của việc cải thiện an ninh, đặc biệt là đối với các giao dịch từ xa (Hayashi, 2020). Tỉ lệ phát sinh gian lận trên giá trị giao dịch của dịch vụ thanh toán trực tuyến phổ biến nhất là chuyển khoản online. Có thể thấy gian lận trong chuyển khoản tín dụng thời gian qua có xu hướng gia tăng tại hầu hết các quốc gia (BIS, 2023).

Báo cáo Xu hướng gian lận số tại khu vực châu Âu, Trung Đông và châu Phi 2023 chỉ ra hình thức gian lận số thông qua lừa đảo chiếm đa số (khoảng 50%) trong các vụ gian lận số được ghi nhận. Số liệu thống kê cũng chỉ ra rằng 70% các vụ việc chiếm quyền kiểm soát tài khoản được thực hiện thông qua các cuộc gọi trực tiếp (qua điện thoại hoặc các ứng dụng mạng xã hội). Đối tượng lừa đảo đa phần nhắm đến khách hàng là những người có tuổi. Trong tháng 01/2023, có đến 85% các vụ việc chiếm quyền quyền soát có liên quan đến những người trên 60 tuổi (BioCatch, 2023a). Bên cạnh đó, với sự phát triển nhanh chóng của công nghệ, phần lớn người dùng dùng truy cập vào tài khoản ngân hàng online thông qua các thiết bị di động, do đó đây cũng là kênh chủ yếu để các đối tượng lừa đảo khai thác. Theo Báo cáo Gian lận số trong ngân hàng tại châu Á - Thái Bình Dương 2023, có 84% người dùng dùng truy cập vào tài khoản ngân hàng online thông qua các thiết bị di động và 72% các vụ chiếm quyền tài khoản thực hiện thông qua các ứng dụng trên điện thoại.

Tại Việt Nam, hoạt động ngân hàng số là lĩnh vực mới xuất hiện trong khoảng một thập kỉ trở lại đây cùng với sự bùng nổ của cuộc Cách mạng công nghiệp lần thứ tư (CMCN 4.0), nhưng đã và đang ảnh hưởng mạnh mẽ đến sự phát triển của kinh tế, xã hội, văn hóa, an ninh, chính trị của đất nước. Công nghệ thay đổi nhanh chóng cùng với hàng loạt ứng dụng trong lĩnh vực tài chính, ngân hàng như trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data), công nghệ chuỗi khối (Blockchain), Internet vạn vật (IoT), điện toán đám mây (Cloud Computing), máy học (Machine Learning) khiến cho hoạt động ngân hàng số không ngừng thay đổi để nâng cao trải nghiệm khách hàng và hiệu quả hoạt động của các ngân hàng. Tuy nhiên, điều này cũng dẫn tới lượng giao dịch gian lận dịch vụ ngân hàng số có dấu hiệu gia tăng mạnh tại các ngân hàng thương mại trong những năm gần đây. Về khuôn khổ pháp lí, khung pháp lí về ngân hàng số tại Việt Nam đã và đang dần được hoàn thiện, tạo môi trường thuận lợi cho phát triển ngân hàng số, đáp ứng nhu cầu cũng như bảo vệ quyền, lợi ích hợp pháp của người dân và doanh nghiệp khi giao dịch trên các kênh ngân hàng số. Ngân hàng Nhà nước Việt Nam (NHNN) cũng đã ban hành nhiều văn bản chỉ đạo các ngân hàng thương mại tăng cường công tác quản trị rủi ro trong các giao dịch và hoạt động ngân hàng số, bao gồm:

- Công văn số 5865/NHNN-TT ngày 24/8/2022 chỉ đạo ngân hàng, chi nhánh ngân hàng nước ngoài tăng cường các biện pháp quản lí rủi ro đối với mở và sử dụng tài khoản thanh toán nhằm ngăn chặn các hành vi gian lận, lừa đảo.

- Công văn số 1822/NHNN-TT ngày 17/3/2023 tiếp tục tăng cường các biện pháp quản lí rủi ro trong mở và sử dụng tài khoản thanh toán.

- Công văn số 4884/NHNN-TT ngày 22/6/2023 về việc áp dụng các biện pháp hạn chế việc mở, sử dụng tài khoản thanh toán cho mục đích gian lận lừa đảo.

- Công văn số 7940/NHNN-TT ngày 12/10/2023 về việc tăng cường biện pháp phòng chống rủi ro gian lận lừa đảo trong thanh toán.

Theo báo cáo của Liên minh chống lừa đảo toàn cầu (GASA), 70% người Việt Nam bị rơi vào tình huống bị các đối tượng lừa đảo nhắm đến ít nhất 1 lần 1 tháng trong năm 2023. Giá trị thiệt hại của các vụ lừa đảo lên tới 16,2 tỉ USD trong năm 2023. Hầu hết các vụ lừa đảo được thực hiện thông qua điện thoại hoặc tin nhắn. Hầu hết các khách hàng phản ánh bị lừa đảo qua việc nhận được tin nhắn, cuộc gọi giả mạo của đối tượng gian lận và đã thực hiện theo những hướng dẫn của kẻ gian để lộ thông tin bảo mật dịch vụ (tên truy cập, mật khẩu, mã OTP, số thẻ...) dẫn đến việc bị chiếm quyền sử dụng tài khoản; quyền sử dụng thiết bị; hoặc chính bản thân khách hàng mất cảnh giác và tự thực hiện giao dịch thanh toán cho kẻ gian.

Thực tế cho thấy, tình hình tội phạm sử dụng công nghệ cao thực hiện các giao dịch qua hệ thống ngân hàng tại Việt Nam ngày càng có diễn biến phức tạp, có xu hướng gia tăng với những phương thức, thủ đoạn ngày càng tinh vi, biến đổi khó lường. Hành vi của các đối tượng này thường tập trung vào một số phương thức: (i) Gian lận trong thanh toán thẻ; (ii) Tấn công, khai thác lỗ hổng bảo mật, lỗ hổng trong chính sách, quy trình kiểm soát, hậu kiểm của các ngân hàng trong hoạt động mở, sử dụng tài khoản trực tuyến; (iii) Lừa đảo chiếm đoạt tài sản qua các trang mạng xã hội thông qua việc giả mạo người thân, bạn bè thậm chí sử dụng công nghệ Deepfake (công nghệ giả mạo của AI), thực hiện cuộc gọi video với khuôn mặt và giọng nói giống người thân, bạn bè và tiếp đó là yêu cầu khách hàng chuyển tiền; (iv) Sử dụng thiết bị giả trạm thu phát sóng di động (BTS) phát tin nhắn giả mạo thương hiệu ngân hàng (SMS Brandname); tạo website, đường link giả mạo giao diện của các ngân hàng, tổ chức tài chính nhằm lừa gạt và ăn cắp thông tin bảo mật của khách hàng; (v) Tạo lập các ứng dụng giả mạo các cơ quan thẩm quyền (Tổng cục Thuế, Bộ Công an, định danh điện từ VNeID…) hoặc tạo ứng dụng lạ chứa Hook (nền tảng dùng để thay đổi hành vi của ứng dụng bằng cách chèn thêm mã nguồn vào trong ứng dụng đang chạy từ đó có thể sửa đổi hành vi của ứng dụng) trên nền tảng thiết bị di động nhằm tìm hiểu, tấn công ứng dụng ngân hàng hoặc chiếm quyền sử dụng thiết bị của người dùng.

Các thủ đoạn gian lận của đối tượng lừa đảo áp dụng đồng loạt đối với tất cả các ngân hàng, thậm chí các đối tượng này còn tổ chức có quy mô và tấn công dồn dập các ngân hàng theo từng chủ điểm. Tiêu biểu như đợt tấn công qua thiết bị giả trạm BTS phát tin nhắn giả mạo thương hiệu của các ngân hàng giai đoạn năm 2021 - 2022, các đối tượng lừa đảo đã cho phát tán tin nhắn trên từng cụm địa bàn và tập trung chủ yếu ở khu vực thành phố lớn (Thành phố Hồ Chí Minh, Hà Nội) gây thiệt hại tài chính cho hàng loạt các khách hàng và ảnh hưởng tới uy tín, hình ảnh của các ngân hàng. Theo số liệu thống kê từ một ngân hàng thương mại lớn trên thị trường, số lượng yêu cầu xử lí các giao dịch gian lận, lừa đảo năm 2023 tăng 25% so với cùng kì năm 2022, với con số ước tính khoảng hơn 17 nghìn sự vụ. Trong khi đó, số lượng giao dịch ngân hàng hỗ trợ thu hồi được chỉ đạt 520 giao dịch tương đương với tỉ lệ thu hồi thành công trên số giao dịch phát sinh là khoảng 3%. Những giao dịch thu hồi được tiền chủ yếu tập trung vào những giao dịch nạp ví điện tử.

Đối mặt với sự gia tăng nhanh chóng sự cố gian lận, lừa đảo trong các giao dịch điện tử, các ngân hàng thương mại Việt Nam thời gian qua đã và đang triển khai nhiều giải pháp phòng ngừa rủi ro gian lận và bảo vệ quyền lợi khách hàng, đặc biệt là các giải pháp về công nghệ. Toàn bộ các ngân hàng Việt Nam đều đã thực hiện phương thức xác thực đa yếu tố như mật khẩu, xác thực vân tay, nhận diện khuôn mặt, mã OTP (One-Time Password), Smart OTP để xác nhận giao dịch. Các công nghệ nhận diện sinh trắc học như nhận diện khuôn mặt, vân tay, hoặc giọng nói cũng được sử dụng để xác thực danh tính của khách hàng. Điều này giúp ngăn chặn việc sử dụng Deepfake hoặc các phương pháp lừa đảo khác sử dụng AI. Đối với các tài khoản mở qua hình thức eKYC, theo quy định toàn bộ các ngân hàng đều phải thực hiện hậu kiểm để phát hiện tài khoản mở gian lận. Trong đó nhiều ngân hàng đã thực hiện các biện pháp nâng cấp bảo mật, nâng cấp tính năng nhận diện gương mặt giả mạo (ảnh chụp màn hình, giả mạo ảnh 2D, 3D, giả mạo theo tool...), giải pháp NFC đọc chíp căn cước công dân khách hàng để đối khớp các thông tin khi mở tài khoản. Để hạn chế tình trạng tấn công trên web giả mạo (phishing), các ngân hàng đã hạn chế giao dịch trên giao diện web bằng cách yêu cầu khách hàng thêm bước xác thực trước khi đăng nhập trình duyệt web hoặc điều hướng khách hàng sử dụng kênh ứng dụng. Trường hợp giao dịch nền tảng ứng dụng thực hiện trên thiết bị lạ, một số ngân hàng đòi hỏi khách hàng cần thêm thao tác nhắn tin để xác thực nhằm làm chậm các bước xử lí của đối tượng gian lận. Bên cạnh đó, trên thị trường đã xuất hiện một vài ngân hàng triển khai giải pháp cuộc gọi thương hiệu ngân hàng (Voice Brandname) giúp khách hàng nhận diện chính xác cuộc gọi từ ngân hàng, tránh bị lừa đảo, tạo sự an tâm cho khách hàng. Tuy bước đầu đã đạt được một số thành tựu nhất định, công tác quản lí gian lận số tại các ngân hàng thương mại Việt Nam vẫn còn gặp phải một số thách thức và khó khăn:

Thứ nhất, hệ thống khuôn khổ pháp lí điều chỉnh hoạt động ngân hàng số nói chung và gian lận số nói riêng chưa hoàn chỉnh, đôi khi đi chậm hơn với sự thay đổi nhanh chóng của công nghệ và hoạt động thanh toán trên không gian mạng nên các ngân hàng còn gặp nhiều vướng mắc trong việc thực thi.

Thứ hai, việc đồng nhất thông tin khách hàng tại ngân hàng với Cơ sở dữ liệu quốc gia về dân cư còn đang trên lộ trình triển khai nên đây là điểm hạn chế trong việc phối hợp truy tìm đối tượng gian lận và hậu kiểm tài khoản mở bằng phương thức eKYC. Công tác hậu kiểm tài khoản eKYC còn tốn nhiều thời gian và có độ trễ khiến kẻ gian có thể lợi dụng “thời điểm vàng do tài khoản chưa được hậu kiểm” thực hiện các giao dịch gian lận.

Thứ ba, chưa có cơ chế phối hợp hiệu quả giữa các ngân hàng trong việc phòng ngừa, ngăn chặn và xử lí gian lận số. Vẫn còn tình trạng các ngân hàng chưa hoàn thiện và chưa thống nhất theo nguyên tắc chung khi ứng xử với các sự cố gian lận lừa đảo. Mỗi ngân hàng sẽ có khẩu vị rủi ro khác nhau, tuy nhiên, cần có cơ chế nhất quán giữa các tổ chức thành viên trong quy định về tiếp nhận và xử lí sự cố gian lận với khách hàng, tránh việc khách hàng so sánh sự khác biệt giữa các ngân hàng. Việc phối hợp giữa các ngân hàng còn nhiều bất cập khi xử lí các sự cố gian lận. Các ngân hàng chưa có bộ phận chuyên trách xử lí rủi ro gian lận hỗ trợ 24/7 để tiếp nhận yêu cầu từ các tổ chức thành viên và kịp thời xử lí, truy vết dòng tiền gian lận nên tỉ lệ thu hồi giao dịch chuyển tiền liên ngân hàng là rất thấp. Ngoài ra, nguồn dữ liệu giao dịch gian lận lừa đảo của các ngân hàng có giá trị rất lớn, tuy nhiên, chưa được khai thác triệt để, chưa có cơ chế hợp tác, chia sẻ thông tin giữa các ngân hàng thương mại trong việc nhận diện đối tượng gian lận liên ngân hàng để cùng phòng ngừa sớm rủi ro gian lận.

Thứ tư, chưa có cơ chế, quy trình phối hợp giữa khách hàng, ngân hàng thương mại và cơ quan chức năng trong việc tiếp nhận và báo cáo sự cố gian lận. Các ngân hàng hiện vẫn hướng dẫn khách hàng cần trình báo cơ quan chức năng để bảo vệ quyền lợi nhưng chưa có quy định rõ việc khách hàng cần đến cơ quan cấp nào (xã, phường, quận, huyện, tỉnh, thành phố) và bộ phận nào sẽ tiếp nhận đơn trình báo, trách nhiệm, thời hạn xử lí là bao lâu.

Thứ năm, nhận thức, tiếp cận của người dân về ngân hàng số còn thấp. Nhiều người dân vẫn còn e ngại sử dụng dịch vụ ngân hàng số do lo ngại về an ninh mạng, bảo mật thông tin. Nhiều người dân chưa có ý thức bảo vệ thông tin cá nhân, mật khẩu, mã OTP, dễ bị lừa đảo bởi các thủ đoạn tinh vi của kẻ gian, lừa đảo mua bán tài khoản, mua bán thông tin cá nhân, nhờ đăng kí dịch vụ để người khác sử dụng...

Thứ sáu, hạn chế trong quy trình, quy định nội bộ tại các ngân hàng thương mại. Một là, các biện pháp phát hiện sớm giao dịch gian lận (FDM) chủ yếu được áp dụng đối với việc theo dõi, giám sát giao dịch thẻ. Đối với các giao dịch phát sinh trên kênh ngân hàng số (digital banking) mới chỉ dừng lại ở việc giám sát tại bộ phận an ninh thông tin dựa trên các quy tắc cơ bản như dò test thông tin tài khoản với số lượng bất thường, tài khoản đăng nhập bất thường, chưa có cơ chế giám sát, khoanh vùng các giao dịch nghi ngờ rủi ro cao để đợi xác minh từ ngân hàng. Hai là, đầu số điện thoại gọi ra chính thức của các ngân hàng còn gây khó khăn cho khách hàng trong việc nhận diện cuộc gọi có đúng từ ngân hàng hay không. Việc áp dụng giải pháp Voice Brandname chưa được áp dụng rộng rãi trên thị trường. Hoặc một số ngân hàng đã áp dụng giải pháp cuộc gọi Voice Brandname nhưng chưa đồng bộ cho các thuê bao của các nhà mạng viễn thông khác nhau nên khách hàng chưa được tiếp cận hoàn toàn với giải pháp này. Ba là, công tác truyền thông và đào tạo nội bộ của nhiều ngân hàng chưa thực sự hiệu quả, vẫn còn tình trạng các chi nhánh, điểm giao dịch chưa cập nhật được các hướng dẫn, cách thức phối hợp xử lí và nhận diện giao dịch gian lận nên còn lúng túng trong khâu tiếp nhận, xử lí, giải thích tới khách hàng.

3. Một số giải pháp, khuyến nghị nâng cao hiệu quả quản lí gian lận số trong hoạt động của các ngân hàng thương mại Việt Nam

Tác động của cuộc CMCN 4.0 nói chung và sự bùng nổ của công nghệ trong lĩnh vực tài chính, ngân hàng nói riêng đã làm thay đổi căn bản cách thức hoạt động của các ngân hàng thương mại. Số hóa hoạt động ngân hàng và cung cấp đa dạng các sản phẩm, dịch vụ ngân hàng số là chiến lược được đa phần các ngân hàng lựa chọn trong giai đoạn tới. Tuy nhiên, cùng với đó là nhiều thách thức từ các đối tượng hacker, gian lận luôn nhắm tới các lỗ hổng trong an ninh thông tin và lỗ hổng trong quy trình hoạt động. Do đó, để kịp thời phát hiện, ngăn chặn và phòng ngừa các rủi ro gian lận số, một số vấn đề cần giải quyết trong thời gian tới như sau:

Thứ nhất, tiếp tục hoàn thiện hệ thống pháp lí về ngân hàng số, quản trị rủi ro, đảm bảo tính đồng bộ, chặt chẽ và dễ thực thi và bắt kịp với sự thay đổi nhanh chóng trong hoạt động thanh toán không dùng tiền mặt. NHNN cần đẩy nhanh việc rà soát, xây dựng kho dữ liệu chung về tài khoản thanh toán có dấu hiệu nghi ngờ gian lận, áp dụng các thuật toán và công nghệ AI để phân tích cơ sở dữ liệu gửi từ các ngân hàng thương mại; từ đó có cơ chế chia sẻ thông tin với các tổ chức tín dụng để ngăn ngừa các hành vi gian lận, lừa đảo.

Thứ hai, đẩy mạnh phối hợp giữa các bộ, ban, ngành trong phòng ngừa và hạn chế gian lận số. Bộ Thông tin và Truyền thông, Bộ Công an và NHNN cần phối hợp chặt chẽ trong việc tăng cường tuyên truyền, giáo dục cho người dân về các thủ đoạn gian lận ngân hàng số, hướng dẫn cách thức bảo vệ thông tin cá nhân, mật khẩu, mã OTP, nâng cao ý thức tự bảo vệ của người dân. Bên cạnh đó, Bộ Thông tin và Truyền thông có thể xem xét việc: (i) Hạn chế số lượng thuê bao đối với một cá nhân được phép đăng kí với nhà mạng viễn thông nhằm giảm bớt các cuộc gọi lừa đảo từ sim rác; (ii) Xây dựng cổng thông tin chống lừa đảo như một kênh chính thống cho phép người dân có thể dễ dàng khai báo nếu bị lừa, tư vấn người dân những việc cần làm, cảnh giác với những loại lừa đảo mới xuất hiện; (iii) Yêu cầu các nền tảng trực tuyến tăng cường các biện pháp ngăn chặn những nội dung, tương tác lừa đảo không cho tiếp cận người sử dụng.

Thứ ba, đẩy mạnh công tác phối hợp, hỗ trợ, trao đổi thông tin giữa các ngân hàng. Các ngân hàng thương mại cần nhanh chóng nghiên cứu, triển khai riêng bộ phận hỗ trợ giao dịch gian lận 24/7 nhằm tiếp nhận yêu cầu từ các tổ chức ngân hàng thành viên, thực hiện truy vết dòng tiền và cung cấp thông tin, phối hợp thu hồi các giao dịch nghi ngờ gian lận. Việc này cần thực hiện đồng bộ toàn hệ thống ngân hàng thì mới phát huy tính hiệu quả, kịp thời. Bên cạnh đó, các ngân hàng cần rà soát, hoàn thiện bộ quy định nội bộ về tiếp nhận, xử lí các sự cố gian lận, lừa đảo, thống nhất khung quy tắc nhận biết giao dịch gian lận, lừa đảo và cách thức ứng xử phù hợp với thực tiễn. Đối với quy trình đã ban hành cần định kì rà soát, điều chỉnh, bổ sung để bắt kịp với sự thay đổi của sản phẩm, dịch vụ và công nghệ mới.

Thứ tư, đối với các ngân hàng thương mại, cần chú trọng một số vấn đề: (1) Nghiên cứu, xây dựng bộ quy tắc nội bộ nhận biết các giao dịch nghi ngờ gian lận căn cứ trên hướng dẫn một số dấu hiệu nghi ngờ gian lận theo hướng dẫn tại Công văn số 4884/NHNN-TT, từ đó xây dựng các công cụ hỗ trợ để cảnh báo và phòng ngừa gian lận; (2) Cần sớm triển khai giải pháp Voice Brandname cho cuộc gọi ra của các ngân hàng và đảm bảo thực hiện đồng bộ với toàn bộ các nhà mạng viễn thông; (3) Tích cực cập nhật các giải pháp công nghệ trong nhận diện và xác thực khách hàng, tăng cường tỉ lệ hậu kiểm tự động các tài khoản mở theo hình thức eKYC, từ đó rút ngắn thời gian hậu kiểm; (4) Tập trung và ưu tiên nguồn lực triển khai các giải pháp ứng dụng dữ liệu dân cư để làm sạch dữ liệu khách hàng mở tài khoản thanh toán và áp dụng các giải pháp ứng dụng thẻ căn cước công dân gắn chíp, tài khoản định danh và xác thực điện tử (VNeID) trong xác thực khách hàng theo Đề án 06 (Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án "Phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030"), đảm bảo đúng tiến độ, thời hạn hoàn thành; (5) Đẩy mạnh truyền thông nội bộ thông qua tổ chức các buổi thảo luận về chuyên đề quản trị rủi ro ngân hàng số trong nội bộ ngân hàng, các buổi chia sẻ kinh nghiệm thực tế khi xử lí sự cố gian lận theo từng khu vực, địa bàn.

Tài liệu tham khảo:

1. BioCatch (2023a). Digital Banking Fraud Trends in EMEA.

2. BioCatch (2023b). Digital Banking Fraud Trends in APAC.

3. Hayashi, F. (2020): “Remote Card Payment Fraud: Trends and Measures Taken in Australia, France, and the United Kingdom”, Federal Reserve Bank of Kansas City, Payments System Research Briefing.

4. Ngân hàng thanh toán quốc tế - BIS (2023). Digital fraud and banking: supervisory and financial stability implications. Discussion paper.

TS. Bùi Huy Trung (Học viện Ngân hàng)

ThS. Nguyễn Thị Ngọc Vân (Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam)