Ông Nguyễn Ái Dân, chuyên gia về công nghệ ngân hàng, khẳng định hệ thống của Vietcombank có vấn đề và ngân hàng này không thể phủi trách nhiệm, đẩy hết lỗi cho khách hàng. Ông Dân nói: “Nếu đặt vị trí vào Vietcombank, tôi không thể chỉ nói nguyên nhân khách hàng bị mất tiền là do chị truy cập trang web giả mạo. Nói như vậy là chưa đầy đủ vì có cả lỗi của ngân hàng ở đây. Vietcombank khẳng định hệ thống của mình luôn an toàn, bảo mật thì tại sao xảy ra sự cố khiến khách hàng mất tiền? Không có hệ thống của ngân hàng nào có thể tuyên bố là khỏe tuyệt đối cả. Vấn đề là sau khi xảy ra sự cố thì ngân hàng phải xử lý để làm sao khách hàng yên tâm”.
Vậy lỗi là do cơ chế bảo mật của Vietcombank có vấn đề?
Điều đó thể hiện ở việc là không có tin nhắn chứa mã OTP (mật khẩu chỉ sử dụng một lần gửi tới chủ tài khoản qua điện thoại) từ Vietcombank để xác thực giao dịch mà người ta vẫn chuyển khoản được. Đây là lỗ hổng của ngân hàng, có thể không phải là lỗ hổng do công nghệ mà do nhân sự. Với nhiều phần mềm, giao dịch viên có thể chuyển tiền được.
Với thông tin ban đầu mà Vietcombank đưa ra, theo tôi, rủi ro này có thể đến từ phía ngoài và cũng có thể đến từ nội bộ của ngân hàng. Rủi ro có thể bên ngoài hệ thống là 50%, tức do hacker đột nhập và 50% từ phía ngân hàng là do nhân sự, quy trình, công tác kiểm tra... Thực tế việc bảo mật hệ thống không chỉ Vietcombank mà rất nhiều ngân hàng đang có nhiều khiếm khuyết.
Trách nhiệm của ngân hàng với 200 triệu đồng đã bị rút mất như thế nào, thưa ông (300 triệu đồng đã thu hồi được)?
Dư luận có hai luồng thông tin là từ khách hàng - chị Na Hương và từ phía Vietcombank, song đang mâu thuẫn nhau. Do đó chỉ có thể nói chính xác mức độ ai sai thế nào sau khi có kết luận của cơ quan công an. Tuy nhiên, tôi nghĩ việc chị Na Hương có dùng trang web giả mạo nào đó hay không thì trách nhiệm đền bù vẫn thuộc ngân hàng. Vì phần mềm khác có thể vào được hệ thống của Vietcombank nên ngân hàng này phải nhận trách nhiệm. Bảo mật chỉ mang tính tương đối. Hacker còn đột nhập lấy dữ liệu của Bộ Quốc phòng Mỹ cơ mà, thế nên phía Việt Nam cũng không thể ngăn chặn hoàn toàn việc này.
Tôi không tin là chỉ có chuyện mất 200 triệu đồng của chị Na Hương, vì như ở nước ngoài, những kẻ lừa đảo còn làm giả ATM lấy trộm hàng trăm triệu USD. Vụ việc của chị Na Hương chỉ là điển hình được nêu ra. Không nên tin tưởng vào hệ thống của mình được bảo mật tuyệt đối. Qua vụ việc này, chúng ta thấy hệ thống đang có nhiều lỗ hổng và cần phải cải thiện để kiểm soát tốt hơn.
Ông có khuyến cáo gì với chủ thẻ?
Điều đầu tiên là người dân không nên để quá nhiều tiền trong tài khoản ATM. Với thẻ dùng để đi mua bán thường xuyên, phục vụ chi tiêu trong gia đình chỉ nên có số dư tối đa 20 - 50 triệu đồng. Với một người mà mọi chi tiêu từ nhận lương, thanh toán điện thoại, điện, nước sinh hoạt, thanh toán các giao dịch lớn khi kinh doanh, Internet Banking cũng cùng một thẻ thì tiềm ẩn rất nhiều rủi ro nếu không may bị mất mã PIN...
Mặt khác, chủ thẻ nên hạn chế sử dụng nhiều thiết bị để giao dịch trực tuyến. Chỉ nên sử dụng một máy tính mà cá nhân người chủ tài khoản quản lý được. Không nên sử dụng máy tính ở gia đình để chuyển tiền, thanh toán trực tuyến. Bởi thông thường nhiều thành viên trong gia đình dùng chung máy tính này như con cái có thể vào học, lên mạng xã hội, chơi điện tử... nên có thể rất dễ nhiễm virút. Đây là một trong những nguy cơ mà hacker có thể truy cập lấy cắp dữ liệu.
Bên cạnh đó, tôi cũng không đồng tình với việc là dịch vụ tiện ích có thể ngồi mọi nơi mọi lúc chuyển tiền được. Hiện nay, nhiều ngân hàng cứ chạy đua quảng cáo rộn ràng là có thể chuyển tiền mọi nơi mọi lúc, chuyển tiền được qua Facebook. Tiện ích quá cũng có nghĩa là nhiều rủi ro, nguy hiểm. Nhất là với doanh nghiệp thì không thể ngồi máy tính nào cũng thực hiện chuyển tiền, mà phải có máy tính nhất định. Sự việc này cũng cảnh báo các ngân hàng cần phải xem xét lại hệ thống của mình, cần phải có chế độ kiểm soát hệ thống tốt hơn.
Để ngăn chặn rủi ro cho khách hàng, tôi cho rằng tới đây các ngân hàng nên quy định khách hàng muốn chuyển tiền phải giao dịch trên chính thiết bị máy tính, điện thoại mà có mã đã đăng ký. Bởi mỗi máy tính, điện thoại có mã riêng. Chất lượng dịch vụ có thể giảm một chút nhưng an toàn hơn. Còn đối với những người quản trị trong ngân hàng thì nên sử dụng ít nhất hai máy tính. Một máy để giao dịch với bên ngoài, làm việc với email, Internet, với thông tin từ khách hàng. Và một máy chỉ làm việc với cơ sở dữ liệu như là các phần mềm, quản trị... Giả sử một ngày nào đó bị hacker xâm nhập từ email thì nhiều thông tin sẽ bị lộ, sẽ rất nguy hiểm.
Luật sư Trương Thanh Đức (chủ tịch Công ty luật Basico):
Ngân hàng không thể đứng ngoài cuộc
Cách thức bảo mật, nguyên lý đảm bảo an toàn của Vietcombank có vấn đề. Ngân hàng đã thu lại được 300 triệu đồng, còn 200 triệu đồng bị mất rồi thì xem xét trách nhiệm lỗi chính ở bên nào.
Trường hợp này cần phải có sự chia sẻ trách nhiệm của ngân hàng chứ không thể đẩy trách nhiệm cho khách hàng. Vì Vietcombank là đơn vị cung cấp dịch vụ, mà dịch vụ gây rủi ro cho khách hàng thì ngân hàng phải có trách nhiệm chia sẻ tổn thất chứ không thể đứng ngoài cuộc.
