Hạn chế rủi ro trong thanh toán điện tử: Cần sự phối hợp của chính khách hàng

09:49-09/10/2019

Sự phát triển mạnh mẽ của thanh toán điện tử, trong đó có thanh toán qua thẻ đã đưa lại nhiều tiện ích cho người dân, xã hội, nhưng đi cùng với đó là những vấn đề về an ninh, bảo mật, do đó cần sự phối hợp từ nhiều phía để hạn chế những rủi ro.

Có thể hiểu, thanh toán điện tử (TTĐT) (hay còn gọi là thanh toán trực tuyến) là một mô hình giao dịch không dùng tiền mặt đã phổ biến trên thế giới. Có rất nhiều hình thức thanh toán điện tử như: thông qua thẻ ATM, thẻ tín dụng, thẻ ghi nợ, ví điện tử Payoo, payment gateway, thanh toán qua điện thoại…

Mặc dù TTĐT đã có những bước phát triển với sự đa dạng hóa về các hình thức thanh toán, song tại Việt Nam hình thức TTĐT phổ biến nhất hiện nay vẫn là thanh toán thẻ.

Phát triển mạnh mẽ

Về cơ sở pháp lý, Ngân hàng Nhà nước (NHNN) đã tập trung hoàn thiện, ban hành nhiều thông tư tăng cường ứng dụng thanh toán không dùng tiền mặt và đảm bảo an ninh an toàn trong hoạt động thanh toán. Đặc biệt là gần đây, NHNN đã ban hành bộ tiêu chuẩn thẻ chip nội địa cho thẻ ATM cũng như ban hành đặc tả kỹ thuật QR code trong lĩnh vực thanh toán tại Việt Nam nhằm đáp ứng các yêu cầu đẩy mạnh thanh toán không dùng tiền mặt cũng như tăng cường các biện pháp đảm bảo an toàn.

Cùng với đó, thời gian qua, cơ sở hạ tầng và công nghệ phục vụ thanh toán không dùng tiền mặt tiếp tục được chú trọng đầu tư nâng cao. Theo Vụ Thanh toán (NHNN), đến cuối tháng 6/2018, ATM và POS đang hoạt động trên toàn quốc tăng tương ứng 5,53% và 14,24% so với cùng kỳ năm 2017; POS hiện đã được lắp đặt tại hầu hết các cơ sở, chuỗi phân phối, bán lẻ, khách sạn lớn, đang mở rộng đến các đơn vị cung cấp dịch vụ công (cơ sở y tế, bệnh viện, trường học...).

Thẻ ngân hàng tiếp tục phát triển, số lượng thẻ phát hành, số lượng và giá trị giao dịch thẻ tiếp tục tăng. Số lượng và giá trị giao dịch thanh toán nội địa của thẻ ngân hàng tiếp tục tăng, trong 7 tháng đầu năm 2019, số lượng giao dịch thanh toán nội địa qua thẻ ngân hàng đạt hơn 158 triệu giao dịch (tăng 15,8% so với cùng kỳ năm 2018) với tổng giá trị giao dịch đạt hơn 410 nghìn tỷ đồng (tăng 15,6% so với cùng kỳ năm 2018); nhiều tính năng, tiện ích đã được tích hợp vào thẻ ngân hàng để sử dụng thanh toán hàng hóa, dịch vụ; đồng thời, nâng cao chất lượng dịch vụ, độ an toàn, bảo mật trong thanh toán thẻ.

Chất lượng cung ứng dịch vụ thanh toán được cải thiện, cùng với việc cải tiến, nâng cao chất lượng dịch vụ đối với các phương thức thanh toán truyền thống, nhiều ngân hàng đã tích cực, chủ động đầu tư, nâng cấp hạ tầng kỹ thuật, chương trình phần mềm để cung ứng đa dạng các dịch vụ thanh toán mới, thuận tiện với chi phí hợp lý, qua đó giúp nâng cao trải nghiệm và sự hài lòng của khách hàng.

Thanh toán điện tử qua Internet, điện thoại di động đạt được kết quả khả quan, thu hút số lượng lớn khách hàng sử dụng. Đến nay, đã có trên 76 tổ chức cung ứng dịch vụ thanh toán (TCCƯDVTT) triển khai dịch vụ thanh toán qua Internet và 41 TCCƯDVTT thực hiện qua điện thoại di động (ĐTDĐ). Trong 7 tháng đầu năm 2019, số lượng giao dịch tài chính qua kênh Internet đạt hơn 226 triệu giao dịch với giá trị giao dịch khoảng 10,9 triệu tỷ đồng (tăng tương ứng 51,8% và 18,3% so với cùng kỳ năm 2018). Số lượng giao dịch tài chính qua kênh điện thoại di động đạt gần 202 triệu giao dịch với giá trị giao dịch hơn 2,09 triệu tỷ đồng, tăng tương ứng 104,9% và 155,3% so với cùng kỳ năm 2018 (tiếp tục duy trì mức tăng 3 con số trên 100%, đạt được từ năm trước. Thanh toán qua kênh điện thoại di động 8 tháng đầu năm 2018 so với 2017 tăng tương ứng 39,8% và 147,8 % so với cùng kỳ năm 2017).

Như vậy có thể thấy rằng, thanh toán điện tử tại Việt Nam đã phát triển mạnh mẽ, cùng với định hướng phát triển công nghệ số trong ngành ngân hàng, sự phát triển của công nghệ giúp gia tăng tiện ích với người sử dụng các dịch vụ tài chính nhưng kéo theo đó là những rủi ro ngày càng cao cho các loại hình TTĐT.

Nhận diện những rủi ro

Theo các chuyên gia, có 2 loại rủi ro chính trong hoạt động TTĐT ở Việt Nam hiện nay, đó là: Rủi ro do giả mạo và rủi ro do kỹ thuật.

Rủi ro giả mạo

Tình hình giả mạo diễn ra ngày càng tinh vi và là hoạt động đã có tính tổ chức. Không chỉ có tội phạm ở trong nước mà còn có sự tham gia của các tội phạm nước ngoài. Giả mạo phát sinh tại các đơn vị chấp nhận thẻ (POS) và các đơn vị kinh doanh thương mại điện tử là hai loại rủi ro chính của các ngân hàng và có xu hướng tăng nhanh. Mặc dù số lượng vụ việc giả mạo không tăng nhanh nhưng quy mô của mỗi vụ việc lại ngày càng tăng với số tiền lớn là một rủi ro tiềm ẩn với các ngân hàng.

Các chuyên gia trong và ngoài nước đều cảnh báo tội phạm thẻ đang có xu hướng di chuyển địa bàn hoạt động từ châu Âu sang thị trường châu Á, sau khi các nước châu Âu áp dụng công nghệ cao vào hoạt động thẻ. Nhiều trường hợp các chủ thẻ trong lúc sử dụng các website có thể bấm vào link lạ do dẫn đến việc bị các tin tặc đánh cắp thông tin tài khoản. Hoặc các tin tặc có thể gửi các email lừa đảo có nội dung khẩn cấp.

Rủi ro kỹ thuật

Tội phạm sử dụng công nghệ cao luôn hiện hữu và đặc biệt gia tăng trong bối cảnh công nghệ thông tin và kỹ thuật số phát triển mạnh mẽ của cuộc cách mạng công nghiệp 4.0. Nổi bật nhất trong năm 2017 có lẽ là cuộc tấn công của mã độc có tên Wannacry vào hồi tháng 5/2017. Cuộc tấn công quy mô lớn này đã ảnh hưởng đến 74 quốc gia, trong đó có Việt Nam.

Trong thời đại công nghệ số, khi mà các giao dịch điện tử lên ngôi, thanh toán tức thì chỉ thông qua giao diện của các ứng dụng điện tử, các Hacker dễ dàng lợi dụng tấn công cướp tài khoản người dùng và yêu cầu tiền chuộc hoặc lấy thông tin để thực hiện các thanh toán giả mạo. Các hình thức lừa đảo trực tuyến gia tăng, các hình thức quảng cáo rác, tin nhắn rác mà thông qua đó các virus mã độc được phát tán vẫn chưa được kiểm soát. Đối với hệ thống ngân hàng, các cuộc tấn công DDoS (DoS là viết tắt của cụm từ tiếng anh Denial of Service, nghĩa là từ chối dịch vụ) nhằm làm cho hệ thống quá tải dẫn đến tình trạng sập hệ thống, bao gồm cả hệ thống bảo mật kéo theo việc dễ dàng bị thâm nhập các tài khoản ngân hàng và bị đánh cắp tiền.

Cần sự hợp tác từ nhiều phía

Các chuyên gia dự báo, nguy cơ mất an toàn thông tin đến từ các thiết bị có kết nối Internet sẽ tiếp tục gia tăng, đặc biệt trong hạ tầng giao thông, tài chính ngân hàng và một số hệ thống điều khiển. Điều này đòi hỏi Việt Nam không chỉ củng cố và phát triển các giải pháp kỹ thuật mà còn cần hoàn thiện hệ thống văn bản pháp luật để đảm bảo an toàn thông tin mạng và góp phần bảo vệ an ninh quốc gia. Và việc triển khai phòng ngừa cần cả sự phối hợp từ chính bản thân các khách hàng sử dụng dịch vụ.

Về phía người sử dụng

Khách hàng là người trực tiếp thực hiện, sử dụng các dịch vụ TTĐT, vì vậy bản thân họ cần phải chú ý xem có những điểm lạ ở máy rút tiền, máy quẹt thẻ. Khi giao dịch bằng hình thức chuyển khoản, khách hàng nên kiểm tra thông tin người mua/bán. Khi sử dụng các ví điện tử, Internet Banking, người sử dụng cần chú ý tới thiết bị của mình có cài các chương trình diệt virus, bảo mật, cần nâng cao cảnh giác không ấn vào các đường link lạ.

Điện thoại và máy tính bảng đều khó bị nhiễm virus hơn máy tính rất nhiều. Nếu người dùng nhận thấy điện thoại thật sự bị nhiễm virus, họ có thể cài đặt lại điện thoại, đưa điện thoại về trạng thái nguyên bản của nhà sản xuất, thao tác ấy sẽ xóa hết thông tin trên điện thoại và gỡ bỏ các phần mềm nhiễm độc. Các chương trình diệt virus mới có thể giúp người dùng kiểm soát trạng thái kết nối Internet và thông báo nếu có trường hợp kết nối máy chủ lạ hoặc không có phép của người dùng.

Mật khẩu là giải pháp xác thực được sử dụng nhiều nhất hiện nay, nhưng ý thức sử dụng mật khẩu của người dùng tại Việt Nam chưa cao. Trong năm vừa qua, một số vụ mất tiền trong tài khoản ngân hàng tại Việt Nam cũng xuất phát từ nguyên nhân này. Thói quen tùy tiện nhập thông tin tài khoản vào các website, đường link lạ hay sử dụng chung một mật khẩu cho nhiều tài khoản là những thói quen người dùng cần thay đổi để đảm bảo an toàn. Theo thống kê của Bkav, hiện nay vẫn còn tới 55% người dùng sử dụng chung một mật khẩu cho các tài khoản tại nhiều dịch vụ trực tuyến khác nhau.Việc người dùng hiện nay có quá nhiều tài khoản dẫn đến số lượng mật khẩu phải nhớ quá nhiều có thể gây nên sự bất tiện và khó khăn. Để giải quyết vấn đề này cũng như để tránh việc quên hoặc lưu mật khẩu tại những nơi dễ bị đánh cắp, việc sử dụng trình quản lý mật khẩu là một giải pháp hữu ích. Chúng giúp lưu tất cả mật khẩu dưới một tài khoản duy nhất với độ bảo mật cao.

Bên cạnh đó, người sử dụng cũng nên cảnh giác, không sử dụng mạng công cộng để tiến hành thanh toán. Nếu bắt buộc phải truy cập thông qua một mạng công cộng, hãy kết nối qua một mạng ảo (gọi là VPN), khi đó mọi chi tiết truy cập sẽ được mã hóa qua mạng ảo này và hạn chế được rủi ro đánh cắp thông tin.

Ngoài ra, việc đăng ký dịch vụ tin nhắn thông báo số dư là giải pháp hữu hiệu để quản lý tài khoản, vì bất kỳ giao dịch nào phát sinh đều gửi tin nhắn thông báo cho chủ thẻ. Hiện có rất nhiều chủ thẻ không đăng ký dịch vụ này nên không hề biết khi bị rút trộm tiền để có các hành động ngăn chặn kịp thời. Với sự phát triển của công nghệ số, hiện nay nhiều ngân hàng đã cung cấp những ứng dụng ngân hàng (VD: ngân hàng VIB có ứng dụng MyVIB và Internet Banking, Techcombank cũng có ứng dụng F@st Mobile…) tích hợp tiện lợi giúp người sử dụng có thể chủ động kiểm tra tài khoản của mình bằng cách sử dụng dịch vụ Self-Service bất kỳ lúc nào, ở bất kỳ đâu.

Về phía các ngân hàng, tổ chức cung cấp dịch vụ thanh toán điện tử

Các tổ chức cung ứng dịch vụ TTĐT và các tổ chức cung ứng dịch vụ trung gian thanh toán cần tăng cường đảm bảo an ninh, an toàn trong TTĐT, đặc biệt là thanh toán thẻ. Cần phải kiểm tra và đánh giá tổng thể công tác an ninh mạng, an ninh TTĐT thường xuyên và định kỳ nhằm tìm ra các lỗ hổng và nguy cơ một cách kịp thời để có các biện pháp khắc phục, hạn chế tối đa rủi ro kỹ thuật. Bên cạnh đó, cần xây dựng quy trình quản lý rủi ro cho hệ thống thanh toán tích hợp và hiệu quả để phát hiện, phân loại, xử lý và phòng tránh rủi ro có hiệu quả ở tất cả các khâu trong quá trình giao dịch thanh toán.

Đồng thời, cần kết hợp kiểm tra, rà soát toàn bộ máy ATM và máy POS định kỳ và thường xuyên nhằm phòng ngừa, ngăn chặn các hành vi gian lận tại đơn vị chấp nhận thanh toán; Tăng cường hệ thống đảm bảo an toàn, bảo mật cho các giao dịch qua ATM, POS, các giải pháp xác thực khách hàng khi giao dịch tại ATM để phòng, chống các hành vi sử dụng thẻ giả. Cần chú ý cài đặt và bảo dưỡng, nâng cấp thường xuyên hệ thống an ninh như còi báo động khi có hành vi xâm hại các cây ATM hoặc camera theo dõi rất hiệu quả trong việc phòng tránh rủi ro skimming thẻ. Camera có thể phát hiện các đối tượng cố ý gài các thiết bị vào cây ATM để đọc và quét thẻ khách sử dụng trái phép.

Bên cạnh đó cần tiếp tục hoàn thiện và nâng cao chất lượng nguồn nhân lực cũng như công nghệ, trang thiết bị thanh toán để phòng tránh các rủi ro về lỗi kỹ thuật, hay hạn chế năng lực quản lý của con người trong quá trình vận hành và thực hiện các giao dịch thanh toán. Nâng cao kỹ năng nhận diện, tiếp nhận, xử lý rủi ro cho cán bộ, nhân viên của toàn hệ thống; tập huấn, tuyên truyền cho các đơn vị chấp nhận thanh toán về các thủ đoạn tội phạm và các biện pháp quản lý, phòng ngừa, đảm bảo an toàn thanh toán.

Hơn nữa, các ngân hàng và tổ chức cung cấp dịch vụ TTĐT cũng cần quan tâm sát sao hơn nữa đến việc thường xuyên thông tin cập nhật các hình thức lừa đảo đến khách hàng, cũng như đưa ra các cảnh báo đề phòng, hướng dẫn khách hàng để phòng tránh các vấn đề rủi ro lừa đảo, khuyến cáo khách hàng tăng tính bảo mật thông tin trong thanh toán, để hạn chế rủi ro phát sinh liên quan đến dịch vụ thẻ hay thanh toán điện tử.

Đẩy mạnh truyền thông, triển khai các chương trình giáo dục tài chính nhằm nâng cao kiến thức cho khách hàng sử dụng các sản phẩm dịch vụ tài chính ngân hàng, đồng thời giảm thiểu được rủi ro.

Để phòng tránh các cuộc tấn công kỹ thuật DDoS, các ngân hàng cần phải:

+Hiểu biết về những mối đe dọa,có khả năng giám sát tình trạng mạng trong suốt thời gian trước khi có vấn đề xảy ra.

+Luôn cập nhật hệ thống sát với những mối đe dọa mới nhất.

+Thiết lập các cơ chế sao lưu dữ liệu, khoanh vùng mối đe dọa thật tốt trước khi bị tấn công. Điều này giúp làm giảm thiểu thiệt hại về mặt dữ liệu nếu xảy ra trường hợp bị đánh cắp.

+Luôn kiểm tra và tắt botnet/loại bỏ phần mềm độc hại càng sớm càng tốt ngay khi có dấu hiệu chúng xâm nhập vào hệ thống. Điều này đòi hỏi một phản ứng đồng bộ và nhanh chóng của các bộ phận liên quan.

Về phía các cơ quan quản lý nhà nước

Ngành ngân hàng sẽ tiếp tục triển khai các giải pháp nhằm đảm bảo an ninh, an toàn trong thanh toán, cụ thể như:

(i) Hoàn thiện khuôn khổ pháp lý về hoạt động thanh toán, trong đó chú trọng đến tăng cường công tác an toàn, bảo mật trong hoạt động thanh toán;

 (ii) Chủ động và thường xuyên theo dõi tình hình hoạt động thanh toán để chỉ đạo xử lý kịp thời các vụ việc mất an ninh, an toàn trong thanh toán; nghiên cứu, đánh giá các nguy cơ rủi ro tiềm ẩn, có các văn bản cảnh báo, chỉ đạo, chấn chỉnh yêu cầu các tổ chức cung ứng dịch vụ thanh toán, dịch vụ trung gian thanh toán đảm bảo an ninh, an toàn hoạt động thanh toán, gồm: Yêu cầu các tổ chức cung cấp dịch vụ thanh toán tuân thủ đúng các quy định của NHNN và pháp luật liên quan đến lĩnh vực thanh toán, đảm bảo an toàn tài sản cho khách hàng; thực hiện nghiêm các quy định về phòng chống rửa tiền, tăng cường kiểm tra, rà soát việc thực hiện quy trình, thủ tục nhận biết khách hàng, xác minh và cập nhật thông tin khách hàng; tăng cường các biện pháp kiểm soát hoạt động thanh toán chuyển tiền qua ngân hàng và dịch vụ trung gian thanh toán phục vụ các hoạt động vi phạm pháp luật; kiểm tra, rà soát giao dịch thanh toán của khách hàng để phát hiện các giao dịch đáng ngờ…; Chỉ đạo các NHTM thực hiện đúng lộ trình chuyển đổi thẻ ngân hàng từ thẻ từ sang thẻ gắn vi mạch điện tử (thẻ chip) theo lộ trình chuyển đổi quy định;  Nghiên cứu, tăng cường đầu tư nguồn lực triển khai áp dụng như các giải pháp công nghệ xác thực mới trong thanh toán trực tuyến và giải pháp giảm thiểu rủi ro trong thanh toán; các tiêu chuẩn quốc tế về an ninh, bảo mật như ISO 27001 cho hệ thống công nghệ thông tin, chuẩn PCI/DSS cho hệ thống thanh toán thẻ, các công nghệ bảo mật đa nhân tố; Tăng cường các biện pháp kiểm soát hoạt động thanh toán chuyển tiền qua ngân hàng và dịch vụ trung gian thanh toán phục vụ các hoạt động vi phạm pháp luật; kiểm tra, rà soát các giao dịch thanh toán của khách hàng để phát hiện và báo cáo kịp thời các giao dịch đáng ngờ. Tăng cường hiệu lực, hiệu quả công tác tự kiểm tra, kiểm soát nội bộ trong từng tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán;

(iii) Tăng cường công tác truyền thông, phổ biến kiến thức và phối hợp phòng, chống tội phạm công nghệ cao trong lĩnh vực ngân hàng; cảnh báo kịp thời những phương thức và thủ đoạn mới của tội phạm cho các tổ chức tín dụng để có biện pháp phòng, chống hiệu quả; có biện pháp khuyến cáo khách hàng cần tuân thủ theo các hướng dẫn của ngân hàng trong quá trình sử dụng dịch vụ; Chỉ đạo các tổ chức xử lý nhanh các vụ việc rủi ro, gian lận xảy ra và các yêu cầu tra soát khiếu nại đảm bảo quyền và lợi ích hợp pháp của khách hàng.

(iv) Tăng cường công tác thanh tra, kiểm tra tuân thủ các quy định về an toàn, bảo mật tại các tổ chức tín dụng, tổ chức trung gian thanh toán để chủ động phát hiện, xử lý kịp thời các hành vi vi phạm.

Hoàng Anh