I / THỰC TRẠNG QUẢN TRỊ RỦ RO TRONG HOẠT ĐỘNG
2. Quản trị rủi ro hoạt động trong hoạt động ngân hàng điện tử
2.2.1. Xây dựng chính sách an ninh
Trong dự án “Hiện đại hoá hệ thống thanh toán và kế toán khách hàng IPCAS” do World Bank tài trợ, Ngân hàng Nông nghiệp và Phát triển Nông thôn đã xây dựng chính sách an ninh cho toàn bộ hệ thống của Agribank.
Thứ nhất, bảo vệ hệ thống cung cấp dịch vụ (hệ thống máy chủ), bao gồm:
- Bảo vệ mạng: sử dụng tường lửa (Firewall) 2 lớp, áp dụng thiết bị phát hiện xâm nhập cho mạng và cho máy chủ.
- Bảo vệ ứng dụng và hệ thống: kiểm soát các lỗ hổng ứng dụng, nhất là ứng dụng web. Ứng dụng tường lửa thế hệ mới có chống tấn công tầng ứng dụng, chống virus, kiểm soát truy cập hệ thống, mã hóa dữ liệu trên server,...
Thứ hai, bảo vệ các giao dịch bao gồm: Mã hoá nội dung giao dịch, bảo
đảm giữ bí mật; Bảo đảm tính toàn vẹn của giao dịch, mọi thay đổi phải được phát hiện; Xác định được nguồn gốc của giao dịch, bảo đảm chống từ chối giao dịch hay giao dịch từ nguồn giả. Các biện pháp kỹ thuật bảo vệ các giao dịch này là kỹ thuật mã hoá, chứng thực số và chữ ký số.
Thứ ba, bảo vệ các khách hàng giao dịch. Sử dụng thẻ cứng để xác thực,
chống virus và Trojan, sử dụng tường lửa cá nhân (Personal Firewall),...
Hình 3: Chính sách an ninh của Agribank
Nguồn : Agribank, Hội thảo Banking Vietnam 2007 2.2.2. Phương pháp nhận dạng người sử dụng
Hiện nay, hầu hết các NHTM Việt Nam dùng phương pháp xác thực bằng số PIN, mật khẩu, chữ ký số để nhận dạng và kiểm tra quyền hạn của khách hàng.
Ngân hàng Công Thương đi tiên phong trong việc áp dụng các công nghệ xác thực hiện đai như: sử dụng thẻ bảo mật SecurId của công ty RSA để xác thực người quản trị hệ thống, xác thực khách hàng sử dụng dịch vụ nhờ thu qua
Internet, công nghệ PalmSecure (nhận dạng tĩnh mạch lòng bàn tay) của công ty Fujitsu tại hệ thống kiosk điện tủ của một số chi nhánh.
Đối với dịch vụ Mobile-banking, để thanh toán hoá đơn, khách hàng nhắn tin theo mẫu đã quy định trước và gửi đến số máy dịch vụ mobile-banking của ngân hàng. Sau đó khách hàng nhận được tin nhắn phản hồi từ ngân hàng yêu cầu gửi tin nhắn thứ hai xác nhân ký tự đứng ở vị trí nào đó trong chuỗi ký tự bí mật để nhận diện chủ tài khoản. Mỗi lần nhắn tin, ngân hàng chỉ yêu cầu nhập một ký tự thứ n trong mật khẩu mà không phải toàn bộ làm giảm thiểu khả năng bị lộ mật khẩu.
Các ngân hàng VCB, Techcombank, Đông Á… áp dụng các phương pháp bảo mật khác nhau nhưng có đặc điểm chung: sử dụng ít nhất hai lớp bảo mật: Lóp 1, chủ thẻ/chủ giữ tài khoản giữ thẻ và mã truy cập/mật khẩu kết hợp với lớp mật khẩu sinh ngẫu nhiên 1 lần thông qua Token / ma trận số.
Hình 4: Phương pháp xác thực người sử dụng của Agribank
Nguồn : Agribank, Hội thảo Banking Vietnam 2007
Ngân hàng Agribank sử dụng phương pháp nhận dạng 2 nhân tố kết hợp thẻ thông minh với mật khẩu hoặc số PIN:
- Cơ quan chứng thực của Agribank (VABRD CA) kiểm tra thông tin cá nhân, cấp chứng chỉ sử dụng SmartCard
- Khi người dùng đăng nhập hoặc giao dịch, trước tiên sử dụng smartcard sau đó nhập User/password
- VABRD CA kiểm tra chữ ký điện tử của người dùng, nếu xác thực mới có thể truy cập hệ thống ngân hàng
2.2.3. Một số biện pháp bảo mật khác
Trước tình trạng gian lận thẻ ngày càng phổ biến, các ngân hàng đã có những biện pháp cụ thể để giảm thiểu rủi ro cho khách hàng và cho ngân hàng:
- Lắp đặt hệ thống camera theo dõi tại các máy rút tiền tự động: mỗi ATM được trang bị 3 máy camera, trong đó có 2 cái được đặt ở những vị trí kín đáo khác nhau có thể quan sát và ghi lại khuôn mặt của khách hàng rút tiền và nơi khách hàng nhận tiền từ máy. Toàn bộ bàn phím trên máy ATM không nằm trong tầm quan sát của camera, do vậy bảo mật được só PIN cho khách hàng. Camera thừ ba được đặt ở phía sau ATM để kiểm soát các hoạt động thao tác trên máy của nhân viên ngân hàng. Hệ thống ATM của Ngân hàng VCB và ngân hàng EAB đã triển khai rất thành công biện pháp này, hạn chế nhiều rủi ro cho khách hàng, đồng thời giải đáp một cách hợp lý khi phát sinh khiếu nại.
Hình 5: Theo dõi/giám sát với IP camera - giải pháp của Sony
- Các máy ATM được cài đặt phần mềm bảo mật loại trừ thiết bị lạ, chỉ cho phép những thiết bị nào được lập trình trước mới có khả năng khởi động được hệ thống. Khi có bất cứ thiết bị lạ nào lắp thêm vào máy, toàn bộ hệ thống sẽ ngừng hoạt động và trung tâm sẽ biết ngay để kiểm tra, xử lý. Bàn phím trên máy cũng được mã hoá để đối tượng khó có thể ăn cắp mã số bí mật của khách.
- Đối với khách hàng có đăng ký sử dụng dịch vụ Ngân hàng điện tử của DongA Bank, Vietcombank, khi có bất kỳ sự tăng giảm số dư trong tài khoản thẻ sẽ nhận được thông báo qua tin nhắn điện thoại di động. Mọi thay đổi về số dư tài khoản sẽ được hệ thống báo ngay đến khách hàng qua tin nhắn ĐTDĐ, ngay cả khi giao dịch đang thực hiện. Nhờ đó khách hàng sẽ kiểm soát được tài khoản và thông báo ngay cho ngân hàng khi thấy có sự sai sót.
- Khóa tài khoản thẻ tại ATM (hiện nay EAB đang áp dụng): khi có việc đi công tác xa hoặc không sử dụng thẻ trong một thời gian nhất định, chủ thẻ có thể “khóa tài khoản thẻ” (với nhiều hình thức khác khác nhau), các giao dịch nếu có sẽ không được thực hiện khi thẻ chưa được khách hàng “Mở khóa”.
3. Quản trị rủi ro uy tín và pháp lý trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam các ngân hàng thương mại Việt Nam
3.1. Rủi ro uy tín và pháp lý trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam hàng thương mại Việt Nam
Sau những tăng trưởng ấn tượng của hoạt động NHĐT, các ngân hàng đã
phải đối mặt với rủi ro uy tín và pháp lý khi xảy ra hàng loạt khiếu nại của khách
hàng về chất lượng cũng như mức độ an toàn của dịch vụ:
- Thứ nhất, tình trạng hệ thống ATM không hoạt động do lỗi đường truyền, do nghẽn mạch, hỏng hóc kỹ thuật xảy ra thường xuyên, đặc biệt trong các dịp Lễ, Tết.
- Thứ hai, một số khách hàng khiếu kiện về việc mất tiền trong tài khoản vô cớ mà không có lời giải thích thoả đáng. Trong phần lớn các vụ khiếu nại liên quan tới rủi ro thẻ, nguyên nhân được chỉ ra đều xuất phát từ khách hàng, do họ
đã chi tiêu... Song có những trường hợp khách hàng rất bức xúc vì đã đưa ra đầy đủ chứng cớ cho thấy rủi ro không xuất phát từ phía mình nhưng vẫn bị ngân hàng từ chối. Vì thế nhiều người tự rút ra kết luận: nếu xảy ra rủi ro, ngân hàng luôn luôn đúng, còn khách hàng luôn luôn chịu thiệt. Nhiều khách hàng đã nảy sinh tâm lý bất an, thậm chí có người còn từ chối sử dụng thẻ để phòng rủi ro.
Một số trường hợp điển hình có thể thống kê được xảy ra trong thời gian gần đây liên quan đến vấn đề an ninh trong thanh toán và sử dụng thẻ, đặc biệt là thẻ ATM:30
Trường hợp thứ nhất là vụ việc của một khách hàng ngụ ở quận Thanh Khê, thành phố Đà Nẵng khiếu nại Ngân hàng Ngoại thương CN Đà Nẵng vì tài khoản của ông bị mất 8 triệu đồng vào ngày 10/10/2005. Theo các báo cáo chi tiết của VCB thì những giao dịch trên tài khoản được tiến hành vào các thời gian từ 11h42,11h43,11h45 và 11h46, tại máy số 11 đặt tại trụ sở Vietcombank chi nhánh Đà Nẵng, mỗi lần rút 2 triệu đồng. Về phía khách hàng thì khẳng định ngày 10/10 ông ở nhà làm việc, không hề đi rút tiền và “đảm bảo không có ai đụng chạm đến thẻ”. Ngoài ra, khách hàng cũng đưa ra lập luận là thời gian thể hiện các lần giao dịch liên tiếp nhau như vậy cho thấy các thao tác là quá nhanh so với khả năng của một người bình thường. Chưa kể, giữa hai bản kê (nhật ký giao dịch) do ngân hàng cung cấp (bản tiếng Anh và bản tiếng Việt) thì mốc thời gian giao dịch không khớp nhau, bản tiếng Anh ghi trước một giờ (Theo ngân hàng, sở dĩ có sự chênh lệnh giờ là do cài đặt). Câu trả lời của VCB Đà Nẵng đối với trường hợp này là những giao dịch trên hoàn toàn hợp lệ và không thể hiện một sự trục trặc nào liên quan đến lỗi của ngân hàng, ngân hàng khuyên khách hàng nên kiểm tra lại việc sử dụng thẻ của mình, tránh trường hợp bị lợi dụng để lấy mất tiền.
Trường hợp thứ hai liên quan đến ngân hàng Đầu tư – Phát triển khi bà Phạm Thị Chi (TPHCM), khách hàng của ngân hàng, cho biết đã mất 500.000 đồng vì máy chi tiền thiếu. BIDV trả lời rằng qua kiểm tra, đối chiếu, kết quả
30 PGS.TS Trần Hoàng Ngân – GV. Nguyễn Thị Thuỳ Linh, “Vấn đề an ninh thẻ - những vụ việc liên quan và
cho thấy “giao dịch thành công”. Câu trả lời này là phán quyết cuối cùng cho các khiếu nại của chủ thẻ ATM bị mất tiền.
Một trường hợp khác cũng là việc khách hàng thông báo bị mất tiền trong tài khoản ATM mở tại ngân hàng Ngoại thương chi nhánh TP.HCM. Khách hàng trong trường hợp này là bà Nguyễn Thị Thu Loan (Q.Phú Nhuận, TP.HCM), số tiền bị mất là 5 triệu đồng.VCB - TP.HCM cho biết vụ việc này đang được giải quyết. Theo ghi nhận của máy ATM cũng như các dữ liệu tại Trung tâm thẻ VCB - TP.HCM thì 5 triệu đồng của bà Loan được rút từ 16h49 đến 16h51 ngày 1/10 tại một máy ATM đặt trên đường Nguyễn Thị Minh Khai. Bà Loan khẳng định rằng ở thời điểm trên, bà đang đưa con đi khám mắt nên không thể nào rút tiền được.
Trường hợp thứ tư gây xôn xao nhất là vụ chị Trần Thị Thanh Thủy (Hà Nội). Cách đây vài tháng, chị Thủy đã làm đơn kiện ra tòa đòi NH kỹ thương bồi thường 30 triệu đồng.Theo trình bày của chị Thủy , ngày 18/1, khi thực hiện giao dịch rút tiền qua máy ATM ở sân bay Nội Bài, chị đã phát hiện tài khoản bị mất 30 triệu đồng và chị khẳng định rằng số tiền đó không do chị rút ra bởi vì chị luôn mang thẻ bên mình và chưa bao giờ cho người khác mượn. Ngoài ra, để chứng minh các thao tác kỹ thuật của ngân hàng chưa hoàn thiện, chị Thủy dẫn chứng, nhân viên Techcombank từng phát nhầm thẻ ATM của người khác (trùng tên) cho chị khiến chị không thể thực hiện được giao dịch. Nghiêm trọng hơn là vào ngày 24-28/1, việc rút tiền tại máy ATM đặt tại sân bay Nội Bài đã xảy ra sự cố. Nhiều khách hàng đặt lệnh rút 50.000 nhưng được nhận tờ 100.000 đồng. Chị Thủy cũng làm thử 10 giao dịch kiểu này, được trả thừa 500.000 đồng (Techcombank sau đó giải thích nguyên nhân là do nhân viên thủ quỹ đã nạp nhầm tiền 100.000 vào khay loại 50.000 đồng). Theo phía TCB thì việc rút tiền bằng thẻ ATM chỉ có thể thực hiện được khi người rút có thẻ trong tay và biết mã PIN. Bất cứ ai có thẻ và mã PIN trong tay đều có thể thực hiện được lệnh rút tiền, không phân biệt người đó có phải là chủ thẻ hay không. Cụ thể đối với trường hợp của chị Thủy, ngân hàng đã ghi nhận 16 lần giao dịch rút tiền tổng
tại máy rút tiền tự động ATM ở khu vực Thái Hà (máy của Vietcombank - ngân hàng liên minh thẻ với Techcombank) và sân bay Nội Bài (máy của Techcombank) với mã PIN hợp lệ.
Hội đồng xét xử đã đưa ra phán quyết cuối cùng cho vụ kiện là Techcombank đã làm đúng trách nhiệm vì vậy yêu cầu đòi bồi thường của chị Thủy không được chấp nhận. Vụ kiện này đã để lại sự hoang mang lo lắng của không ít người đang sử dụng thẻ ATM. Rất nhiều người đặt nghi vấn về phía ngân hàng. Ngược lại, dịch vụ ATM-banking của các hệ thống ngân hàng cũng bị ảnh hưởng dây chuyền không ít về mặt uy tín.
Trường hợp thứ năm là một khó chịu khách hàng gặp phải do máy trả thiếu tiền. Đó là ông Nguyễn Văn Dũng - một khách hàng dùng ATM của VCB - khi rút tiền đã bị máy ATM trừ nhầm đi 1 triệu đồng trong tài khoản. Qua tìm hiểu, ngân hàng ngân hàng đã hoàn tiền cho khách hàng do đây là lỗi của thiết bị.
Trường hợp thứ sáu của khách hàng Nguyễn Ngọc Quang ngụ tại TP.HCM khiếu nại bị mất 2,5 triệu đồng. Ngân hàng ngoại thương Việt Nam cho biết theo thông tin ghi lại của hệ thống thì đã có hai giao dịch rút tiền từ thẻ của anh Quang ở Siêu thị An Phú. Anh Quang yêu cầu VCB cung cấp băng ghi hình ghi lại các giao dịch tại nơi đặt máy ATM nhưng VCB chỉ có các báo cáo từ máy tính. Tuy nhiên, theo quy định về sử dụng thẻ thì các báo cáo từ hệ thống giao dịch là cơ sở để chứng minh giao dịch hợp lệ và thành công.
Trường hợp thứ bảy là việc Ngân hàng Đông Á (EAB) cũng đã từng bị một cán bộ ngân hàng khiếu nại vì mất tiền trên thẻ. Sau khi kiểm tra lại băng ghi hình, hóa ra người rút tiền là nhân viên của vị cán bộ này, đã được đưa thẻ, cung cấp mật mã giao dịch để đi rút tiền.
Ngoài ra, một khách hàng ở Đà Nẵng của NHTMCP Đông Á đã khiếu nại bị mất 10 triệu trong tài khoản, tuy nhiên khi ngân hàng điều tra và xem lại băng ghi hình thì thấy rằng thủ phạm lấy tiền của khách hàng chính là người bạn trai của cô, do cô đã bất cẩn để lộ số PIN cũng như để bạn lấy trộm thẻ. Đối với
những trường hợp khiếu nại như vậy, ngân hàng đã giải quyết được trọn vẹn với một phương châm hết sức mới mẻ, đó là luôn tôn trọng và không nghi ngờ khách hàng, những sai sót trong giao dịch được xem là nhầm lẫn, những thiếu sót bảo mật được xem là khách hàng bất cẩn và mục tiêu cao nhất là gia tăng niềm tin của khách hàng.
Như vậy, cùng với sự tăng trưởng mạnh của ATM-banking, những rủi ro pháp lý và uy tín trong dịch vụ này mà ngân hàng phải đối mặt cũng tăng cao. Trong những vụ tranh chấp đó, cả ngân hàng và khách hàng đều có cách lập luận riêng, ai cũng cho rằng mình đúng. Kết quả cuối cùng là cả hai bên đều bị thiệt. Cái thiệt của khách hàng chính là tiền bạc, thời gian, còn cái thiệt của ngân hàng ngoài những trường hợp đền bù về vật chất thì còn là những cái thiệt về mặt uy tín, và lòng tin của khách hàng dành cho ngân hàng, đây là những cái thiệt lớn nhất và một khi đã mất đi rồi thì không dễ dàng để có thể lấy lại được.
3.2. Quản trị rủi ro uy tín và pháp lý trong hoạt động ngân hàng điện tử tại các ngân hàng thương mại Việt Nam ngân hàng thương mại Việt Nam
Tại nhiều quốc gia, khi xảy ra rủi ro, các ngân hàng thường áp dụng theo hình thức: khách hàng luôn luôn đúng, tức là ngân hàng sẽ tạm thời chịu thiệt. Việc chứng minh người dùng cố tình vi phạm thuộc nhiệm vụ của toà án và nếu có sẽ xử theo luật. Tuy nhiên, ở Việt Nam một số vụ việc lại phản ánh tình hình ngược lại. Đa số tiền cứ rút ra khỏi tài khoản là coi như khách hàng đã rút tiền.
Nhiều ý kiến cho rằng, Ngân hàng Nhà nước cấp phép cho các NHTM cung ứng dịch vụ thẻ nhưng chưa có biện pháp bảo vệ quyền lợi người tiêu
