3.2.2.1 Tiếp tục hoàn thiện và triển khai hệ thống phát hành và thanh toán Thẻ sang chuẩn EMV
Thẻ làm theo công nghệ EMV (thẻ chip) được mã hoá bằng thuật toán khó phát hiện hơn và sử dụng công nghệ hiện đại nhất hiện nay ngăn ngừa việc tổ chức tội phạm thẻ sử dụng thiết bị để đọc trộm thông tin mã hoá trong
thẻ. Ngoài ra, thẻ chip còn có khả năng lưu trữ được nhiều thông tin hơn về chủ thẻ và có thể cập nhật được các thông tin mới hoặc các thông tin thay đổi mà không cần in lại thẻ. Các thông tin về giao dịch thẻ, hạn mức tín dụng của thẻ cũng như tình trạng của thẻ được cập nhật và lưu trữ trong chip đảm bảo cho việc thanh toán ngay cả trong trường hợp đường truyền bị lỗi, không thực hiện việc liên lạc với ngân hàng phát hành, hạn chế rủi ro cấp phép qua hệ thống dự phòng của TCTQT.
Hiện nay bọn tội phạm đã tìm ra thiết bị Skimming để copy dữ liệu từ những chiếc thẻ từ để làm ra những chiếc thẻ giả. Do vậy, việc triển khai hệ thống thanh toán và phát hành theo chuẩn EMV là vô cùng cần thiết để hạn chế tối đa những rủi ro do giả mạo gây ra. Mặt khác, theo quy định của TCTQT, các ngân hàng thanh toán không chuyển hệ thống sang chuẩn EMV khi tiếp nhận và thanh toán thẻ chip nếu rủi ro xảy ra ngân hàng thanh toán hoàn toàn chịu trách nhiệm (trước đây NHPH chịu trách nhiệm). Do vậy, việc nâng cấp đồng bộ hệ thống thanh toán thẻ sang chuẩn EMV (gồm cả mạng lưới POS và ATM) là cấp thiết nhằm tránh những rủi ro có thể xảy ra.
3.2.2.2 Triển khai hệ thống quản lý rủi ro cho nghiệp vụ thẻ
Áp dụng chương trình kiểm tra, giám sát giao dịch mới giúp phát hiện sớm các giao dịch bất thường. Hệ thống quản lý rủi ro cho nghiệp vụ thẻ: là hệ thống cho phép Trung tâm thẻ quét và chấm đối chiếu các giao dịch thẻ hàng ngày (trực tuyến). Căn cứ các quy định về hạn mức theo từng hạng thẻ (khách hàng, ĐVCNT) mà chương trình quản lý có thể phát hiện, cảnh báo và tách ra các giao dịch bất thường so với thói quen chi tiêu của chủ thẻ cũng như doanh số giao dịch hàng ngày (hàng tháng) để ngân hàng có thể giám sát và quản lý. Chính vì vậy, chương trình cũng có thể chấm điểm và phân loại khách hàng theo các cấp độ rủi ro khác nhau. Giúp cán bộ theo dõi và đưa ra những giải pháp hiệu quả.
Ngân hàng cần triển khai hệ thống này để có một bước thay đổi toàn diện trong công tác quản lý rủi ro thẻ tín dụng. Có như vậy, cán bộ quản lý rủi ro thẻ mới không mất quá nhiều thời gian vào công việc chấm báo cáo giao dịch để tìm ra những giao dịch giả mạo, mà có nhiều thời gian hơn cho công tác nghiên cứu và đưa ra những giải pháp hiệu quả trong phòng ngừa rủi ro. Nghiên cứu xu hướng tội phạm thẻ trong khu vực và quốc tế để có những giải pháp phòng chống giả mạo phù hợp mang tính lâu dài. Triển khai hệ thống quản lý rủi ro cho phép cán bộ thẻ kiểm soát các giao dịch thẻ tín dụng trực tuyến theo tiêu chuẩn quốc tế. Điều đó cũng có nghĩa là bất cứ một giao dịch của chủ thẻ hoặc các giao dịch tại ĐVCNT nếu bất thường so với thói quen chi tiêu, hạn mức cho phép của chủ thẻ cũng như tăng đột biến so với doanh số thanh toán hàng tháng của ĐVCNT... đều bị phát hiện tức thì và được cảnh báo để theo dõi và ngăn chặn kịp thời. Như vậy sẽ hạn chế tối đa thiệt hại cho chủ thẻ và cho ngân hàng.
3.2.2.3 Đảm bảo sự hoạt động ổn định, an toàn của hệ thống
Quản trị hệ thống trong hoạt động kinh doanh thẻ luôn đóng vai trò vô cùng quan trọng, nó đảm bảo tính bí mật về hệ thống quản lý thẻ và sự bảo mật các thông tin về chủ thẻ và ĐVCNT trên mạng và trong hệ thống quản lý thẻ thông qua quản lý việc truy cập. Do vậy, ngoài việc đảm bảo sự hoạt động liên tục ổn định của hệ thống quản lý thẻ (hệ thống thông tin khách hàng, hệ thống ATM, POS, hệ thống xử lý dữ liệu và các hệ thống kỹ thuật khác có liên quan), đảm bảo sự kết nối tối đa của hệ thống quản lý thẻ với TCTQT thì công tác quản trị mạng còn phải đảm bảo ngăn chặn sự truy cập trái phép của các hacker, tiêu diệt hoàn toàn những virus phá hoại. Để làm được điều đó cán bộ quản trị mạng phải luôn trau dồi nghiệp vụ kỹ thuật và trực tiếp liên hệ với TCTQT để tổ chức cập nhật và nâng cấp định kỳ hệ thống quản lý thẻ theo quy định của TCTQT, đảm bảo hệ thống luôn đáp ứng yêu cầu và đạt tiêu chuẩn của các TCTQT.
3.2.2.4 Phối hợp chặt chẽ với các TCTQT trong các hoạt động kinh doanh thẻ và chương trình quản lý rủi ro toàn cầu
Trung tâm Thẻ NHTCP Ngoại Thương VN phối hợp với TCTQT dưới hình thức theo dõi báo cáo sử dụng và thanh toán thẻ của ngân hàng, và các báo cáo về giả mạo thẻ của TCTQT cung cấp để nắm được tình hình, diễn biến, xu hướng giả mạo trong hoạt động kinh doanh thẻ. Trao đổi các thông tin liên quan tới giả mạo để phối hợp đưa ra những giai pháp tích cực nhằm hạn chế rủi ro.
Việc phối hợp với TCTQT cho phép ngân hàng có được nhiều luồng thông tin tin cậy chính xác về tình hình, diễn biến, xu hướng giả mạo trong hoạt động thẻ trên thế giới, trong khu vực cũng như của ngân hàng mình. Trên cơ sở các thông tin thu được, căn cứ vào thực tế hoạt động thẻ của ngân hàng để đưa ra những giải pháp phòng ngừa có hiệu quả.
Mặt khác, cần phối hợp và khai thác tối đa chức năng của các chương trình giám sát và phát hiện sớm rủi ro mà TCTQT xây dựng để hỗ trợ cho các ngân hàng thành viên. Cụ thể:
• Dịch vụ thông tin giả mạo toàn cầu (Global Fraud Information Service - GFIS): dịch vụ này làm nhiệm vụ kết nối và lưu chuyển các thông tin về giả mạo, lừa đảo trong hoạt động thẻ giữa các tổ chức thành viên trên toàn cầu thông qua thư điện tử. Ngoài ra GFIS còn cung cấp các công cụ khác như: diễn đàn nơi các thành viên có thể trao đổi thông tin về điều tra và phòng chống giả mạo, số liệu thống kê định kỳ hàng tháng và quý về giả mạo thẻ, những thông tin cập nhật về luật pháp liên quan đến giả mạo thẻ tại các nước
• Dịch vụ phát hiện rủi ro (Risk Identification Service - RIS): RIS hỗ trợ các ngân hàng thanh toán trong việc theo dõi các hoạt động liên quan đến giả mạo tại các ĐVCNT. RIS thu thập thông tin về các hoạt động của các ĐVCNT như doanh số giao dịch, yêu cầu tra soát, bồi hoàn, số giao dịch giả
mạo. Một chương trình đánh giá rủi ro sẽ sử dụng các thông số để đánh giá hoạt động của các ĐVCNT và khi các thông số đến một ngưỡng nào đó RIS sẽ gửi một bản báo cáo về ĐVCNT đến ngân hàng thanh toán thông qua hệ thống quản lý phân phối báo cáo. Trong báo cáo sẽ có các thông tin về hoạt động của các ĐVCNT và 6 mức cảnh báo dựa trên các thông tin đó.
• Dịch vụ cảnh báo về ĐVCNT quốc gia (National Merchant Alert Service - NMAS): NMAS lưu trữ thông tin về những ĐVCNT đã từng bị chấm dứt hợp đồng do có những hành vi liên quan đến giả mạo, có mức đòi bồi hoàn cao hoặc đã từng vi phạm các điều khoản trong hợp đồng chấp nhận thẻ. Khi ngân hàng thẩm định, chuẩn bị ký kết hợp đồng chấp nhận thanh toán thẻ với một đơn vị mới, ngân hàng có thể cập nhật cơ sở dữ liệu của NMAS và xác định xem ĐVCNT đó có nằm trong danh sách các ĐVCNT có độ rủi ro cao hay không. Đồng thời NMAS cũng có chế độ tự động thông báo cho ngân hàng thanh toán nếu có một ĐVCNT được đưa lên danh sách cảnh báo trong vòng 180 ngày sau khi ngân hàng có đưa ra yêu cầu được biết thông tin về ĐVCNT đó.
3.2.2.5 Đảm bảo an toàn cho hệ thống ATM
Triển khai chương trình quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa cho hệ thống ATM.
Do đặc thù của mạng lưới ATM là phục vụ khách hàng mọi nơi mọi lúc nên phần lớn các ATM hoạt động bên ngoài trụ sở ngân hàng 24/24. Do vậy, việc kiểm tra giám sát các nguy cơ rủi ro có thể xảy ra cho các ATM này là không thể thường xuyên liên tục như với các ATM đặt tại trục sở chính. Chính vì vậy luôn tiềm ẩn nguy cơ mạng lưới ATM bị lợi dụng để thực hiện các giao dịch giả mạo. Để tránh rủi ro xảy ra, NHTMCP Ngoại Thương VN đã và đang sử dụng những ATM thế hệ mới có khả năng phát hiện những thiết bị ngoại vi. Qua đó ATM lập tức sẽ ngừng hoạt động nếu có thiết bị ngoại vi gắn vào thân máy ATM. Tuy nhiên, để cảnh giác với những thủ đoạn ngày
một tinh vi vủa tội phạm thẻ, cán bộ thẻ khi đi tiếp quỹ ATM cần thường xuyên kiểm tra các tình trạng an toàn của ATM, bất cứ một khác biệt nhỏ cũng phải cho ATM ngừng hoạt động và báo cáo trung tâm để có biện pháp xử lý kịp thời. Hệ thống Camera theo dõi hoạt động của ATM cũng là công cụ phòng chống tội phạm thẻ và giúp đỡ ngân hàng trong công tác giải quyết các tra soát khiếu nại của khách hàng về các giao dịch tại ATM.
Cài đặt chương trình quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa để bảo vệ tốt hơn nữa hệ thống ATM khỏi sự truy cập trái
phép, loại bỏ hoàn toàn nguy cơ ATM bị ảnh hưởng bởi virus hoặc các phần mềm phá hoại. Đây là chương trình bảo vệ nền chỉ cho phép cập nhật hoặc cài đặt những chương trình đã được nhận dạng và đăng ký trên hệ thống thông qua user admin. Như vậy, tất cả sự truy cập và cài đặt trái phép cũng như các virus thâm nhập vào hệ thống ATM đều bị phát hiện và tiêu diệt. Vĩnh viễn không phải cập nhật chương trình diệt virus cho ATM. Mặt khác, mọi chương trình thay đổi trên ATM đều có thể cài đặt tập trung tại Trung ương mà không cần phải cài tại chi nhánh hoặc trực tiếp trên ATM. Bên cạnh đó, chương trình quản lý nhật ký điện tử tập trung còn cho phép cung cấp các số liệu liên quan tới tra soát khiếu nại một cách nhanh nhất để xử lý, góp phần nâng cao chất lượng dịch vụ thẻ của ngân hàng.
3.2.2.6 Hạn chế rủi ro phát sinh từ các ĐVCNT
Hướng dẫn và thường xuyên kiểm tra công tác thanh toán thẻ tại các ĐVCNT
Tăng cường công tác thẩm định hồ sơ đăng ký ĐVCNT nhằm tránh việc chấp nhận các đơn vị gian lận giả mạo. Cán bộ CN phải kiểm tra thực tế tại địa diểm, nơi hoạt động kinh doanh của đơn vị nhằm đảm bảo đơn vị có hoạt động kinh doanh và có nhu cầu thanh toán thẻ thực sự. Phải kiểm tra hoạt động kinh doanh của đơn vị có đúng với loại hình đã được các cơ quan chức
năng cấp phép không. Hồ sơ, hợp đồng với ĐVCNT phải đầy đủ, hợp pháp, tuân thủ các điều khoản trong Hợp đồng, tránh hiện tượng hợp đồng thiếu thông tin, không ký, đóng dấu hoặc thiếu bản lưu.
Phải thiết lập hợp đồng chi tiết giữa ngân hàng và ĐVCNT về hoạt động chấp nhận thanh toán thẻ, theo đó qui định, hướng dẫn cụ thể ĐVCNT qui trình chấp nhận thanh toán thẻ, các quyền lợi và nghĩa vụ liên quan. Qui định rõ khung chế tài cụ thể trong các trường hợp vi phạm hợp đồng... Để cho các ĐVCNT ý thức được rằng bảo vệ thông tin cho chủ thẻ giao dịch tại đơn vị, thực hiện các giao dịch theo đúng quy trình mà ngân hàng hướng dẫn chính là tự bảo vệ ĐVCNT của mình khỏi sự lợi dụng của tội phạm thẻ gây thiệt hại cho ngân hàng, chủ thẻ và chính bản thân ĐVCNT, nâng cao uy tín của dơn vị trong kinh doanh.
Thường xuyên hướng dẫn, kiểm tra hoạt động của ĐVCNT về công tác đảm bảo an toàn trong thanh toán thẻ, cách nhận biết thẻ giả và các giao dịch giả mạo. Máy EDC (máy đọc thẻ) cần được niêm phong và kiểm tra bất chợt thường xuyên trình trạng máy. Phối hợp với các cơ quan chức năng (công an) để xử lý các ĐVCNT có hành vi giả mạo.
Cảnh báo các ĐVCNT có độ rủi ro cao như: ĐVCNT kinh doanh vàng bạc, đá quý, đồ trang sức...về nguy cơ thẻ giả vì loại hình hàng hoá này thường có giá trị lớn và có tính chất dễ chuyển đổi sang tiền mặt do vậy bọn tội phạm thẻ thường tập trung vào các ĐVCNT loại này. Lập hợp đồng mua bán chi tiết giữa chủ thẻ và ĐVCNT, theo đó qui định rõ về các nội dung cơ bản sau:
+ Loại hình hàng hoá, tiêu chuẩn kỹ thuật, mầu sắc, kích cỡ, số lượng...
+ Giá cả. (đã bao gồm phí vận chuyển chưa?). Cần qui định rõ phí vận chuyển từ đâu đến đâu? Các loại phí khác (local charges) ai sẽ chịu?
+ Bảo hiểm hàng hoá. + Thời hạn giao nhận hàng.
+ Thời hạn phải thông báo trước nếu muốn huỷ bỏ hợp đồng. + Chế tài nếu vi phạm hợp đồng.
Đảm bảo được những quy định cụ thể đó thì các ĐVCNT mới tránh được những rủi ro có thể xảy ra khi cung cấp hàng hoá dịch vụ cho khách hàng, đặc biệt đối với những khách hàng ở xa hoặc ở nước ngoài.
3.2.2.7 Hướng dẫn chủ thẻ sử dụng thẻ an toàn, hiệu quả
Chủ thẻ là những người trực tiếp sử dụng thẻ để thanh toán, chủ thẻ sử dụng thẻ đúng cách sẽ đảm bảo việc thực hiện giao dịch thanh toán thành công và an toàn. Chính vì vậy, để hạn chế các rủi ro có thể xảy ra trong quá trình sử dụng thẻ tín dụng, trong công tác phát hành và giới thiệu sản phẩm thẻ, ngoài việc cung cấp những tiện ích vượt trội của sản phẩm thì các tài liệu hướng dẫn chủ thẻ phải đảm bảo những thông tin quan trọng, cần thiết cho việc thực hiện thanh toán thẻ, giúp cho chủ thẻ hiểu rõ việc sử dụng thẻ và bảo quản thẻ cũng như các thông tin cá nhân liên quan cũng chính là biện pháp tốt nhất tự bảo vệ mình khỏi sự lợi dụng của tội phạm. Trong hướng dẫn sử dụng thẻ, ngân hàng khuyến cáo khách hàng bảo quản thông tin thẻ, không để lộ các thông tin thẻ của mình cho người khác biết, cẩn thận trong việc mua sắm trên mạng, không nên mua sắm hàng hoá, cung cấp thông tin thẻ để thực hiện thanh toán trên các trang Web hay cho các ĐVCNT không tin cậy, chủ thẻ không biết rõ. Không giao dịch tại những ATM có những thiết bị khác lạ, khả nghi....
Để tránh tình trạng thẻ bị skimming, giao dịch thanh toán bị thực hiện nhiều lần, số tiền cấp phép lớn hơn số tiền khách hàng phải thanh toán... , ngân hàng khuyến cáo chủ thẻ các thủ đoạn skimming, thủ đoạn gian lận thẻ, yêu cầu ĐVCNT tiến hành cà thẻ thanh toán trong phạm vi kiểm soát, tầm
nhìn của mình để đề phòng đơn vị skimming thẻ. Chủ thẻ chỉ ký vào hoá đơn thanh toán đã điền đầy đủ và chính xác các thông tin giao dịch, không ký trước cho đơn vị, yêu cầu đơn vị huỷ hoá đơn giao dịch trước mặt mình nếu không thực hiện thanh toán nữa. Ngoài ra, nếu chủ thẻ phát hiện có bất kỳ dấu hiệu nghi ngờ giả mạo nào trong quá trình thanh toán thì chủ thẻ nên liên lạc ngay với ngân hàng phát hành thẻ để theo dõi và có các biện pháp xử lý kịp thời,
hạn chế các rủi ro có thể xảy ra.
Khuyến khích chủ thẻ sử dụng dịch vụ nhắn tin chủ động SMS banking. Chủ thẻ sẽ nhận được tin nhắn báo khi có gaio dịch thẻ phát sinh. Đây cũng là giải pháp hữu hiệu nhằm ngăn chặn tình trạng gian lận.
3.2.2.8 Tuân thủ chặt chẽ quy trình nghiệp vụ
Thời gian qua, các rủi ro về hoạt động kinh doanh thẻ thường xảy ra do