Do đặc thù của mạng lưới ATM là phục vụ khách hàng mọi nơi mọ i lúc nên phần lớn các ATM hoạt động bên ngoài trụ sở ngân hàng 24/24. Do vậy, việc kiểm tra giám sát các nguy c rủi ro có thể xảy ra cho các ATM này là không thể thường xuyên liên tục như với các ATM đặt tại Trụ sở chính. Chính vì vậy luôn tiềm ẩn nguy c ơ mạng lưới ATM bị lợi dụng để thực hiện các giao dị ch giả mạo. Để hạn chế rủi ro xảy ra, các NHTM Việt Nam đã và đang sử d ng những ATM thế hệ mới có khả năng phát hiện những thiết b ngoại vi. Qua đó ATM lập tức sẽ ngừng hoạt động nếu có thiết bị ngoại vi gắn vào thân máy ATM. Tuy nhiên, để cảnh giác với những thủ đoạn ngày một tinh vi của tội phạm thẻ, cán bộ thẻ khi đi tiếp quỹ ATM cần thường xuyên kiểm tra các tình trạng an toàn của ATM, bất cứ một khác biệt nhỏ cũng phải cho ATM ngừng hoạt động và chủ động báo cáo k p th i lên Trung tâm Thẻ để có biện pháp xử lý kịp thời. Trang b ị Hệ thống Camera tập trung nhằm theo dõi hoạt động của ATM cũng là công cụ phòng chống tội phạm thẻ và giúp đỡ các NHTM Việt Nam trong công tác giải quyết các tra soát khiếu nại của khách hàng về các giao d ch tại ATM.
Chương trình quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa để bảo vệ tốt hơn nữa hệ thống ATM khỏi sự truy cập trái phép, loại bỏ hoàn toàn nguy c ơ ATM b ị ảnh hưởng bởi virus hoặc các phần mềm phá hoại. Đây là chương trình bảo vệ nên chỉ cho phép cập nhật hoặc cài đặt những chương trình đã được nhận dạng và đăng ký trên hệ thống thông qua User Admin. Như vậy, tất cả sự truy cập và cài đặt trái phép cũng như các Virus thâm nhập vào hệ thống ATM đều bị phát hiện và tiêu diệt. Vĩnh viễn không phải cập nhật ch ng trình diệt Virus cho ATM. Mặt khác, m i ch ng trình thay đổi trên ATM đều có thể cài đặt tập trung tại Trung ương mà không cần phải cài tại chi nhánh hoặc trực tiếp trên ATM. B ên cạnh đó, chương trình quản lý nhật ký điện tử tập trung còn cho phép cung cấp các số liệu liên quan tới tra soát khiếu nại một cách nhanh nhất để xử lý, góp phần nâng cao chất lượng dịch vụ thẻ của ngân hàng. Ngoài ra, các NHTM Việt Nam phải trang bị thiết b ị phần cứng và chương trình phần mềm nhằm phòng chống sao chép thông tin của chủ thẻ khi thực hiện giao dị ch tại ATM (Skimming). Lắp đặt thiết b báo động tại ATM nhằm phòng ngừa kẻ gian cậy, khò, phá máy ATM gây rủi ro cho ngân hàng. Đặt máy ATM ở những vị trí hợp lý, có bảo vệ trực nhằm tránh kẻ gian trộm cắp/đập phá máy.
3.2.5. Đào tạ o, tập huấn và kiểm tra Đơn vị chấp nhận thẻ
Để hạn chế rủi ro phát sinh khi ngân hàng đóng vai trò là NHTT, các NHTM Việt Nam đều có các ch ng trình đào tạo, tập huấn ĐVCNT ngay sau khi ký kết Hợp đồng chấp nhận thanh toán thẻ, lắp đặt các thiết b ị cần thiết. ĐVCNT sau khi thực hiện quẹt thẻ qua thiết b ị EDC phải thực hiện kiểm tra các yếu tố bảo mật trên thẻ như: ảnh của chủ thẻ, chữ ký, dải từ, biểu tượng hologram, các yếu tố bảo mật đảm bảo thẻ không bị tẩy xoá. Ngoài ra, ĐVCNT cũng phải l u ý đến việc đối chiếu dữ liệu thẻ thể hiện trên thiết b EDC với dữ liệu trên thẻ đảm bảo sự khớp đúng tuyệt đối.
Trong quá trình thanh toán thẻ, ĐVCNT có thể gặp phải một số trường hợp bất thường khi quẹt thẻ để yêu cầu cấp phép chuẩn chi như: phản hồi chuẩn chi yêu cầu ĐVCNT liên lạc NHPH, hay thực hiện cấp phép Code 10. Những trường hợp phản hồi cấp phép như trên là một trong những biểu hiện của giao dịch nghi vấn, ĐVCNT phải cẩn thận kiểm tra, thực hiện thao tác liên lạc với NHTT để được hướng dẫn đầy đủ tránh những tổn thất phát sinh cho ĐVCNT.
Một số NHTM Việt Nam có chương trình đào tạo đị nh kỳ cho ĐVCNT, ngoài việc cung cấp kiến thức trong thanh toán thẻ, ngân hàng còn cập nhật những thông tin mới trong công nghệ thanh toán, cách thức để hạn chế rủi ro tối u khi gian lận thẻ ngày càng tinh vi, hiện đại. Theo đánh giá của các ngân hàng thì việc đào tạo ĐVCNT đã đem lại hiệu quả rõ rệt, tỷ lệ thẻ gian lận tại ĐVCNT giảm đáng kể so với tr ớc khi ĐVCNT đ ợc tập huấn. Ngoài việc đào tạo trực tiếp, ngân hàng cũng gửi các tờ rơi hướng dẫn các thao tác khi thanh toán thẻ, cách thức nhận biết thẻ giả, hành vi nghi ngờ của chủ thẻ, cung cấp cho ĐVCNT thiết b nhận biết thẻ giả cũng nh việc phối hợp với ngân hàng khi có rủi ro phát sinh. H n nữa các ĐVCNT cũng đ ợc khuyến cáo hạn chế việc thay đổi giao d ch viên thanh toán thẻ để hạn chế việc phải đào tạo lại cũng như gian lận của chính giao dịch viên.
Rủi ro thẻ cũng có thể phát sinh do ĐVCNT gian lận và NHTT phải gánh ch u tổn thất này. Vì vậy, ngoài việc theo dõi doanh số giao d ch tại ĐVCNT, ngân hàng phải thực hiện những cuộc kiểm tra bất thường nhằm phát hiện ngăn chặn những hành vi gian lận tại ĐVCNT. Đặc biệt, rủi ro rất dễ phát sinh khi chủ thẻ thực hiện giao dịch tại một số loại hình đơn vị chấp nhận thẻ là nhà hàng, quán bar, casino, vì chủ thẻ không chứng kiến quá trình quẹt thẻ của giao dịch viên, điều này dễ dẫn đến tình trạng giao dịch viên gian lận quẹt thẻ nhiều lần hoặc đánh cắp, sao chép dữ liệu thẻ của chủ thẻ. Do
vậy, việc kiểm tra thường xuyên ĐVCNT của ngân hàng có thể phát hiện các thiết b ị lạ gắn trên EDC để sao chép dữ liệu thẻ.
3.2.6. Thực hiện các chương trình phòng ngừa rủi ro của các TCTQT
Các TCTQT xây dựng các chương trình phòng ngừa rủi ro và yêu cầu các ngân hàng thành viên phải thực hiện nhằm giám sát, theo dõi và cảnh báo toàn cầu đối với các giao dịch gian lận, giả mạo thẻ. Một số chương trình phòng ngừa rủi ro phổ biến bao gồm:
3.2.6.1. Chương trình SAFE (System to Avoid Fraud Effectively)
SAFE là chương trình Online giúp các ngân hàng thành viên truy cập để báo cáo các giao dịch gian lận, giả mạo dẫn đến tranh chấp đòi bồi hoàn giữa NHPH và NHTT. Đây là chương trình kết nối thông tin phòng ngừa rủi ro thẻ giữa NHPH, NHTT và TCTQT. Dựa trên số liệu báo cáo, TCTQT sẽ thực hiện thống kê, đánh giá và thông báo tới NHPH. Hàng quý, TCTQT sẽ gủi các báo cáo đến các NHTV nhằm mục đích cảnh báo đối với các ĐVCNT có mức độ rủi ro cao.
3.2.6.2. Chương trình GMAP (Global Merchant A udit Program)
GMAP nhằm mục đích theo dõi các ĐVCNT có giao dịch gian lận, giả mạo. GMAP giúp giảm thiểu các tổn thất do giao dịch gian lận bằng việc xác định các ĐVCNT có số lượng giao d ịch gian lận vượt mức cho phép và từ đó TCTQT sẽ đ a ra các yêu cầu tới NHTT chấm dứt hoạt động thanh toán thẻ của ĐVCNT hoặc phải chấp nhận những tổn thất do tranh chấp bồi hoàn của NHPH. Một số giới hạn TCTQT đưa ra cho các ĐVCNT như: số lượng giao dịch gian lận so với doanh số bán hàng ở mức từ 3-4,99%, có 03 giao dịch gian lận/tháng, số tiền gian lận đạt USD 3.000, v.v... Đối với từng cấp độ rủi ro, TCTQT sẽ yêu cầu NHTT phải có những hành động c thể đối với ĐVCNT.
3.2.6.3. Chương trình MATCH (Merchant Alert to Control High Risk)
MATCH được xây dựng nhằm mục đích lưu trữ các thông tin về ĐVCNT đã bị các NHTT chấm dứt hoạt động thanh toán thẻ do có liên quan đến rủi ro như: số lượng giao dịch tranh chấp bồi hoàn lớn, số lượng giao dịch gian lận lớn, rửa tiền, các giao d ịch vi phạm pháp luật, v.v.. .Các NHTT trước khi ký kết hợp đồng với ĐVCNT thực hiện truy cập MATCH để kiểm tra ĐVCNT có nằm trong danh sách ĐVCNT có tiềm năng rủi ro cao. Như vậy, MATCH giúp các NH trên toàn cầu kiểm tra thông tin ĐVCNT mà NH sắp thiết lập quan hệ đại lý thanh toán và trong trường hợp phát hiện ĐVCNT đã có l ịch sử thanh toán liên quan đến gian lận, NHTT sẽ không thực hiện ký kết hợp đồng thanh toán.
3.2.6.4. Chương trình CPP (Common Purchasing Point)
CPP nhằm xác định các ĐVCNT mà tại đó đã phát sinh việc sao chép dữ liệu thẻ nhằm hạn chế các giao d ch gian lận thẻ phát sinh. ựa trên báo cáo của các NHPH, TCTQT sẽ xác định ĐVCNT đã sao chép dữ liệu thẻ và yêu cầu NHTT thực hiện việc kiểm tra ĐVCNT ngay lập tức. Sau đó, NHTT phải báo cáo kết quả kiểm tra tới NHPH và TCTQT, và có những hành động phù hợp nh : chấm dứt chấp nhận thanh toán thẻ với ĐVCNT, phạt ĐVCNT về việc vi phạm quy định bảo mật dữ liệu thẻ, v.v...
B ên cạnh những chương trình phòng ngừa rủi ro trên, TCTQT có rất nhiều chương trình khác giúp NHPH, NHTT cảnh báo, phòng ngừa hạn chế rủi ro một cách hiệu quả. Theo thống kê của TCTQT, các NH thành viên tuân thủ chặt chẽ các chương trình phòng ngừa do TCTQT đưa ra đã đạt được những kết quả đáng kể trong những năm qua. H n nữa, các TCTQT th ờng xuyên gửi những báo cáo toàn cầu về rủi ro thẻ, cập nhật thông tin về phòng ngừa rủi ro thẻ trên thế giới và cũng khuyến cáo việc trao đổi thông tin rủi ro
thường xuyên giữa các NH thành viên trong đấu tranh phòng chống tội phạm đối với hoạt động dịch vụ thẻ.
3.2.7. Xây dựng h ệ thố ng phân tích, cảnh b áo rủi ro của Ngân hàng
Một trong những giải pháp giúp các ngân hàng tự bảo vệ trước xu hướng gian lận, giả mạo thẻ ngày càng gia tăng là xây dựng hệ thống phân tích, cảnh báo rủi ro thẻ (Fraud Analysis). Hệ thống phân tích rủi ro theo dõi các giao dịch của chủ thẻ, ĐVCNT dựa trên các tiêu chí mà ngân hàng xây dựng. Một số tiêu chí cụ thể đối với NHTT bao gồm:
- Số lượng các yêu cầu chuẩn chi tăng so với mức thông thường của ĐVCNT.
- Doanh số bán hàng của ĐVCNT tăng đột biến (loại trừ trường hợp ĐVCNT tổ chức các chương trình khuyến mãi).
- Số tiền/giao dịch, số lượng giao dịch tại ĐVCNT tăng.
- Giao dị ch vào các giờ nhạy cảm: Theo dõi các ĐVCNT có giời giao dịch bất thường, cảnh báo các giao dịch xảy ra vào các giờ nhạy cảm
như giờ
đóng, mở của của ĐVCNT.
- ĐVCNT không hoạt động thanh toán: Các ĐVCNT không phát sinh giao dịch trong một thời gian nhất định.
- Giao dị ch hoàn trả: Các ĐVCNT có số lượng giao dịch hoàn trả lớn. - Giao dịch yêu cầu chuẩn chi bị từ chối: Số lượng giao dịch chuẩn chi bị
từ chối lớn, v.v...
Một số tiêu chí áp dụng để cảnh báo cho chủ thẻ đối với NHPH bao gồm:
- Giá trị giao dị ch lớn.
- Giao dị ch thẻ phát sinh tại các nước khác nhau trong thời gian ngắn. - Giao dị ch thẻ bị từ chối liên tiếp, v.v...
3.2.8. Nâng cao hiệu lực ch ế tài đố i với chủ thẻ, ĐVCNT gian lận
Hiện tại, các NHTM Việt Nam đã ban hành quy trình nghiệp vụ thanh toán, phát hành thẻ điều chỉnh các hoạt đông liên quan đến giao dịch thẻ và được sử dụng trong nội hộ hệ thống ngân hàng. Tuy nhiên, các ngân hàng đều chưa đưa ra các chế tài rõ ràng đối với hành vi gian lận, giả mạo thẻ của chủ thẻ, ĐVCNT. Để hạn chế rủi ro phát sinh, các NHTM Việt Nam cần thiết phải nghiên cứu xây dựng văn bản quy định về chế độ thưởng, phạt đối với việc phát hiện giao dịch gian lận, giả mạo. Các chế tài áp dụng xử lý đối với hành vi giả mạo, lừa đảo trong giao dị ch thẻ phải phù hợp với thông lệ quốc tế.
Hành vi tội phạm đối với hoạt động d ch v thẻ, tiết lộ thông tin, ăn cắp thông tin khách hàng sử dụng vào mục đích gian lận trong thanh toán thẻ. Xây dựng quy định về phòng ngừa rủi ro trong hoạt động thanh toán thẻ, theo đó, có các biện pháp thích hợp và thống nhất để các giải pháp về phát triển thanh toán kinh doanh th ng mại thực sự đ ợc đi vào cuộc sống. ên cạnh đó cần xây dựng chế tài rõ ràng đối với chủ thẻ không đủ khả năng thanh toán nợ thẻ tín dụng; đối với các cá nhân, tổ chức gây thất thoát thông tin khách hàng.
Đối với ĐVCNT gian lận, cần chế tài xử lý đối với hành vi tiết lộ thông tin, ăn cắp thông tin khách hàng sử d ng vào m c đích gian lận. Hay cá nhân, đơn vị gây thất thoát dữ liệu thẻ, đặc biệt là các đơn vị được thuê ngoài cá thể hoá thẻ. Các đối tượng gian lận trong thanh toán thẻ (chủ thẻ giả mạo, ngân hàng chứng minh đ ợc chủ thẻ gian lận cố tình đòi tiền và làm giảm uy tín của ngân hàng, ĐVCNT giả mạo, ĐVCNT thông đồng ĐVCNT...). NHTM Việt Nam nên áp dụng chế độ thanh toán cho ĐVCNT như: áp dụng thời gian
thanh toán cho ĐVCNT (sau 02 ngày kể từ ngày giao dịch phát sinh để NHTT có thể xác thực giao dịch thẻ), NHTT có quyền phong toả số tiền thanh toán cho ĐVCNT trong trường hợp phát hiện giao dịch gian lận thẻ, v.v.., nghiêm trọ ng hơn nữa là chấm dứt hợp đồng chấp nhận thanh toán thẻ với ĐVCNT trong trường hợp có nhiều giao dịch gian lận thẻ phát sinh. Theo đó, có các biện pháp thích hợp, thống nhất để các giải pháp về phát triển thanh toán không dùng tiền mặt thực sự được đi vào cuộc sống.
3.2.9. Đầu tư nâng cao cô ng nghệ trong lĩnh vực phòng ngừa rủi ro th ẻ
Công nghệ thẻ thông minh là xu hướng phát triển rất gần của hệ thống thanh toán thẻ ngân hàng, từ nhiều năm nay, các ngân hàng đã không ngừng nghiên cứu, đầu tư công nghệ hiện đại. Tuy nhiên, công nghệ bảo mật thông tin còn yếu, chưa có nhiều công cụ trong việc phát hiện, cảnh báo và xử lý rủi ro. Hệ thống c ơ sở hạ tầng bảo mật thông tin còn yếu và thiếu tính đồng bộ. Các ngân hàng ch a có giải pháp và hệ thống để chia sẻ thông tin về rủi ro, cảnh báo những ĐVCNT và chủ thẻ nghi ngờ, ĐVCNT và chủ thẻ giả mạo, chưa có tiêu chuẩn về nền tảng công nghệ thông tin đối với hệ thống Quản lý rủi ro của các ngân hàng khi tham gia vào hệ thống thanh toán thẻ. Trong thời gian tới các ngân hàng cần tăng cường đầu tư, ứng dụng công nghệ hiện đại; Trang bị đồng bộ hệ thống máy móc, thiết b ị chấp nhận thẻ hiện đại; Kịp thời báo cáo và có biện pháp xử lý, khắc phục khi có sự cố xẩy ra; Tăng cường tính bảo mật của hệ thống;
Việc nâng cấp công nghệ thẻ đòi hỏi sử chuyển đổi đồng bộ các thiết bị chấp nhận thẻ (ATM, EDC) cũng như hệ thống chuyển mạch nội bộ của từng ngân hàng và của các Công ty chuyển mạch thực hiện việc kết nối các ngân hàng với nhau. Các ngân hàng sẽ phải nâng cấp cả hệ thống công nghệ liên quan tới thẻ (thiết b chấp nhận thẻ, hệ thống chuyển mạch nội bộ của ngân
hàng, hệ thống cá thể hóa thẻ chip, v.v...) khi chuyển đổi và điều này cần nhiều thời gian cũng nhu nguồn kinh phí đầu tu lớn.
3.2.9.1. Hệ thống phát hành thẻ
Quá trình cá thể hóa một thẻ thông minh không đơn giản nhu lấy dữ liệu thẻ từ và ghi chúng lên trên Chíp. Thẻ thông minh yêu cầu một khối luợng lớn dữ liệu mới cần phải đuợc tạo ra nhằm mang lại các lợi ích mà nó cung cấp và rất nhiều loại dữ liệu từ các khóa mật đến các tham số quản lí rủi ro tĩnh hay động. Đối với chức năng xác thực thẻ, thẻ thông minh đòi hỏi phải