1.2.2.1. Rủi ro trong hoạt động phát hành
• Yêu cầu phát hành thẻ giả mạo (Fraudulent Applications): Ngân hàng phát hành thẻ cho khách hàng khi có Đề nghị xin phát hành thẻ, nhưng các thông tin này lại là giả mạo, thiếu sự chính xác. Chủ yếu là đối với thẻ tín dụng, thông tin không chính xác dẫn đến những khó khăn cho Ngân hàng khi muốn liên hệ với chủ thẻ và đặt Ngân hàng trước nguy cơ tổn thất tín dụng khi chủ thẻ sử dụng thẻ nhưng không có đủ khả năng thanh toán hoặc chủ thẻ cố tình lừa đảo để chiếm dụng tiền của Ngân hàng. Rủi ro này thường xuất hiện khi khách hàng cung cấp các giấy tờ giả mạo về xác nhận thu nhập, sao kê lương... Hoặc là do bộ phận tiếp nhận hồ sơ chưa làm tròn trách nhiệm, nhận và thẩm định một cách sơ sài, qua loa.
Nếu yêu cầu phát hành thẻ là giả mạo, hay bị sai lệch thông tin, điều này sẽ dễ dẫn tới rủi ro tín dụng có thể xảy ra khi khách hàng đã sử dụng hạn mức ngân hàng cung cấp nhưng không đủ khả năng thanh toán khoản tiền đã tiêu dùng.
• Thẻ giả: Thẻ giả là thẻ do các tổ chức hoặc cá nhân làm giả căn cứ vào các
thông tin có được từ việc đánh cắp các dữ liệu trên băng từ của thẻ thật bị mất cắp, thất lạc. Thẻ có thể được làm giả dưới các hình thức: thông tin dập nổi trên thẻ bị sửa lại, thẻ bị mã hóa lại băng từ, thẻ trắng nhưng đã được mã hóa băng từ hoặc thẻ bị làm giả hoàn toàn dựa trên các dữ liệu của thẻ thật. Thẻ giả được sử dụng sẽ gây tổn thất cho Ngân hàng phát hành bởi vì theo quy định của tổ chức thẻ quốc tế, Ngân hàng phát hành chịu hoàn toàn trách nhiệm với mọi giao dịch mang mã số BIN của Ngân hàng phát hành. Đây là loại hình rủi ro có tỷ lệ cao, thường được tội
phạm thẻ sử dụng rộng rãi, phổ biến nhất. Các loại thẻ giả:
Thẻ bị dập nổi lại: là loại thẻ giả mà các thông tin trên thẻ được dập lại bằng công nghệ đơn giản trên nền phôi thẻ bị mất cắp, thất lạc. Các thông tin an ninh trên thẻ giống như thẻ thật nhưng có thể dể dàng kiểm tra và phát hiện bằng mắt thường. Có thể phát hiện thẻ giả khi đối chiếu thông tin in nổi ở mặt trước thẻ với các thông tin in chìm trên băng chữ ký mặt sau của thẻ hoặc với dữ liêu trên băng từ khi đọc thẻ qua máy EDC.
Thẻ bị thay đổi thông tin trên thẻ: Tội phạm dùng thẻ thật không còn giá trị lưu hành để thay đổi các thông tin trên thẻ. Thường sử dụng các công nghệ đơn giản, có thể dễ dàng kiểm tra bằng mắt thường. Phát hiện giả mạo bằng cách kiểm tra so sánh thông tin in nổi trên thẻ với các thông tin được in trên băng chữ ký mặt sau của thẻ hoặc với dữ liệu trên băng từ khi đọc thẻ qua máy EDC.
Thẻ giả mạo: Tội phạm làm thẻ giả dựa trên các thông tin lấy được từ việc đánh cắp các dữ liệu của thẻ thật bằng các thủ đoạn khác nhau. Loại giả mạo này thường liên quan đến tội phạm có tổ chức (vì yêu cầu công nghệ cao hơn). Các giao dịch giả mạo đư ợc thực hiện từ thẻ giả khó phát hiện và có thể được NHPH hoặc Tổ chức thẻ quốc tế cấp phép chuẩn chi giao dịch. NHPH chỉ phát hiện ra khi khách hàng thật đến khiếu nại về những giao dịch không được thực hiện.
Thẻ chỉ giả mạo băng từ: Là loại thẻ giả chỉ có băng từ được mã hoá dựa trên dữ liệu của thẻ thật nhưng không có các thông tin dập nổi và những đặc điểm bảo mật trên thẻ. Tội phạm sử dụng thẻ tại các ĐVCNT thông đồng có EDC, hoặc tại các điểm bán hàng tự động không được kiểm soát chặt chẽ. Loại hình thẻ giả mạo này thường có liên quan đến tội phạm có tổ chức vì yêu cầu sử dụng công nghệ hiện đại hơn. Chúng ta có thể phát hiện được thẻ giả bằng cách so sánh dữ liệu trên băng từ khi đọc thẻ qua máy EDC với các thông tin dập nổi trên thẻ.
Thẻ bị làm giả hoàn toàn: Là loại thẻ giả hoàn chỉnh với băng từ được mã hoá và trên phôi thẻ có đầy đủ những yếu tố như thẻ thật. Phát hiện giả mạo bằng cách kiểm tra theo đúng quy trình chấp nhận thẻ. Thẻ bị làm giả hoàn toàn là sản phẩm thẻ giả tinh vi nhất, là hoạt động của tội phạm thẻ có tổ chức. Thẻ rất hoàn chỉnh
với băng từ được mã hóa dựa trên việc lấy cắp dữ liệu trên băng từ của thẻ thật và trên phôi thẻ có đầy đủ những yếu tố như thẻ thật. Thẻ gỉa chỉ bị phát hiện nếu thực hiện đầy đủ chính xác quy trình chấp nhận thanh toán thẻ.
Thẻ trắng: là loại thẻ mô phỏng đầy đủ chức năng của một thẻ ghi nợ, thẻ tín dụng, được sử dụng tại ĐVCNT cấu kết với tội phạm thẻ hoặc tại các điểm bán hàng tự động không được kiểm soát chặt chẽ. Do loại hình này thực hiện với sự cấu kết thông đồng chặt chẽ của đơn vị chấp nhận thẻ nên rất khó phát hiện. Thẻ trắng cũng đã được mã hóa nhưng không hề dập nổi các thông tin lên mặt trước của thẻ như: Ngân hàng phát hành, số thẻ, ngày hiệu lực tên chủ thẻ...
• Thẻ mất cắp, thất lạc (Lost - Stolen Card): Rủi ro xảy ra khi thẻ bị mất cắp, thất lạc và bị sử dụng trước khi chủ thẻ thông báo cho Ngân hàng phát hành để có các biện pháp chấm dứt sử dụng hoặc thu hồi thẻ. Thẻ bị mất cắp, thất lạc cũng có thể bị tội phạm thẻ sử dụng làm thẻ giả như trường hợp thẻ giả (dập nổi, mã hóa lại băng từ bằng các thông tin giả mạo). Đôi khi giả mạo có liên quan đến chủ thẻ cố tình báo mất thẻ và sau đó sử dụng thẻ.
• Chủ thẻ không nhận được thẻ do Ngân hàng phát hành gửi (Never Received Issue): Là trường hợp thẻ bị đánh cắp hoặc bị lợi dụng thực hiện giao
dich trong quá trình chuyển từ Ngân hàng phát hành đến chủ thẻ. Việc xác định thẻ bị ăn cắp trên đường mất nhiều thời gian do khoảng thời gian chủ thẻ nhận được thẻ và gửi xác nhận cho Ngân hàng thường kéo dài, đôi khi chủ thẻ khiếu nại là không nhận được thẻ thì Ngân hàng mới phát hiện được.
• Tài khoản của chủ thẻ bị lợi dụng (Account Takeover): Rủi ro này phát sinh khi Ngân hàng phát hành nhận được những yêu cầu thay đổi thông tin của chủ thẻ, đặc biệt là thay đổi địa chỉ của chủ thẻ. Do không xác minh kỹ nên Ngân hàng phát hành đã gửi thẻ về địa chỉ như yêu cầu mà không đến tay chủ thẻ thật, tài khoản của chủ thẻ thật đã bị người khác lợi dụng sử dụng.
1.2.2.2. Rủi ro trong hoạt động thanh toán
Đơn vị chấp nhận thẻ giả mạo: Đơn vị chấp nhận thẻ cố tình đăng ký các thông tin không chính xác với Ngân hàng thanh toán. Ngân hàng thanh toán sẽ chịu
tổn thất khi không thu được những khoản đã tạm ứng cho những ĐVCNT này trong trường hợp ĐVCNT thông đồng với chủ thẻ hoặc cố tình tạo ra các hóa đơn hoặc giao dịch giả mạo để chiếm dụng vốn của Ngân hàng.
Đơn vị chấp nhận thẻ thông đồng với chủ thẻ: Có hai hình thức thông đồng của đơn vị chấp nhận thẻ:
CPP - Common Purchase Point: Là hiện tượng một đơn vị chấp nhận thẻ hoặc một địa điểm được xác định là lưu trữ dữ liệu thẻ và sử dụng vào mục đích tạo các thẻ giả hoặc thực hiện các giao dịch giả mạo. Đơn vị chấp nhận thẻ có thể nhận thức hoặc không nhận thức được hành vi này.
POC - Point of Compromise: Đơn vị chấp nhận thẻ thông đồng với chủ thẻ chấp nhận thanh toán những thẻ giả (thẻ bị sửa đổi, thẻ trắng, thẻ skimming...)
Thanh toán hàng hóa dịch vụ bằng thẻ qua thư, điện thoại (Mail order, telephone
order): Đơn vị chấp nhận thẻ cung cấp hàng hóa dịch vụ theo yêu cầu của chủ thẻ qua
thư hoặc điện thoại và thanh toán trên các thông tin như: loại thẻ, số thẻ, ngày hiệu lực,
tên chủ thẻ. Đơn vị chấp nhận thẻ và Ngân hàng thanh toán có thể chịu tổn thất nếu như chủ thẻ thực không phải là khách đặt mua hàng của đơn vị chấp nhận thẻ và giao
dịch đó bị từ chối thanh toán.
Nhân viên đơn vị chấp nhận thẻ sửa đổi thông tin trên các hóa đơn thẻ hoặc in nhiều hóa đơn thanh toán của một thẻ (Multiple imprint): Trong trường hợp này nhân viên khi thực hiện giao dịch đã cố tình in nhiều hóa đơn thanh toán thẻ nhưng chỉ giao một bộ cho chủ thẻ ký để hoàn thành giao dịch. Sau đó nhân viên sẽ mạo nhận chủ thẻ hoàn tất giao dịch và nộp các hóa đơn thanh toán còn lại để đòi tiền, chiếm đoạt tiền của Ngân hàng. Ngoài ra nhân viên tại đơn vị chấp nhận thẻ cũng có thẻ sửa đổi hoá đơn giao dịch, ghi tăng giá trị giao dịch mà không được sự đồng ý của chủ thẻ để lấy tiền tạm ứng của Ngân hàng.
Sao chép và tạo băng từ giả (Skimming, Line Tapping):
Skimming: Trên các thiết bị đọc thẻ tại ĐVCNT có thể bị cài thêm thiết bị để thu thập các thông tin trên băng từ của thẻ thật thanh toán tại các Đơn vị chấp nhận thẻ hoặc nhân viên Đơn vị chấp nhận thẻ có thể câu kết với các tổ chức tội phạm
đọc dữ liệu thẻ thật bằng các thiết bị chuyên dùng riêng. Các thiết bị đọc thẻ tại ĐVCNT có thể bị cài thêm thiết bị để thu thập các thông tin trên băng từ của thẻ thanh toán tại các ĐVCNT; hoặc nhân viên tại ĐVCNT có thể câu kết với các tổ chức tội phạm đọc dữ liệu thẻ thật bằng thiết bị chuyên dùng riêng. Để phòng chống, cần niêm phong Electric Data Capture (EDC) và kiểm tra thuờng xuyên hoạt động của ĐVCNT cũng nhu tình trạng của máy EDC.
Line Tapping: Tổ chức tội phạm có thể gắn các thiết bị ghi âm vào đuờng dây điện thoại truyền dữ liệu từ máy EDC, máy ATM về hệ thống của NH để đánh cắp dữ liệu, sau đó giải mã để tạo thẻ giả.
Các ĐVCNT có tỷ lệ rủi ro cao (High Risk Merchants)
Các ĐVCNT có tỷ lệ rủi ro cao là các ĐVCNT kinh doanh hàng hoá, dịch vụ có giá trị lớn, có tính chất dễ chuyển đổi sang tiền mặt - nơi tội phạm hoặc các tổ chức tội phạm thuờng sử dụng thẻ giả mạo. Các ĐVCNT thuộc loại hình có tỷ lệ rủi ro cao bao gồm:
■ Điểm ứng tiền mặt.
■ Các hàng hoá dịch vụ đặc biệt nhu tiền mặt (sòng bạc, xổ số...).
■ Kinh doanh vàng bạc, đá quý, đồ trang sức, đồng hồ cao cấp, phòng tranh.
■ Kinh doanh điện thoại di động, thiết bị viễn thông.
■ Kinh doanh máy tính, thiết bị điện tử, tin học.
■ Kinh doanh hàng hoá, dịch vụ qua mạng, điện thoại, thu tín.
Ngoài ra còn có tình trạng phát tán, lây nhiễm virut để lừa chủ thẻ khi sử dụng dịch vụ thanh toán trực tuyến nhằm lấy trộm thông tin cá nhân của chủ thẻ tín dụng. Hiện tại đã xuất hiện một số đối tuợng hacker đã thiết lập website có giao diện, tên miền gần giống nhu tên miền website của ngân hàng, các trang bán hàng trực tuyến quảng cáo bán hàng hóa và các dịch vụ. Khi chủ thẻ, khách hàng truy cập vào các website này để chọn dịch vụ thanh toán sẽ bị mất các thông tin cá nhân nhu số thẻ, ngày hết hạn, mã bảo mật. Trên mạng internet xuất hiện nhiều virut mà hacker đã sử dụng để lây nhiễm qua các thiết bị thanh toán để lấy trộm các thông tin cá nhân của chủ thẻ nhu virut Eurograbber, hacker đã sử dụng email, hay các website giả mạo
để lừa khách hàng cài virut lên máy cá nhân. Khi khách hàng truy cập các giao dịch trực tuyến, virut sẽ giả mạo thông báo của ngân hàng để dụ khách cài đặt virut lên điện thoại, máy tính sau đó sẽ lấy trộm mã xác thực OTP, các thông tin của chủ thẻ.
1.2.2.3. Rủi ro khác
Rủi ro nghiệp vụ: Rủi ro nghiệp vụ là các rủi ro phát sinh tại Ngân hàng phát hành, Ngân hàng thanh toán, Ngân hàng đại lý của Ngân hàng phát hành, Ngân hàng thanh toán và Tổ chức thẻ quốc tế trong việc xử lý giao dịch, thực hiện quy trình nghiệp vụ hàng ngày dẫn đến tổn thất cho Ngân hàng.
Rủi ro kỹ thuật: Rủi ro kỹ thuật là các rủi ro phát sinh khi có hệ thống quản lý thẻ có sự cố liên quan đến xử lý dữ liệu hoặc kết nối, từ việc bảo mật hệ thống cơ sở dữ liệu và an ninh. Do hoạt động thẻ có tính chất liên tục và online 24/24h nên bất kỳ một sự cố kỹ thuật nào cũng ảnh huởng trực tiếp đến việc thực hiện giao dịch, đến tính chính xác trong công tác thanh toán cũng nhu quyền lợi của khách hàng. Khi hệ thống có sự cố nó không chỉ ành huởng đến riêng một khách hàng, đến riêng một Ngân hàng hay tổ chức tài chính mà ảnh huởng đến hoạt động kinh doanh thẻ của toàn bộ tổ chức thẻ quốc tế và các khách hàng tham gia hoạt động thẻ. Do đó nếu tổn thất xảy ra sẽ rất lớn và khó kiểm soát đuợc, chính vì vậy đảm bảo hệ thống vận hành một cách chính xác liên tục là yêu cầu hàng đầu đối với các thành viên khi tham gia kinh doanh thẻ.
Rủi ro đạo đức: Rủi ro đạo đức là các rủi ro phát sinh do hành vi gian lận trong lĩnh vực thẻ của cán bộ thẻ Ngân hàng. Trong hoạt động tác nghiệp hàng ngày, cán bộ thẻ lợi dụng những hiểu biết của mình, lợi dụng vị trí công tác, những lỗ hổng trong quy trình tác nghiêp để tự mình hoặc cấu kết với nguời khác tiến hành các hành vi gian lận, giả mạo gây tổn thất cho Ngân hàng. Rủi ro có thể xảy ra nếu nhu cán bộ đó lợi dụng các thông tin thẻ của nguời khác để sử dụng thanh toán mua sắm hàng hoá dịch vụ qua mạng, lấy cắp thẻ mới phát hàng để sử dụng hoặc thay đổi các thông số hệ thống, thông tin khách hàng để trục lợi... Các hành vi gian lận này thuờng đuợc che giấu kỹ càng, khó phát hiện gây tổn thất lớn và mang tính hệ thống với Ngân hàng. Ngân hàng có thể hạn chế rủi ro đạo đức khi có một cơ chế
quản lý giám sát hoạt động một cách chặt chẽ trong toàn bộ quá trình hoạt động. Tuy nhiên mọi giải pháp chỉ có hiệu quả nếu Ngân hàng gắn chặt quyền lợi, trách nhiệm của cán bộ thẻ với quyền lợi của Ngân hàng trong hoạt động kinh doanh thẻ.
Rủi ro với hệ thống ATM
■ Máy ATM hoạt động sai lệch do phát sinh sự cố hay lỗi tác nghiệp
■ Máy ATM bị đập phá, phá hoại
■ Tội phạm cài đặt thiết bị ăn cắp dữ liệu thẻ.
1.2.3. Vai trò của các biện pháp phòng ngừa, hạn chế rủi ro trong hoạt động kinh doanh thẻ của ngân hàng thuơng mại
Bất cứ hoạt động nào cũng có rủi ro, rủi ro là không thể tránh khỏi, nhung khi rủi ro xảy ra, chúng ta chỉ có thể khắc phục bằng cách hạn chế tối đa thiệt hại do rủi ro đó gây ra, mà không thể triệt tiêu đuợc nó. Và khi có rủi ro, chắc chắn sẽ gây ra những thiệt hại, tổn thất nhất định, vì thế cách tốt nhất là có các biện pháp phòng ngừa cụ thể để hạn chế tối đa rủi ro có thể xảy ra.
1.2.3.1. Phân loại rủi ro
Phân loại rủi ro bao gồm việc nhận biết và phân biệt các loại rủi ro có thể xẩy ra trên cở sở xác định căn nguyên, nguồn gốc tính chất và đặc điểm của chúng. Đây chính là điểm mấu chốt trong nội dung phòng chống rủi ro bởi vì nó là cơ sở, tiền đề cho mọi hoạt động khác trong hoạt động quản lý rủi ro. Chỉ khi xác định đuợc rủi ro là gì chúng ta mới có thể đua ra đuợc các giải pháp phòng ngừa và hạn chế tới