Tại Việt Nam, năm 2011,Bộ công an đã phanh phui hơn 40 ngàn vụ án công nghệ cao gây thiệt hại hàng nghìn tỷ đồng cho các cá nhân và doanh nghiệp, đặc biệt là tại các ĐVCNT. Cũng dễ dàng nhận thấy xu hướng chuyển “địa bàn” của tội phạm sang thị trường thẻ Việt Nam nhằm hướng tới một thị trường nhiều tiềm năng và còn rất non trẻ. Chính vì vậy, trong bối cảnh gia tăng tội phạm công nghệ cao, việc tăng cường công tác quản trị rủi ro là yêu cầu bắt buộc và ngày càng được chú
trọng.Quản trị rủi ro tốt chính là một nguồn lợi tạo sức mạnh cạnh tranh và là một công cụ tạo ra giá trị, góp phần tạo ra các chiến lược kinh doanh hiệu quả hơn.
Xét từ điều kiện thực tế, trong thời gian tới, Agribank cần thực hiện ngay một số giải pháp mang tính cấp bách để bảo đảm an toàn giao dịch tại ĐVCNT như sau:
- Áp dụng các chương trình quản lý rủi ro theo yêu cầu bắt buộc của các TCTQT như:
Chương trình SAFE (System to Avoid Fraud Effectively): SAFE là chương trình Online giúp các ngân hàng thành viên truy cập để báo cáo các giao dịch gian lận, giả mạo dẫn đến tranh chấp đòi bồi hoàn giữa NHPH và NHTT.
Chương trình GMAP (Global Merchant Audit Program): GMAP nhằm mục đích theo dõi các ĐVCNT có giao dịch gian lận, giả mạo. GMAP giúp giảm thiểu các tổn thất do giao dịch gian lận bằng việc xác định các ĐVCNT có số lượng giao dịch gian lận vượt mức cho phép và từ đó TCTQT sẽ đưa ra các yêu cầu tới NHTT chấm dứt hoạt động thanh toán thẻ của ĐVCNT hoặc phải chấp nhận những tổn thất do tranh chấp bồi hoàn của NHPH. Đối với từng cấp độ rủi ro, TCTQT sẽ yêu cầu NHTT phải có những hành động cụ thể đối với ĐVCNT.
Chương trình MATCH (Merchant Alert to Control High Risk): MATCH được xây dựng nhằm mục đích lưu trữ các thông tin về ĐVCNT đã bị các NHTT chấm dứt hoạt động thanh toán thẻ do có liên quan đến rủi ro. Các NHTT trước khi ký kết hợp đồng với ĐVCNT thực hiện truy cập MATCH để kiểm tra ĐVCNT có nằm trong danh sách ĐVCNT có tiềm năng rủi ro cao.
Chương trình CPP (Common Purchasing Point): CPP nhằm xác định các ĐVCNT mà tại đó đã phát sinh việc sao chép dữ liệu thẻ nhằm hạn chế các giao dịch gian lận thẻ phát sinh. NHTT phải báo cáo kết quả kiểm tra tới NHPH và TCTQT, và có những hành động phù hợp như: chấm dứt chấp nhận thanh toán thẻ với ĐVCNT, phạt ĐVCNT về việc vi phạm quy định bảo mật dữ liệu thẻ, v.v...
Các chương trình này được thực hiện dưới chế độ báo cáo hàng quý nhằm kiểm soát những dấu hiệu rủi ro có thể có.
Trước hết, Agribank phải coi việc phát hành thẻ chip như một xu hướng tất yếu phù hợp với nhu cầu và tốc độ phát triển của thị trường thẻ, đảm bảo giảm thiểu rủi ro do gian lận thẻ. Bên cạnh đó, khi tội phạm thẻ chuyển hướng tấn công sang các giao dịch không xuất trình thẻ (CNP), để hạn chế các lỗ hổng thông tin, Agribank cần chú ý áp dụng công nghệ 3D Sercue. Công nghệ 3D Sercue (3DS) được các TCTQT khuyến cáo các ngân hàng thành viên sử dụng các biện pháp chứng thực cho cả chủ thẻ và thiết bị thông qua SercueCode của MasterCard và Verify by Visa. Việc triển khai các giải pháp chứng thực hai nhân tố dựa trên những gì người dùng biết (mật khẩu) kết hợp với những gì mà họ có trong tay (token, điện thoại cầm tay) trở nên hết sức quan trọng. Mật khẩu truyền thống không đủ mạnh để đảm bảo an ninh cho thông tin được truyền tải trong các giao dịch trực tiếp. Đây chính là một công nghệ hiện đại mà các khách hàng đang tìm kiếm để tự bảo vệ mình. Trên thực tế tại thị trường thẻ Việt Nam đã có ngân hàng ACB áp dụng công nghệ này. Vì vây, trong thời gian tới, Agribank có trách nhiệm nghiên cứu và phát triển nó dưới nhiều hình thức khác nhau.
- Hoàn thiện hệ thống phân tích rủi ro (FA- Fraud Analyzer)
Nhằm cảnh báo sớm các nguy cơ rủi ro đối với cả chủ thẻ và các thiết bị ATM/EDC, trong năm 2011, Agribank đã bước đầu triển khai hệ thốngphân tích rủi ro
(FA- Fraud Analyzer). Tuy nhiên, để đạt hiệu quả cao hơn về cảnh báo nguy cơ tại các
ĐVCNT, Agribank cần tiếp tục hoàn thiện hệ thống trên cơ sở tham khảo các tiêu chí
sẵn có từ các TCTQT giúp ngân hàng xây dựng các báo cáo đánh giá với những tiêu chí gần gũi hơn phù hợp với thực tế nghiệp vụ thẻ của ngân hàng. Ví dụ như:
+ Doanh số bán hàng của ĐVCNT tăng đột biến (loại trừ trường hợp ĐVCNT tổ chức các chương trình khuyến mại): Cảnh báo các ĐVCNT có tổng doanh số thanh toán thẻ tại 01 thiết bị EDC/ngày lớn hơn 500 triệu VND, doanh số thanh toán bình quân/tháng của một quý tại ĐVCNT tăng gấp 2 lần số với doanh số thanh toán bình quân/tháng của quý trước liền kề.
+ Cảnh báo trong trường hợp 01 thẻ thực hiện tại EDC với số tiền lớn giao dịchkhông thành công, ngay sau đó phát sinh liên tiếp các giao dịch thành công với
số tiền nhỏ hơn.
+ Cảnh báo trong trường hợp nghi ngờ ĐVCNT thông đồng với chủ thẻ:Trường hợp tại EDC của 01 ĐVCNT thường xuyên phát sinh giao dịch (5 giao dịch trở lên) của 01 thẻ trong 02 ngày liên tục hoặc số tiền giao dịch bằng nhau của một thẻ trong một ngày.
- Tăng cường tư vấn, hướng dẫn khách hàng nhằm nâng cao nhận thức về sử dụng và bảo quản thẻ cũng như thông tin giao dịch thẻ thông qua các kênh thông tin như giao dịch viên tư vấn tại quầy, cung cấp thông tin qua email, điện thoại tư vấn hỗ
trợ, trang thông tin thẻ hàng tháng v.v... Dựa trên sản phẩm thẻ khách hàng đăng ký sử
dụng cần có sự tư vấn cụ thể rõ ràng về cách thức sử dụng, một số lưu ý về bảo mật cùng với các dịch vụ giá trị gia tăng kèm theo. Các thông tin này phải được coi như là
bắt buộc đối với mỗi tư vấn viên chăm sóc khách hàng nhằm truyền đạt tới khách hàng
lượng thông tin đầy đủ và chính xác nhất, tăng cường nhận thức của khách hàng về việc sử dụng thẻ. Ví dụ như với những khách hàng sử dụng thẻ tín dụng cần kiểm soát
các thông tin sao kê, lưu trữ hóa đơn giao dịch, thực hiện ký tên trên thẻ khi thanh toán
hàng hóa dịch vụ tại các ĐVCNT trong và ngoài nước... Hoặc với những khách hàng sử dụng dịch vụ e-Commerce (dịch vụ thanh tóan trực tuyến tại các website của các ĐVCNT của Agribank) ngoài việc hướng dẫn đăng ký dịch vụ thông báo về hạn mức
và phí phải trả, nhân viên tư vấn nên khuyến cáo khách hàng về các thông tin bảo mật
trên thẻ như số thẻ, ngày hết hạn hiệu lực, số CCV2/CVV2, lưu ý các thông tin cá nhân
khai báo trên trang web, e-mail, message board.
- Trang bị lắp đặt các thiết bị phòng chống sao chép thông tin chủ thẻ tại toàn bộ thiết bị EDC. Những bài học về gian lận thẻ tại các nước trên thế giới với rất nhiều mánh lới Phishing để ăn cắp dữ liệu buộc chúng ta phải tăng cường hơn nữa công tác quản lý các thiết bị EDC.
- Thường xuyên đào tạo, tập huấn quy trình chấp nhận thẻ cho ĐVCNT đề phát hiện sớm các giao dịch thẻ giả mạo tại ĐVCNT.