Biểu đồ 2.9: Khảo sát phương thức xác thực giao dịch
Hiện tại phương thức xác thực SMS OTP là phương thức vẫn được khách hàng sử dụng nhiều nhất do tính tiện dụng của nó. Đối với phương thực SMS OTP khách hàngb sẽ chuyển tối đa được 100 triệu 1 ngày và 50 triệu 1 lần, ngân hàng sẽ gửi mã OTP qua điện thoại cho khách hàng khi đến bước xác thực. Với sự tiện lợi đó hầu như các khách hàng đều ưu tiên sử dụng. Tỷ lệ khách hàng sử dụng xác thực giao dịch qua SMS chiếm tỷ lệ cao 60% trong khi các phương thức còn lại chiếm tỷ lệ khá. Nhưng phương thức xác thực này không có tính bảo mật quá cao. Khi sử dụng Smart otp ngân hàng yêu cầu khách hàng cần phải đặt mật khẩu cho thiết bị và mật khẩu cho dịch vụ nữa nên vì vậy nó có tính bảo mật hơn so với SMS OTP. Do vậy hạn mức chuyển khoản đối với phương thức này cũng cao hơn là 3 tỷ 1 ngày đỗi với khách hàng thường và 10 tỷ đối với khách hàng vip (chính là khách hàng có thẻ visa priority). Qua đây ta có thể thấy ngân hàng cũng đang tăng tính bảo mật để giảm thiểu rủi ro khi khách hang mất thiết bị
Biểu đồ 2.10: Cách thức nào để đăng nhập dịch vụ
Nguồn: tác giả tổng hợp
“Nhìn vào biểu đồ ta thấy, khách hàng đã chú trọng tới việc bảo mật thông tin của mình. Phần lớn khách hàng thích cách thức đăng nhập qua nhận diện cá nhân như vân tay, face ID chiếm tỷ trọng 45% và 35%. Còn các thông thường là nhập mật khẩu vẫn sử dụng nhưng chiếm tỷ trọng ít hơn 19%. Chỉ có 1% khách hàng lựa chọn chế độ lưu mật khẩu.”
Về cơ cấu tổ chức và rà soát quản trị rủi ro, Vietcombank thường xuyên rà soát, kiện toàn bộ máy quản trị rủi ro phù hợp với nguyên tắc ba tuyến bảo vệ:
tuyến bảo vệ thứ nhất có chức năng nhận dạng và giảm thiểu rủi ro; tuyến bảo vệ thứ hai có chức năng xây dựng chính sách quản lý rủi ro và tuân thủ quy định pháp luật và tuyến bảo vệ thứ ba có chức năng kiểm toán nội bộ. Đồng thời, tăng cường nâng cao vai trò, hoạt động các ủy ban, hội đồng, bộ phận trong công tác quản lý rủi ro. Qua đó giúp nâng cao hiệu quả kiểm soát rủi ro, song vẫm đảm bảo sự cân bằng với hoạt động kinh doanh và đem lại hiệu quả kinh doanh tốt nhất. Các văn bản, quy định , hướng dẫn về quản lý rủi ro cũng được Vietcombank định kỳ rà soát, cập nhật nhiều văn bản được ban hành mới nhằm đảm bảo đáp ứng các yêu cầu, định hướng của NHNN cũng như thực trạng hoạt động của Vietcombank. Đối với dịch vụ ngân hàng số, Vietcombank cũng ban hành nhiều quy định để quản trị rủi ro, giảm thiểu rủi ro cho ngân hàng và khách hàng xuống mức thấp nhất. Theo thông kê tới thời điểm này thì các rủi ro với dịch vụ ngân hàng số đến từ rủi ro hoạt động.
- “Rủi ro do hệ thống: hiện tượng nghẽn mạng hoặc do dung lượng máy chủ không đáp ứng kịp thời nhu cầu của khách hàng dẫn đến tình trạng timeout. Khách hàng thực hiện giao dịch nhưng bị từ chối báo là giao dịch không thành công yêu cầu thử lại sau, hoặc báo lỗi là ngân hành không cung cấp dịch vụ này: sự cố này xảy ra với trường hợp sau: rút tiền tại ATM; chuyển tiền trong và ngoài hệ thống qua CITAD hoặc qua công thanh toán NAPAS; thanh toán trực tuyến trên website bằng thẻ hoặc sử dụng các tiện ích như nạp tiền điện tử và thanh toán hóa đơn… Sự cố này rất hay xảy ra đặc biệt vào thời điểm trả lương, ngày cuối tháng và cuối năm; hoặc khi có sự kiện như khuyến mãi của nhà mạng viễn thông , hoặc khuyến mãi chi tiêu của các đơn vị kinh doanh buôn bán; hoặc vào thời điểm Vietcombank tiến hành chạy tổng kết giao dịch trong ngày. Thêm vào đó nhiều giao dịch không thành công nhưng tài khoản bị trừ. Tình trạng như vậy gây phản cảm cho khách hàng và khách hàng thường phải chờ ngân hành kiểm tra và xử lý rất mất thời gian thường từ 5-7 ngày làm việc. - Rủi ro do tội phạm: hiện tượng kẻ gian lắp các thiết bị quay lén để skimming thẻ tại
các máy ATM diễn ra phổ biến. Có rất nhiều khách hàng bị lấy mất thông tin trong quá trình sử dụng thẻ, sau đó tài khoản của khách hàng bị trừ tiền trong khi khách hàng vẫn đang cầm thẻ. Vietcombank cũng tiến hành nhiều biện pháp để phòng ngừa. Trong tháng 4 và tháng 6 năm 2019, Vietcombank đã tiến hành khóa các thẻ nghi ngờ lộ thông tin do skimming và hướng dẫn khách hàng ra ATM đổi mật khẩu để sử dụng.
- Rủi ro do nhân viên Vietcombank: rủi ro trong quá trình nhập liệu không chính xác dẫn đến thông tin không chính xác khiến cho nhiều khách hàng gặp phải khó khăn khi không được cung cấp dịch vụ; rủi ro cũng xuất phát từ phía tác nghiệp của nhân viên như không kích hoạt thẻ, khóa thẻ, cấp lại mật khẩu dịch vụ ngân hàng số; hiện tượng khách hàng ảo do chạy chỉ tiêu cũng thường xuyên xảy ra.
- Rủi ro do chính khách hàng: hiện tượng khách hàng làm lộ thông tin dịch vụ NHĐT do mất điện thoại, làm lộ user và mật khẩu dịch vụ ngân hàng số cho người khác hoặc do bị lấy cắp dữ liệu do kích vào đường link lạ có chứa virus. Tính từ năm 2017-2020 sự cố lộ thông tin do khách hàng ngày càng có xu hướng tăng. Bảng dưới đây là bảng số liệu cụ thể cho giao dịch khách hàng bị rủi ro do làm lộ thông tin dịch vụ :”
Bảng 2.3: Đánh giá mức độ rủi ro dịch vụ
Nguồn: TT Ebanking Vietcombank - Báo cáo các giao dịch nghi ngờ lộ thông tin năm 2017-2020
“Nhìn vào bảng đánh giá mức độ rủi ro ta thấy năm 2018 có số lượng giao dịch bị rủi ro nhiều nhất (3.243 giao dịch ) và số khách hàng bị rủi ro nhiều nhất (3.243 người). Nhìn theo số tuyệt đối thì số lượng giao dịch và khách hàng bị rủi ro tăng lên theo từng năm. Nhưng nhìn tỷ lệ thì số lượng các giao dịch rủi ro/ Tổng số giao dịch giảm dần xuống 0,012%.
Giá trị các giao dịch rủi tăng mạnh vào năm 2018 với con số 173 tỷ sau đó giảm xuống 150 tỷ vào năm 2019 rồi lại tăng lên 182 tỷ vào năm 2020. Tuy nhiên
tỷ lệ % giữa giá trị giao dịch bị rủi ro/ tổng giá trị giao dịch có xu hướng giảm từ năm 2017 đến 2020, tỷ lệ giảm từ 0,056% xuống 0,0186%
Tỷ lệ số khách hàng bị rủi ro/ Tổng số khách hàng giao dịch cũng theo xu hướng chung. Cũng tăng mạnh vào năm 2018 lên 0,31% sau đó giảm xuống 0,17% vào năm 2020. Điều này chứng tỏ công tác quản lý rủi ro của Vietcombank đã có hiệu quả làm giảm tỷ lệ phát sinh các giao dịch giả mạo.
Sở dĩ năm 2018 có số lượng giao dịch rủi ro tăng vì bắt đầu vào ngày 30/1/2018 Vietcombank triển khai ứng dụng Smart OTP trong xác thực giao dịch điện tử. Trong quá trình sử dụng dịch vụ Smart OTP phát sinh ra hiện tượng khách hàng muốn đăng ký Smart OTP chỉ cần đăng ký trên dịch vụ ngân hàng số mà không cần có các bước xác thực. Mặt khác điện thoại đăng ký Smart OTP chỉ cần là smart phone không cần có số điện thoại đăng ký dịch vụ vẫn có thể sử dụng được. Chính vì kẽ hở này mà tin tặc, hacker đã đánh cắp thông dịch vụ ngân hàng số sau đó cài đặt Smart OTP trên điện thoại của chúng. Gây ra một số vụ lộ thông tin với giá trị cao như vụ khách hàng bị trừ 500 triệu từ tài khoản. Sau khi phát sinh sự cố rủi ro. Vietcombank đã tiến hành thắt chặt quy trình. Dịch vụ Smart OTP muốn sử dụng khách hàng cần ra phải đặt mật khẩu cho thiết bị đi động và KH cần phải thực hiện các bước xác thực để thay đổi phương thức xác thực. Thêm vào đó Vietcombank cũng gia tăng rào cản đối với việc thực hiện giao dịch điện tử qua các kênh ví điện tử, chuyển khoản khác hệ thống.
Mặc dù tỷ lệ rủi ro đã giảm nhưng con số tuyệt đối cũng còn khá cao. Vietcombank cần quan tâm chú trọng tới công tác bảo mật và quản trị rủi ro để tránh gây thiệt hại về tài chính và danh tiếng của mình.”