13. Rủi ro trong hoạt động thanh toán và phát hành thẻ của ngân hàng thương mại
1.3.1.Khái niệm và phân loại
Rủi ro trong hoạt động thẻ của ngân hàng thương mại là khả năng xảy ra các tổn thất về vật chất hoặc phi vật chất đối với ngân hàng, phát sinh trong quá trình thanh toán và phát hành thẻ của ngân hàng; bao gồm cả hoạt động phát hành và hoạt động thanh toán thẻ.
Ngân hàng thanh toán và phát hành thẻ có thể nhận thức được các rủi ro ngân hàng có thể gánh chịu nhưng không thể triệt tiêu được rủi ro vì nó xảy ra ngoài dự kiến và mong đợi của ngân hàng. Cách tốt nhất để các ngân hàng thanh toán và phát hành thẻ đối mặt với rủi ro là phải nhận thức đúng đắn về các rủi ro ngân hàng có thể gặp phải và đưa ra các giải pháp nhằm phòng ngừa, hạn chế rủi ro xảy ra cũng như giảm thiểu các tổn thất khi rủi ro xảy ra.
Các loại rủi ro trong hoạt động thanh toán và phát hành thẻ của ngân hàng thương mại
Hoạt động thanh toán và phát hành thẻ luôn tiềm ẩn những rủi ro, phát sinh do những hành vi lừa đảo nhằm thực hiện các giao dịch thanh toán thẻ bất hợp pháp gây tổn thất cho ngân hàng thanh toán và phát hành thẻ và các thành phần tham gia vào quá trình hoạt động thẻ ngân hàng. Giả mạo có thể phát sinh bất kỳ lúc nào không
phân biệt thời gian, địa điểm, cả trong hoạt động phát hành lẫn thanh toán thẻ, gây tổn thất cho ngân hàng.
a. Rủi ro trong phát hành thẻ
Rủi ro liên quan tới giả mạo
- Thẻ mất cắp, thất lạc: Rủi ro xảy xa khi thẻ bị mất cắp, thất lạc và được sử
dụng để thực hiện các giao dịch thanh toán giả mạo trước khi chủ thẻ thông báo cho ngân hàng phát hành để có các biện pháp chấm dứt sử dụng hoặc thu hồi thẻ. Rủi ro này cũng có thể phát sinh do có độ trễ về thời gian từ khi chủ thẻ báo mất lên ngân hàng cho đến khi thẻ được cập nhật lên danh sách thẻ cấm lưu hành của các Tổ chức thẻ quốc tế, thời gian cần thiết để in bản cứng danh sách thẻ cấm lưu hành gửi đến các ĐVCNT thanh toán bán tự động. Thẻ bị mất cắp thất lạc cũng có thể bị tội phạm thẻ sử dụng làm thẻ giả như trường hợp thẻ giả (như dập nổi, mã hoá lại băng từ bằng các thông tin giả mạo). Đôi khi loại hình giả mạo này có liên quan đến chủ thẻ cố tình báo mất thẻ và sau đó sử dụng thẻ.
- Thẻ giả: là thẻ do các tổ chức hoặc cá nhân làm giả căn cứ vào các thông tin
có được từ việc đánh cắp các dữ liệu đã được mã hoá của thẻ thật từ các thẻ mất cắp, thất lạc hoặc skimming trong quá trình chủ thẻ sử dụng thẻ để thanh toán hàng hoá, dịch vụ. Thẻ có thể được làm giả dưới các hình thức: Thay đổi thông tin dập nổi trên thẻ, thẻ bị mã hóa lại băng từ, thẻ trắng nhưng đã được mã hóa băng từ hoặc thẻ bị làm giả hoàn toàn dựa trên các dữ liệu của thẻ thật. Thẻ giả được sử dụng sẽ gây tổn thất cho ngân hàng phát hành bởi vì theo quy định hiện nay của tổ chức thẻ quốc tế, ngân hàng phát hành phải chịu hoàn toàn trách nhiệm với mọi giao dịch mang mã số BIN của Ngân hàng phát hành. Đây là loại hình rủi ro có tỷ lệ cao, thường được tội phạm thẻ sử dụng rộng rãi, phổ biến gây tổn thất rất lớn cho các ngân hàng phát hành thẻ. Thẻ giả có các hình thức chủ yếu sau:
Thẻ bị thay đổi thông tin trên thẻ: là loại thẻ giả mà tội phạm dùng thẻ thật
không còn giá trị lưu hành để thay đổi các thông tin trên thẻ. thường sử dụng các công nghệ đơn giản trên nền phôi thẻ bị mất cắp, thất lạc.
Thẻ bị mã hóa lại băng từ: là loại thẻ giả mà các thông tin trên băng từ đã bị
mã hóa lại trong khi vẫn giữ nguyên các thông tin dập nổi trên thẻ và thường được sử dụng tại các ĐVCNT có trang bị máy EDC. Loại hình thẻ giả mạo này thường có liên quan đến tội phạm có tổ chức vì yêu cầu sử dụng công nghệ hiện đại hơn.
Thẻ trắng: là loại thẻ mô phỏng đầy đủ chức năng của một thẻ ghi nợ, thẻ tín
dụng, được sử dụng tại ĐVCNT cấu kết với tội phạm thẻ hoặc tại các điểm bán hàng tự động không được kiểm soát chặt chẽ. Do loại hình này thực hiện với sự cấu kết thông đồng chặt chẽ của ĐVCNT nên rất khó phát hiện. Thẻ trắng cũng đã được mã hóa nhưng không hề dập nổi các thông tin lên mặt trước của thẻ như: ngân hàng phát hành, số thẻ, ngày hiệu lực, tên chủ thẻ...
Thẻ bị làm giả hoàn toàn: là sản phẩm thẻ giả tinh vi nhất, là hoạt động của
tội phạm thẻ có tổ chức. Thẻ rất hoàn chỉnh với băng từ được mã hóa dựa trên việc lấy cắp dữ liệu trên băng từ của thẻ thật và trên phôi thẻ có đầy đủ những yếu tố như thẻ thật.
- Chủ thẻ không nhận được thẻ do NHPH gửi (Never received issue): Thẻ có thể bị đánh cắp trong quá trình chuyển từ NHPH tới chủ thẻ và bị lợi dụng để thực hiện các giao dịch giả mạo. Việc xác định thẻ bị lợi dụng trong trường hợp này thường mất một khoảng thời gian nhất định do thời gian chủ thẻ nhận được thẻ và gửi xác nhận cho ngân hàng thường kéo dài, đôi khi chủ thẻ khiếu nại là không nhận được thẻ thì ngân hàng mới phát hiện ra và xử lý. Rủi ro trong trường hợp này có thể bắt nguồn từ một số nguyên nhân: nội bộ (cán bộ giao thẻ), vận chuyển.
- Tài khoản của chủ thẻ bị lợi dụng (Acount take over): Rủi ro này phát sinh khi NHPH nhận được những thay đổi thông tin của chủ thẻ đặc biệt là thay đổi địa chỉ của chủ thẻ. Do không xác minh kỹ nên NHPH đã gửi thẻ về địa chỉ theo yêu cầu, mà không đến tay chủ thẻ thực. Tài khoản của chủ thẻ thực đã bị người khác lợi dụng.
- Giả mạo thông tin phát hành thẻ (Fraudulent Application): Khách hàng có
thể cung cấp thông tin giả mạo về bản thân như: ngày tháng năm sinh, nơi cư trú, nghề nghiệp, cơ quan công tác, năng lực tài chính, địa chỉ liên lạc, mức thu nhập…
cho NHPH khi yêu cầu phát hành thẻ. Các thông tin trong hồ sơ khách hàng không chính xác sẽ dẫn đến việc Ngân hàng xác định hạn mức tín dụng vượt quá khả năng thực tế mà khách hàng được hưởng và mang đến những khó khăn cho ngân hàng khi muốn liên hệ với chủ thẻ, đặt ngân hàng trước nguy cơ tổn thất tín dụng khi chủ thẻ sử dụng thẻ nhưng không có đủ khả năng thanh toán hoặc chủ thẻ cố tình lừa đảo để chiếm dụng tiền của ngân hàng.
Rủi ro tín dụng
Rủi ro tín dụng xảy ra khi chủ thẻ sử dụng thẻ nhưng không thực hiện thanh toán hoặc không đủ khả năng thanh toán các khoản chi tiêu của mình. Trường hợp này xảy ra đối với Ngân hàng phát hành khi chưa làm tốt công tác thẩm định thông tin về khách hàng và đánh giá chưa tốt về khả năng thanh toán của khách hàng trước khi phát hành thẻ.
b.Rủi ro trong hoạt động thanh toán thẻ
- Đánh cắp dữ liệu băng từ (Skimming): Trên các thiết bị đọc thẻ tại ĐVCNT có thể bị cài thêm thiết bị để thu thập các thông tin trên băng từ của thẻ thật thanh toán tại các ĐVCNT hoặc nhân viên ĐVCNT có thể câu kết với các tổ chức tội phạm đọc dữ liệu thẻ thật bằng các thiết bị chuyên dùng riêng. Các dữ liệu thẻ đánh cắp được sau đó sẽ được các tổ chức tội phạm thẻ sử dụng để in thẻ giả mang đi sử dụng, thực hiện các giao dịch thanh toán giả mạo gây tổn thất cho ngân hàng phát hành.Ngoài ra, thẻ còn có thể bị đánh cắp dữ liệu băng từ khi thực hiện các giao dịch trên hệ thống ATM đã bị lắp đặt thiết bị đánh cắp dữ liệu thẻ và camera để lấy được số PIN của chủ thẻ.
- Đơn vị chấp nhận thẻ giả mạo: Rủi ro xảy ra khi đơn vị chấp nhận thẻ cố tình đăng ký các thông tin không chính xác với ngân hàng thanh toán. Ngân hàng thanh toán sẽ chịu tổn thất khi không thu được những khoản đã tạm ứng cho các đơn vị chấp nhận thẻ này trong trường hợp những đơn vị chấp nhận thẻ thông đồng với chủ thẻ hoặc cố tình tạo ra các hoá đơn và giao dịch giả mạo. Đơn vị chấp nhận thẻ giả mạo cũng có thể được đăng ký nhằm mục đích tiến hành các thủ đoạn skimming thẻ..
- Đơn vị chấp nhận thẻ thông đồng với chủ thẻ: Trong hoạt động thanh toán thẻ, rất dễ dàng dẫn đến rủi ro một khi đơn vị chấp nhận thẻ có sự thông đồng với tội phạm thẻ. Có hai hình thức thông đồng của đơn vị chấp nhận thẻ:
CPP - Common Purchase Point: Đơn vị chấp nhận thẻ có thể nhận thức hoặc không nhận thức được hành vi này. Đây là hiện tượng một đơn vị chấp nhận thẻ hoặc một địa điểm được xác định là địa điểm xảy ra việc đánh cắp dữ liệu thẻ để sử dụng vào mục đích tạo các thẻ giả hoặc thực hiện các giao dịch giả mạo.
POC - Point of Compromise: Đơn vị chấp nhận thẻ thông đồng với chủ thẻ chấp nhận thanh toán những thẻ giả (thẻ bị sửa đổi, thẻ trắng, thẻ skimming…).
- Nhân viên đơn vị chấp nhận thẻ sửa đổi thông tin trên các hóa đơn thẻ hoặc in nhiều hóa đơn thanh toán của một thẻ (Multi Imp): Trong trường hợp này nhân viên khi thực hiện giao dịch đã cố tình in nhiều hóa đơn thanh toán thẻ nhưng chỉ giao một bộ cho chủ thẻ ký để hoàn thành giao dịch. Sau đó nhân viên của ĐVCNT mạo chữ ký của chủ thẻ để nộp các hóa đơn thanh toán còn lại cho NHTT để đòi tiền, chiếm đoạt tiền của ngân hàng. Ngoài ra, nhân viên tại ĐVCNT cũng có thể sửa đổi hoá đơn giao dịch, ghi tăng giá trị giao dịch mà không được sự chấp nhận của chủ thẻ để lấy tiền tạm ứng của ngân hàng thanh toán.
-Thanh toán hàng hóa dịch vụ bằng thẻ qua thư diện tử, điện thoại : Đơn vị chấp nhận thẻ cung cấp hàng hóa dịch vụ theo yêu cầu của chủ thẻ qua thư hoặc điện thoại và thanh toán trên cơ sở các thông tin như: loại thẻ, số thẻ, ngày hiệu lực, tên chủ thẻ…… Đơn vị chấp nhận thẻ cũng như ngân hàng thanh toán có thể chịu tổn thất trong trường hợp chủ thẻ thực không phải là khách đặt mua hàng của ĐVCNT.
c. Một số rủi ro khác Rủi ro nghiệp vụ
Rủi ro cũng có thể phát sinh tại các Chi nhánh ngân hàng phát hành, chi nhánh ngân hàng thanh toán, ngân hàng đại lý và trung tâm thẻ trong việc xử lý giao dịch, thực hiện quy trình nghiệp vụ hàng ngày. Mỗi nghiệp vụ trong hoạt động thanh toán và phát hành thẻ tại ngân hàng đều phải đảm bảo theo đúng quy trình nghiệp vụ đề ra, mỗi sai sót dù vô tình hay cố ý trong một khâu nghiệp vụ cũng trực tiếp gây tổn hại tới ngân hàng cũng như khách hàng.
Rủi ro kỹ thuật
Rủi ro kỹ thuật là các rủi ro phát sinh khi hệ thống quản lý thẻ có sự cố liên quan đến xử lý dữ liệu hoặc kết nối, bảo mật hệ thống cơ sở dữ liệu và an ninh. Khi hệ thống có sự cố, nó không chỉ ảnh hưởng đến riêng một khách hàng, đến riêng một ngân hàng hay tổ chức tài chính mà ảnh hưởng đến hoạt động thanh toán và phát hành thẻ của toàn bộ tổ chức thẻ quốc tế và các khách hàng tham gia hoạt động thẻ. Do đó, nếu tổn thất xảy ra, sẽ rất lớn và khó kiểm soát được. Chính vì vậy, đảm bảo hệ thống vận hành một cách chính xác, liên tục là yêu cầu hàng đầu đối với các thành viên khi tham gia thanh toán và phát hành thẻ.
Rủi ro đạo đức
Trong tất cả các nguyên nhân tiềm ẩn rủi ro, thì nguyên nhân liên quan tới vấn đề con người trong nội bộ ngân hàng là nguyên nhân tiềm ẩn nhiều rủi ro nhất. Tất cả các khâu trong nghiệp vụ thẻ đều có thể dẫn đến rủi ro nếu trong nội bộ cán bộ lợi dụng những hiểu biết của mình, lợi dụng vị trí công tác, những lỗ hổng trong quy trình tác nghiêp để tự mình hoặc cấu kết với người khác tiến hành các hành vi gian lận, giả mạo gây tổn thất cho ngân hàng. Các hành vi gian lận này thường được che giấu kỹ càng, khó phát hiện gây tổn thất lớn và mang tính hệ thống với ngân hàng.
Rủi ro về chính trị: Hệ thống chính trị nếu để xảy ra biến cố sẽ tác động trực
tiếp đến nền kinh tế, đẫn đến khả năng có thể rủi ro: đặc biệt trong quan hệ hợp tác với nước ngoài hoặc các tổ chức quốc tế. Bất cứ lệnh cấm vận nào có hiệu lực thực hiện với nước có liên quan đều ảnh hưởng và có thể gây ra tổn thất.
Rủi ro về xã hội: Trình độ dân trí thấp dễ đẫn đến rủi ro trong hoạt động thanh toán thẻ. Khi nhận thức chưa hết trách nhiệm, quyền hạn, quy định cũng như các ràng buộc có thể dẫn đến những sai sót, vi phạm vô tình hay cố ý dều gây nên rủi ro cho chính bản thân mình hay các chủ thể khác. Bên cạnh đó với trình độ dân trí thấp của tầng lớp dân cư, cho dù không phải là chủ thẻ cũng có thể gây tổn thất, rủi ro cho ngân hàng như làm hư hỏng các trang thiết bị giao dịch tự động tại nơi công cộng.