Có nhiều hình thức phân loại rủi ro trong dịch vụ thẻ tín dụng, tuy nhiên trong phạm vi đề tài này chúng ta sẽ nghiên cứu chủ yếu các loại rủi ro được phân loại theo nguyên nhân như sau:
Rủi ro hoạt động thẻ
Rủi ro thẻ giả: Giả mạo thẻ tín dụng có thể hiểu là hành vi lừa đảo thực hiện các giao dịch thanh toán thẻ bất thường, có thể gây tổn thất cho các ngân hàng phát hành thẻ và các thanh phần tham gia hoạt động thẻ như chủ thẻ, đơn vị chấp nhận
thẻ,…Rủi ro giả mạo có thể xuất hiện trong khâu phát hành thẻ tại các ngân hàng hoặc hoạt động thanh toán thẻ tại các đơn vị chấp nhận thẻ, cụ thể như sau:
Thẻ giả: Thẻ giả là thẻ không do tổ chức phát hành thẻ phát hành nhưng có chứa các thông tin của thẻ thật, chủ thẻ thật (Thông tư 03/VBHN-NHNN ngày 5/01/2021 quy định về hoạt động thẻ ngân hàng). Thẻ do các tổ chức tội phạm hoặc cá nhân làm giả căn cứ vào các thông tin có được từ các chứng từ giao dịch thẻ hoặc thẻ mất cắp, thất lạc. Thẻ giả được sử dụng tạo ra các giao dịch giả mạo sẽ gây ra tổn thất tài chính và phi tài chính cho ngân hàng phát hành. Ngân hàng phát hành phải chịu hoàn toàn trách nhiệm với mọi giao dịch sử dụng thẻ giả có mã số ( BIN ) của Ngân hàng phát hành. Đây là loại rủi ro đặc biệt nguy hiểm và khó quản lý vì nằm ngoài sự dự đoán của Ngân hàng phát hành (Nguyễn Viết Hà, 2008). Thẻ giả là loại hình rủi ro thường gặp nhất, thường được bọn tội phạm sử dụng rộng rãi phổ biến nhất.
Rủi ro chủ thẻ giả: Rủi ro chủ thẻ giả là rủi ro tội phạm thẻ sử dụng đơn phát hành thẻ giả mạo: Khách hàng khai báo và cung cấp các thông tin giả để phát hành thẻ, sau đó ngân hàng có thể phát hành thẻ cho khách hàng có đơn xin phát hành thẻ với các thông tin giả mạo do không thẩm định cẩn thận các thông tin ghi trên hồ sơ nộp cho ngân hàng phát hành mà khách hàng cung cấp (Quy trình xử lý rủi ro hoạt động thẻ, 2016). Do thông tin cung cấp không chính xác hoặc không có thật dẫn đến việc ngân hàng không liên hệ được với chủ thẻ để thông báo thông tin hoặc không thu hồi được nợ thẻ tín dụng khi chủ thẻ không có khả năng chi trả hoặc chủ thẻ cố tình lừa đảo để chiếm dụng tiền của ngân hàng.
Rủi ro thẻ mất cắp, thất lạc, lộ thông tin: Trong trường hợp chủ thẻ bị mất cắp, thất lạc thẻ mà chưa kịp thông báo cho ngân hàng về việc đó và thẻ chưa được khóa hoặc hủy (Quy trình xử lý rủi ro hoạt động thẻ, 2016). Thẻ bị mất có thể bị tội phạm làm giả thẻ hoặc sử dụng thẻ để chi tiêu mua hàng, rút tiền trước khi ngân hàng có các biện pháp chấm dứt sử dụng hoặc thu hồi thẻ thì chiếc thẻ đã bị sử dụng và lợi dụng. Đôi khi giả mạo có liên quan đến chủ thẻ cố tình báo mất thẻ và cố tình sử dụng thẻ (Nguyễn Viết Hà, 2008).
Chủ thẻ không nhận được thẻ do ngân hàng phát hành gửi: rủi ro này có thẻ xảy ra do thẻ bị đánh cắp hoặc bị lợi dụng thực hiện giao dịch trong quá trình chuyển từ ngân hàng phát hành thẻ đến chủ thẻ. Việc xác định thẻ bị ăn cắp trên đường mất nhiều thời gian do khoảng thời gian chủ thẻ nhận được thẻ và gửi xác nhận cho ngân hàng thường kéo dài, đôi khi chủ thẻ khiếu nại là không nhận được thẻ thì ngân hàng mới phát hiện được.
Tài khoản của chủ thẻ bị lợi dụng: Khi chủ thẻ thay đổi thông tin như địa chỉ tuy nhiên ngân hàng chưa kịp cập nhật hoặc không xác minh kỹ dẫn đến việc thẻ tín dụng giao đến cho người khác và chủ thẻ thật có thể bị người khác lợi dụng sử dụng tài khoản. Sao chép giả mạo băng từ giả ( skimming ): trên các thiết bị đọc thẻ tại các đơn vị chấp nhận thẻ có thể bị cài thêm thiết bị để thu thập các thông tin trên băng từ của thẻ thật thanh toán tại các đơn vị chấp nhận thẻ hoặc nhân viên đơn vị chấp nhận thẻ có thể câu kết với các tổ chức tội phạm đọc dữ liệu thẻ thật bằng các thiết bị chuyên dùng riêng.
Rủi ro từ phía ĐVCNT : Đơn vị chấp nhận thẻ thông đồng với tội phạm thẻ: có 2 hình thức hay gặp là CCP (Common Purchase Point) hoặc POC (Point of Compromise). CCP là trường hợp một đơn vị chấp nhận thẻ hoặc một địa điểm được xác định là lưu trữ dữ liệu thẻ và sử dụng vào mục đích tạo các thẻ giả hoặc thực hiện các giao dịch giả mạo. Đơn vị chấp nhận thẻ có thể nhận thức được hoặc không nhận thức được hành vi này. POC là trường hợp có sự cấu kết, thông đồng giữa đơn vị chấp nhận thẻ và chủ thẻ chấp nhận thanh toán những thẻ giả (những thẻ bị sửa đổi, thẻ trắng, thẻ Skimming,..) (Nguyễn Viết Hà, 2008).
Đơn vị chấp nhận thẻ giả mạo: Đây là trường hợp ĐVCNT cung cấp, đăng ký các thông tin giả với ngân hàng thanh toán. Trong trường hợp ngân hàng không trực tiếp thẩm định hoặc không xác minh có thể dãn đến tổn thất tài chính khi không thu được những khoản đã tạm ứng cho những đơn vị chấp nhận thẻ này trong trường hợp đơn vị chấp nhận thẻ thông đồng với chủ thẻ cố tình tạo ra các hoá đơn hoặc các giao dịch giả mạo để chiếm dụng vốn ngân hàng.
Rủi ro khác có thể xảy ra là ĐVCNT làm mất máy POS/Các thiết bị do ngân hàng cung cấp và không chịu bồi hoàn cho ngân hàng (Ngân hàng TMCP Quân Đội, Quy trình xử lý rủi ro hoạt động thẻ, 2016).
Mua hàng bằng thẻ tín dụng qua điện thoại, qua thư có thể dẫn đến rủi ro cho ĐVCNT nếu chủ thẻ không phải là khách hàng đặt mua, mà bị người khác lấy cắp các thông tin về thẻ như loại thẻ, số thẻ, ngày hiệu lực, mã số bảo mật, tên chủ thẻ,….
Nhân viên đơn vị chấp nhận thẻ sửa đổi thông tin trên các hoá đơn thẻ hoặc in nhiều hoá đơn thanh toán của một thẻ: trong trường hợp này nhân viên thực hiện giao dich đã cố tình in nhiều hoá đơn thanh toán thẻ nhưng chỉ giao 1 bộ cho chủ thẻ ký để hoàn thành giao dịch. Sau đó nhân viên sẽ mạo nhận chủ thẻ hoàn tất giao dịch và nộp các hoá đơn thanh toán còn lại để đòi tiền chiếm đoạt tiền của ngân hàng. Ngoài ra nhân viên tai đơn vị chấp nhận thẻ cũng có thể sửa đổi hoá đơn giao dịch, ghi tăng giá trị giao dịch mà không được sự đồng ý của chủ thẻ để lấy tiền tạm ứng của ngân hàng (Nguyễn Viết Hà, 2008).
Giao dịch thanh toán khống tại đơn vị chấp nhận thẻ là việc sử dụng thẻ, thông tin thẻ để thanh toán tiền hàng háo, dịch vụ nhưng thực tế không phát sinh việc mua bán, cung ứng hàng hoá, dịch vụ đó (Thông tư 03/VBHN-NHNN ngày 5/01/2021 quy định về hoạt động thẻ ngân hàng). Thực tế, hiện tượng này diễn ra khá phổ biến và có thể tra cứu dễ dàng các link hướng dẫn cách rủi tiền trên thẻ tín dụng qua Google. Theo đó, để không mất phí rút tiền, không phải chịu lãi suất cao như rút tiền tại cây AMT, chủ thẻ có thể rút tiền tại các máy POS với mức phí từ 2-3%, đồng thời được hưởng lãi suất 0% trong 45 ngày.
Rủi ro tín dụng
Rủi ro tín dụng xảy ra khi chủ thẻ đã sử dụng thẻ để chi tiêu, rút tiền nhưng đến kỳ thanh toán không thực hiện thanh toán hoặc không thanh toán đủ số tiền tối thiểu hoặc toàn bộ số tiền đã chi tiêu. Ngân hàng không đòi được tiền cho chủ thẻ bị mấ năng lực hành vi dân sự hoặc chủ thẻ chết/mất tích/bị tuyên bố mất tích và ngân hàng đã sử dụng mọi biện pháp có thể để thu hồi nợ từ chủ thể. Món nợ thẻ tín dụng có thể bị xếp vào nợ xấu theo quy định của pháp luật, ngân hàng mất vốn.
Thẻ tín dụng thường có thời gian thanh toán chậm hơn so với thời gian sao kê, thông thường chủ thẻ được ưu đãi tối đa 45 - 55 ngày từ ngày chi tiêu. Tại thời điểm thanh toán ngân hàng sẽ tạm thời ứng tiền chủ thẻ để thanh toán với đơn vị cung ứng hàng hoá dịch vụ và thu lại sau từ chủ thẻ. Về cơ bản thẻ tín dụng cũng như một khoản vay tiêu dùng không có hoặc có tài sản đảm bảo. Nếu tình trạng này xảy ra với quy mô rộng sẽ dẫn đến tình trạng ngân hàng mất vốn đối với trường cho vay không thu hồi được, gia tăng dư nợ xấu tín dụng và tỷ lệ nợ xấu.
Rủi ro kỹ thuật
Các rủi ro do sự cố của hệ thống công nghệ thông tin/phần mềm phục vụ cho hoạt động vận hành thẻ gây tổn thất cho ngân hàng, bao gồm nhưng không giới hạn cho các trường hợp: Lỗi hệ thống dẫn đến chấp nhận thanh toán thẻ không còn giá trị sử dụng, lỗi hệ thống dẫn đến nạp tiền đúp nhiều lần vào tài khoản của khách hàng, sau đó ngân hàng không thu hồi được số tiền trên do đã bị khách hàng sử dụng, rủi ro trong trường hợp tội phạm thẻ sử dụng thẻ giả thực hiện giao dịch được tổ chức thẻ cấp phép qua Stand - in thay cho ngân hàng khi hệ thống quản lý thẻ của ngân hàng không thể thực hiệm cấp phép, rủi ro hệ thống quản lý bị hack thông tin/virus tấn công tạo lệnh hoàn trả tiền trên máy ATM (Ngân hàng TMCP Quân Đội, Quy trình xử lý rủi ro hoạt động thẻ, 2016).
Rủi ro kỹ thuật có thể diễn ra trên máy ATM bằng cách tội phạm bẫy trộm tiền bằng các phương pháp gắn khe trả tiền giả, đảo ngược giao dịch hoặc tội phạm thẻ cài đặt phần mềm độc hạ hoặc thiết bị sao chép thông tin thẻ trên ATM; hoặc kiểm soát việc trả hoặc giữ thẻ,…(Ngân hàng TMCP Quân Đội, Quy trình xử lý rủi ro hoạt động thẻ, 2016)
Rủi ro kỹ thuật có thể có tác động dây chuyền, tác động đến hoạt động kinh doanh thẻ của cả ngân hàng và khách hàng tham gia hoạt đông thẻ. Chính vì vậy đảm bảo hệ thống vận hành một cách chính xác liên tục là yêu cầu hàng đầu đối với các ngân hàng khi tham gia thị trường thẻ tín dụng (Ngân hàng TMCP Quân Đội, Quy trình xử lý rủi ro hoạt động thẻ, 2016). Hiện tại các App ngân hàng điện tử trên thiết bị di động đều cập nhật các thông tin về thẻ, chủ thẻ có thể thực hiện thanh
toán dịch vụ hàng hóa online bằng thẻ tín dụng hoặc liên kết thẻ tín dụng với các ví điện tử, khi tội phạm chiếm đoạt được tài khoản Ngân hàng điện tử có thể thực hiện các giao dịch chi tiêu thẻ tín dụng online.
Rủi ro gian lận nội bộ
Rủi ro gian lận nội bộ là loại rủi ro đạo đức phát sinh do các cán bộ thẻ thực hiện các hành vi gian lận của các cá nhân tham gia vào hoạt động kinh doanh thẻ. Trong hoạt đông tác nghiệp hàng ngày, vì nhiều lý do cán bộ thẻ lợi dụng những hiểu biết của mình, lợi dụng vị trí công tác, lợi dụng mối quan hệ của mình trong ngân hàng từ đó biết được những lỗ hổng trong quy trình tác nghiệp để tự mình hoặc câu kết với người khác tiến hành các hành vi gian lận, giả mạo gây tổn thất cho ngân hàng. Rủi ro đạo đức có thể xảy ra tại khâu phát hành thẻ nếu cán bộ thẻ cấu kết với tội phạm thực hiện phát hành thẻ tín dụng với thông tin giả, hoặc lợi dụng niềm tin của khách hàng lấy các thông tin thẻ tín dụng như mã số bảo mật…để thực hiện mua sắm hàng hóa online. Hiện tại một số ngân hàng cán bộ phát hành thẻ sẽ trực tiếp trả thẻ cho khách hàng tại các địa điểm ngoài ngân hàng, dẫn đến việc cán bộ đó có thể giả mạo chữ ký chủ thẻ để nhận thẻ tín dụng. Hiện tại một số ngân hàng cho phép chủ thẻ kích hoạt thẻ qua tin nhắn, app ngân hàng hoặc gọi điện lên tổng đài nên có thể cán bộ phát hành thẻ lợi dụng những thông tin thu thập được của khách hàng để kích hoạt và sử dụng thẻ tín dụng với mục đích trục lợi. Các hành vi gian lận này thường được thực hiện một cách tinh vi và che giấu rất kỹ càng, khó phát hiện bởi do cán bộ đó có thể lợi dụng sơ hở trong quá trình bàn giao thẻ cho khác hàng. Để hạn chế rủi ro đạo đức trong hoạt động kinh doanh thẻ, các ngân hàng cần phải có một cơ chế giám sát quản lý hoạt động một cách chặt chẽ trong từng khâu thẩm định – phát hành – thanh toán thẻ tín dụng. Ngoài ra, ngân hàng cần phải gắn chặt quyền lơi, trách nhiệm của cán bộ thẻ với quyền lợi của ngân hàng trong hoạt động kinh doanh thẻ, đưa ra những chế tài xử phạt mang tính răn đe với những trường hợp vi phạm nghiêm trọng.