Rủi ro đối với thẻ thông tin dữ liệu là rủi ro chính gây ra tổn thất trong lĩnh vực thẻ của Agribank, vậy nên công tác quản lý rủi ro thẻ thông tin dữ liệu luôn là một trong những công tác được đặt lên hàng đầu. Agribank ln tìm tịi và triển khai những chương trình, phần mềm, các biện pháp nhằm hạn chế tới mức tối đa loại rủi ro này. Nhờ những phương pháp quản lý rủi ro đó mà tỉ lệ thẻ bị tổn thất đối với thẻ thông tin dữ liệu theo thống kê của Agribank đang có xu hướng giảm về giá trị tổn thất. Đây là một tín hiệu đáng mừng cho Agribank.
Xét về giao dịch thẻ, trong những năm 2014, 2015 chủ yếu tập trung vào thẻ quốc tế vì thẻ quốc tế thường xuyên giao dịch tại các thị trường châu Âu, châu Mỹ
Tiêu chí
Năm 2016 Năm 2017 Năm 2018 Năm 2019
Số giao dịch Số tiền Số giao dịch Sốtiền Số giao dịch tiềnSố Số giao dịch tiềnSố
nên dễ bị sao chép thông tin dữ liệu. Những năm gần đây do bọn tội phạm chuyển địa bàn hoạt động sang các nước trong khu vực Châu Á, đặc biệt những quốc gia vẫn cịn sử dụng thẻ từ thay vì thẻ chip như Việt Nam. Vì vậy nhìn chung trên thị trường, tỷ lệ thẻ nội địa có xu hướng gia tăng, mặc dù hạn mức giao dịch của thẻ nội địa thấp hơn so với thẻ quốc tế nhưng do phát sinh nhiều món nên số lượng rủi ro, tổn thất của thẻ nội địa trong những năm gần đây vẫn chiếm đa số.
Theo Phó Thống đốc Ngân hàng Nhà nước Nguyễn Kim Anh, việc chuyển đổi thẻ từ sang thẻ chip là yêu cầu bắt buộc. Mục tiêu đến cuối năm 2019 ít nhất 30% số thẻ ATM, 35% máy ATM, 50% thiết bị chấp nhận thẻ (pos) tại điểm bán hàng đang lưu hành phải tuân thủ tiêu chuẩn cơ sở về tiêu chuẩn thẻ chip nội địa. Đến cuối năm 2021 sẽ hoàn thành 100% mục tiêu chuyển đổi thẻ từ sang thẻ chip.
Điều này sẽ hạn chế được tình trạng tội phạm đánh cắp dữ liệu thẻ để chế tạo thẻ giả nhằm rút trộm tiền... Tuy nhiên, giá thành để sản xuất một thẻ chip khá cao, cao hơn sản xuất thẻ từ nhiều lần. Thực tế, nếu thu phí từ khách hàng tỷ lệ chuyển đổi sẽ rất thấp vì đối với khách hàng đang có thói quen dùng cũng với nhu cầu tiêu dùng không tiền mặt chưa cao sẽ khó chuyển sang dùng thẻ chip để phải mất phí. Với số lượng chủ thẻ hiện nay ở Việt Nam thì việc chuyển đổi này sẽ tiêu tốn một khoản chi phí khơng nhỏ cho các Ngân hàng. Vì vậy mặc dù Agribank và 6 Ngân hàng thương mại khác đã hoàn thiện được bộ tiêu chuẩn thẻ chip với thẻ thanh tốn nội địa nhưng cũng khơng dễ cho Agribank cũng như các NHTM khác đạt mục tiêu của Ngân hàng Nhà nước vào năm 2021.
Agribank hiện nay đang cung ứng trên thị trường bốn loại sản phẩm thẻ chính, bao gồm: Thẻ ghi nợ nội địa, thẻ mang thương hiệu Visa, thẻ mang thương hiệu MasterCard và thẻ mang thương hiệu JCB. Agribank mới triển khai thẻ JCB từ năm 2017 và tính đến hết năm 2019 chưa ghi nhận giao dịch rủi ro, tổn thất liên quan.
Bảng 2.3: Tổng hợp Rủi ro, tổn thất do gian lận, giả mạo theo loại thẻ
Thẻ ghi nợ
nội địa 187 578 72 748 242 521 46 148
Thẻ Visa 28 101 25 85 125 184 192 209
“Thẻ
xu hướng tăng mạnh trong 2 năm 2017, 2018 và đến 2019 có xu hướng giảm. Tỉ trọng chủ yếu trong bốn năm gần đây vẫn tập trung chủ yếu vào thẻ ghi nợ nội địa. Do có các biện pháp kĩ thuật kịp thời nên với tình trạng ATM của Agribank bị gắn thiết bị sao chép thông tin dữ liệu nên năm 2019 các giao dịch gian lận do thẻ ghi nợ nội địa gây ra cũng có xu hướng giảm mạnh. Tuy nhiên các giao dịch thẻ quốc tế gian lận lại có xu hướng tăng. Hiện nay 100% thẻ quốc tế của Agribank là thẻ chip chuẩn EMV nên các giao dịch gian lận này không phải là do thẻ bị sao chép thơng tin dữ liệu sau đó đối tượng thực hiện các giao dịch rút tiền như thẻ nội địa mà chủ yếu là các giao khơng xuất trình thẻ (các giao dịch trực tuyến).
Năm 2017 Năm 2018 Năm 2019 Số tiền Số giao dịch Số tiền Số giao dịch Số tiền Số giao dịch Số tiền Số giao dịch 751 226 856 107 2.881 235 194,8 21 ■ Thẻ MasterCard ■ Thẻ Visa
■ Thẻ ghi nợ nội địa
Biểu đồ 2.1: Tỷ trọng rủi ro, tổn thất liên quan đến gian lận, giả mạo các loại thẻ của Agribank giai đoạn từ 2016- 2019
(Nguồn: Báo cáo tổng kết nghiệp vụ thẻ Agribank năm 2016-2019)[4]
2.3.2.1. Tình trạng khách hàng bị lấy cắp thơng tin cá nhân phát hành thẻ
Kẻ gian lợi dụng lấy cắp thông tin cá nhân của người khác như CMTND; làm giả Hợp đồng lao động, xác nhận thu nhập, v.v... để đề nghị chi nhánh của Agribank phát hành thẻ sau đó thực hiện giao dịch bất hợp pháp, gây tổn thất cho Agribank. Mặc dù quy trình nghiệp vụ thẻ đã quy định chặt chẽ về hồ sơ phát hành thẻ, chi nhánh đã chấp hành đúng quy trình nghiệp vụ thẻ của Agribank; cán bộ làm nghiệp vụ cũng đều có trình độ và được đào tạo về nghiệp vụ thẻ nhưng vẫn có thể bị kẻ gian lợi dụng do giấy tờ, hồ sơ đề nghị phát hành bị giả mạo cực kỳ tinh vi và khó có thể phát hiện bằng mắt. Vì vậy, mặc dù từ khi triển khai nghiệp vụ thẻ cho đến nay, Agribank chưa phát sinh rủi ro, tổn thất do hồ sơ phát hành thẻ giả mạo nhưng vẫn có thể tiềm ẩn rủi ro, tổn thất. Thực tế một số NHTM tại Việt Nam đã phát sinh rủi ro, tổn
thất do gian lận, giả mạo trong khâu lập hồ sơ phát hành thẻ, như: HSBC, Techcombank, Tiên Phong Bank, v.v... tại Agribank chưa phát sinh loại hình rủi ro này nhưng nguy cơ tiềm ẩn thì vẫn rất lớn.
2.3.2.2. Thẻ bị sao chép thông tin dữ liệu tại ATM
Rủi ro đối với thẻ bị sao chép thông tin dữ liệu tại ATM xảy ra khi thẻ do Agribank phát hành bị tội phạm ăn cắp, sao chép thông tin, dữ liệu và làm giả sau đó để thực hiện giao dịch gian lận, giả mạo chiếm đoạt tiền bất hợp pháp gây tổn thất cho Agribank. Sản phẩm truyền thống, chủ đạo của Agribank là sản phẩm thẻ ghi nợ nội địa- loại thẻ dễ bị ảnh hưởng nhất từ loại hình rủi ro này. Chính vì vậy đây cũng là rủi ro hiện đang chiếm tỉ trọng tổn thất nhất trong giai đoạn trước năm 2019.
Bảng 2.4: Tổng hợp rủi ro, tổn thất do thẻ của Agribank bị sao chép thông tin dữ liệu tại ATM
với loại hình gian lận giả mạo do thẻ bị sao chép thông tin và làm giả tăng cao trong giai đoạn từ năm 2016 đến 2018 và giảm mạnh trong năm 2019. Lý do là năm
2019, Agribank đã phối hợp với các đối tác, triển khai những giải pháp, áp dụng những cơng nghệ mới để giảm thiểu tình trạng tội phạm gắn thiết bị ở cây ATM của
Agribank mang lại những hiệu quả ấn tượng.
Biểu đồ 2.2: Rủi ro, tổn thất do thẻ của Agribank bị sao chép thông tin dữ liệu tại ATM trong giai đoạn 2016-2019
(Nguồn: Báo cáo tổng kết nghiệp vụ thẻ Agribank năm 2016-2019)[4]
Số lượng ATM bị gắn thiết bị có xu hướng ngày càng tăng, năm 2016 là 30 ATM, năm 2017 tổng số ATM bị gắn thiết bị là 57 ATM tăng 27 ATM, tăng 90%, năm 2018 tổng số ATM bị gắn thiết bị là 139, tăng hơn 140%, đặc biệt là năm 2019 tổng số ATM bị gắn thiết bị là 241, tăng hơn hơn 90%. Số lượng ATM bị gắn thiết bị tăng, điều đó cho thấy tội phạm có xu hướng sang Châu Á, đặc biệt là khu vực Việt Nam.
Năm 2008, Agribank đã phát sinh rủi ro, tổn thất do thẻ nội địa do Agribank phát hành bị ăn cắp, sao chép thông tin, chụp mã PIN tại ATM. Vì vậy, từ năm 2008, Agribank đã trang bị và triển khai lắp đặt các chương trình phần mềm cũng như thiết bị phần cứng phòng chống tội phạm thẻ (Anti - Skimming) tại 100% ATM. Các giải pháp phòng chống đối tượng tội phạm
sao chép thông tin, dữ liệu thẻ này thường xuyên được Agribank quan tâm, nâng cấp, cập nhật để chạy đua với đối tượng tội phạm này.
Tuy nhiên trong thời gian gần đây, tình hình tội phạm lắp đặt thiết bị sao chép thẻ thông tin dữ liệu và chụp mã PIN tại ATM (Skimming) có xu hướng gia tăng với phương thức, thủ mới và ngày càng tinh vi. Nổi bật nhất những năm gần đây là vụ việc cuối tháng 4 năm 2018 tại cây ATM đặt tại 71 Hàng Trống, quận Hoàn Kiếm, Hà Nội do Agribank chi nhánh Thủ Đô quản lý, phát hiện bị đối tượng gắn thiết bị sao chép để trộm thông tin khách hàng. Vụ việc này đã gây tổn thất không chỉ cho Agribank với số tiền khoảng 187 triệu đồng mà còn gây ảnh hưởng xấu đến uy tín và hình ảnh của Agribank và hoang mang trong dư luận.
Đặc điểm của loại tội phạm này thường như sau:
- Đối tượng tội phạm: chủ yếu là người nước ngồi có quốc tịch Trung Quốc, Đài Loan, Đông Âu, v.v...
- Thủ đoạn: gắn thiết bị sao chép thông tin, dữ liệu thẻ bên trong đầu đọc thẻ ATM, lắp Camera siêu nhỏ tại vị trí chiếu thẳng vào bàn phím ATM để chụp mã PIN, thiết bị đánh cắp dữ liệu loại mới (Deep Insert),... Thời gian gần đây, thủ đoạn các đối tượng tội phạm này ngày càng tinh vi hơn như: chia nhỏ dữ liệu đã sao chép được sau đó chia thành nhiều nhóm nhỏ để rút tiền; mỗi máy ATM chỉ thực hiện giao dịch một vài thẻ; sử dụng nhiều thủ đoạn để che dấu ngoại hình nhận dạng như; đội mũ, đeo khẩu trang, mặc áo mưa,... để gây khó khăn trong công việc xác nhận sự việc cũng như công tác điều tra của.
- Địa điểm lắp thiết bị: các ATM đặt tại các thành phố lớn, các khu du lịch nơi có mật độ người dân giao dịch nhiều. Các vụ việc gần đây chủ yếu xảy ra ở Hà Nội, TP. Hồ Chí Minh,...
- Thời gian tháo, lắp thiết bị: chủ yếu tập trung vào khoảng thời gian từ 10h đến 21h.
- Địa điểm rút tiền: Hà Nội, TP. Hồ Chí Minh, Bắc Ninh, Lạng Sơn,... trải rộng trên địa bàn cả nước nhưng chủ yếu sẽ tập trung ở những địa phương gần nơi bị sao chép thông tin dữ liệu hoặc khu vực các tỉnh vùng biên giới.
- Thời gian rút tiền: Chủ yếu tập trung vào buổi tối và đêm muộn từ 19h đến 2h sáng lúc ít người giao dịch và chủ thẻ cũng như ngân hàng kh ó theo dõi.
Qua thống kê chưa đầy đủ của Cục an ninh mạng và phịng chống tội phạm cơng nghệ cao, trong 6 tháng đầu năm 2019 trên thị trường Việt Nam đã xảy ra ít nhất 792 trường hợp khách hàng bị tổn thất do thẻ bị đánh cắp thông tin dữ liệu thẻ với tổng số tiền tổn thất hơn 14,5 tỷ đồng. Về số lượng máy ATM nghi ngờ gắn thiết bị sao chép dữ liệu thông tin của thẻ tính đến hết năm 2019 lũy kế có tới 514 ATM của các ngân hàng thành viên khác thuộc Napas bị các đối tượng lắp đặt thiết bị sao chép thông tin dữ liệu thẻ gây tổn thất cả về kinh tế lẫn hình ảnh cho các NHTM trong đó có thẻ của Agribank. Các vụ việc này xảy ra với số lượng ngày càng nhiều, năm sau luôn cao hơn năm trước với những hình thức phạm tội ngày càng tinh vi và phức tạp gây nên khơng ít vấn đề cho các ngân hàng ở Việt Nam.
■ ATM Agribank bị gắn thiết bị sao chép thông tin dữ liệu ■ ATM ở Việt Nam bị gắn thiết bị sao chép thông tin dữ liệu
Biểu đồ 2.1: Số lượng ATM bị gắn thiết bị sao chép thông tin dữ liệu của Agribank so với các NHTM Việt Nam giai đoạn 2016-2019
(Nguồn: Báo cáo tình hình hoạt động của Hội thẻ Ngân hàng Việt Nam năm
2016-2019 và Báo cáo tổng kết nghiệp vụ thẻ Agribank năm 2016-2019)[3,4]
Trong khi tỉ lệ ATM trên thị trường bị sao chép thông tin dữ liệu có xu hướng tăng thì tỉ lệ này ở Agribank lại có xu hướng giảoNguyên nhân chủ yếu là thẻ của Agribank bị sao chép dữ liệu tại ATM của Agribank hoặc máy ATM của Ngân hàng khác. Tại Agribank cũng đã trang bị và triển khai hàng loạt giải pháp, như: Lắp đặt thiết bị che bàn phím PIN Shield tại 100% ATM để phòng chống việc chụp mã PIN; Trang bị hệ thống Camera gắn ngoài cho ATM; Lắp đặt thiết bị chống DIS (DIS - Deep Insert Skimming: là hình thức sử dụng thiết bị sao chép thông tin gắn sâu bên trong đầu đọc thẻ của ATM) cho 100% ATM dòng
NCR, Đưa thông tin cảnh báo/khuyến cáo chủ thẻ che bàn phím khi nhập mã PIN lên màn hình ATM,v.v... Nhờ những nỗ lực đó, số lượng ATM của Agribank ngày càng giảm so với thị trường cũng như những năm trước đó.
Là một trong các NHTM có mạng lưới ATM lớn nhất thị trường và hoạt động trải dài khắp cả nước, Agribank gặp nhiều khó khăn, bất lợi trong cơng tác phịng, chống tội phạm Skimming tại ATM do hệ thống ATM của các ngân hàng được kết nối liên thông trong khi một số ngân hàng không chú trọng đầu tư các giải pháp kỹ thuật phòng chống tội phạm Skimming; tội phạm trong lĩnh vực thẻ luôn nghiên cứu tìm cách bẻ khóa, vô hiệu các giải pháp kỹ thuật của Hãng sản xuất ATM và của ngân hàng. Tuy nhiên, từ 2008 đến nay, Agribank đã luôn chú trọng đầu tư và triển khai nhiều giải pháp đồng bộ để phòng chống, hạn chế tội phạm Skimming tại ATM. Trong 2019, cùng với sự phát triển mạnh mẽ của lĩnh vực Công nghệ thơng tin, tình hình tội phạm thẻ tiếp tục có diễn biến rất phức tạp với các thủ đoạn, phương thức tinh vi hơn. Tuy nhiên, Trung tâm Thẻ Agribank thường xuyên chú trọng và chủ động phối hợp với các đơn vị có liên quan (Tiểu ban Quản lý Rủi ro - Hội thẻ Ngân hàng Việt Nam; Tổ chức thẻ trong và ngoài nước,v.v....) trong công tác quản trị rủi ro. Theo đó, Trung tâm Thẻ đã nghiên cứu, tổ chức triển khai nhiều giải pháp cả về nghiệp vụ và kỹ thuật, góp phần giảm thiểu, hạn chế tối đa rủi ro, tổn thất trong lĩnh vực thẻ. Cụ thể như sau:
- Các giải pháp kỹ thuật đã triển khai: Trang bị thiết bị phần cứng và chương trình phần mềm Anti-Skimming cho 100% ATM; Lắp đặt bổ sung thiết bị che bàn phím tại 100% ATM; Lắp đặt thiết bị chống Deep Insert cho 100% ATM dòng NCR; Từ 31/01/2019 hoàn thành lắp đặt thiết bị phần cứng phòng chống sao chép thơng tin dữ liệu thẻ mới (FDI) cho tồn bộ ATM dòng máy Selfserv 22; Triển khai hệ thống Camera giám sát và báo động tập trung trong tồn hệ thống; Xây dựng chương trình phân tích, xác định/khoanh vùng
ATM bị Skimming và chương trình khóa thẻ nhanh. Trong năm 2019, Agribank chỉ phát sinh 01 trường hợp ATM bị Skimming, trong khi đó trên thị trường riêng trong 6 tháng đầu năm 2019 ở thị trường Việt Nam, con số này lên tới 191 trường hợp.
- Các giải pháp nghiệp vụ đã triển khai: Áp dụng giải pháp kiểm soát hạn mức giao dịch tại ATM của thẻ ghi nợ nội do Agribank phát hành vào khung giờ tiềm ẩn nhiều rủi ro theo Công văn số 6296/NHNN-CNTT ngày 21/8/2018 của Cục Công nghệ thông tin - Ngân hàng Nhà nước; Đưa thông tin cảnh báo/khuyến cáo khách hàng che bàn phím lên màn hình ATM; Quy định yêu cầu các chi nhánh quản lý ATM bố trí bảo vệ trực, giám sát ATM 24/7. Bên cạnh đó, Tổng Giám đốc Agribank đã ký nhiều văn bản chỉ đạo, chấn chỉnh các chi nhánh trong tồn hệ thống về cơng tác bảo vệ, giám sát và