Chủ yếu tình trạng này xảy ra ở các nước lớn, nơi có tỷ lệ khách hàng bị đánh cắp dữ liệu thẻ cao như Mỹ, Anh, Pháp, Canada, ...
Để tìm ra cách giảm thiểu ngăn chặn những rủi ro này, các tổ chức thẻ lớn trên thế giới gồm Visa, Master, JCB, American Express, Discover đã cùng nhau thành lập Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) từ đó nghiên cứu và phát triển cho ra đời Bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (Payment Card Industry Data Security Standard - PCI DSS). Bộ tiêu chuẩn này đã giúp các tổ chức kinh doanh bảo vệ hệ thống thanh toán của họ. PCI DSS cung cấp và hướng dẫn cách lưu trữ và truyền thông tin, dữ liệu tài khoản thẻ một cách an toàn nhất, nhằm ngăn chặn việc các thông tin bảo mật bị rơi vào tay kẻ gian chẳng hạn như: phải xây dựng và duy trì được hệ thống tường lửa nhằm bảo vệ dữ liệu thẻ thanh toán hay cần mã hóa thơng tin thẻ trên đường truyền trong quá trình giao dịch,... Các đơn vị kinh doanh bắt buộc phải đáp ứng được chuẩn PCI DSS nếu khơng họ có
thể sẽ phải trả các khoản phạt từ các TCTQT như Visa hay MasterCard. Hệ thống thẻ hiện nay của Agribank hiện cũng đang sử dụng cũng đáp ứng chuẩn bảo mật quốc tế (PCI DSS) và đã được các Tổ chức thẻ quốc tế cấp chứng nhận.
2.3.2.4. Tình trạng khách hàng lừa đảo cung cấp thông tin dữ liệu.
Rất nhiều Ngân hàng trong đó có Agribank đã thường xuyên phát đi những cảnh báo khách đề phịng trước các hình thức lừa đảo, giả mạo nhằm mục đích đánh cắp thông tin và chiếm đoạt tiền này. Tuy nhiên tình trạng người dân, nhất là người già, người sống tại vùng nông thôn nhận được tin nhắn, cuộc gọi lừa đảo, chiếm đoạt tài khoản liên tục diễn ra.
Các đối tượng tội phạm dùng nhiều thủ đoạn lừa đảo như giả là nhân viên ngân hàng; nhân viên các đơn vị cung cấp dịch vụ liên quan đến ngân hàng (đặc biệt là ví điện tử); mạo danh cơ quan cơng an, tịa án; thậm chí là người thân, người mua hàng... để lừa lấy thông tin tài khoản của khách hàng, thực hiện hành vi rút tiền trái phép trong tài khoản. Ví dụ như:
- Thủ đoạn mạo danh nhân viên ngân hàng là chiêu thức được tội phạm sử dụng nhiều nhất bởi nhiều khách hàng có tâm lý tin tưởng và khơng đề phịng từ phía ngân hàng. Sau đó, chúng sẽ yêu cầu khách cung cấp mã OTP, số chứng minh thư nhân dân để nhận số tiền trên hệ thống. Tuy nhiên nên nhớ rằng Ngân hàng không bao giờ yêu cầu khách hàng cung cấp thông tin bảo mật thẻ và các dịch vụ ngân hàng điện tử, hoặc yêu cầu phối hợp cung cấp thông tin để xác thực định danh khách hàng.
- Một trong những thủ đoạn khá phổ biến hiện nay là giả mạo cơ quan chức năng, người thân, bạn bè khách hàng. các đối tượng lừa đảo sẽ đánh cắp thông tin và tiền trong tài khoản của khách. Đặc biệt là trường hợp các tài khoản mạng xã hội bị đánh cắp thông tin, làm giả để lừa đảo bạn bè, người
thân của chủ tài khoản chuyển tiền để chiếm đoạt. Trường hợp này đặc biệt khó đề phịng và phát hiện.
- Trường hợp khách hàng đưa câu hỏi công khai trên kênh online của nhà cung cấp dịch vụ thanh tốn như ví điện tử. Đã có trường hợp đối tượng đóng giả thành nhân viên chăm sóc để liên hệ dưới danh nghĩa hỗ trợ khách hàng và yêu cầu khách hang cung cấp thông tin cá nhân.
- Một thủ đoạn khác của bọn tội phạm là gửi link của những website giả mạo những dịch vụ chuyển tiền quốc tế như Western Union, MoneyGram, ... yêu cầu thông tin tài khoản, mã OTP để chiếm đoạt tiền trong tài khoản. Ngoài ra, một thủ đoạn mới là các đối tượng lừa đảo cịn lợi dụng các chương trình khuyến mãi để lấy thơng tin khách hàng. Ví dụ như các đối tượng sẽ gọi điện, gửi email, gửi đường dẫn truy cập các trang web giả thông báo về việc trúng thưởng mã khuyến mãi, hàng hóa. Khách hàng muốn nhận được giải thưởng phải làm theo hướng dẫn và cung cấp một số thông tin cá nhân như: địa chỉ, số tài khoản, thậm chí là mã OTP. để hoàn tất quá trình xác nhận. Khi có thơng tin, kẻ lừa đảo sẽ thực hiện các giao dịch rút tiền và ăn cắp tài khoản.
Để đảm bảo an toàn cho tài khoản, khách hàng cần tuyệt đối giữ bí mật thơng tin các dịch vụ ngân hàng điện tử như tên truy cập, mật khẩu, mã xác thực giao dịch một lần - OTP và các thông tin trên thẻ. Tuyệt đối không cung cấp các thông tin trên cho bất kỳ ai thông qua bất kỳ phương thức giao tiếp nào (email, tin nhắn, trao đổi miệng...).
Đây là hình thức lừa đảo tinh vi, số lượng lớn nhưng khó điều tra, xác nhận thơng tin, cần có Cơ quan Cơng an kiểm tra, cũng như cũng chưa có cơ chế xử lý triệt để. Công tác thống kê, báo cáo số liệu đối với hình thức này cũng khó có được con số chính xác. Các Ngân hàng hiện nay đang phối hợp với Ngân hàng Nhà nước dự thảo thay thế Nghị định 101 về thanh tốn khơng
dùng tiền mặt, trong đó có kiến nghị Quy định trong trường hợp chủ tài khoản bị lừa đảo đánh cắp thông tin tài khoản và chuyển tiền, nếu phát hiện và trình báo sớm, ngân hàng có thể phong tỏa sau khi có bằng chứng, giúp khách lấy lại tiền. Quy định mới này nếu được thông qua sẽ giúp khách hàng đối phó với tình trạng gian lận trong lĩnh vực thanh tốn, trong đó tội phạm sử dụng công nghệ cao ngày càng gia tăng và khó kiểm sốt.
2.3.2.5. Tình trạng khách hàng bị mất, lấy cắp thẻ
Ngoài trường hợp khách hàng bị lừa đảo cung cấp thông tin dữ liệu dẫn đến chiếm đoạt tài sản, cịn có trường hợp khách hàng bị mất, lấy cắp thẻ để thực hiện các giao dịch không mong muốn.
Những trường hợp này thường xảy ra đối với các thẻ quốc tế không yêu cầu xác nhận mã PIN khi thực hiện giao dịch. Cùng với sự tiện ích về những tính năng linh hoạt cũng như thời gian xử lý nhanh của thẻ quốc tế, nó cịn mang lại những rủi ro khi khách hàng làm mất hay bị lấy cắp thẻ mà chưa kịp thời khóa thẻ trên hệ thống gây ra những giao dịch gây tổn thất về kinh tế cho khác hàng.Ngoài ra, với sự phát triển của khoa học công nghệ và những tính năng hiện đại của thẻ ngân hàng như hiện nay còn tồn tại rủi ro đối với những giao dịch Ecommerce. Khách hàng bị người quen lợi dụng dùng điện thoại thông minh có ứng dụng Emobile hoặc thực hiện các giao dịch Internet,... rồi nhập OTP để hoàn tất giao dịch. Tuy nhiên các trường hợp trên đều xảy ra với số lượng ít và chủ yếu đều có thể thu hồi được. Rủi ro này phụ thuộc vào khách hàng, muốn ngăn chặn những trường hợp này xảy ra cần khách hàng phải cảnh giác, bảo quản tốt thẻ cũng như dữ liệu thẻ ngân hàng.
Đối với thẻ bị mất/bị đánh cắp đã được khóa trên hệ thống nhưng vẫn bị kẻ gian lợi dụng thực hiện giao dịch không cần Agribank phải phê duyệt hoặc các giao dịch do hệ thống dự phòng của TCTQT phê duyệt thay cho
Agribank, gây tổn thất cho Agribank. Thực tế trường hợp này, tại Agribank chưa phát sinh tổn thất.
2.4. ĐÁNH GIÁ THỰC TRẠNG QUẢN LÝ RỦI RO ĐỐI VỚI THẺTHÔNG TIN DỮ LIỆU TẠI AGRIBANK THÔNG TIN DỮ LIỆU TẠI AGRIBANK
2.4.1. Kết quả đạt được
2.4.1.1. về kỹ thuật
- Agribank luôn chủ động nghiên cứu và áp dụng một số giải pháp kỹ thuật để phòng ngừa và hạn chế tình trạng thẻ bị sao chép thông tin dữ liệu, như: Chỉnh sửa, cập nhật các quy tắc cảnh báo của hệ thống cảnh báo các giao dịch để phát hiện các giao dịch bất thường nghi ngờ gian lận, giả mạo theo hướng nâng cao hiệu quả cảnh báo; trang bị thiết bị phần cứng và chương trình phần mềm Anti-Skimming cho ATM; lắp đặt bổ sung thiết bị che bàn phím tại ATM; lắp đặt thiết bị chống Deep Insert cho ATM dòng NCR; lắp đặt thiết bị phần cứng phòng chống sao chép thông tin dữ liệu mới (FDI) cho ATM dòng máy Selfserv 22; Triển khai hệ thống Camera giám sát và báo động tập trung trong toàn hệ thống; Xây dựng chương trình phân tích, xác định/khoanh vùng ATM bị Skimming và chương trình tìm kiếm Anti Skimming và chương trình khóa thẻ nhanh,... Những phương pháp này mang lại nhưng hiệu quả khá khả quan cho Agribank
- Trước tình hình tội phạm trong lĩnh vực thẻ có xu hướng gia tăng với nhiều phương thức, thủ đoạn rất tinh vi, Agribank đã chủ động nghiên cứu, chỉ đạo và thường xuyên chấn chỉnh các chi nhánh về công tác đảm bảo an ninh, an tồn ATM, phịng chống sao chép thông tin dữ liệu thẻ,...Không lơ là vào các dịp nghỉ lễ. Từ đó kịp thời phát hiện và có phương án xử lý đối với tình trạng đối tượng tội phạm sử dụng thẻ giả để thực hiện giao dịch gian gian lận.
2.4.1.2. Về quy trình, nghiệp vụ, chính sách.
- Quy trình nghiệp vụ, đã nghiên cứu, sửa đổi, bổ sung nhiều nội dung theo hướng tăng cường an ninh, an toàn trong triển khai nghiệp vụ, như: Quy định cụ thể và chi tiết về thành phần và trách nhiệm của Ban quản lý ATM đảm bảo thống nhất trong toàn hệ thống,v.v....
- Hoạt động phát hành và thanh toán thẻ tại Agribank đã được thực hiện theo đúng quy trình, quy định; dữ liệu của khách hàng và lịch sử giao dịch thẻ có tính bảo mật cao theo đúng tiêu chuẩn của các TCTQT.
2.4.1.3. Về con người
- Agribank luôn đầu tư nguồn nhân lực có kinh nghiệm trong lĩnh vực thẻ, nhanh nhạy trong xử lý tình huống để phụ trách xử lý rủi ro về thẻ cũng như xây dựng các giải pháp, chiến lược nhằm phịng ngừa rủi ro có thể phát sinh.
- Agribank thường xuyên chặt chẽ với các cơ quan Công an trong đó có Cục an ninh mạng và phòng chống tội phạm công nghệ cao - A05, các Tổ chức thẻ trong và ngoài nước, Tiểu ban Quản lý rủi ro của Hội thẻ Ngân hàng Việt Nam trong cơng tác phịng chống tội phạm thẻ từ đó hạn chế được những rủi ro, gian lận có thể phát sinh.
2.4.2. Những tồn tại, hạn chế
2.4.2.1. Về kỹ thuật
- Cơ sở hạ tầng công nghệ của Agribank tuy hiện tại tuy vẫn đáp ứng được hệ thống tuy nhiên trong tương lai nếu khơng có những nâng cấp, thay thế thì khó có thể đáp ứng được những nhu cầu ngày càng cao của khách hàng. Mỗi sản phẩm, dịch vụ của Agribank sẽ có một ban hay trung tâm của trụ sở chính quản lý, gây sự khó khăn nhất định trong cơng tác quản trị. Hệ thống thẻ của Agribank gồm khá nhiều cầu phần: chương trình quản lý tài khoản của khách hàng riêng, chương trình quản lý tình trạng thẻ riêng, chương trình hạch tốn
riêng, chương trình kết nối với tổ chức thẻ quốc tế riêng, chương trình phân tích cảnh báo riêng.
- Tuy đã triển khai những biện pháp quyết liệt nhưng vẫn cịn tình trạng thẻ của Agribank bị sao chép thông tin dữ liệu ở ATM.
- Những biện pháp quản trị rủi ro các ngân hàng đưa ra vẫn mang tính tự phát dựa trên tình hình kinh doanh cũng như tình hình rủi ro của riêng ngân hàng, chưa có các biện pháp thống nhất giữa các ngân hàng, tạo kẽ hở cho tội phạm thẻ xâm nhập.
2.4.2.2. về quy trình, nghiệp vụ, chính sách.
- Tuy thường xuyên có những thay đổi, cập nhập nhưng nhìn chung quy trình của Agribank vẫn còn những thủ tục khá rườm rà, thủ công; chưa thực sự phù hợp, thuận tiện cho khách hàng thời đại hiện nay...
- Với đề án số 2545/QĐ-TTg về phát triển thanh tốn khơng dùng tiền mặt tại Việt Nam giai đoạn 2016-2020, tuy tỉ lệ các giao dịch trực tuyến tăng lên đồng nghĩa với tỉ lệ thanh tốn khơng dùng tiền mặt trong dân cư các năm gần đây đã tăng so với những năm trước đó, tuy nhiên nếu so sánh với các nước trong khu vực và các nước trên thế giới cũng như kì vọng thì tỉ lệ này vẫn chưa được như mong đợi. Nếu so với tiềm lực là số người Việt Nam sử dụng máy tính và điện thoại thơng minh thì con số này thực sự còn khá khiêm tốn.
2.4.2.3. Về con người
- Hiện nay đào tạo bậc đại học ở Việt Nam không có nhiều các mơn học liên quan về thẻ ngân hàng nói chung và quản trị rủi ro thẻ nói riêng, một phần do mỗi ngân hàng có những quy trình thẻ khác nhau. Do đó đội ngũ cán bộ mới của ngân hàng phụ trách thẻ cũng như nghiệp vụ rủi ro thẻ phần lớn đều cần đào tạo lại và chưa có nhiều kinh nghiệm thực tế. Dựa trên nền tảng công nghệ ngân hàng hiện đại, dịch vụ thẻ đòi hỏi phải biết tiếp cận, khai thác
hệ thống corebank, hệ thống chuyển mạch (switching), hệ thống quản lý thẻ (card management system) cũng như hệ thống phân tích rủi ro (Fraud Analysis), v.v... Do đó, ngồi nắm chắc nghiệp vụ thẻ, có kĩ năng ngoại ngữ, cán bộ quản lý rủi ro nghiệp vụ thẻ cần am hiểu về hệ thống công nghệ thông tin hiện đại để xử lý công việc một cách an toàn và hiệu quả.Ngoài ra các cán bộ quản trị rủi ro thẻ hiện nay thường còn kiêm nhiệm các nghiệp vụ khác như: tra soát, đối soát, ... với khối lượng công việc khá lớn chứ chưa có bộ phận riêng biệt chuyên theo dõi, nghiên cứu tình hình gian lận thẻ, những cảnh báo gian lận cũng như những biện pháp phòng ngừa mới.
- Mặc cho những cảnh báo về rủi ro của ngân hàng, nhận thức của khách hàng trong phòng ngừa rủi ro thẻ vẫn chưa thực sự cao. Những dữ liệu thẻ của khách hàng cần được bảo mật đúng quy định bởi khi có tổn thất phát sinh do khách hàng không bảo quản thẻ, mã PIN cũng như bảo mật dữ liệu thẻ không đúng quy định, mọi tổn thất chủ thẻ sẽ phải gánh chịu.
2.4.3. Nguyên nhân
2.4.3.1. về kỹ thuật.
- Bất kì hệ thống nào khơng chỉ hệ thống quản lý thẻ cần được bảo trì, bảo dưỡng, cập nhật thường xuyên, thậm chí và đầu tư thay thế nếu đã khơng cịn đáp ứng được những yêu cầu trong hiện tại và tương lai. Các chức năng, tiện ích liên quan đến thẻ cũng cần được nghiên cứu, cập nhật, triển khai để bắt kịp và đáp ứng được những nhu cầu, đòi hỏi ngày càng cao của thị trường. Do vậy, đơi khi cán bộ thẻ cịn chưa thể cập nhật hết cũng như có những hiểu biết chuyên sâu về toàn bộ hệ thống.
- Hệ thống ATM của các ngân hàng đã được kết nối, liên thông với nhau nên mặc dù Agribank chỉ có 01 ATM bị Skimming trong năm 2019 với số lượng thẻ tổn thất không quá nhiều, nhưng tình trạng thẻ của Agribank bị sao chép thông tin dữ liệu tại hệ thống ATM của các NHTM khác, gây rủi ro, tổn
thất cho khách hàng và Agribank. Việc phòng, chống ATM bị Skimming cần phải có sự triển khai đồng bộ trong toàn thị trường cũng như lộ trình chuyển đổi thẻ Chip nội địa theo chuẩn VCCS của Ngân hàng Nhà nước.
2.4.3.2. Về quy trình, nghiệp vụ, chính sách.
Về tỉ lệ thanh tốn khơng dùng tiền mặt ở Việt Nam, theo chia sẻ của các ứng dụng mua hàng trực tuyến thì thực chất tuy khách hàng mua hàng online nhưng hình thức đa số khách hàng lựa chọn vẫn là “offline” tức là hình thức thanh tốn bằng tiền mặt khi nhận hàng. Đối với các khách hàng đặc biệt là người lớn tuổi, quan niệm thẻ là để rút tiền rất khó để thay đổi. Vì vậy những cập nhật, tính năng, dịch vụ mới và cả những cảnh báo của ngân hàng cũng khá khó cho các đối tượng này tiếp cận. Điều này dẫn đến hệ quả ý thức