3.2 Giải pháp hạn chế rủi ro trong hoạt động kinh doanh thẻ tại ACB
3.2.4 Giải pháp hạn chế rủi ro công nghệ
3.2.4.1 Sử dụng công nghệ thẻ EMV
Việc sử dụng thẻ Chip giúp các ngân hàng hạn chế được rủi ro thẻ giả mạo. Hiện tại, rủi ro đối với thẻ nội địa là chưa lớn vì các giao dịch bằng thẻ nội địa đều có yêu cầu nhập PIN (cả POS và ATM), nên rủi ro gian lận đang tập trung vào thẻ quốc tế. Về lâu dài việc ứng dụng các cơng nghệ thẻ có mức độ bảo mật và chống giả mạo là rất cần thiết và hợp với xu thế chung của thế giới vì rõ ràng thẻ từ tiềm ẩn quá nhiều rủi ro, vạch từ rất dễ bị đánh cắp và làm giả. Đây là giải pháp tối ưu để hạn chế việc gian lận giả mạo thẻ mặc dù chi phí triển khai cơng nghệ thẻ Chip là một vấn đề lớn với các ngân hàng. Tuy nhiên xét về dài hạn chi phí này có thể được bù đắp bằng những lợi ích hạn chế tổn thất cho các ngân hàng. Qua kinh nghiệm triển khai của các nước trong khu vực thì có thể nhận xét đây là một giải pháp khả thi và có hiệu quả. Và trong tương lai khơng xa, quy định này có thể sẽ là yêu cầu bắt buộc từ các tổ chức thẻ quốc tế VS/MC vì mục đích hạn chế rủi ro.
Hiện tại, vì cân bằng giữa chi phí và lợi nhuận nên hiện tại ACB vẫn sử dụng song song công nghệ từ và công nghệ Chip (từ tháng 11/2010). Thống kê cho thấy, tỷ lệ thẻ Chip trên tổng số lượng thẻ của ACB chỉ là 11.5%, trong khi đó thẻ từ vẫn cịn đang hoạt động là 88.5%. Việc thẻ từ đang chiếm một tỷ lệ lớn là nguyên nhân gây ra rủi ro cho ACB. Tuy nhiên, trong thời gian qua, tại ACB vẫn xảy ra tình trạng thẻ Chip bị làm giả thành thẻ từ và sử dụng thanh toán tại Mỹ do tại Mỹ các máy đọc thẻ đang sử dụng là máy từ nên bọn gian lận chủ yếu đánh cắp thông tin và làm thẻ giả để sử dụng tại Mỹ và các NHPHT luôn phải gánh chịu trách nhiệm đối với các giao dịch tại Mỹ vì thị trường Mỹ được ưu tiên. Tuy nhiên, cả hai tổ chức thẻ quốc tế điều đã có quy định đến tháng 10/2014, tất cả các ngân hàng ở Mỹ bắt buộc phải chuyển đổi sang thẻ Chip và máy cà thẻ có khả năng đọc Chip và bắt đầu áp dụng quy định EMV Liability Shift đối với Mỹ. Như vậy, đến tháng 10/2014, thị trường Mỹ sẽ khơng cịn được ưu tiên như hiện tại nữa mà ngân hàng nào đầu tư vào công nghệ hiện đại hơn thì sẽ được bảo vệ nếu có tranh chấp xảy ra, đến thời điểm đó nếu thiết bị đọc thẻ của Mỹ đã có khả năng đọc Chip mà ACB vẫn phát
80
hành thẻ từ thì NHPHT có khả năng gánh chịu rủi ro rất cao khi có gian lận xảy ra đối với thẻ từ giao dịch tại máy có khả năng đọc Chip. Điều cần làm là ACB cũng phải dần chuyển đổi toàn bộ thẻ từ sang thẻ Chip trước tháng 10/2014.
3.2.4.2 Mã hóa đường truyền thơng tin giao dịch
Tội phạm công nghệ cao thường tấn công vào các đường truyền dữ liệu thẻ tập trung để có thể đánh cắp được nhiều thơng tin thẻ. Việc đánh cắp thơng tin thẻ dưới hình thức này rất dễ thực hiện. Cách thức như sau: tội phạm dùng một mạch điện tử chuyên dụng và dùng dây nối mạch điện tử với một máy vi tính. Mạch điện tử này sẽ được đấu nối với đường dây điện thoại được dùng trong việc truyền giao dịch từ máy POS/ATM đến hệ thống xử lý của ngân hàng. Với cách thức này tội phạm có thể đánh cắp dữ liệu mà khó bị phát hiện. Dữ liệu thẻ sau đó được phát tán để sản xuất thẻ giả hoặc dùng để giao dịch gian lận qua mạng. Do vậy, việc bảo mật thông tin giao dịch trên POS gửi về hệ thống xử lý của ngân hàng thanh toán là một việc làm rất cần thiết.
3.2.4.3 Tuân thủ các tiêu chuẩn về bảo mật dữ liệu thẻ
PCI DSS được đưa ra bởi PCI Security Standards Council (bao gồm các thành viên là các tổ chức thẻ quốc tế: Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International). Mục đích của PCI DSS bảo đảm an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng. PCI DSS giúp đưa ra những chuẩn mực về bảo mật thông tin thẻ và được áp dụng trên toàn cầu.
Nội dung của PCI DSS gồm:
Xây dựng và duy trì hệ thống mạng bảo mật: Xây dựng và duy trì hệ thống
tường lửa để bảo vệ dữ liệu thẻ; không sử dụng các tham số hoặc mật khẩu có sẵn từ các nhà cung cấp.
Bảo vệ dữ liệu thẻ thanh toán: Bảo vệ dữ liệu thẻ thanh tốn khi lưu trên hệ
thống; mã hóa thơng tin thẻ trên đường truyền khi giao dịch.
Xây dựng và duy trì an ninh mạng: Sử dụng và cập nhật thường xuyên phần
81
Xây dựng hệ thống kiểm soát xâm nhập: hạn chế tiếp cận với dữ liệu thẻ
thanh toán; cấp và theo dõi các tài khoản truy nhập hệ thống của nhân viên; giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ.
Theo dõi và đánh giá hệ thống thường xuyên: kiểm tra và lưu tất cả các truy
nhập vào hệ thống và dữ liệu thẻ, thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống, chính sách bảo vệ thơng tin.
Xây dựng chính sách bảo vệ thơng tin.
Theo quy định của tổ chức thẻ quốc tế Visa, các ngân hàng thanh toán thẻ Việt Nam phải gửi cho Visa báo cáo về mức độ tuân thủ tiêu chuẩn bảo mật dữ liệu thẻ của ngành thẻ quốc tế vào ngày 30/09/2011. Nếu không tuân thủ các tiêu chuẩn bảo mật dữ liệu thẻ của ngành thẻ quốc tế vào thời điểm 30/09/2011 thì các ngân hàng Việt Nam phải gửi báo cáo cho Visa về kế hoạch khắc phục các điểm chưa tuân thủ. Tuy nhiên, hiện tại ACB chưa đáp ứng các tiêu chuẩn của PCI DSS (đã xin Visa cho gia hạn) nhưng vẫn chưa cố gắng hoàn thành việc tuân thủ một cách triệt để. Có thể nhận thấy tầm quan trọng của việc bảo mật dữ liệu thẻ trong quá trình xử lý giao dịch. Các tổ chức thẻ quốc tế có xu hướng từng bước áp dụng các chế tài để buộc các ngân hàng trên thế giới phải bảo mật dữ liệu thẻ. Bên cạnh việc đảm bảo tuân thủ với quy định của các tổ chức thẻ quốc tế, sự tuân thủ các tiêu chuẩn về bảo mật dữ liệu thẻ cịn có ý nghĩa rất lớn trong việc hạn chế rủi ro đối với chính bản thân các ngân hàng.
3.2.5 Một số giải pháp khác
3.2.5.1 Chống gian lận từ nội bộ ngân hàng và sai sót trong nghiệp vụ.
Thơng qua hai trường hợp điển hình là chính nhân viên nghiệp vụ thẻ đã thực hiện giao dịch gian lận bằng thẻ của khách hàng thì ACB nên quan tâm hơn đến đạo đức và hành vi của nhân viên. Thối hóa đạo đức của một số nhân viên ngân hàng là vô cùng nguy hiểm, chính vì vậy đạo đức nghề nghiệp của cán bộ là mối quan tâm hàng đầu của các nhà lãnh đạo.
ACB phải liên tục quán triệt chính sách luân chuyển nhân viên, xây dựng và thực thi chặt chẽ quy trình quản lý, vận hành hệ thống, nhất là trong giai đoạn
82
mà nhân viên có thể tiếp xúc được với thơng tin bí mật của chủ thẻ.
Áp dụng các hình thức kỹ luật nghiêm khắc đủ để ngăn ngừa sai phạm. Lãnh đạo ngân hàng nên thường xuyên quan tâm đến mơi trường làm việc, có chế độ lương thưởng, thăng tiến trong cơng việc để động viên tinh thần, khuyến khích nhân viên thẻ nỗ lực làm việc với tinh thần trách nhiệm cao và gắn bó lâu dài với ngân hàng, tạo nên môi trường làm việc thân thiện, với chính sách dùng người hiệu quả.
Quan trọng là nhân viên của hai bộ phận nghiệp vụ phòng ngừa rủi ro thẻ và bộ phận xử lý khiếu nại thẻ phải nắm vững những quy định của tổ chức thẻ về việc phòng ngừa rủi ro gian lận thẻ để tránh vi phạm các quy định, đặc biệt hơn nữa là nhân viên của bộ phận xử lý khiếu nại phải nắm và hiểu rõ các quy định trong việc khiếu nại các giao dịch để tránh những sai sót trong việc khiếu nại mà mất quyền ưu thế trong khiếu nại. Ví dụ chỉ cần chọn lý do khiếu nại sai, hoặc không cung cấp đầy đủ chứng từ của một hồ sơ khiếu nại, hoặc khơng thực hiện việc tra sốt chứng từ trước khi thực hiện khiếu nại đối với giao dịch trực tiếp có mặt chủ thẻ thì ACB sẽ mất quyền khiếu nại giao dịch.
3.2.5.2 Hạn chế tình trạng thấu chi của thẻ trả trước và thẻ ghi nợ
Từ khoảng cuối tháng 11/2010, TTT đã bắt đầu áp dụng chương trình Add- hold để ngăn chặn tình trạng thấu chi. Với chương trình này, ngoài số tiền giao dịch, hệ thống sẽ tự động phong tỏa thêm mức phí xử lý giao dịch và phong tỏa thêm một khoản tiền để dự phòng chênh lệch tỷ giá. Khi giao dịch được báo nợ về thì hệ thống sẽ tự gỡ phong tỏa khoản tiền đã phong tỏa và ghi nợ vào tài khoản khách hàng đúng số tiền đã báo nợ về. Nhờ đó, mà vốn gốc thấu chi ước tính của thẻ trả trước và thẻ ghi nợ đã giảm đáng kể.
Bên cạnh đó, để hạn chế tình trạng thấu chi thẻ trả trước và thẻ ghi nợ thì việc ACB cần làm đó là phải truy xuất danh sách các thẻ bị thấu chi do quy định của VS/MC gây ra, cũng như phát hiện ra các trường hợp NHTTT thực hiện không đúng quy định của tổ chức thẻ làm gây ra tình trạng thấu chi cho thẻ của ACB.
83
định của tổ chức thẻ, TTT phải liên hệ với khách hàng để xác định xem các giao dịch gây ra thấu chi khách hàng có thực hiện khơng, nếu có thực hiện thì u cầu khách hàng phải thanh tốn đầy đủ số tiền mình đã sử dụng. Tuy nhiên, trước khi thực hiện điều này, TTT phải bổ sung bản điều khoản điều kiện sử dụng thẻ với nội dung nếu chủ thẻ có thực hiện giao dịch thì phải có trách nhiệm thanh tốn trong trường hợp: giao dịch không xin chuẩn chi nhưng báo nợ trực tiếp số tiền dưới hoặc bằng floor limit quy định, giao dịch đổ xăng xin chuẩn chi 1USD nhưng báo nợ dưới 100USD, giao dịch báo nợ lớn hơn giao dịch xin chuẩn chi 20%-25% tùy theo MCC. Nếu không ràng buộc quy định này trong bản điều khoản điều kiện thì khách hàng sẽ lập luận rằng tại sao thẻ lại bị thấu chi và rất khó thuyết phục đó là các quy định của tổ chức thẻ. Do đó, cần phải quy định rõ ràng bằng cách đưa vào bản điều kiện sử dụng thẻ.
Đối với những thẻ bị thấu chi do NHTT thực hiện sai quy định của tổ chức thẻ thì cần phải chủ động thực hiện khiếu nại để thu hồi lại khoản giao dịch đó để tránh bị mất tiền một cách oan uổng, để hạn chế tình trạng vượt hạn mức thẻ. Hiện nay, BP.XLKN đang thiếu nhân sự để có thể thực hiện xét tự Chargeback giao dịch.
3.2.5.3 Giải pháp lập quỹ dự phòng rủi ro
Việc xây dựng nguồn dự phòng để xử lý rủi ro trong hoạt động kinh doanh thẻ cũng có tầm quan trọng như việc dự phịng đối với các hoạt động tín dụng và đầu tư, bởi khi rủi ro xảy ra có thể mang tính hệ thống và gây tổn thất hàng loạt. Ngân hàng có thể thực hiện điều này thông qua việc trích lập dự phịng rủi ro.
Hiện nay hầu hết các ngân hàng chưa thành lập quỹ dự phòng rủi ro dịch vụ thẻ. Trong thời gian tới ACB nên có những quy định về trích lập và sử dụng quỹ dự phòng rủi ro thẻ, đây cũng là việc chủ động tạo nguồn bù đắp thiệt hại khi có rủi ro xảy ra. Việc nghiên cứu trích lập dự phịng về thẻ cần phải có sự hỗ trợ các bộ phận kinh doanh hội sở.
84
3.2.5.4 Xây dựng bộ phận quản lý rủi ro hoàn thiện về hoạt động thẻ
Hiện tại, TTT của ACB mới hình thành một nhóm nhỏ nhân viên để theo dõi và phòng ngừa rủi ro trong gian lận thẻ (gian lận trong quá trình giao dịch xảy ra) mà chưa chú trọng đến những vấn đề rủi ro khác như: rủi ro tín dụng, rủi ro về cơng nghệ, việc trích lập dự phịng, hoạt động giao nhận thẻ, theo dõi các khoản thấu chi, thúc nợ khách hàng... Để quản trị rủi ro hoạt động kinh doanh thẻ có hiệu quả, TTT ACB cần có một bộ phận chuyên trách theo dõi tất cả các hoạt động của dịch vụ thẻ. Bộ phận này sẽ được đào tạo chuyên sâu để thực hiện các chức năng nhiệm vụ như: Nghiên cứu, rà soát các quy định, quy trình cho nghiệp vụ thẻ trong tất cả lĩnh vực liên quan hoạt động thẻ (từ khâu phát hành thẻ cho đến khâu thu hồi nợ chậm trả) nhằm mục đích đánh giá rủi ro trong tất cả các quy trình, quy định liên quan. Nghiên cứu và đề xuất những biện pháp phịng ngừa rủi ro có hiệu quả nhất, đảm bảo ngân hàng hoạt động an tồn trong mọi tình huống.
Cập nhật và lưu trữ thơng tin về tình trạng gian lận, giả mạo thẻ, xu hướng tội phạm thẻ hiện đang xảy ra tại Việt Nam và trên thế giới.
Cập nhật những thơng tin trên các chương trình quản lý rủi ro của các tổ chức thẻ quốc tế cung cấp.
Cập nhật và lưu hành rộng rãi danh sách các thẻ bị hạn chế sử dụng, các đại lý bị hạn chế thanh toán và gởi đến các ĐVCNT để làm cơ sở kiểm tra khi chấp nhận thanh toán.
Theo như quy định nhân viên phải photo thông tin hai mặt đã tạo điều kiện dẫn đến trường hợp nhân viên gian lận thẻ của khách hàng khi photo lại hai mặt thẻ. Điều này vừa gây rủi ro cho chủ thẻ mà còn vi phạm quy định PCI DSS của tổ chức thẻ (tính bảo mật thơng tin thẻ). Do đó, TTT cần phải xem xét lại quy định trên.
Bên cạnh đó, cần phải có sự phối hợp giữa bộ phận quản lý rủi ro về thẻ các bộ phận khác, đặc biệt là bộ phận kiểm tốn nhằm hạn chế những rủi ro có thể xảy ra là điều rất quan trọng: ví dụ như bộ phận kiểm toán cần phải kiểm tra xem những quy định của bộ phận quản lý rủi ro về thẻ là hợp lý chưa, có những điểm nào bất cập, cần bổ sung. Quy định về cài rule hoặc những chính sách hiện tại đã hạn chế
85
được rủi ro hay khơng, cịn những sơ hở nào... Để từ đó, TTT có thể bổ sung kịp thời quy định để hạn chế rủi ro.
3.2.5.5 Tăng cường hợp tác với các ngân hàng trong việc ngăn ngừa rủi ro
Có thể nói việc hợp tác, chia sẻ kinh nghiệm trong việc phòng ngừa rủi ro trong hoạt động thẻ của các Việt Nam còn rất yếu nguyên nhân là do sự cạnh tranh quá mức cần thiết. Hiện nay, tuy ACB là thành viên của Tiểu ban quản lý rủi ro nhưng ACB vẫn chưa thể hiện được sự tích cực khi tham gia. Một phần là do Tiểu ban quản lý rủi ro có sự tham gia của các ngân hàng nịng cốt như: Vietcombank, Viettinbank, BIDV... Do đó, những cuộc họp của Tiểu ban quản lý rủi ro chủ yếu diễn ra ở Hà Nội nên việc ACB rất khó tham gia các đầy đủ các cuộc họp vì chi phí đi lại, thiếu nhân sự,... Và nội dung của các cuộc họp chủ yếu lại mang tính chất lý thuyết mà khơng có sự chia sẻ thơng tin cũng như kinh nghiệm trong việc xử lý các vụ gian lận của các ngân hàng vì hầu hết các ngân hàng cho rằng đây là những