3.2 Giải pháp hạn chế rủi ro trong hoạt động kinh doanh thẻ tại ACB
3.2.1 Giải pháp hạn chế rủi ro đối với nghiệp vụ phát hành thẻ
3.2.1.1 Xác thực chủ thẻ trong giao dịch thương mại điện tử
Một trong những rủi ro lớn nhất trong sử dụng thẻ ngân hàng là thực hiện giao dịch qua internet, giao dịch qua internet ngày càng phổ biến nên gian lận trên Internet ngày tăng. Do đó, ACB bắt buộc phải tham gia vào 3D Secure nếu muốn giảm rủi ro do thanh toán qua internet.
3D Secure là công nghệ với mục đích tăng thêm một lớp bảo mật cho các giao dịch trực tuyến. 3D Secure được nghiên cứu và phát triển bởi tổ chức thẻ quốc tế Visa và được giới thiệu vào năm 2004. Chương trình 3D Secure tại Visa được đặt tên là Verified by Visa-VbV, MasterCard là MasterCard SecureCode và JCB là J-Secure.
Trước khi có dịch vụ 3D Secure ra đời, các giao dịch thanh toán qua mạng (internet) thường xuyên xảy ra khiếu nại giao dịch không thực hiện giao dịch. Lý do giao dịch được thực hiện quá dễ dàng với các thơng tin đều có trên hai mặt thẻ là số thẻ, hiệu lực thẻ và 3 số cuối mặt thẻ (CVV). Vì vậy, kẻ gian rất dễ thực hiện giao dịch qua mạng, đồng thời gây khó khăn cho ngân hàng khi khơng thể chứng minh được chủ thẻ có hoặc khơng liên quan đến giao dịch để từ chối khiếu nại. Do đó, sau
66
khi tham gia chương trình 3D Secure, mọi trách nhiệm chủ thẻ phải gánh chịu vì đã thơng qua một trong các lớp bảo vệ sau:
Mật khẫu tĩnh: chủ thẻ phải nhập các thông tin thẻ và thông tin chủ thẻ: số thẻ, hiệu lực thẻ, 3 số cuối mặt sau thẻ, họ tên chủ thẻ, số chứng minh nhân dân, ngày tháng năm sinh, địa chỉ và số điện thoại đã đăng ký với ngân hàng khi thực hiện giao dịch qua mạng để ngân hàng kiểm tra thông tin thẻ và chủ thẻ. Nếu các thơng tin là chính xác thì hệ thống sẽ tạo ra password để khách hàng tiếp tục giao dịch.
Mật khẩu động qua SMS: chủ thẻ cũng được yêu cầu nhập các thông tin tương tự như trường hợp mật khẩu tĩnh vào trang web của NHPHT. Sau đó, password được tạo ra và gởi vào số điện thoại đã đăng ký với ngân hàng.
Mật khẩu động qua Token: chủ thẻ mua Token (giá 100.000-200.000VNĐ). Token là một thiết bị tạo mật khẩu động. Sau đó chủ thẻ phải đăng nhập vào trang web ngân hàng và nhập các thông tin cá nhân tương tự trường hợp mật khẩu tĩnh vào trang web của NHPHT. Và sau đó chủ thẻ phải nhập số seri của Token để ngân hàng kiểm tra.
Ngoài ra, việc NHPHT tham gia vào dịch vụ 3D cũng sẽ chiếm ưu thế thắng lợi khi có giao dịch khiếu nại xảy ra tại những trang bán hàng không tham gia dịch vụ 3D Secure. Trước mắt, trong giai đoạn đầu triển khai, ngân hàng vẫn có thể chấp nhận phương thức xác thực là mật khẩu tĩnh, tuy nhiên về lâu dài, ngân hàng vẫn nên tập trung hướng về việc sử dụng phương thức mật khẩu động vì độ an tồn của mật khẫu tĩnh thấp hơn so với 2 phương thức còn lại.
3.2.1.2 Theo dõi các giao dịch bất thường
Sử dụng phần mềm để theo dõi giao dịch bất thường là công cụ mà tổ chức thẻ quốc tế VS/MC đều khuyến khích sử dụng nhằm mục đích phát hiện sớm thẻ bị gian lận để ngăn chặn các giao dịch tiếp theo. Visa có cơng cụ VRM (Visa Risk Management) và MC có phần mềm EMS (Expert Monotoring System). Cả hai công cụ đều hoạt động dựa trên nguyên tắc là cài các tiêu chí (hay cịn gọi là các Rules) để phát hiện giao dịch có mức độ rủi ro cao.
67
Khi giao dịch phát sinh trong thẻ của chủ thẻ và chạm các tiêu chí (các tiêu chí này thường là những giao dịch có dấu hiệu rủi ro như: số tiền giao dịch lớn trong 1 ngày hoặc tích lũy trong nhiều ngày, giao dịch nhiều lần trong thời gian ngắn, giao dịch ở hai nước khác nhau trong thời gian ngắn, thẻ phát sinh giao dịch tại những đại lý có tỷ lệ gian lận cao, giao dịch rút ATM nhập sai số PIN nhiều lần,... ) thì phần mềm này sẽ tạo nên các Case để cảnh báo cho NHPHT biết đang có những giao dịch có mức độ rủi ro cao xảy ra cần phải tiến hành xác thực giao dịch với chủ thẻ bằng các hình thức như: điện thoại/SMS/Email. Trong trường hợp chủ thẻ khơng thực hiện giao dịch thì tiến hành khóa thẻ để hạn chế rủi ro đến mức thấp nhất, sau đó thơng báo ĐVCNT hủy thực hiện giao dịch với chủ thẻ gian lận và phối hợp với cơ quan công an để điều tra về giao dịch gian lận (nếu được).
Tuy nhiên, việc sử dụng phần mềm này địi hỏi phải có kinh nghiệm về việc cài đặt các rules (các tiêu chí) vì nếu những rules cài khơng phù hợp thì sẽ ảnh hưởng khơng nhỏ đến khách hàng vì phải liên tục gọi điện cho chủ thẻ gây ra phiền hà cho chủ thẻ, và tạo ra khối lượng công việc không nhỏ cho nhân viên, đồng thời việc cài rules khơng thích hợp thì việc Case tạo ra nhiều mà khơng hiệu quả, không phát hiện được nhiều case gian lận, trong khi thực tế gian lận vẫn xảy ra. Do đó, điều quan trọng là nhân viên quản lý rủi ro của ACB phải thường xuyên cập nhật tình trạng và khuynh hướng rủi ro xảy ra trên thế giới, trong khu vực, tại Việt Nam và ACB có thể đưa ra những tiêu chí phù hợp nhất. Như vậy, khi ngân hàng sử dụng phần mềm để theo dõi các giao dịch phát sinh thì ngân hàng sẽ hạn chế được rủi ro vì có thể kịp thời ngăn chặn các giao dịch gian lận xảy ra tiếp theo.
3.2.1.3 Cho phép chủ thẻ quản lý chi tiêu của thẻ
ACB là ngân hàng tiên phong đầu tiên trên thế giới sử dụng dịch vụ MasterCard inControl Family Solution của tổ chức thẻ quốc tế MC. MasterCard inControlTM là dịch vụ quản lý chi tiêu thông minh giúp các chủ thẻ ACB MasterCard kiểm soát việc chi tiêu cho thẻ chính của mình cũng như thẻ phụ có liên quan thơng qua việc cài đặt trực tuyến các thông số cho thẻ như sau:
68
Kiểm sốt chi tiêu theo loại hình giao dịch. Kiểm soát chi tiêu theo lãnh thổ.
Kiểm soát chi tiêu theo thời gian
Mục đích của việc sử dụng phần mềm này là giúp cho chủ thẻ Mastercard có thể chi tiêu hiệu quả và an tồn hơn nhờ vào việc kiểm sốt ngân sách, thời gian, quốc gia và các loại hình giao dịch cũng như việc cho phép từ chối các giao dịch
nằm ngồi phạm vi thơng số đã cài đặt. Đồng thời có thể nhận thơng báo ngay lập tức qua Email và/hoặc SMS cho các giao dịch nằm ngồi phạm vi các thơng số đã cài đặt.
Tuy nhiên hiện nay có lẽ số lượng chủ thẻ Mastercard của ACB biết đến dịch vụ này khơng nhiều nên chương trình này chưa mang lại hiệu quả thật sự. Nếu chủ thẻ MC của ACB đều hiểu và nắm rõ được dịch vụ này thì đây sẽ là một cơng cụ rất hiệu quả trong việc phịng chống gian lận. Giả sử những giao dịch thẻ không nằm trong thói quen của khách hàng như giao dịch rút tiền ATM từ 12 giờ đêm tới 5 giờ sáng hơm sau thì chủ thẻ có thể chặn các giao dịch này hay có thể chặn các loại hình giao dịch mà chủ thẻ khơng có nhu cầu sử dụng như: quán bar (MCC: 5813...). Đối với trường hợp khách hàng có con em ở nước ngồi thì chủ thẻ có thể cài hạn mức chi tiêu nhất định, khi vượt qua hạn mức đó thì khơng thể sử dụng được. Điều này sẽ giúp cho chủ thẻ ít thất thốt hơn nếu gian lận có thật sự xảy ra.
Cơng cụ đã có nhưng ACB khơng tận dụng được hết khả năng của chương trình để hạn chế rủi ro phát sinh, điều ACB cần làm là phải truyền thông, phổ biến dịch vụ này đến các chủ thẻ Mastercard của ACB hơn nữa để chủ thẻ có thể tự quản lý hoạt động sử dụng thẻ của mình.
3.2.1.4 Phối hợp từ phía khách hàng
Trang bị và nâng cao kiến thức cho tất cả các chủ thể tham gia quá trình phát hành, sử dụng và thanh toán thẻ là việc làm hết sức cần thiết và thường xuyên, đặc biệt đối với khách hàng, người trực tiếp sử dụng thẻ.
ACB hiện tại ngay cả bản điều khoản điều kiện hợp đồng sử dụng thẻ ACB cũng không phổ biến cho khách hàng để khách hàng có thể hiểu được quyền lợi
69
cũng như nghĩa vụ của mình khi sử dụng thẻ. Ngồi việc cung cấp sản phẩm thẻ cho khách hàng, ACB phải có hướng dẫn trực tiếp hay cung cấp cẩm nang hướng dẫn sử dụng kết hợp với bản điều khoản điều kiện cho khách hàng. Điều này giúp khách hàng biết cách sử dụng thẻ cho an tồn và phải làm gì trong trường hợp xảy ra sự cố về thẻ, để tránh tâm lý hoang mang, lo lắng.
Do đó, trang bị kiến thức cho người sử dụng thẻ là một yêu cầu hết sức cần thiết để ngân hàng nâng cao chất lượng dịch vụ cũng như hạn chế rủi ro cho hoạt động thanh tốn thẻ:
Khách hàng khơng được cung cấp thông tin thẻ cho bất kỳ ai, kể cả người thân của mình (đặc biệt 3 số cuối mặt sau thẻ còn được gọi là số an toàn và rất nhiều khách hàng đang sử dụng thẻ lại không biết đây là con số bảo mật thẻ) số bảo mật này rất quan trọng, chỉ cần có 3 thơng in trên thẻ: số thẻ, hiệu lực thẻ và 3 số cuối mặt sau là có thể thanh tốn qua các trang mua hàng khơng có chế độ bảo mật cao. Khi phát hiện ra thẻ mất cắp, thất lạc phải thông báo ngay và đến ngân hàng phát hành làm các thủ tục báo mất theo quy định.
Mã PIN của thẻ nên được nhớ trong đầu, không nên ghi vào giấy để kèm theo thẻ.
Không nên đặt mã PIN trùng với ngày tháng năm sinh, số điện thoại, CMND…Vì đây là những thơng tin quá phổ biến và dễ đánh cắp.
Khi thanh toán tại các điểm chấp nhận thẻ, chủ thẻ phải quan sát, không để cho nhân viên giữ thẻ quá lâu, không để cho thẻ rời khỏi tầm kiểm sốt của mình vì khi đó, nhân viên tại cửa hàng có thể lấy các thơng thẻ hoặc in nhiều hóa đơn cùng lúc sau đó giả chữ ký khách hàng để gian lận hoặc đánh cắp thơng tin thẻ để thanh tốn qua mạng hoặc làm nên thẻ giả.
Khách hàng chỉ ký vào hoá đơn thanh toán đã điền đầy đủ và chính xác các thông tin giao dịch, không ký trước cho đơn vị, yêu cầu đơn vị huỷ hoá đơn giao dịch trước mặt mình nếu khơng thực hiện thanh tốn nữa.
Chỉ thanh toán mua hàng ở những website có uy tín, có độ bảo mật cao.
70
Khi rút tiền tại các máy ATM, phải quan sát xung quanh và quan sát máy rút tiền, nếu có dấu hiệu đáng ngờ thì khơng nên tiếp tục giao dịch, tốt nhất nên chọn những ATM có đơng người qua lại.
Lấy tay che bàn phím khi rút tiền tại ATM, đồng thời quan sát bàn phím xem có dấu hiệu bất thường hay khơng để tránh trường hợp kẻ gian dùng những thiết bị là bàn phím giống như bàn phím thật (gọi là PIN Pad) được đặt đè lên bàn phím thật để đánh cắp số PIN.
Trước khi rút tiền tại ATM, nên chuẩn bị sẵn thẻ và số mật khẩu để tránh tình trạng đứng quá lâu trong buồng máy ATM để tránh kẻ gian lợi dụng sơ hở để thực hiện hành vi gian lận.
Nếu chủ thẻ phát hiện có bất kỳ dấu hiệu nghi ngờ giả mạo nào trong quá trình thanh tốn thì chủ thẻ nên liên lạc ngay với ngân hàng phát hành thẻ để theo dõi và có các biện pháp xử lý kịp thời hạn chế các rủi ro có thể xảy ra.
Bên cạnh đó, ACB nên phối hợp với các cơ quan truyền thông đại chúng để đưa ra những thông tin cảnh báo, phổ biến rộng rãi những hành vi gian lận, xu hướng phạm tội phát hiện ở Việt Nam và trên thế giới để những người sử dụng thẻ biết và nâng cao tinh thần cảnh giác, góp phần phịng chống tội phạm thẻ.
Hiện tại, ACB gặp rất nhiều rắc rối từ việc kiện tụng vi phạm hợp đồng, tuy nhiên, hầu như ACB đều yếu thế khi ra tịa bởi vì ngun nhân khơng chịu cung cấp bản điều khoản – điểu kiện hợp đồng cho khách hàng để khách hàng biết được quyền và nghĩa vụ của mình. Và đều quan trọng hơn, việc hoàn thiện bản điều khoản – điều kiện là điều cần thiết với ACB, do có những điều khoản rất chung chung không thể ép buộc khách hàng phải gánh chịu tổn thất khi có tranh chấp xảy ra. Điều ACB cần làm đó chính là tham khảo hợp đồng của những ngân hàng khác, đặc biệt là các ngân hàng nước ngồi có kinh nghiệm về hoạt động thẻ như HSBC, ANZ... để từ đó rút ra những điều phù hợp để đưa vào bản điều khoản điều kiện của mình.
71
3.2.2 Giải pháp hạn chế rủi ro đối với nghiệp vụ thanh toán thẻ 3.2.2.1 Theo dõi giao dịch bất thường 3.2.2.1 Theo dõi giao dịch bất thường
Cũng tương tự như việc sử dụng phần mềm theo dõi giao dịch của chủ thẻ ACB, theo dõi các giao dịch thẻ ngân hàng khác thanh toán tại các thiết bị chấp nhận thẻ của ACB cũng rất cần thiết vì mặc dù các máy chấp nhận thẻ của ACB đã được nâng cấp lên có khả năng đọc Chip nhưng số lượng thẻ từ trên thế giới vẫn chiếm tỷ lệ lớn nên khả năng gian lận vẫn xảy ra rất cao đặc biệt khi Việt Nam đang là điểm đến của bọn tội phạm thẻ. Tuy khi nâng cấp máy đọc Chip thì ACB có ưu thế khi có khiếu nại xảy ra nhưng tổ chức thẻ vẫn theo dõi và sẽ đánh giá những đại lý hay ngân hàng thanh tốn có tỷ lệ gian lận cao và sẽ đưa ra các mức phạt ở mỗi cấp độ vi phạm.
Hiện nay, ACB chỉ theo dõi các giao dịch thẻ offus (thẻ ngân hàng khác giao dịch tại ACB) khi giao dịch đã được ĐVCNT thực hiện thao tác báo nợ về ngân hàng. Phần lớn các trường hợp thì ĐVCNT đã giao hàng và hoàn tất giao dịch. Trong khi sử dụng phần mềm bất thường thì ngân hàng có thể phát hiện được các giao dịch gian lận ngay khi giao dịch vừa xảy ra. Cũng tương tự với cách cài các tiêu chí phù hợp, khi phát hiện các case có rủi ro cao thì sẽ tiến hành xác thực giao dịch ngay tại thời điểm giao dịch bằng cách liên lạc với đại lý để xin các thông tin cần thiết và liên lạc với ngân hàng phát hảnh thẻ để kiểm tra thông tin chủ thẻ. Nếu không đúng chủ thẻ thực hiện thì phải yêu cầu ĐVCNT dừng việc giao dịch bằng thẻ thì sẽ hạn chế được tối đa rủi ro cho cả ngân hàng và ĐVCNT trong trường hợp ĐVCNT vơ tình chấp nhận thanh tốn thẻ giả.
Không chỉ kịp thời phát hiện ra các giao dịch gian lận do ĐVCNT vơ tình chấp nhận thanh tốn mà cịn có thể phát hiện ra trường hợp ĐVCNT cố tình thực hiện hành vi gian lận bằng cách cài rules như nhiều thẻ khác nhau giao dịch tại cùng một ĐVCNT bị từ chối, hoặc giao dịch tăng dần số tiền khi thành công và giao dịch giảm dần số tiền khi bị từ chối tại ĐVCNT, ĐVCNT có những giao dịch vào thời điểm bất thường như giao dịch vào ban đêm từ 11 giờ khuya đến 5 giờ sáng hôm sau (ngoại trừ trường hợp nhà hàng và các quán bar), hoặc giao dịch có số tiền lớn
72
bất thường hơn so với số tiền giao dịch trung bình của đại lý đó,... đây là những dấu hiệu cho thấy ĐVCNT có thể đang cố tình thực hiện các hành vi gian lận thẻ. Có thể nói, cơng cụ theo dõi các giao dịch bất thường là một điều hết sức cần thiết cho cả NHPHT và NHTTT.