2.4 Phân tích nguyên nhân gây nên rủi ro về mặt công nghệ thẻ
2.4.1.1 Nguyên nhân do công nghệ sản xuất thẻ khơng có tính bảo mật cao
Nguyên nhân chính gây nên rủi ro cho các ngân hàng là công nghệ được áp dụng trong việc sản xuất thẻ khơng có tính bảo mật caọ Do đó, thẻ có thể bị làm giả để thực hiện các giao dịch gian lận gây nên tổn thất cho ngân hàng.
So sánh đặc điểm của công nghệ thẻ từ và công nghệ thẻ Chip
Hiện nay có các cơng nghệ thẻ sau:
Thẻ Chip: thông tin thẻ được lưu trên vạch từ và con Chip của thẻ.
Đối với thẻ Chip, công nghệ được ứng dụng trên Chip có 3 loại (Brunswick, 2011)
Công nghệ SDA (Static data authentication). Công nghệ ĐĂDynamic data authentication). Công nghệ CDA (Combined date authentication).
Stt Công nghệ
Ưu điểm Nhược điểm
1 Thẻ từ - Chi phí thấp
- Thích hợp để ứng dụng các sản phẩm thẻ nội địạ
- Thơng tin thẻ trên vạch từ có thể bị sao chép để làm thẻ giả. - Là cơng nghệ có tính bảo mật kém nhất so với tất cả các công nghệ khác 2 Thẻ Chip SDA
- Có tính bảo mật cao hơn thẻ từ. - Nếu SDA Chip bị làm giả và được dùng để thực hiện giao dịch Onine thì NHPH có thể phát hiện thẻ dùng để thực hiện giao dịch là thẻ giả.
- Thích hợp để ứng dụng các sản phẩm Visa Electron, Maestro: do các sản phẩm thẻ này không được phép thực hiện giao dịch Offline theo quy định của tổ chức thẻ quốc tế Visa và MasterCard
- Dữ liệu dùng để xác thực thẻ trong mỗi giao dịch là giống nhaụ
- Thông tin thẻ trên Chip có thể bị sao chép để làm thẻ giả. - Thẻ giả có thể được dùng để thực hiện dịch Offline do thiết bị đọc thẻ không thể kiểm tra được thẻ là thật hay giả (nếu NHPH cho phép thực hiện giao dịch Offline với sản phẩm thẻ này ).
3 Thẻ Chip ĐA
-Có tính bảo mật cao hơn thẻ Chip SDẠ
-Dữ liệu dùng để xác thực thẻ
- Thời gian để tạo khóa mã hóa ĐA Chip gấp 8 lần thời gian để tạo khóa mã hóa SDA (trong
Stt Cơng nghệ
Ưu điểm Nhược điểm
Do vậy, dữ liệu dùng để xác thực thẻ do thẻ giả tạo ra sẽ bị NHPH phát hiện ngay cả trong trường hợp giao dịch Offlinẹ
- ĐA Chip có lưu cặp khóa và khả năng tính tốn để xác thực số PIN trong các giao dịch Offline trong khi SDA Chip khơng làm được.
Có thể ứng dụng trên các sản phẩm thẻ cho phép thực hiện giao dịch Offline (thẻ tín dụng)
thời gian xử lý thẻ ĐA Chip sẽ lâu hơn thẻ SDA Chip một vài giâỵ
- Chi phí sản xuất thẻ ĐA cao hơn thẻ SDA khoảng 0.25-0.3 EUR/thẻ.
- Vẫn có khả năng thẻ bị lạm dụng trong trường hợp thông tin thẻ thật bị truyền tới một một thẻ giả khác để thực hiện giao dịch tại một đơn vị chấp nhận thẻ khác (miđleperson attack).
4 Thẻ Chip CDA
-Có tính bảo mật cao hơn thẻ Chip ĐẠ
- Có khả năng chống gian lận dưới hình thức miđleperson attack.
Chi phí cao hơn thẻ ĐA
(Adams, 2011)
Giao dịch offline: là giao dịch không được truyền về ngân hàng phát hành để xin
cấp phép. Giao dịch được truyền từ thiết bị đọc thẻ đến NHTT. NHTT kiểm tra thẻ và cấp phép cho giao dịch.
Giao dịch Online: là giao dịch được truyền về ngân hàng phát hành để xin cấp phép. Ngân hàng phát hành sẽ kiểm tra các thông tin được truyển về để xác thực thẻ. Giao dịch đọc Chip: là giao dịch mà thông tin thẻ trên Chip được đọc bởi thiết bị đọc thẻ (POS/ATM).
Giao dịch đọc từ: là giao dịch mà thông tin thẻ trên vạch từ của thẻ (thẻ từ hoặc thẻ
Giao dịch fallback: là giao dịch của thẻ Chip tại thiết bị đọc có khả năng đọc Chip.
Tuy nhiên thiết bị đọc thẻ khơng đọc được Chip. Vì vậy, thơng tin thẻ trên vạch từ (của thẻ Chip) được đọc bởi thiết bị đọc thẻ có khả năng đọc Chip và vạch từ (Anderson et al, 2011)
2.4.1.2 Nguyên nhân do các quy định của các tổ chức thẻ về trách nhiệm chịu rủi rọ
Các quy định đối với giao dịch POS ảnh hưởng đến việc chuyển đổi công
nghệ thẻ.
Để xử lý các trường hợp khiếu nại do gian lận dưới hình thức thẻ giả xảy ra tổ chức thẻ quốc tế Visa và MasterCard đã đề ra quy định Chargeback liability shift. Theo quy định về Chargeback liability shift, nếu có giao dịch gian lận phát sinh thì:
ị Đối với giao dịch đọc từ: Ngân hàng phát hành phải chịu tổn thất nếu ngân hàng phát hành sử dụng thẻ từ.
iị Đối với giao dịch đọc từ: Ngân hành thanh toán phải chịu tổn thất nếu ngân hàng
phát hành sử dụng thẻ Chip và ngân hàng thanh toán sử dụng máy POS chỉ có khả năng đọc từ.
iiị Đối với giao dịch fallback: Ngân hành phát hành phải chịu tổn thất nếu ngân hàng phát hành sử dụng thẻ Chip.
iiiị Các quy định ở mục ii và iii như trên chỉ áp dụng cho các ngân hàng giữa thuộc
các khu vực theo quy định của Visa và MasterCard ngoại trừ các ngân hàng giữa 2 khu vực Mỹ và AP (Châu Á-Thái Bình Dương).
Ở Việt Nam hiện nay do chưa có ngân hàng nào áp dụng cơng nghệ thẻ Chip trong các giao dịch thẻ nội địa trong các liên minh thẻ Banknet, Smartlink và VNBC nên cũng chưa có một quy định nào về phân định rủi ro trong các giao dịch liên quan đến thẻ chip.
Tuy nhiên đối với giao dịch gian lận đối với thẻ từ trong các giao dịch thẻ nội địa, nếu có gian lận xảy ra thì ngân hàng phát hành phải chịu rủi rọ Đây được xem là một yếu tố rủi ro tiềm ẩn cho các ngân hàng một khi thị trường thẻ ngày
Tóm lại, các ngân hàng phát hành ở Việt Nam sẽ phải chịu rủi ro trong các trường hợp sau:
+ Thẻ từ bị làm giả.
+ Thẻ Chip bị làm giả (chỉ cần làm giả vạch từ của thẻ) để thực hiện giao dịch fallback hoặc giao dịch đọc từ tại Mỹ.
+ Thẻ Chip (công nghệ SDA) bị làm giả.
Các quy định đối với giao dịch ATM ảnh hưởng đến việc chuyển đổi công nghệ thẻ:
Hiện nay, theo quy định của các tổ chức thẻ quốc tế như Visa và MasterCard đối với giao dịch rút tiền tại ATM thì chỉ có các quốc gia trong khu vực Châu Âu (EU) mới áp dụng quy định về Chargeback liability shift. Nguyên nhân chính của việc chỉ áp dụng trong khu vực EU là giao dịch ATM giả mạo thì khó xảy ra hơn so với giao dịch thẻ giả mạo tại POS. Để có thể thực hiện giao dịch ATM giả mạo thì phải làm giả được thẻ và phải đánh cắp được số PIN. Do phải phối hợp để đánh cắp nhiều thông tin nên tội phạm khơng “ưa chuộng” hình thức gian lận đối với giao dịch rút ATM.
Như vậy, ở Việt Nam nếu có gian lận xảy ra tại ATM đối với tất cả các loại thẻ thì Ngân hàng phát hành phải chịu rủi rọ Do vậy, các ngân hàng có máy ATM vẫn chưa bị bắt buộc phải đầu tư công nghệ EMV trên hệ thống ATM của họ. Nếu nâng cấp 1 máy ATM lên công nghệ EMV thì ngân hàng cần đầu tư 1000 USD/máỵ Vì vậy, nếu số lượng máy ATM lớn thì các chi phí sẽ càng caọ