2.2 Thực trạng rủi ro do yếu tố công nghệ trong hoạt động kinh doanh thẻ
2.2.2 Thực trạng rủi ro do yếu tố công nghệ
2.2.2.1 Rủi ro trong hoạt động phát hành thẻ
Bảng 2.15: Tình hình gian lận trong sử dụng thẻ giai đoạn 2008-2011
Stt Nội dung 2008 2009 2010 2011 1 Loại gian lận Số tiền (USD) % Số tiền (USD) % Số tiền (USD) % Số tiền (USD) % 177.119 100 300.846 100 234.813 100 280.547 1.1 Thẻ giả 85.539 48 157.426 52 116.875 50 143,079 51% 1.2 Gian lận 91.581 52 143.420 48 117.938 50 137,468 49% 2 Tỷ lệ gian lận/doanh số (%) 2.1 Việt Nam 0,02 0,04 0,01 0,01 2.2 AP 0,02 0,02 0,03 0,03 2.3 Thế giới 0,10 0,10 0,10 0,10
(Hội Thẻ Ngân Hàng Việt Nam, 2012) Nhìn chung tình gian lận qua các năm biến động theo chiều hướng tăng. Đặc biệt, trong năm 2009 số tiền gian lận đối với thẻ do các ngân hàng Việt Nam phát hành tăng 69% so với năm 2008. Tình hình gian lận năm 2010 có sụt giảm 22% so với năm 2009 nhưng vẫn cao hơn 33% so với năm 2008. Có thể nhận thấy do từ năm 2008 trở về trước các ngân hàng Việt Nam vẫn chưa phát hành thẻ Chip nên đến năm 2009 khi hoạt động sử dụng thẻ tăng trưởng mạnh thì những rủi ro tiềm ẩn về công nghệ thẻ đã bộc lộ. Điều này cho thấy các công nghệ xác thực chủ thẻ mà các ngân hàng đang áp dụng đối giao dịch qua mạng cũng như công nghệ thẻ mà các ngân hàng đang sử dụng tác động rất lớn đến tình hình gian lận. Ngoài ra, cùng với sự tăng trưởng trong doanh số sử dụng thẻ thì tình hình gian lận cũng tăng theo tỷ lệ thuận.
Từ năm 2009 các ngân hàng Việt Nam đã có sự quan tâm nhiều hơn đến việc tăng cường tính bảo mật đối với thẻ do họ phát hành. Điều này thể hiện ở số lượng ngân hàng tham gia phát hành thẻ Chip tại Việt Nam đã tăng lên 10 ngân hàng vào thời điểm 31/12/2011.
Hiện nay, số lượng ngân hàng có tham gia xác thực VbV/3D-secured đối với giao dịch thương mại điện tử tại Việt Nam chỉ là 1 ngân hàng là HSBC. Do đó, hoạt động sử dụng thẻ trong giao dịch thương mại điện tử còn rất nhiều rủi ro nếu như các ngân hàng không đầu tư công nghệ xác thực VbV/3D-secured. Về tỷ trọng số tiền gian lận thì giao dịch gian lận qua mạng và gian lận thẻ giả chiếm gần như ngang nhau ở mức khoảng 48%-52%.
Biểu đồ 2.12: Tình hình gian lận do công nghệ về mặt phát hành
giai đoạn 2008-2011 0 20,000 40,000 60,000 80,000 100,000 120,000 140,000 160,000 Q1_0 8 Q2_0 8 Q3_0 8 Q4_0 8 Q1_ 09 Q2_0 9 Q3_ 09 Q4_0 9 Q1_ 10 Q2_1 0 Q3_1 0 Q4_1 0 Q1_1 1 Q2_1 1 Q3_1 1 Q4_1 1 Quý US D 0.00 0.02 0.04 0.06 0.08 0.10 0.12 % Gian lận qua mạng Thẻ giả Tỷ lệ gian lận/doanh số thế giới (%) Tỷ lệ gian lận/doanh số khu vực AP (%) Tỷ lệ gian lận/doanh số VN (%)
2.2.2.2 Rủi ro trong hoạt động thanh toán thẻ
Bảng 2.16: Tình hình gian lận trong thanh tốn thẻ giai đoạn 2008-2011
Stt Nội dung 2008 2009 2010 2011 1 Loại gian lận Số tiền (USD) % Số tiền (USD) % Số tiền (USD) % Số tiền (USD) % 979.343 100% 2.075.282 100% 1.153.390 100% 1.291.797 100% 1.1 Thẻ giả 746.093 76% 1.424.277 69% 842.405 73% 930.094 71% 1.2 Gian lận 233.250 24% 651.005 31% 310.985 27% 361.703 29% 2 Tỷ lệ gian lận/doanh số (%) 2.1 Việt Nam 0,25 0,35 0,15 0,21 2.2 AP 0,03 0,04 0,03 0,03 2.3 Thế giới 0,10 0,11 0,10 0,10
(Hội Thẻ Ngân Hàng Việt Nam, 2012) Nhìn chung tình gian lận qua các năm biến động theo chiều hướng tăng. Đặc biệt, trong năm 2009 số tiền gian lận đối hoạt động chấp nhận thẻ của các ngân hàng Việt Nam tăng 112% so với năm 2008. Tình hình gian lận năm 2010 có sụt giảm 44% so với năm 2009 nhưng vẫn cao hơn 18% so với năm 2008. Có thể nhận thấy Việt Nam vẫn là nơi mà tội phạm thẻ công nghệ cao chọn để sử dụng thẻ giả. Mặc dù, năm 2010 các ngân hàng đã triển khai công nghệ EMV trên các thiết bị đọc thẻ để hạn chế rủi ro ro trong thủ tục khiếu nại khi phát sinh gian lận nhưng tình hình gian lận vẫn cịn tiếp diễn. Một nguyên nhân khác dẫn đến tình trạng gian lận trong thanh toán thẻ tại Việt Nam là các ngân hàng trên thế giới vẫn chưa hoàn toàn chuyển sang dùng cơng nghệ thẻ Chip đặc biệt là tại Mỹ. Vì vậy thẻ từ của các ngân hàng nước ngoài vẫn thường bị tội phạm giả mạo và sử dụng tại Việt Nam.
Bên cạnh loại hình gian lận thẻ giả là loại hình gian lận qua mạng tại các đại lý thanh toán trực tuyến do các Ngân hàng Việt Nam cung cấp dịch vụ. Mặc dù hiện nay tất cả các cổng thanh toán và các đại lý thanh toán trực tuyến đã tham gia xác
gian lận nhưng gian lận vẫn cịn xảy rạ Có thể nhận thấy nguyên nhân chính là phần lớn thẻ được sử dụng để thanh toán với các đại lý thanh toán trực tuyến này chủ yếu là thẻ do các ngân hàng Việt Nam phát hành. Tuy nhiên, các ngân hàng Việt Nam vẫn chưa áp dụng công nghệ xác thực VbV/3D-secured đối với thẻ do họ phát hành do vậy gian lận tăng mạnh trong các năm qua là điều tất yếụ
Biểu đồ 2.13: Tình hình gian lận do cơng nghệ về mặt thanh tốn giai đoạn 2008-2011 0 100,000 200,000 300,000 400,000 500,000 600,000 700,000 800,000 Q1_08Q2_08Q3_0 8 Q4_08Q1_09Q2_0 9 Q3_09Q4_0 9 Q1_1 0 Q2_1 0 Q3_1 0 Q4_1 0 Q1_1 1 Q2_1 1 Q3_1 1 Q4_1 1 Q US D 0.00 0.10 0.20 0.30 0.40 0.50 0.60 % Gian lận qua mạng Thẻ giả Tỷ lệ gian lận/doanh số thế giới Tỷ lệ gian lận/doanh số khu vực AP Tỷ lệ gian lận/doanh số VN
(Hội Thẻ Ngân Hàng Việt Nam, 2012)
2.4 Phân tích nguyên nhân gây nên rủi ro về mặt công nghệ thẻ 2.4.1 Nguyên nhân trong giao dịch có xuất trình thẻ 2.4.1 Ngun nhân trong giao dịch có xuất trình thẻ
Giao dịch có xuất trình thẻ là các giao dịch cần có xác thẻ để thực hiện giao dịch. Giao dịch có xuất trình thẻ là các giao dịch trên POS và ATM.
2.4.1.1 Nguyên nhân do công nghệ sản xuất thẻ khơng có tính bảo mật cao
Ngun nhân chính gây nên rủi ro cho các ngân hàng là công nghệ được áp dụng trong việc sản xuất thẻ khơng có tính bảo mật caọ Do đó, thẻ có thể bị làm giả để thực hiện các giao dịch gian lận gây nên tổn thất cho ngân hàng.
So sánh đặc điểm của công nghệ thẻ từ và cơng nghệ thẻ Chip
Hiện nay có các cơng nghệ thẻ sau:
Thẻ Chip: thông tin thẻ được lưu trên vạch từ và con Chip của thẻ.
Đối với thẻ Chip, công nghệ được ứng dụng trên Chip có 3 loại (Brunswick, 2011)
Cơng nghệ SDA (Static data authentication). Công nghệ ĐĂDynamic data authentication). Công nghệ CDA (Combined date authentication).
Stt Công nghệ
Ưu điểm Nhược điểm
1 Thẻ từ - Chi phí thấp
- Thích hợp để ứng dụng các sản phẩm thẻ nội địạ
- Thông tin thẻ trên vạch từ có thể bị sao chép để làm thẻ giả. - Là cơng nghệ có tính bảo mật kém nhất so với tất cả các cơng nghệ khác 2 Thẻ Chip SDA
- Có tính bảo mật cao hơn thẻ từ. - Nếu SDA Chip bị làm giả và được dùng để thực hiện giao dịch Onine thì NHPH có thể phát hiện thẻ dùng để thực hiện giao dịch là thẻ giả.
- Thích hợp để ứng dụng các sản phẩm Visa Electron, Maestro: do các sản phẩm thẻ này không được phép thực hiện giao dịch Offline theo quy định của tổ chức thẻ quốc tế Visa và MasterCard
- Dữ liệu dùng để xác thực thẻ trong mỗi giao dịch là giống nhaụ
- Thơng tin thẻ trên Chip có thể bị sao chép để làm thẻ giả. - Thẻ giả có thể được dùng để thực hiện dịch Offline do thiết bị đọc thẻ không thể kiểm tra được thẻ là thật hay giả (nếu NHPH cho phép thực hiện giao dịch Offline với sản phẩm thẻ này ).
3 Thẻ Chip ĐA
-Có tính bảo mật cao hơn thẻ Chip SDẠ
-Dữ liệu dùng để xác thực thẻ
- Thời gian để tạo khóa mã hóa ĐA Chip gấp 8 lần thời gian để tạo khóa mã hóa SDA (trong
Stt Công nghệ
Ưu điểm Nhược điểm
Do vậy, dữ liệu dùng để xác thực thẻ do thẻ giả tạo ra sẽ bị NHPH phát hiện ngay cả trong trường hợp giao dịch Offlinẹ
- ĐA Chip có lưu cặp khóa và khả năng tính tốn để xác thực số PIN trong các giao dịch Offline trong khi SDA Chip không làm được.
Có thể ứng dụng trên các sản phẩm thẻ cho phép thực hiện giao dịch Offline (thẻ tín dụng)
thời gian xử lý thẻ ĐA Chip sẽ lâu hơn thẻ SDA Chip một vài giâỵ
- Chi phí sản xuất thẻ ĐA cao hơn thẻ SDA khoảng 0.25-0.3 EUR/thẻ.
- Vẫn có khả năng thẻ bị lạm dụng trong trường hợp thông tin thẻ thật bị truyền tới một một thẻ giả khác để thực hiện giao dịch tại một đơn vị chấp nhận thẻ khác (miđleperson attack).
4 Thẻ Chip CDA
-Có tính bảo mật cao hơn thẻ Chip ĐẠ
- Có khả năng chống gian lận dưới hình thức miđleperson attack.
Chi phí cao hơn thẻ ĐA
(Adams, 2011)
Giao dịch offline: là giao dịch không được truyền về ngân hàng phát hành để xin
cấp phép. Giao dịch được truyền từ thiết bị đọc thẻ đến NHTT. NHTT kiểm tra thẻ và cấp phép cho giao dịch.
Giao dịch Online: là giao dịch được truyền về ngân hàng phát hành để xin cấp phép. Ngân hàng phát hành sẽ kiểm tra các thông tin được truyển về để xác thực thẻ. Giao dịch đọc Chip: là giao dịch mà thông tin thẻ trên Chip được đọc bởi thiết bị đọc thẻ (POS/ATM).
Giao dịch đọc từ: là giao dịch mà thông tin thẻ trên vạch từ của thẻ (thẻ từ hoặc thẻ
Giao dịch fallback: là giao dịch của thẻ Chip tại thiết bị đọc có khả năng đọc Chip.
Tuy nhiên thiết bị đọc thẻ không đọc được Chip. Vì vậy, thơng tin thẻ trên vạch từ (của thẻ Chip) được đọc bởi thiết bị đọc thẻ có khả năng đọc Chip và vạch từ (Anderson et al, 2011)
2.4.1.2 Nguyên nhân do các quy định của các tổ chức thẻ về trách nhiệm chịu rủi rọ
Các quy định đối với giao dịch POS ảnh hưởng đến việc chuyển đổi công
nghệ thẻ.
Để xử lý các trường hợp khiếu nại do gian lận dưới hình thức thẻ giả xảy ra tổ chức thẻ quốc tế Visa và MasterCard đã đề ra quy định Chargeback liability shift. Theo quy định về Chargeback liability shift, nếu có giao dịch gian lận phát sinh thì:
ị Đối với giao dịch đọc từ: Ngân hàng phát hành phải chịu tổn thất nếu ngân hàng phát hành sử dụng thẻ từ.
iị Đối với giao dịch đọc từ: Ngân hành thanh toán phải chịu tổn thất nếu ngân hàng
phát hành sử dụng thẻ Chip và ngân hàng thanh tốn sử dụng máy POS chỉ có khả năng đọc từ.
iiị Đối với giao dịch fallback: Ngân hành phát hành phải chịu tổn thất nếu ngân hàng phát hành sử dụng thẻ Chip.
iiiị Các quy định ở mục ii và iii như trên chỉ áp dụng cho các ngân hàng giữa thuộc
các khu vực theo quy định của Visa và MasterCard ngoại trừ các ngân hàng giữa 2 khu vực Mỹ và AP (Châu Á-Thái Bình Dương).
Ở Việt Nam hiện nay do chưa có ngân hàng nào áp dụng công nghệ thẻ Chip trong các giao dịch thẻ nội địa trong các liên minh thẻ Banknet, Smartlink và VNBC nên cũng chưa có một quy định nào về phân định rủi ro trong các giao dịch liên quan đến thẻ chip.
Tuy nhiên đối với giao dịch gian lận đối với thẻ từ trong các giao dịch thẻ nội địa, nếu có gian lận xảy ra thì ngân hàng phát hành phải chịu rủi rọ Đây được xem là một yếu tố rủi ro tiềm ẩn cho các ngân hàng một khi thị trường thẻ ngày
Tóm lại, các ngân hàng phát hành ở Việt Nam sẽ phải chịu rủi ro trong các trường hợp sau:
+ Thẻ từ bị làm giả.
+ Thẻ Chip bị làm giả (chỉ cần làm giả vạch từ của thẻ) để thực hiện giao dịch fallback hoặc giao dịch đọc từ tại Mỹ.
+ Thẻ Chip (công nghệ SDA) bị làm giả.
Các quy định đối với giao dịch ATM ảnh hưởng đến việc chuyển đổi công nghệ thẻ:
Hiện nay, theo quy định của các tổ chức thẻ quốc tế như Visa và MasterCard đối với giao dịch rút tiền tại ATM thì chỉ có các quốc gia trong khu vực Châu Âu (EU) mới áp dụng quy định về Chargeback liability shift. Nguyên nhân chính của việc chỉ áp dụng trong khu vực EU là giao dịch ATM giả mạo thì khó xảy ra hơn so với giao dịch thẻ giả mạo tại POS. Để có thể thực hiện giao dịch ATM giả mạo thì phải làm giả được thẻ và phải đánh cắp được số PIN. Do phải phối hợp để đánh cắp nhiều thông tin nên tội phạm không “ưa chuộng” hình thức gian lận đối với giao dịch rút ATM.
Như vậy, ở Việt Nam nếu có gian lận xảy ra tại ATM đối với tất cả các loại thẻ thì Ngân hàng phát hành phải chịu rủi rọ Do vậy, các ngân hàng có máy ATM vẫn chưa bị bắt buộc phải đầu tư công nghệ EMV trên hệ thống ATM của họ. Nếu nâng cấp 1 máy ATM lên cơng nghệ EMV thì ngân hàng cần đầu tư 1000 USD/máỵ Vì vậy, nếu số lượng máy ATM lớn thì các chi phí sẽ càng caọ
2.4.2 Ngun nhân trong giao dịch khơng xuất trình thẻ
Giao dịch khơng xuất trình thẻ là các giao dịch khơng cần có xác thẻ để thực hiện giao dịch. Giao dịch khơng xuất trình thẻ là các giao dịch thanh toán trực tuyến qua Internet hoặc MOTO (Mail order/ Telephone order).
2.4.2.1 Nguyên nhân do các ngân hàng không tham gia chương trình xác thực chủ thẻ. chủ thẻ.
Nguyên nhân dẫn đến việc gian lận trong các giao dịch trực tuyến là ngân hàng thanh toán và/hoặc ngân hàng phát hành khơng tham gia chương trình xác thực chủ thẻ.
Giao dịch không xác thực chủ thẻ là các giao dịch thanh toán trực tuyến trên Internet giữa người thanh toán và ĐVCNT nhưng phương pháp xác thực chủ thẻ khơng được sử dụng trong q trình giao dịch. Các hình thức xác thực chủ thẻ trong quá trình giao dịch bao gồm:
Hình thức xác thực mật khẩu tĩnh: là mật khẩu do ngân hàng cung cấp cho
chủ thẻ để thực hiện giao dịch qua mạng. Để thực hiện giao dịch thành công người thực hiện giao dịch phải nhập vào màn hình giao dịch các thông tin thẻ và mật khẩu tĩnh. Mật khẩu này không bắt buộc phải thay đổi giữa các lần giao dịch. Đây là phương thức xác thực khơng an tồn do tội phạm thường dùng các phần mềm gián điệp để thâm nhập và máy tính của chủ thẻ và đánh cắp mật khẩu nàỵ
Hình thức xác thực mật khẩu động: là mật khẩu do ngân hàng cung cấp cho
chủ thẻ để thực hiện giao dịch qua mạng. Để thực hiện giao dịch thành công người thực hiện giao dịch phải nhập vào màn hình giao dịch các thơng tin thẻ và mật khẩu động. Mật khẩu động được tự động thay đổi giữa các lần giao dịch. Mật khẩu này thường được cung cấp dưới 2 dạng là tin nhắn SMS hoặc token. Do mật khẩu luôn thay đổi nên chỉ có người chủ của điện thoại di động/token mới có thể giao dịch qua mạng thành cơng.
Trong q trình giao dịch trực tuyến có sử dụng phương pháp xác thực chủ thẻ, ngân hàng thanh toán tham gia vào q trình xác thực bằng cách chuyển các thơng tin xác thực tới hệ thông xử lý của ngân hàng hành để ngân hàng phát hành kiểm tra tính xác thực của giao dịch. Do vậy, nếu ngân hàng thanh tốn khơng tham gia chương trình xác thực thì các thơng tin dùng để xác thực sẽ không được sử dụng