Chiều 12/8, Vietcombank thông tin về việc tài khoản của khách hàng Hoàng Thị Na Hương bị mất số tiền 500 triệu đồng vào đêm ngày 3 rạng sáng ngày 4/8/2016. Khách hàng bị đánh cắp thông tin, mật khẩu, các đối tượng lừa đảo đã chuyển 7 lần tới nhiều tài khoản khoản trung gian tại 3 ngân hàng khác nhau ở Việt Nam.

Sau đó, đối tượng lừa đảo đã rút 200 triệu đồng qua ATM ở Malaysia. 300 triệu ngân hàng đã hoàn trả cho chị Hương là do ngân hàng khoanh lại kịp thời.

Theo Vietcombank, khách hàng này đã kích vào đường link giả mạo trên điện thoại di động nên bị đánh cắp thông tin. Tuy nhiên, để rút được tiền thì cần có mã OTP (One time password – mật khẩu xác thực một lần), mà chị Hương không hề nhận được tin nhắn qua điện thoại di động chứa mã OTP để xác thực giao dịch.

Màn hình hiển thị Smart OTP của ngân hàng. Ảnh minh họa.

Lý giải về điều này với báo giới, ông Đào Minh Tuấn, Phó tổng giám đốc Vietcombank cho biết, lý do là khách hàng đã được chuyển đổi từ dạng nhận OTP qua tin nhắn SMS sang “Smart OTP”.

Smart OTP là một phần mềm được cài đặt trên các thiết bị di động (điện thoại di động, máy tính bảng), cho phép người dùng chủ động lấy mã xác thực OTP cho các giao dịch trên Internet Banking của Vietcombank. Đây cũng là hình thức xác nhận được nhiều ngân hàng khác áp dụng.

Ngân hàng cần có hệ thống bảo vệ chặt chẽ

Trao đổi với Zing.vn, luật sư Trương Thanh Đức (Giám đốc Công ty Luật ANVI, Chủ nhiệm Câu lạc bộ Pháp chế Ngân hàng) cho biết, hiện chưa thể xác định trách nhiệm rõ ràng là thuộc về khách hàng hay ngân hàng.

Việc khách hàng để bị mất tên truy cập và mật khẩu là lỗi thuộc về khách hàng. Tình tiết quan tâm ở đây là mã xác thực OTP và có 2 khả năng đặt ra.

Trường hợp thứ nhất là hệ thống ngân hàng có bất cập, không hợp lý, dẫn đến thông tin không được gửi đến khách hàng nhưng kẻ gian bằng cách nào đó đột nhập vào hệ thống mà vẫn rút được tiền, thì trách nhiệm thuộc về ngân hàng.

Trường hợp thứ hai là kẻ gian lấy được OTP qua phần mềm. Phần mềm trên điện thoại của khách hàng có thể bị xâm nhập hoặc từ tên truy cập và mật khẩu đánh cắp được, thì kẻ gian đã cài phần mềm Smart OTP và dò được mã xác thực OTP.

Luật sư Đức cho biết cần phải đánh giá chi tiết từ một bên thứ 3 khách quan hoặc cơ quan điều tra, để làm rõ trách nhiệm đúng sai đến đâu trong vụ việc trên.

Chia sẻ về vấn đề này, tiến sĩ Nguyễn Trí Hiếu, chuyên gia tài chính – ngân hàng cho rằng, rất khó phân định trách nhiệm trong trường hợp này.

“Đầu tiên là lỗi thuộc về khách hàng khi để lộ các thông tin cá nhân. Nhưng về phía ngân hàng, nếu không có hệ thống bảo vệ chặt chẽ, để kẻ gian xâm nhập vào cả hệ thống ngân hàng lấy các thông tin thì cũng có phần chịu trách nhiệm”, ông Hiếu phân tích.

Vì vậy, ông Hiếu cho rằng cơ quan điều tra cần làm việc chặt chẽ để xác định ai là người chịu trách nhiệm. Khách hàng bị mất tiền cần nhờ đến luật sư để bảo vệ quyền lợi cho mình.

Bảo vệ tài khoản như thế nào?

Chuyên gia Nguyễn Trí Hiếu khuyến cáo, người dân phải bảo vệ tài khoản của mình chặt chẽ. Cần tránh “không nên cung cấp thông tin tài khoản, số thẻ, mã số bí mật, mật khẩu giao dịch, mã xác thực cho người khác. Luôn luôn đăng nhập đúng địa chỉ web của ngân hàng, thông báo ngay cho đường dây nóng của ngân hàng khi có nghi ngờ”.

Cùng quan điểm, luật sư Trương Thanh Đức cho rằng, tài khoản ngân hàng có nhiều tầng bảo vệ nhưng không phải lúc nào khách hàng cũng biết các thông tin như tên truy cập, mật khẩu hoặc điện thoại bị xâm nhập.

Ông Đức khuyên mọi người cần liên lạc ngay với ngân hàng để khóa tài khoản nếu có dấu hiệu nghi ngờ về việc lộ các thông tin trên.

Đồng thời, tài khoản ngân hàng cần được đăng ký thông báo kết quả giao dịch qua tin nhắn điện thoại, thận trọng trong việc dùng các phần mềm lấy mã xác thực OTP.

Một số trường hợp bị mất tiền tại thẻ tín dụng mà giao dịch ở nước ngoài khi chủ thẻ ở trong nước và chữ ký lại không đúng thì đương nhiên trách nhiệm thuộc về ngân hàng.

Ngoài ra, một số ngân hàng cũng khuyến cáo khách hàng chỉ đăng nhập vào các website có biểu tượng hình chìa khóa ở đầu thanh địa chỉ. Không nên giao dịch thẻ trên các thiết bị kết nối Internet công cộng (ví dụ wifi ở quán cà phê, wifi không đặt mật khẩu,…).

Tuyệt đối không truy cập vào các trang mạng qua các đường dẫn được gửi kèm. Vì có thể dẫn tới một số trang mạng giả mạo có giao diện được làm giả giống hệt với trang mạng gốc, nhưng thực chất là một cách thức lừa đảo tinh vi.

Không được cung cấp thông tin thẻ qua điện thoại hoặc thư điện tử, Skype, Facebook, tin nhắn hay các dịch vụ chat. Vì bất cứ lời đề nghị hoặc yêu cầu nào. Ngân hàng sẽ không bao giờ yêu cầu những thông tin này, mà chỉ kiểm tra một số thông tin cá nhân làm thông tin xác thực.