P.V: Thưa ông, sau sự cố mất tiền trong tài khoản, nhiều ý kiến lo ngại vấn đề bảo mật của ngân hàng: để tiền ở nhà thì lo lắng mất trộm, gửi tiền vào ngân hàng thì sợ bị tội phạm “hack”?

LS Trương Thanh Đức: Thực ra các ngân hàng có lỗi thật, nhưng không đến nỗi hệ thống bảo mật có vấn đề như nhiều ý kiến đặt ra nặng nề. Để bảo mật, phải có rất nhiều tiêu chuẩn, vì vấn đề bảo mật quyết định sống còn của chính ngân hàng, của 1 định chế tài chính, chứ không đơn giản là câu chuyện riêng rẽ của ai, nên nếu có vấn đề gì như cái gọi là lỗ hổng bảo mật… chính ngân hàng sẽ “chết” trước. Thực tế, trên thế giới, việc khách hàng bỗng dưng mất tiền cũng đã xảy ra nhiều, và ở nhiều những định chế tài chính rất uy tín. Tuy nhiên, điều khác biệt nằm ở cách ứng xử.

Luật sư Trương Thanh Đức.

P.V: Vấn đề là, nhiều ý kiến cho rằng sở dĩ xảy ra sự cố này là công nghệ chuyển khoản bảo mật bằng mật khẩu OTP đã lạc hậu, vì rõ ràng khách hàng không nhận được mã này qua điện thoại, mà tội phạm vẫn có thể tiến hành giao dịch?

LS Trương Thanh Đức: Theo tôi, OTP là tương đối an toàn, vì mật khẩu này chỉ có giá trị trong khoảng thời gian rất ngắn. Mã xác thực OTP là tầng bảo mật rất quan trọng khi khách hàng thực hiện các giao dịch trực tuyến với ngân hàng, ngay cả trong trường hợp các tầng bảo mật khác đã bị kẻ gian phá vỡ. 

Vụ việc cụ thể này, nếu nói tội phạm đã xâm nhập vào hệ thống ngân hàng là không đúng, đừng trầm trọng hóa mọi việc. Không có cái gì trên đời này là không thể không xảy ra rủi ro được. Ví dụ anh đi ôtô, rõ ràng sẽ có nhiều rủi ro xảy ra tai nạn hơn khi anh đi bộ. Không thể vì rủi ro này mà bỏ đi ôtô hoặc kiện cáo các hãng sản xuất. 

Chính khách hàng khi giao dịch cũng phải hết sức cẩn trọng, có ý thức bảo vệ tài sản của chính mình, như giữ mật khẩu, không lơ là chủ quan khi giao dịch, tuyệt đối tuân theo các chỉ định bảo mật của ngân hàng. Trong trường hợp rủi ro xảy ra, có ý thức nhanh chóng phối hợp với ngân hàng để có thể khắc phục, hoặc chấm dứt các giao dịch bất hợp pháp đang diễn ra bằng cách khóa tài khoản…

P.V: Nhưng thưa ông, vụ việc diễn ra ban đêm, nên khách hàng cũng khó kiểm soát. Trong trường hợp này, nếu ngân hàng phát hiện giao dịch đáng ngờ thì chính họ cũng phải chủ động phong tỏa tài khoản chứ?

LS Trương Thanh Đức: Đã chấp nhận cuộc chơi, khách hàng phải chấp nhận chủ động kiểm soát tài sản của mình theo cách họ có thể. Thế thì không được tắt điện thoại, phải liên lạc với ngân hàng nhanh nhất để phong tỏa tài khoản. Còn về phía ngân hàng, bây giờ là thời đại thế giới phẳng, giao dịch diễn ra bất kỳ thời gian nào, địa điểm này, và như trường hợp vừa qua thì nó không hề có dấu hiệu bất thường, nên ngân hàng khó có thể biết mà can thiệp.

P.V: Nói thế thì hậu quả rõ ràng là khách hàng gánh chịu?

LS Trương Thanh Đức: Cũng không hẳn. Nhưng rõ ràng hiện nay, tất cả mọi thông tin đưa ra đều từ phía ngân hàng. Công nghệ trong tay ngân hàng, nếu ngân hàng bảo tốt, thì khách sẽ chỉ biết là tốt, còn chờ ngân hàng bảo chúng tôi “có vấn đề” sẽ là không thể. Điều này phụ thuộc vào uy tín, sự thành thật của chính ngân hàng.

P.V: Vậy là khách hàng hoàn toàn đuối lý?

LS Trương Thanh Đức: Thường trong trường hợp khách hàng bỗng dưng mất tiền sẽ có 3 khả năng xảy ra:

Một là lỗi của khách hàng. Do khách hàng sơ suất vào trang web mạo danh, vào những trang nhiễm virus có khả năng bị lộ mật khẩu, để bị đánh cắp thông tin. Sau đó “kẻ trộm” đã dùng những thông tin này để truy cập tài khoản, chuyển khoản, rút tiền. Đặc biệt trong trường hợp khách hàng làm mất điện thoại, để “kẻ trộm” có thể vừa lấy được mật khẩu, lại vừa lấy được mã OTP và rút tiền một cách “hợp pháp”, thì khách hàng sẽ có lỗi 100%. Trường hợp thứ 2 là lỗi ở ngân hàng. Có thể là ngân hàng làm lộ thông tin cá nhân của khách hàng. Lỗi này có thể do lỗi trong bảo mật. Và trong trường hợp này thì lỗi hoàn toàn thuộc về ngân hàng, không liên quan tới khách hàng.

Trường hợp thứ 3 là lỗi thuộc về cả ngân hàng và khách hàng. Có thể là do lỗi kỹ thuật, phần mềm mà ngân hàng không đảm bảo được cho khách hàng về mặt bí mật, mật khẩu. Thì trường hợp này ngân hàng có thể chịu chính hoặc chịu một nửa, còn tùy vào kết luận sau khi kiểm tra. Tuy nhiên, dù trong bất cứ trường hợp nào kể trên thì ngân hàng đều có lỗi, dù ít hay nhiều.

Trở lại vụ ở VCB, cho đến bây giờ, ngoài việc ngân hàng công bố thông tin từ chỗ “do khách hàng truy cập trang web lạ”, đến việc “nếu khách hàng không có lỗi, thì quyền lợi sẽ được đảm bảo”, thì không có thêm công bố nào chính thống về nguyên nhân của vụ việc trên. 

Nhưng, theo tôi, dù cho khách hàng có lỗi, thì rõ ràng ngân hàng cũng có 1 phần lỗi, vì đã áp dụng 1 phần mềm dịch vụ, từ phần mềm đó đã tạo ra 1 tình huống dễ bị lợi dụng ở tầng bảo mật cuối cùng. 

Chính việc này, VCB cũng đã dừng lại để xem xét và sửa chữa, trám lỗi đó. Còn nếu không thì khách hàng cũng chỉ biết khiếu nại, và cùng lắm thì đề nghị các cơ quan như Ngân hàng Nhà nước (NHNN), cơ quan Công an vào cuộc xem xét tìm ra nguyên nhân, trách nhiệm ở đâu. Chứ còn là không thể kiểm soát, hoàn toàn không có những thông tin để biết được ngân hàng làm đúng sai thế nào ngoài những cái người ta công khai ra.

P.V: Vậy, ai sẽ bảo vệ khách hàng?

LS Trương Thanh Đức: Theo tôi, cần phải có 1 tổ chức trung gian. Những giao dịch giấy tờ, mua bán hàng hóa thì không cần thiết vì bằng chứng rõ ràng. Nhưng trong trường hợp này, mọi thông tin đều nằm trong tay bên cung cấp dich vụ, thì NHNN phải đứng ra phân xử vì về lý, chỉ có sự quản lý của NHNN về an toàn ra sao, thực hiện nguyên tắc luật lệ bảo mật thông tin thế nào thì mới có đánh giá chính xác. Nhưng đôi khi, nhìn nhận của chính NHNN cũng không mô tả rõ là đúng và sai như thế nào, nên vẫn không xóa tan được nghi ngờ với người gửi tiền.

P.V: Vâng, hơn nữa tổ chức trung gian - tức NHNN, vậy có sợ họ sẽ bảo vệ “người nhà”?

LS Trương Thanh Đức: NHNN là 1 tổ chức của Chính phủ. Hơn nữa, đây là vấn đề an ninh tài chính, nên theo tôi, không vì cái nhỏ mà bỏ cái lớn. Nếu khách hàng không có lỗi, chắc chắn quyền lợi được đảm bảo. Trong trường hợp khách hàng có lỗi, nhưng lỗi không nghiêm trọng và không phải là nguyên nhân chính dẫn đến sự việc xảy ra, thì khách hàng sẽ chỉ phải chịu 1 phần lỗi của mình mà thôi.

P.V: Cứ giả sử, nếu như khách hàng vẫn không chấp nhận kết luận của tổ chức trung gian, thì khách hàng sẽ phải khởi kiện ở đâu, thưa ông?

LS Trương Thanh Đức: Có nhiều vụ việc đã có kết luận của ngân hàng hoặc ngay cơ quan pháp luật kết luận là khách hàng chịu trách nhiệm. Thế nhưng, vì không có người ở giữa để xác định thực sự là lỗi ở đâu cho nên khách hàng vẫn cứ nghi ngờ, kể cả khi khách hàng có lỗi đi nữa, họ vẫn không yên tâm. Bởi vậy, một cơ quan có trách nhiệm trong việc phân xử, kiểm tra, giám sát hoạt động của ngân hàng để có thể đảm bảo được quyền lợi của ngân hàng cũng như là khách hàng là cần thiết và đáng tin cậy.

Còn trong trường hợp khách hàng muốn có thể kiện ra toà, nhờ lực lượng thực thi pháp luật can thiệp, giải quyết đúng người, đúng tội. Tuy nhiên, khách hàng có thể đúng, có thể sai, nhưng ngân hàng cũng cần xem xét một cách thấu đáo mọi lý lẽ. Khi gửi tiền vào ngân hàng, khách hàng đã gửi gắm niềm tin đó, thì không được đánh mất nó. Cách ứng xử của ngân hàng sẽ lấy lại niềm tin, đảm bảo niềm tin đó, vì khi mất niềm tin, ngân hàng sẽ mất rất lớn nếu khách không sử dụng dịch vụ. 

Bởi vậy, lùi 1 bước để tiến 2 bước là cách ứng xử khôn ngoan. Ngay cả khi khách hàng có lỗi, ngân hàng cũng nên chịu 1 phần. Đây là cách ứng xử mà các định chế tài chính lớn trên thế giới áp dụng. Họ không vội đổ lỗi cho khách, mà phải làm cho khách tin tưởng, sau đó, mới phân xử, lúc đó khách sai cũng sẽ tâm phục khẩu phục, và không bị mất niềm tin.

P.V: Xin cảm ơn ông!

Lệ Thúy