Đây không phải là nạn nhân đầu tiên và cuối cùng đối với các sự cố mất tiền trong tài khoản như vậy và các vụ việc cứ xảy ra với những tình huống, bài bản không khác gì nhau. Nó cho thấy nguyên nhân có thể là do người dùng không cẩn trọng hoặc là do hệ thống an toàn của NH có những bất cập không được khắc phục.

Hiện việc bảo mật cho các giao dịch trên NH số chủ yếu dựa vào mã xác thực hoặc do NH gửi tới điện thoại khách hàng (KH) qua tin nhắn SMS hoặc được tạo ra bởi một thiết bị Token, phổ biến là mã OTP gửi qua tin nhắn tới số điện thoại mà chủ tài khoản đã đăng ký. Về nguyên tắc, chỉ có ai đang sử dụng số điện thoại đó mới có thể xác thực giao dịch. Tuy nhiên, điều đáng nói trước hết là quy trình và trách nhiệm phía NH – nhà cung cấp dịch vụ – phải bảo đảm an toàn cao nhất có thể được cho các KH của mình. Các NH phải rà soát lại toàn bộ quy trình vận hành của hệ thống NH số, cần có một bên thứ ba chuyên nghiệp và có uy tín kiểm định, cũng như NH phải lắng nghe các phản hồi từ người dùng (thậm chí phải tiến hành các cuộc thăm dò ý kiến người dùng).

Hầu như chủ tài khoản nào gặp sự cố trong giao dịch NH cũng đều sợ các quy trình không hẳn là chặt chẽ mà rất rườm rà, chậm trễ từ phía NH. Như trường hợp chủ tài khoản bị “bốc hơi” 406 triệu đồng, phát hiện từ ngày 4-9 mà mãi tới gần đây – cả tháng trời – mới được NH phản hồi. Luật sư Nguyễn Duy Hùng, thành viên sáng lập Công ty Luật IPIC, trong một lần trả lời báo chí có nói rằng thời gian các NH giải quyết các vấn đề khiếu nại, tra soát tài khoản của KH theo quy định trong vòng 45 ngày là quá dài đối với thời buổi công nghệ phát triển mạnh khi mọi dữ liệu đều được lưu giữ trên hệ thống máy chủ, có thể tra cứu là truy dấu nhanh chóng.

Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng của Bkav, cho biết: “Việc quy trách nhiệm NH đúng hay KH đúng sẽ không thể xử lý được triệt để bởi OTP là công nghệ không có tính “chống chối bỏ”, nghĩa là không có khả năng xác định chính xác và quy trách nhiệm ai thực hiện giao dịch. Giải pháp duy nhất hiện nay đáp ứng về mặt công nghệ và pháp lý của “chống chối bỏ” là chữ ký số.” Bkav cho biết họ đã tư vấn cho NH Nhà nước ban hành quy định về giao dịch sử dụng chữ ký số để thay thế cho SMS OTP. Thực tế là NH Nhà nước cũng đã ban hành quy định bắt buộc tất cả NH áp dụng xác thực bằng chữ ký số. Chỉ có điều, hạn mức để bắt buộc phải sử dụng chữ ký số là trên 500 triệu đồng. Hồi giữa tháng 6, NH Nhà nước cho biết họ đang lấy ý kiến góp ý dự thảo thông tư quy định về việc quản lý, sử dụng chữ ký số, chứng thư số và dịch vụ chứng thực chữ ký số chuyên dùng cho NH nhằm thay thế Thông tư số 28/2015/TT-NHNN. Bộ Thông tin và Truyền thông cũng đã ban hành Thông tư 16/2019/TT-BTTTT quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa.

Tất nhiên, việc áp dụng chữ ký số một cách đại trà cũng phải cân nhắc kỹ lưỡng tới phía người dân – cá nhân sử dụng. Ngoài chuyện chi phí sử dụng chữ ký số hợp lý còn phải tạo thuận lợi cho người dùng có thể sử dụng loại hình xác thực an toàn hơn này. Ngoài ra, khi sử dụng NH số trên các ứng dụng di động, NH có thể khai thác công nghệ nhận diện sinh trắc học (như vân tay, khuôn mặt, mống mắt…) để xác thực. 


Phạm Hồng Phước

Chia sẻ