"Lừa đảo giao dịch ngân hàng trực tuyến đang ngày càng nở rộ, mà nguyên nhân là do kỹ thuật gian lận càng tiên tiến thì càng có nhiều kiểu virus tinh vi hơn, đồng thời những kẻ lừa đảo được hỗ trợ tài chính dồi dào hơn. Giờ đây sự xuất hiện các nhóm mạng, và liên minh của những kẻ lừa đảo internet đã thay thế cho kiểu hacker cũ” – Paul Kastner, Giám đốc Mảng dịch vụ tài chính, Symantec Châu Á - Thái Bình Dương và Nhật Bản.
Paul Kastner
Những mặt trận mới trong cuộc chiến trên mạng
Các ngân hàng tiếp tục nâng cấp hệ thống an ninh dịch vụ ngân hàng trực tuyến của họ bằng cách triển khai các công nghệ tốt hơn và công cụ kiểm soát các giao dịch mạnh mẽ hơn. Tuy nhiên, với các nguồn tài chính dồi dào luôn hậu thuẫn cho các tổ chức tội phạm, ngay cả các công nghệ cực kỳ phức tạp như xác thực hai giai đoạn cũng bị phá vỡ. Các hướng tấn công cũng thay đổi và trở nên khác thường, với các kỹ thuật thiết kế mới mô phỏng các trang web của bên thứ ba dường như không liên quan hay vô hại để xâm nhập các máy tính của các khách hàng sử dụng dịch vụ ngân hàng trực tuyến.
Vì hầu hết các cuộc tấn công khởi nguồn từ máy tính của khách hàng, nên rõ ràng bản thân họ là liên kết yếu nhất trong chuỗi giao dịch, việc lừa đảo trực tuyến hầu hết thường được gây ra do hạn chế về khả năng bảo vệ trên máy tính của khách hàng. Vậy thì, nên chăng ngân hàng đẩy một vài trách nhiệm trong vấn đề lừa đảo trực tuyến sang khách hàng của họ?
Vậy ai sẽ trả tiền?
Với việc mất thẻ tín dụng, hầu hết các thị trường dịch vụ tài chính trong khu vực Châu Á Thái Bình Dương và Nhật Bản giới hạn trách nhiệm pháp lý của khách hàng trong các vụ lừa đảo ngân hàng trực tuyến ở mức rất thấp. Một ngoại lệ chính của việc này là khi chính bản thân các khách hàng tiến hành lừa đảo. Tuy nhiên, gánh nặng tìm ra bằng chứng thuộc về các tổ chức tài chính - nếu không chứng minh được khách hàng thực hiện hành vi lừa đảo có chủ đích, thì ngân hàng sẽ chịu trách nhiệm về thiệt hại này.
Ví dụ, tại Úc, theo Bộ luật Quy định Chuyển tiền Điện tử (Electronic Funds Transfer Code of Conduct), nếu ngân hàng không thể chứng minh khách hàng đã tham gia vào các hoạt động lừa đảo hay cố ý vi phạm các nguyên tắc của ngân hàng, thì mức phạt lớn nhất đối với khách hàng chỉ là 150 đô-la Úc (bất kể số tiền lừa đảo là bao nhiêu). Điều tương tự cũng có thể thấy trong các điều luật về trách nhiệm cũng như thực tế tại các quốc gia như Mỹ, Châu Âu, Anh và Hồng Kông.
Gần đây, Ủy ban Đầu tư và Chứng khoán Australia (ASIC) đã thăm dò ý kiến nhằm sửa đổi Bộ luật Quy định Chuyển tiền điện tử, trong đó có tăng phần trách nhiệm của khách hàng. Sự ủng hộ ban đầu của một số ngân hàng đã nhanh chóng vấp phải sự phản đối dữ dội của công chúng. Và giờ đây, có vẻ như Điều luật Thi hành Chuyển tiền điện tử sửa đổi sẽ vẫn như trước đây, đẩy trách nhiệm thuộc về phía ngân hàng.
Nhưng có một ngoại lệ xảy ra tại thị trường phát triển, đó là theo Bộ luật Ngân hàng mới ban hành tháng 7-2007 của Hiệp hội các nhà ngân hàng New Zealand, các ngân hàng sẽ không chịu trách nhiệm nếu khách hàng gây ra thiệt hại trong các trường hợp vượt quá khả năng kiểm soát của ngân hàng. Bộ luật này còn quy định rõ ràng rằng khách hàng có thể phải chịu trách nhiệm nếu họ không cài đặt phần mềm bảo vệ thích hợp được cập nhật thường xuyên. Bộ luật này của New Zealand đã đẩy trách nhiệm về phía khách hàng, mà trong đó ngân hàng được quyền kiểm tra máy tính của khách hàng để xác định mức độ bảo vệ và an ninh trước khi thanh toán bồi thường.
Vậy thì đâu là cách tiếp cận đúng và ngân hàng nên đóng vai trò gì? Symantec tin rằng cả ngân hàng và khách hàng của họ nên cùng nhau hành động nhiều hơn để chống lại lừa đảo trực tuyến. Với những cải tiến trong hệ thống bảo vệ giao dịch và an ninh thiết bị đầu cuối của khách hàng, cũng như chủ động nâng cao ý thức khách hàng, giao dịch ngân hàng trực tuyến có thể được bảo vệ tốt hơn trước những cuộc tấn công, khiến cho những tranh cãi pháp lý trở nên lạc lõng.
Tiên phong thực hiện
Các ngân hàng ở Châu Á Thái Bình Dương và Nhật Bản có nghĩa vụ tiên phong ở đây vì họ đã đẩy mạnh việc sử dụng ngân hàng trực tuyến từ khi kênh giao dịch này được đưa vào khai thác. Hầu hết các ngân hàng đều nhận thấy ngân hàng trực tuyến như là một tác nhân chiến lược nhằm triển khai dịch vụ và thu hút khách hàng, và nhiều ngân hàng coi ngân hàng trực tuyến là chìa khóa để mở rộng hoạt động.
Về phần mình, các khách hàng không thể trốn tránh một vài trách nhiệm pháp lý để bảo vệ chính họ. Cũng giống như cách mà họ đánh rơi ví tiền trên đường phố và mong rằng chính quyền sẽ hoàn trả lại khi nó bị ăn trộm, không ai có thể được để lộ nhận dạng điện tử của bản thân cho người khác ăn trộm và mong chờ sẽ có sự bồi thường toàn bộ.
Cũng như vậy trong thế giới Internet, kinh doanh trực tuyến cũng chỉ là kinh doanh. Các ngân hàng cần phải thuyết phục khách hàng rằng việc duy trì biện pháp bảo vệ mới nhất là tốt cho họ. Chìa khóa của lĩnh vực này là chuyển an ninh giao dịch ngân hàng trực tuyến từ việc bảo vệ mang tính công nghệ trở thành một lợi thế cạnh tranh. Chi tiêu vào việc hướng khách hàng tới chế độ an ninh tốt hơn sẽ mang lại lợi ích cho ngân hàng, vì rằng khách hàng sẽ chuyển sang dùng Internet để thực hiện các giao dịch phức tạp hơn với phí dịch vụ cao hơn và tiết kiệm chi phí hơn.
Bản thân các ngân hàng có thể và nên đảm trách vai trò tích cực hơn trong việc hướng khách hàng của họ tới sự bảo vệ tốt hơn, ví dụ bằng việc quét máy tính của khách hàng một cách chủ động để đánh giá mức độ của khả năng bảo vệ. Nếu thấy chưa đầy đủ, ngân hàng có thể khuyến khích khách hàng nâng cấp chế độ bảo vệ của họ ngay tại thời điểm đó, theo thời gian thực.
Ngân hàng cũng nên cân nhắc đến việc hỗ trợ tốt hơn hay thậm chí trợ cấp cho khách hàng trong việc mua phần mềm bảo mật. Không chỉ coi đây là vấn đề về xử lý kỹ thuật, ngân hàng nên chủ động phổ biến việc bảo mật tăng cường như là một giá trị gia tăng cho khách hàng, đồng thời như là một dịch vụ cộng đồng cho toàn thị trường.
Theo quan điểm của chúng tôi, các ngân hàng mà sử dụng các biện pháp an ninh tiên tiến để duy trì thương hiệu tích cực và làm việc với khách hàng của họ để nâng cao bảo mật Internet tổng thể sẽ thắng lớn trong việc thu hút khách hàng, nâng cao hơn mức độ sử dụng Internet, và có mối quan hệ khách hàng sâu bền hơn.
Khách hàng cũng có trách nhiệm
Với thuận lợi và tính tiết kiệm mà Internet đã mang lại cho họ, các khách hàng nên đảm nhận vai trò như những người tiêu dùng hiểu biết một cách nghiêm túc hơn, và sẵn sàng chia sẻ một vài chi phí để nâng cao hệ thống bảo vệ của họ.
Vì các vụ trộm thông tin cá nhân gây ra những nguy cơ rất rõ ràng đối với khách hàng, nên vấn đề chịu trách nhiệm pháp lý trong lừa đảo trở nên ít quan trọng hơn, mà vấn đề cấp bách là cần nâng cấp hệ thống an ninh càng nhanh và càng tiết kiệm chi phí càng tốt. Các khách hàng nên đồng ý trả một khoản phí hợp lý cho việc thiết lập và duy trì hệ thống bảo mật thích hợp.
Cuối cùng mọi người chiến thắng, trừ những kẻ xấu
Câu hỏi ai sẽ trả tiền cho những vụ lừa đảo trực tuyến sẽ là lạc lõng. Chế độ trách nhiệm pháp lý hiện thời đang vận hành khá tốt, những thiệt hại của lừa đảo đã được giảm xuống. Câu hỏi thực sự là: các ngân hàng và khách hàng của họ có thể kết hợp với nhau để giảm thiểu các mối đe dọa hay không?
Một khi tất cả các bên giao dịch đã được bảo mật đầy đủ, với mỗi bên chia sẻ một phần chi phí bảo mật dựa trên các giá trị nhận được từ Internet, thì vấn đề trách nhiệm pháp lý sẽ trở nên ít quan trọng hơn.
Nếu biết được hệ thống bảo vệ khách hàng là không đầy đủ, thì ngân hàng có thể áp dụng hạn chế các giao dịch. Trong một vài trường hợp hiếm hoi khi mà các vụ lừa đảo tấn công vào khách hàng đã được bảo vệ tốt, các ngân hàng chắc chắn sẽ vui vẻ chịu bồi thường thiệt hại, do vậy giá trị gia tăng nhờ khối lượng giao dịch tăng, khách hàng tin tưởng hơn, và thu hút nhiều khách hàng hơn.