Rò rỉ thông tin từ NH rất cao
TS. Nguyễn Trí Hiếu, chuyên gia tài chính NH, cho biết thông thường, bảo mật thông tin khách hàng cũng như tất cả tài khoản tại các NH rất khắt khe. Trên nguyên tắc, các nhà băng không bao giờ tiết lộ số dư trên tài khoản của khách hàng và pháp luật cũng quy định điều này.
Do đó, thông tin khách hàng bị rò rỉ từ phía NH rất hạn hữu. Chỉ có trường hợp có sơ suất hay cố ý của cán bộ, nhân viên NH khiến thông tin đó bị đưa ra ngoài, hoặc tin tặc đột nhập tài khoản khách hàng để lấy cắp thông tin.
Tại các chi nhánh, phòng giao dịch, giao dịch viên được ủy quyền xem số dư trên tài khoản thanh toán của một khách hàng. Giám đốc các chi nhánh, phòng giao dịch cũng được ủy quyền để xem tài khoản thanh toán một khách hàng.
Hệ thống bảo mật của NH có những bức tường lửa ngăn chặn hacker xâm nhập. Những trường hợp hacker tìm cách len lỏi vào hệ thống tài chính, kế toán của NH để đánh cắp thông tin xảy ra rất hạn hữu, thường ở những NH có hệ thống bảo mật yếu kém, không hiệu quả.
Quy định nội bộ tại của các NH cũng rất chặt chẽ trong việc bảo mật thông tin khách hàng. Tuy nhiên, không loại trừ khả năng những cán bộ có quyền truy cập vào tài khoản khách hàng đã đánh cắp thông tin và để rò rỉ ra ngoài, thậm chí chính cán bộ NH dùng cách này hay cách khác rút tiền từ tài khoản khách hàng.
Như vậy, dù hệ thống có bảo mật thế nào, nhưng với những trường hợp như vậy trong nhân sự nội bộ của NH, đặc biệt là nhân sự có quyền truy cập vào tài khoản khách hàng, sẽ không thể có cách nào để bảo vệ tài khoản được 100%.
Một trường hợp nữa cũng cần nhắc đến là cán bộ công nghệ thông tin (CNTT). Bộ phận này hết sức đặc biệt trong NH, họ phụ trách hệ thống CNTT, có chìa khóa để mở những tập tin bí mật của NH.
Dĩ nhiên, các NH đều có quy trình để bảo mật dữ liệu chặt chẽ, và trong số cán bộ CNTT chỉ một số người có quyền truy cập một loại thông tin nào đó. Thế nhưng, nhiều hacker ngày trước cũng là cán bộ của NH. Khi làm việc cho NH họ nắm được những chìa khóa bảo mật, sau khi rời khỏi NH đó họ trở thành tin tặc.
Đó là những rủi ro có thể gặp. Bên cạnh đó là trách nhiệm của khách hàng. Nếu khách hàng lơ là việc tự bảo vệ tài khoản của mình dễ dẫn đến việc người khác lạm dụng mật khẩu hoặc hack tài khoản để truy cập thông tin.
Ông Hiếu cho biết, đã từng chứng khiến trường hợp các giao dịch viên của NH nói chuyện với nhau về tài khoản của một khách hàng, điều tuyệt đối không được phép.
Bởi theo quy định, giao dịch viên hay cán bộ NH có thông tin của một khách hàng chỉ được phép xử lý và sử dụng thông tin đó với chính khách hàng đó. Trừ trường hợp khách hàng có vấn đề như có nợ xấu, hoặc không tuân thủ những quy định về rửa tiền, cán bộ phải trao đổi với cấp trên để xử lý vi phạm.
Còn nếu xảy ra việc một nhân viên NH truy cập bất hợp pháp vào tài khoản để lấy thông tin khách hàng tung ra ngoài, người đó có thể bị truy cứu trách nhiệm hình sự.
Do vậy, với vai trò chủ quản của NH, khi xảy ra những vụ việc như vậy chứng tỏ có lỗ hổng và lỗ hổng ở đâu cần có sự điều tra, từ cán bộ, cấp lãnh đạo, khách hàng, tin tặc… Nếu đó là sự rò rỉ do thiếu sót, cẩu thả hoặc thiếu trách nhiệm của cán bộ NH, phải lập tức xử lý nghiêm và công bố kết quả cho người dân biết.
NH thiếu trách nhiệm?
NH thiếu trách nhiệm?
Ở góc độ quản lý của NHNN, quy định về nghĩa vụ bảo vệ bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng được nêu tại Điều 38 Luật NHNN Việt Nam 2010 và Điều 14 Luật Các tổ chức tín dụng (TCTD) 2010.
Song theo một chuyên gia tư vấn luật trong lĩnh vực tài chính, 2 văn bản pháp luật này của NHNN mới dừng ở việc yêu cầu phải bảo đảm bí mật thông tin tài khoản khách hàng, không kèm theo quy định về trách nhiệm pháp lý của NH trong trường hợp khách hàng bị lộ thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch liên quan.
Trong khi đó, trách nhiệm pháp lý của NH là cơ sở để khách hàng bảo vệ lợi ích của mình khi bị các chủ thể khác xâm phạm bí mật thông tin.
Cho đến nay cũng chưa có các quy định cập nhật bổ sung trách nhiệm pháp lý của NH khi để lộ, lọt thông tin tài khoản cá nhân, dù NH đang đóng vai trò là chủ thể trực tiếp trên hợp đồng cung cấp dịch vụ cho khách hàng, cũng quản lý toàn bộ nhân viên của mình.
Ở góc nhìn khác trong trường hợp nói trên, người thực hiện hành vi làm lộ có thể áp dụng xử phạt theo Điều 47 Nghị định 88/2019/NĐ-CP quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và NH. Theo đó, phạt tiền 30-40 triệu đồng đối với hành vi làm lộ, sử dụng thông tin khách hàng của TCTD, chi nhánh NH nước ngoài không đúng mục đích theo quy định của pháp luật.
Hoặc theo Nghị định 98/2020/NĐ-CP, phạt tiền 10-20 triệu đồng đối với hành vi chuyển giao thông tin của người tiêu dùng cho bên thứ 3 khi chưa có sự đồng ý của người tiêu dùng theo quy định, trừ trường hợp pháp luật có quy định khác. Đồng thời, phạt tiền gấp 2 lần mức trên đối với trường hợp thông tin có liên quan là thông tin thuộc về bí mật cá nhân của người tiêu dùng.
Hay Điều 5 Nghị định 72/2013/NĐ-CP, quy định công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin, thu lợi bất chính từ 50 triệu đồng trở lên, hoặc gây thiệt hại từ 100 triệu đồng trở lên, hoặc gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân có thể bị truy cứu trách nhiệm hình sự.
Đó là ở góc độ luật áp dụng với đối tượng sai phạm, nhưng thực tế chưa vụ việc xử phạt cụ thể nào được công bố rộng rãi. Theo quy định, khách hàng bị lộ thông tin có quyền khiếu kiện, yêu cầu xin lỗi hay bồi thường thiệt hại, nhưng quá trình này gian truân nên ít ai thực hiện.
Đặc biệt là từ khi dịch vụ NH điện tử phát triển mạnh, rủi ro rò rỉ thông tin tài khoản, hay mất tiền do bị hack tài khoản xảy ra ngày càng nhiều hơn. Qua quan sát cho thấy, khi xử lý các NH thường đổ lỗi cho khách hàng. Nếu xảy ra tranh chấp, NH khẳng định hệ thống đảm bảo bí mật, không có lỗ hổng và dùng lý do an ninh để không cung cấp thông tin về hệ thống.
Người dùng không rõ nguyên nhân nên buộc phải “ngậm bồ hòn làm ngọt”, đồng ý với các phương án xử lý của NH dù bất lợi với mình. Trong trường hợp nhân viên NH làm sai, chỉ nhân viên đó bị truy cứu trách nhiệm, bị sa thải, còn NH không bị ảnh hưởng.
Phải chăng do quy định của cơ quan chủ quản là NHNN chưa chặt chẽ, cộng với tâm lý của người sử dụng dịch vụ chưa coi trọng vấn đề rò rỉ thông tin, nên việc xử lý để lộ thông tin tài khoản khách hàng đến nay chưa được chú trọng? Sau sự vụ rò rỉ thông tin sao kê tài khoản tại MB, sẽ còn bao nhiêu vụ tiết lộ tương tự sẽ xảy ra, khi pháp luật trong lĩnh vực NH chưa chế tài mạnh đối với trường hợp này?
Đây là những kẽ hở bảo mật và an toàn thông tin cho khách hàng cần phải có giải pháp “lấp” lại, nhất là khi các NH đang đẩy mạnh thanh toán không dùng tiền mặt, cũng như đang nỗ lực tiến gần đến thông lệ quốc tế thông qua việc Basel II và trong tương lai tiến đến Basel III, Basel IV.