Lừa đảo công nghệ cao bùng phát: Khoảng trống trách nhiệm của ngân hàng và nhà mạng
Hầu hết nạn nhân đang 'một mình gánh rủi ro', trong khi nhiều quốc gia đã buộc ngân hàng - nhà mạng chia sẻ thiệt hại để chặn đà leo thang của tội phạm số.
Ảnh minh họa
Lừa đảo tràn sâu vào "vùng xám", thiệt hại mỗi vụ lên tới hàng tỉ đồng
Báo cáo tháng 11 của Cơ quan Phòng chống Ma túy và Tội phạm Liên Hiệp Quốc (UNODC) cho biết, sau các chiến dịch càn quét ở Campuchia và Myanmar, những băng nhóm lừa đảo xuyên biên giới đã dịch chuyển vào vùng do lực lượng nổi dậy Myanmar kiểm soát. Đây là "vùng xám" khó tiếp cận, giúp chúng tiếp tục vận hành những đường dây lừa đảo quy mô lớn.
Hiệu quả hoạt động của các ổ nhóm này thể hiện rất rõ tại Việt Nam, khi chỉ trong vài tuần gần đây đã xuất hiện hàng loạt vụ chiếm đoạt lên đến hàng tỉ đồng/vụ. Lực lượng công an liên tục cảnh báo nhưng chiêu trò vẫn biến hóa khó lường, tấn công người dân bằng tốc độ và mức độ tinh vi chưa từng có.
Deepfake, giả mạo brandname, vượt mặt cả eKYC – hướng dẫn cảnh giác là chưa đủ
Nếu trước đây lừa đảo chủ yếu dựa vào gọi điện, nhắn tin thủ công thì hiện nay các nhóm tội phạm đã "vũ trang" bằng công nghệ cao. Chúng có thể: Giả mạo tin nhắn brandname như ngân hàng, công an, sàn thương mại điện tử; Tạo video deepfake giống hệt khuôn mặt nạn nhân để qua mặt hệ thống eKYC; Khai thác dữ liệu lộ lọt từ mạng xã hội để dựng kịch bản lừa đảo có độ tin cậy cao.
Trong khi đó, khi xảy ra thiệt hại, khách hàng ngân hàng gần như phải chịu 100% rủi ro, còn ngân hàng và nhà mạng – hai đơn vị nắm hạ tầng kỹ thuật – phần lớn đứng ngoài vụ việc. Điều này gây nhiều bức xúc khi người dân bị "bỏ lại phía sau" trong cuộc chiến vốn dĩ họ không đủ chuyên môn để tự bảo vệ.
Xu hướng quốc tế: Ngân hàng và nhà mạng phải chia sẻ trách nhiệm
Thấy rõ sự bất hợp lý này, từ cuối năm 2024, Singapore triển khai Khung trách nhiệm chia sẻ (SRF) – một bước tiến lớn trong bảo vệ người tiêu dùng tài chính. Theo đó: Ngân hàng chịu trách nhiệm đầu tiên nếu không thực hiện đầy đủ nghĩa vụ cảnh báo, xác thực, kiểm soát giao dịch. Tiếp đến là nhà mạng, nếu để lọt tin nhắn giả mạo, cuộc gọi lừa đảo. Người dùng chỉ chịu phần còn lại, hoặc toàn bộ trong trường hợp cố tình vi phạm hoặc sơ suất nghiêm trọng.
Anh cũng đã áp dụng mô hình tương tự từ tháng 10-2024: các ngân hàng bên gửi và bên nhận phải chia đôi trách nhiệm bồi thường (50/50), trừ trường hợp nạn nhân quá bất cẩn. Liên minh châu Âu (EU) đang chuẩn bị khung quy định mới dự kiến áp dụng từ 2026–2027, còn Úc và Trung Quốc đã có quy định chia sẻ trách nhiệm giữa ngân hàng – nhà mạng – nền tảng kỹ thuật số.
Ngân hàng Singapore: Chủ động chặn giao dịch, theo dõi bất thường theo thời gian thực
Tại Singapore, các nhà băng được trao quyền mạnh mẽ hơn trong việc kiểm soát giao dịch nguy cơ cao. Chẳng hạn: Được phép trì hoãn xử lý nếu tổng số tiền chuyển đi trong 24 giờ vượt quá 50% số dư tài khoản – một biện pháp giúp chặn "đòn lừa" rút sạch tiền trong vài phút.
Các ngân hàng kỹ thuật số ứng dụng hệ thống giám sát thời gian thực, tự động khóa giao dịch nếu phát hiện hành vi bất thường, tài khoản bị điều khiển từ thiết bị lạ hoặc IP khả nghi. Những biện pháp kỹ thuật trở thành chứng cứ để xác định ngân hàng hoặc nhà mạng có trách nhiệm trong thiệt hại hay không.
Đã đến lúc Việt Nam cần một khung trách nhiệm liên đới rõ ràng
Trong bối cảnh tội phạm công nghệ cao ngày càng tinh vi, tốc độ thích ứng của người dân không thể theo kịp, nhiều chuyên gia cảnh báo Việt Nam đã bước vào giai đoạn buộc phải thiết lập khung trách nhiệm liên đới giữa ngân hàng, nhà mạng và người dùng. Việc chỉ trông chờ vào các biện pháp tuyên truyền "cảnh giác" rõ ràng là không đủ khi kẻ gian có thể qua mặt cả hệ thống xác thực eKYC và tấn công bằng công nghệ deepfake.
Siết hạn mức chuyển nhanh và thiết lập thời gian chờ xử lý giao dịch. Một trong những lỗ hổng lớn nhất hiện nay là tốc độ chuyển tiền nhanh 24/7, cho phép tiền rời khỏi tài khoản chỉ trong vài giây—cũng chính là điều bọn lừa đảo tận dụng.
Do đó, nhiều ý kiến cho rằng Việt Nam cần: Thiết lập hạn mức chuyển nhanh thấp hơn cho các tài khoản phổ thông, đặc biệt vào ban đêm – thời điểm tội phạm thường thao túng nạn nhân. Xác lập khung thời gian xử lý giao dịch, cho phép ngân hàng chủ động trì hoãn thanh toán trong trường hợp có dấu hiệu bất thường. Cho phép người dùng đăng ký tùy chọn giữ tiền "pending" trong 24 giờ trước khi giao dịch được hoàn tất. Cơ chế này giống "vùng đệm an toàn", giúp nạn nhân có thời gian nhận ra mình bị lừa và yêu cầu dừng giao dịch.
Chỉ cần vài phút trì hoãn, hàng trăm triệu đồng có thể được giữ lại—và chính ngân hàng cũng có thêm căn cứ xác định trách nhiệm của từng bên.
Thiết kế tài khoản chuyên biệt cho sinh viên và nhóm dễ bị tổn thương. Nhiều quốc gia đã áp dụng loại tài khoản "low-risk" cho nhóm khách hàng dễ bị nhắm tới như sinh viên, người cao tuổi, lao động nhập cư. Với nhóm này: Không cho phép chuyển nhanh tức thời. Giới hạn số tiền chuyển tối đa trong ngày. Hiển thị cảnh báo tăng cường khi thực hiện giao dịch có dấu hiệu bất thường.
Việt Nam có thể tham khảo mô hình này để giảm thiểu nguy cơ mất sạch tiền—điều đang xảy ra thường xuyên đối với các trường hợp thiếu kinh nghiệm, ít kiến thức tài chính.
Trao quyền cho ngân hàng "treo" giao dịch bất thường. Hiện nay nhiều ngân hàng trong nước chỉ xử lý giao dịch theo quy trình "đúng-đủ" mà thiếu quyền chủ động can thiệp. Trong khi đó, tại Singapore hay Anh, ngân hàng có thể: Tạm khóa hoặc treo giao dịch nếu hệ thống phát hiện chuyển tiền đến tài khoản nghi vấn. Kích hoạt quy trình xác minh đa tầng. Tạm thời phong tỏa khoản tiền chuyển đi để bảo vệ khách hàng.
Quyền "treo giao dịch" cần được luật hóa để ngân hàng không lo rủi ro pháp lý khi chủ động can thiệp nhằm bảo vệ khách hàng.
Ràng buộc trách nhiệm nhà mạng trong việc lọc và chặn lừa đảo.Nhà mạng hiện đóng vai trò tuyến đầu trong việc ngăn chặn tin nhắn giả mạo và các đường link chứa mã độc, tuy nhiên các biện pháp đang triển khai vẫn chưa theo kịp thủ đoạn mới.
Các chuyên gia đề xuất: Triển khai bộ lọc nâng cấp, tự động cảnh báo khi người dùng bấm vào đường link nghi vấn hoặc truy cập website lừa đảo. Chặn tin nhắn brandname giả mạo, kiểm tra nghiêm ngặt luồng tin nhắn từ đầu số không rõ ràng. Cảnh báo cuộc gọi từ các nguồn rủi ro, tương tự mô hình mà các nước châu Âu đã áp dụng.
Nhà mạng không thể chỉ là đơn vị cung cấp hạ tầng; họ cần được ràng buộc trách nhiệm trước pháp luật khi để lọt nội dung gây thiệt hại.
Một hệ thống hàng rào – Một cơ chế trách nhiệm rõ ràng.Những giải pháp kỹ thuật trên không chỉ nhằm ngăn chặn thiệt hại ngay từ đầu mà còn là căn cứ pháp lý quan trọng. Khi có sự cố xảy ra, cơ quan chức năng cần xác định: Ngân hàng đã thực hiện cảnh báo đầy đủ chưa? Hệ thống có phát hiện bất thường nhưng không chặn lại hay không? Nhà mạng có để lọt tin nhắn giả mạo hoặc link độc hại?
Nếu có quy định minh bạch, việc xác định trách nhiệm liên đới và bồi thường sẽ rõ ràng, chấm dứt tình trạng "mọi rủi ro dồn về phía người dân" như hiện nay.
