Tội phạm mạng 'tiến hóa' đáng sợ: Bài 2: Những câu hỏi lớn về quy trình và bảo mật

Nhà mạng và ngân hàng có vô can?

Hồ Đức Thế, 36 tuổi, là cộng tác viên của một nhà mạng. Không cần giả mạo giấy tờ, không cần lừa khách hàng cung cấp mã xác thực, cũng không cần tấn công mạng, Thế chỉ cần truy cập hệ thống quản lý thuê bao và thực hiện việc chuyển đổi thông tin SIM. Toàn bộ quá trình diễn ra trót lọt trong thời gian dài mà không bị phát hiện.

Câu hỏi đặt ra đối với doanh nghiệp viễn thông là: vì sao một cộng tác viên có thể thực hiện tới 13 giao dịch đổi SIM chỉ trong một ngày, tất cả đều liên quan đến những khách hàng không quen biết, mà không có bất kỳ hệ thống nào phát hiện bất thường và kích hoạt cảnh báo? Đây không còn là vấn đề cá nhân, mà phản ánh lỗ hổng trong quản trị nội bộ và kiểm soát rủi ro.

Hai đối tượng trong nhóm thu thập 17 triệu thông tin cá nhân để chiếm đoạt SIM điện thoại liên kết ngân hàng bị Công an Quảng Bình bắt giữ năm 2022. Ảnh: Bộ Công an

Tại thời điểm đó, Luật Viễn thông 2023 và Nghị định 163 đã quy định về trách nhiệm của người đứng tên thuê bao. Tuy nhiên, quy định bắt buộc xác thực sinh trắc học khuôn mặt khi thay đổi thông tin SIM chỉ mới được ban hành theo Thông tư 08/2026/TT-BKHCN ngày 31/3/2026, có hiệu lực từ 15/4/2026. Trong toàn bộ thời gian nhóm đối tượng tại Quảng Trị gây án (từ tháng 1 đến tháng 3/2026), quy định này chưa tồn tại.

Kẽ hở pháp lý này là có thật. Tuy nhiên, sự vắng mặt của quy định không đồng nghĩa với việc miễn trừ trách nhiệm. Việc thiếu cơ chế phát hiện hành vi bất thường của nhân sự nội bộ, không kiểm soát giao dịch đổi SIM hàng loạt, và không có cảnh báo theo thời gian thực khi thuê bao bị thay đổi thông tin cho thấy những thiếu sót nghiêm trọng trong quản trị. Đây không chỉ là vấn đề pháp lý, mà còn là vấn đề trách nhiệm bảo vệ khách hàng.

Ở phía ngân hàng, cũng tồn tại những dấu hỏi lớn. Từ ngày 01/7/2024, theo Quyết định 2345/QĐ-NHNN, các giao dịch chuyển tiền trên 10 triệu đồng phải được xác thực sinh trắc học bằng khuôn mặt hoặc vân tay. Quy định này được kỳ vọng là "lá chắn" ngăn chặn việc chiếm đoạt tài khoản.

Tuy nhiên, trong vụ việc tại Quảng Trị, các giao dịch vẫn được thực hiện thành công. Điều này đặt ra yêu cầu phải làm rõ trách nhiệm của ngân hàng, cũng như đánh giá lại hiệu quả thực tế của hệ thống xác thực sinh trắc học.

Cảnh báo của một ngân hàng về tình trạng chiếm đoạt SIM

Các chuyên gia an ninh mạng đưa ra hai kịch bản kỹ thuật. Thứ nhất, đối tượng có thể sử dụng công nghệ deepfake để tạo video khuôn mặt giả từ dữ liệu bị đánh cắp nhằm đánh lừa hệ thống nhận diện. Thứ hai, chúng có thể khai thác dữ liệu sinh trắc học bị rò rỉ từ phía nhà mạng.

Hiện nay, nhiều ngân hàng và doanh nghiệp viễn thông cùng sử dụng dữ liệu khuôn mặt từ căn cước công dân gắn chip hoặc ứng dụng VNeID. Nếu kẻ gian tiếp cận được nguồn dữ liệu này thông qua nội bộ, việc tái tạo khuôn mặt đủ chất lượng để vượt qua xác thực là hoàn toàn có thể.

Nguy cơ này không phải mới. Trước khi vụ việc xảy ra, nhiều chuyên gia đã cảnh báo khả năng hệ thống sinh trắc học bị qua mặt bằng công nghệ AI. Khi chủ tài khoản không thực hiện thao tác nhưng tiền vẫn bị chuyển đi, đó là dấu hiệu rõ ràng cho thấy lớp bảo mật được xem là an toàn nhất vẫn có thể bị vô hiệu hóa.

Trước thực trạng này, khung pháp lý đang được siết chặt. Thông tư 77/2025/TT-NHNN, có hiệu lực từ ngày 01/3/2026, yêu cầu các ngân hàng triển khai giải pháp phát hiện giả mạo sinh trắc học đạt tiêu chuẩn ISO 30107 cấp độ 2, có khả năng nhận diện deepfake và các hình thức giả mạo tinh vi khác. Đây là mức tiêu chuẩn mà tại thời điểm vụ việc xảy ra, nhiều ngân hàng trong nước chưa đáp ứng.

Thông tư này cũng yêu cầu các ứng dụng ngân hàng phải phát hiện và chặn các thiết bị "không sạch", tức thiết bị bị can thiệp hệ thống hoặc cài phần mềm giám sát, đồng thời định kỳ đánh giá lại toàn bộ hệ thống bảo mật ít nhất ba tháng một lần.

Nhóm tội phạm chiếm đoạt SIM và tài khoản ngân hàng lấy hơn 6,5 tỷ đồng bị đưa ra xét xử tại TAND TP.Hà Nội năm, 2023

Về phía nhà mạng, Thông tư 08/2026/TT-BKHCN quy định bắt buộc xác thực sinh trắc học khuôn mặt đối với thuê bao mới và khi thay đổi thiết bị. Nếu không thực hiện xác thực, thuê bao sẽ bị tạm dừng chiều gọi đi và nhắn tin.

Quan trọng hơn, xu hướng lập pháp đang chuyển sang xác lập trách nhiệm pháp lý trực tiếp. Thông tư 77 được xem là cơ sở để nạn nhân có thể yêu cầu ngân hàng bồi thường, thay vì phải tự gánh chịu thiệt hại như trước đây.

Trên thế giới, nhiều quốc gia đã áp dụng cơ chế buộc ngân hàng chịu trách nhiệm khi để xảy ra lừa đảo qua hệ thống của mình. Việt Nam đang từng bước tiếp cận theo hướng này, với mục tiêu không để rủi ro bị đẩy hoàn toàn về phía người dùng.

Có thể thấy, năm 2026 là bước ngoặt trong việc hoàn thiện khung pháp lý. Tuy nhiên, hiệu quả thực sự không chỉ phụ thuộc vào quy định, mà còn nằm ở việc thực thi và giám sát. Nếu những yếu tố này chưa được đảm bảo, các lỗ hổng vẫn có thể tiếp tục bị khai thác.

Kinh nghiệm từ các nước đi trước

Kinh nghiệm quốc tế cho thấy Việt Nam không phải là quốc gia duy nhất đang vật lộn với bài toán này, nhưng các nước phát triển đã đi xa hơn rất nhiều trong việc ràng buộc trách nhiệm pháp lý.

Tại Mỹ, tháng 3/2025, một trọng tài tại bang California đã ra phán quyết buộc T-Mobile bồi thường 33 triệu USD sau một vụ chiếm đoạt SIM khiến nạn nhân mất khoảng 38 triệu USD tiền điện tử. Kẻ gian đã vượt qua các chính sách bảo mật cao cấp của T-Mobile bằng cách thuyết phục nhân viên tổng đài cấp mã QR eSIM từ xa, dù tài khoản của nạn nhân đã được gắn cờ bảo mật đặc biệt. Phán quyết này nhanh chóng trở thành một tiền lệ pháp lý quan trọng: nhà mạng không thể đứng ngoài khi chính quy trình của họ bị lợi dụng để gây thiệt hại cho khách hàng.

Ủy ban Truyền thông Liên bang Mỹ (FCC), trong lệnh ban hành tháng 11/2023, yêu cầu tất cả nhà mạng phải triển khai các phương thức xác thực an toàn và thông báo ngay lập tức cho khách hàng khi có yêu cầu đổi SIM. Đáng chú ý, các đề xuất pháp lý từ tổ chức bảo vệ người tiêu dùng tại Mỹ còn nhấn mạnh: nhà mạng cần chịu trách nhiệm nghiêm ngặt đối với các giao dịch chuyển đổi SIM diễn ra trên hạ tầng của mình, đặc biệt trong trường hợp có sự tiếp tay từ nhân viên nội bộ.

Tại Anh, số vụ SIM bị chiếm đoạt được báo cáo đã tăng hơn 10 lần trong năm 2024, từ 289 lên gần 3.000 vụ chỉ trong một năm, trở thành loại hình gian lận tăng nhanh nhất. Cơ quan Quản lý Tài chính Anh (FCA) đã yêu cầu các tổ chức cung cấp dịch vụ thanh toán phải tích hợp dữ liệu rủi ro từ nhà mạng vào quy trình phê duyệt giao dịch, bao gồm việc kiểm tra xem số điện thoại có vừa bị đổi SIM hay không trước khi cho phép thực hiện các giao dịch giá trị lớn.

Điểm chung của cả hai mô hình tại Mỹ và Anh là: nhà mạng và ngân hàng không được coi là bên thứ ba vô can khi khách hàng bị chiếm đoạt tài sản thông qua chính hạ tầng dịch vụ của họ. Trách nhiệm không còn bị đẩy hoàn toàn về phía người dùng.

Trong vụ việc tại Quảng Trị, hàng chục nạn nhân bị mất tiền sẽ cần rất nhiều thời gian để đòi lại tài sản. Dù không phải là đồng phạm, nhà mạng vẫn phải chịu trách nhiệm trong việc kiểm soát đội ngũ cộng tác viên, quản lý quyền truy cập hệ thống và phát hiện hành vi bất thường. Khi cả ba yếu tố này đều bị buông lỏng, không thể nói nhà mạng hoàn toàn vô can.

Tương tự, ngân hàng cũng không thể viện dẫn lý do "khách hàng bị chiếm SIM" để né tránh trách nhiệm, trong khi hệ thống sinh trắc học chưa đáp ứng tiêu chuẩn ISO 30107 Level 2 theo Thông tư 77. Nếu hệ thống sinh trắc học đạt chuẩn, các công nghệ giả mạo như deepfake sẽ khó có khả năng vượt qua. Nếu hệ thống phân tích hành vi giao dịch đủ nhạy, chuỗi chuyển tiền bất thường trong thời gian ngắn đã có thể bị phát hiện và chặn lại tự động.

Điều tích cực là khung pháp lý đang dần đi đúng hướng. Tuy nhiên, vẫn cần bổ sung cơ chế phối hợp theo thời gian thực giữa nhà mạng và ngân hàng. Khi một thuê bao bị thay đổi thông tin, ngân hàng cần được cảnh báo trong vài giây, thay vì vài ngày. Đồng thời, cần có quy định rõ ràng hơn về trách nhiệm bồi thường khi các tổ chức này không thực hiện đầy đủ nghĩa vụ bảo mật, cũng như cơ chế giám sát nội bộ đủ mạnh để phát hiện khi chính nhân viên hoặc cộng tác viên trở thành tác nhân gây rủi ro.

Năm 2026 có thể xem là một bước ngoặt khi khung pháp lý tại Việt Nam đã đặt nền tảng để buộc ngân hàng và nhà mạng không thể tiếp tục đứng ngoài cuộc. Tuy nhiên, pháp lý sẽ chỉ thực sự phát huy hiệu quả khi đi kèm với việc thực thi nghiêm túc và cơ chế giám sát hiệu quả - những yếu tố vẫn còn là dấu hỏi cần được trả lời.

(Còn tiếp)