Thực tế đang cho thấy, ngay cả khi hệ thống đã được trang bị nhiều lớp bảo mật như mã xác thực một lần (OTP) hay xác thực sinh trắc học, nguy cơ mất tiền vẫn hiện hữu và ngày càng khó lường.
Dấu hiệu bất thường trong giao dịch
Vụ việc một khách hàng tại Hà Nội bị rút 5 tỷ đồng khỏi tài khoản chỉ sau một đêm là minh chứng điển hình. Theo phản ánh, ông N.C.S mở tài khoản bằng hình thức định danh điện tử vào chiều 12/12/2025, sau đó chuyển hơn 5,4 tỷ đồng vào tài khoản. Tuy nhiên, đến rạng sáng hôm sau, tài khoản phát sinh 11 giao dịch chuyển tiền liên tiếp, tổng cộng 5 tỷ đồng, trong khi chủ tài khoản khẳng định không hề thực hiện bất kỳ thao tác nào.
Điều đáng chú ý là toàn bộ các giao dịch diễn ra trong khung giờ từ 1h đến 2h sáng, nhưng người dùng không nhận đủ mã OTP theo số lượng giao dịch. Dữ liệu từ nhà mạng cho thấy chỉ có một tin nhắn được gửi đến tại thời điểm xảy ra sự việc, trái ngược với nguyên tắc mỗi giao dịch phải đi kèm một mã xác thực riêng biệt. Đồng thời, hình ảnh camera cũng ghi nhận chủ tài khoản không sử dụng điện thoại trong khoảng thời gian này.
Trao đổi với phóng viên, ông N.C.S cho biết phía ngân hàng xác nhận có một thiết bị thứ hai được gắn vào tài khoản và chính thiết bị này thực hiện các lệnh chuyển tiền. Tuy nhiên, dữ liệu sinh trắc học được cung cấp lại chỉ là các ảnh tĩnh, không phải xác thực khuôn mặt động theo quy định đối với các giao dịch giá trị lớn. Những chi tiết này đặt ra nghi vấn về khả năng tồn tại “thiết bị song sinh” hoặc việc sinh trắc học bị qua mặt.
Ranh giới trách nhiệm
Nhiều ý kiến cho rằng nếu sinh trắc học vốn là lớp bảo mật cao nhất có thể bị vượt qua bằng ảnh tĩnh thì đây là dấu hiệu bất thường cần được làm rõ ở cấp độ hệ thống. Bên cạnh đó, việc hàng loạt giao dịch lớn diễn ra trong đêm mà không bị cảnh báo cũng đặt ra câu hỏi về hiệu quả của cơ chế giám sát rủi ro.
Dưới góc độ pháp lý, Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI cho rằng, không thể vội vàng quy toàn bộ trách nhiệm cho khách hàng. Khi ngân hàng nắm quyền kiểm soát toàn bộ quy trình từ mở tài khoản, xác thực đến xử lý giao dịch, thì nghĩa vụ đảm bảo an toàn hệ thống là yếu tố cốt lõi. Đặc biệt, việc xuất hiện thiết bị lạ hoặc phiên đăng nhập bất thường ngay từ thời điểm mở tài khoản là điều vượt ngoài khả năng kiểm soát của người dùng.
Tuy vậy, phía ngân hàng lại đưa ra khả năng tài khoản đã bị lộ OTP, đồng thời cho rằng đối tượng xấu có thể đã chiếm quyền kiểm soát và thực hiện giao dịch. Đây cũng là kịch bản phổ biến trong nhiều vụ lừa đảo hiện nay, khi người dùng vô tình cung cấp thông tin bảo mật qua các hình thức giả mạo tinh vi.
Ngân hàng Nhà nước đã yêu cầu rà soát và xử lý vụ việc nhằm đảm bảo quyền lợi hợp pháp của khách hàng, đồng thời nhấn mạnh rằng nếu có dấu hiệu tội phạm công nghệ cao, vụ việc sẽ được chuyển sang xử lý hình sự. Hiện cơ quan công an đã vào cuộc điều tra, nhưng kết luận cuối cùng vẫn chưa được công bố.
Cảnh giác trước “bẫy” công nghệ cao
Dù nguyên nhân cụ thể của vụ việc vẫn đang được cơ quan chức năng làm rõ, nhưng không khó để thấy một thực tế là các hành vi gian lận tài chính trên môi trường số đang ngày càng phức tạp và khó nhận diện. Bên cạnh việc tấn công vào hệ thống, nhiều đối tượng còn sử dụng các phương thức trung gian như giả mạo, đánh cắp thông tin hoặc lợi dụng quy trình xác thực để thực hiện hành vi chiếm đoạt tài sản.
Các hình thức phổ biến hiện nay bao gồm giả danh tổ chức, cá nhân uy tín; tạo lập website, ứng dụng có giao diện tương tự kênh chính thức; hoặc đưa ra các lời mời gọi đầu tư với lợi nhuận bất thường. Những phương thức này thường được thiết kế tinh vi, khiến việc phân biệt thật, giả trở nên khó khăn hơn, kể cả với người dùng có kinh nghiệm.
Vụ việc nêu trên cho thấy yêu cầu cấp thiết trong việc tiếp tục hoàn thiện các cơ chế bảo mật, giám sát giao dịch cũng như tăng cường phối hợp giữa ngân hàng, cơ quan quản lý và cơ quan chức năng. Đồng thời, việc cung cấp thông tin minh bạch, cảnh báo kịp thời và nâng cao nhận thức chung về an toàn tài chính số cũng đóng vai trò quan trọng trong việc hạn chế rủi ro.
Trong bối cảnh chuyển đổi số diễn ra nhanh chóng, các thủ đoạn ngày càng tinh vi, việc chủ động bảo vệ tài khoản không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc để tránh những thiệt hại có thể xảy ra bất cứ lúc nào. Đồng thời cũng cần một hệ sinh thái bảo vệ đồng bộ, từ phía tổ chức cung cấp dịch vụ đến người sử dụng và các cơ quan liên quan.
