Tờ Strait Times [Singapore] hồi tháng 10 dẫn chứng, số lượng giao dịch thẻ và giao dịch điện tử phải tra soát do có gian lận tăng mạnh. Năm 2020, các giao dịch lừa đảo điện tử tăng đến 450%. Ngân hàng DBS cũng cảnh báo về quảng cáo độc hại trên Facebook, có hình ảnh một chi nhánh ngân hàng DBS và có liên kết dẫn đến một trang web độc hại, tự xưng là một chương trình đầu tư của DBS. "Trang web này được thiết kế để người dùng thực hiện chuyển khoản ngân hàng, hoặc giao dịch thẻ tín dụng gian lận", DBS cho biết. Business Insider dẫn kết quả nghiên cứu của Anh, cho thấy, tỷ lệ lừa đảo trực tuyến tăng vọt trong năm 2020. Lợi dụng việc người dân phải ở nhà chống dịch Covid-19, nhiều bên đã chạy các chương trình quảng cáo giả để lừa người dùng từ đó lấy cắp dữ liệu của người dùng thẻ/tài khoản...
Khách hàng thực hiện giao dịch điện tử. Ảnh: Shutterstock
Tại Việt Nam, gian lận giao dịch điện tử cũng có xu hướng tăng. Mới đây, các ngân hàng đồng loạt cảnh báo thủ đoạn mới đánh cắp mã OTP để thực hiện lấy dữ liệu rồi kết nối ví điện tử, từ đó thực hiện rút tiền qua các ví điện tử. Một số khách hàng của Techcombank đang yêu cầu thực hiện tra soát cho các giao dịch điện tử.
Chị Nguyễn Phương Minh, chủ thẻ visa debit [thẻ ghi nợ quốc tế] cho biết, ngày 6/10, nhận được một loạt tin nhắn thông báo trừ tiền từ ngân hàng, với tổng giá trị hơn 21 triệu đồng. Nội dung cho những phần giao dịch trừ tiền được báo về là "Giao dịch qua POS số thẻ xxx... tại ZaloPay..." hoặc "Giao dịch qua POS số thẻ xxx... tại SenPay...". Phương Minh cho biết chưa hề đăng ký hay sử dụng dịch vụ tại các ví điện tử này.
Khách hàng khác là chị Vũ Thu Hà, ngày 22/10, lên Facebook chia sẻ việc tài khoản bất ngờ bị trừ 10 triệu đồng cho giao dịch qua ZaloPay. Chị Hà cho biết đã liên hệ với cả hotline và chi nhánh Techcombank để khóa thẻ và thực hiện tra soát. Tuy nhiên, phía Techcombank cho biết, theo dữ liệu tra soát, ngân hàng không ghi nhận bất cứ giao dịch nào của chị Hà bị trừ tiền với nội dung như trên, đồng thời cũng không ghi nhận bất cứ cuộc gọi nào của chị đến hotline và chi nhánh. Khi Techcombank liên hệ cùng khách hàng, chị Hà thông tin rằng đó là giao dịch của một người khác, không phải của chị.
Phản hồi về vụ việc, ngân hàng Techcombank khẳng định: "Bảo đảm an ninh thông tin và bảo mật hệ thống, đồng thời bảo vệ quyền lợi hợp pháp của khách hàng là tôn chỉ hoạt động của Techcombank. Chúng tôi khẳng định không có tình trạng hack giao dịch như các thông tin thiếu xác thực trên mạng".
Đối với các yêu cầu tra soát như từ khách hàng Phương Minh, Techcombank cho biết sẽ phối hợp cùng tổ chức thẻ quốc tế để rà soát và xác thực thông tin. Ngay khi kết quả rà soát cho thấy khách hàng không thực hiện giao dịch, ngân hàng sẽ làm việc với các tổ chức liên quan để hoàn trả khoản giao dịch, nhằm bảo vệ quyền lợi chính đáng của khách hàng.
"Techcombank luôn cố gắng đẩy nhanh tiến trình rà soát để có thể phản hồi đến khách hàng trong thời gian ngắn nhất, dù thời gian tra soát tối đa theo quy định từ tổ chức thẻ quốc tế Visa là 45 ngày", đại diện ngân hàng này khẳng định.
Cũng theo Techcombank, đối với các thông tin cố ý chia sẻ trên mạng xã hội, nhằm gây tổn hại đến niềm tin của khách hàng với thương hiệu, phía ngân hàng sẽ chủ động phối hợp và cung cấp dữ liệu đến các cơ quan chức năng có thẩm quyền để làm rõ trách nhiệm pháp lý của các đối tượng này.
Theo các chuyên gia, để hạn chế các tra soát khiếu nại hay rủi ro từ thanh toán Internet, khách hàng lưu ý không để lộ thông tin số thẻ, ngày đến hạn và số CVV [thường ở mặt sau] của thẻ tín dụng. Nếu nghi ngờ lộ cần liên hệ ngân hàng để đóng thẻ và phát hành thẻ mới. Khách hàng cũng không tự nhập các thông tin này theo các đường link lạ được gửi đến email/số điện thoại/zalo/facebook... để tránh bị kẻ gian lợi dụng tiêu dùng qua thẻ.
Ngoài ra, khách hàng không nên nhập và lưu thông tin về thẻ khi đăng ký các gói sản phẩm, dịch vụ mang tính chu kỳ như mua dịch vụ. Một số khách hàng không nhớ về các giao dịch đã đăng ký từ lâu có thể sẽ quá lo lắng và cho rằng thẻ bị hack. Với những trường hợp này, ngay khi nhận được yêu cầu từ khách hàng, ngân hàng sẽ thực hiện tra soát cùng tổ chức thẻ quốc tế để xác thực giao dịch và phản hồi đến khách hàng.
An Nhiên
[KTSG] – Giao dịch điện tử là một phần của sự phát triển công nghệ. Khi mà giới hạn của thế giới số không còn giới hạn thì bài toán thích ứng nhanh trở thành thách thức không nhỏ. Sửa đổi Luật Giao dịch điện tử cần có tầm nhìn về một môi trường giao tiếp số thực sự.
Thông điệp dữ liệu, định danh và chữ ký điện tử, ba nền tảng cơ bản
Khái niệm “thông điệp dữ liệu” trong Luật Giao dịch điện tử là khái niệm “lai” giữa một bên là thông điệp ngôn ngữ và một bên là dữ liệu điện tử. Khái niệm này mang hàm ý chuyển tải và biến đổi giữa ngôn ngữ truyền thống sang ngôn ngữ công nghệ thông tin. Nhưng người dùng không ai biết và cũng không quan tâm chúng được tạo ra và truyền đi như thế nào về mặt kỹ thuật. Họ chỉ biết với ngôn ngữ, thông điệp ban đầu, bao hàm ý định đầy đủ của họ về giao dịch mục tiêu cho đến khi người nhận tiếp nhận đúng điều đó, cho nên Luật Giao dịch điện tử 2005 xem sự toàn vẹn của thông điệp dữ liệu[1] là một trong những nhân tố cơ bản, nếu không muốn nói là nhân tố quan trọng nhất, để xem xét giá trị pháp lý của thông điệp dữ liệu.
Ngoài thông điệp dữ liệu thì một thuật ngữ mới xuất hiện trong đề xuất dự thảo sửa đổi Luật Giao dịch điện tử là “thông điệp dữ liệu an toàn”. Thuật ngữ này được hiểu là một thông điệp dữ liệu không hoặc không còn an toàn cho tới khi nó được tạo ra tuân thủ đúng với một quy trình pháp lý và thuật toán máy tính chuyên ngành. Các điều kiện pháp lý cho phép nó an toàn mà không thể xét đến sự an toàn tuyệt đối trong tất cả thời điểm. Nghĩa là thông điệp dữ liệu nào cũng chỉ “được cho” là an toàn có giới hạn theo bối cảnh công nghệ. Và mục đích cuối cùng của quy định này là hướng đến loại trừ các dạng thông điệp dữ liệu được tạo ra từ nhiều nguồn khi không thể kiểm soát được chúng.
Thứ nhất, trước đây khi chưa có sự bùng nổ của công nghệ thông tin, nhất là sự ra đời của mạng xã hội, các nền tảng giao dịch trực tuyến, thì một trong những phương thức giao dịch thương mại được yêu thích là sử dụng các phương tiện điện tử phổ biến để tạo, truyền và truy xuất thông điệp dữ liệu như e-mail, fax, tin nhắn. Đây là được xem là giao dịch điện tử, nhưng không có cơ sở định danh pháp lý và không có yếu tố “ký” số. Các bên tạo dữ liệu thủ công và truyền dữ liệu thông qua các phương tiện điện tử. Phương thức này thuận tiện nhưng ít an toàn trong việc tạo lập, dễ mạo danh và khó chứng minh được sự thay đổi của dữ liệu do vấn đề tiếp cận hệ thống quản lý và lưu trữ từ nhà cung cấp dịch vụ đến máy chủ.
Thứ hai, hiện nay nhu cầu giao dịch qua sàn hay trang web thương mại điện tử trở nên phổ biến. Với chức năng giao dịch tự động, người dùng tự do đăng ký, khởi tạo định danh giao dịch trên trang web, ứng dụng [app] rồi đăng nhập và sử dụng, nhưng điều gì xảy ra khi một người dùng định danh của người khác tạo “giùm” tài khoản rồi giao dịch. Ngược lại, các shop bán hàng trên sàn cũng thường chỉ gắn họ với một cái tên thương mại nào đó nhằm thuận tiện cho việc tương tác, thu hút khách hàng.
Không phân quyền là xu hướng mà ở đó các trang web, app bán hàng được phép tạo ra hệ thống định danh riêng để phục vụ cho việc quản lý, bảo vệ luồng thông tin giao dịch, thực thi chính sách bảo mật, song những đòi hỏi của bên mua để nhận biết chủ thể làm việc, chủ thể quản lý nào đối với giao dịch của họ thiết nghĩ là nhu cầu chính đáng. Trăm nghe không bằng một thấy. Duy trì, củng cố lòng tin giữa các bên như thế nào đây nếu như hai bên không biết nhau.
Thứ ba, giao dịch thông qua phần mềm, hệ thống kỹ thuật số của bên thứ ba tin cậy, chẳng hạn như các dịch vụ hợp đồng điện tử tự động hóa quy trình ký kết hợp đồng. Hiểu một cách tổng thể, đây là hình thức giao dịch điện tử toàn diện và an toàn từ khởi tạo thông điệp, ký, chứng thực, truyền và truy xuất dữ liệu của các bên trên cùng hệ thống quản lý tập trung đều cho phép thực hiện.
Song song với định danh, vấn đề “chữ ký điện tử an toàn” [xác thực điện tử] cũng là một phần không thể thiếu của định danh.
Theo quy định về định danh điện tử và dịch vụ tin cậy cho giao dịch điện tử trong Liên minh châu Âu [eIDAs][2] thì mức độ an toàn của chữ ký điện tử [bao gồm chữ ký số, sinh trắc học,…] có ba cấp độ:
Cấp độ đơn giản là dùng chữ ký thực tế và các định dạng sinh trắc học để quét lên văn bản ký. Cấp độ này dễ thực hiện nhất nhưng mức độ an toàn tùy thuộc vào hành vi chống giả mạo[3], làm thay đổi thông điệp dữ liệu.
Cấp độ cao cấp là cấp độ định danh đúng người ký vào một thời điểm và có thể phát hiện sự thay đổi [làm giả] của thông điệp dữ liệu.
Cấp độ đảm bảo. Ở cấp độ này, chữ ký điện tử được xem là hình thức chữ ký số, có chứng thực của tổ chức đủ điều kiện chứng thực [giống chữ ký số sử dụng thông qua USB token hiện nay].
Mỗi cấp độ như vậy sẽ được đưa vào quy định về quy trình tạo chữ ký số với các mức độ an toàn và giá trị pháp lý khác nhau của chúng được cảnh báo khi thực hiện. Khách hàng lựa chọn và chịu trách nhiệm về sự lựa chọn phương thức ký của mình.
Hợp đồng điện tử – nhiều vấn đề cần dự liệu
Hợp đồng điện tử [hợp đồng đặt hàng trực tuyến] cũng dựa trên kết cấu của hợp đồng truyền thống. Tuy nhiên về mặt giao thức thực hiện, nó khó nhận biết hơn. Cơ bản là vì đề nghị giao dịch, chấp thuận đề nghị giao dịch giữa các bên đều được thực hiện trực tuyến. Nhiều khách hàng [người mua] không biết rằng khi họ bấm chọn chức năng đặt hàng, khách hàng đã gửi một thông điệp đề nghị giao kết hợp đồng. Nếu shop bán hàng phản hồi xác nhận số hiệu đơn hàng và bắt đầu một quy trình thực hiện chính thức của đơn hàng thì hợp đồng điện tử coi như được hình thành. Kéo theo đó là sự xuất hiện của hàng loạt chứng cứ điện tử được lưu giữ trên hệ thống.
Theo luật hiện nay, thông điệp dữ liệu là một dạng văn bản có điều kiện từ tính toàn vẹn đến khả năng truy suất nguồn gốc hay thông điệp dữ liệu có thể kết xuất trực tiếp thành bản cứng và sử dụng. Tuy nhiên, đâu là tiêu chuẩn lưu trữ an toàn và quy định cho phép truy xuất hiệu quả thông điệp dữ liệu là điều còn mới mẻ, chưa trở thành thông lệ tại Việt Nam.
Trên sàn, hiện tượng hủy đơn hàng khá phổ biến, giao dịch nhỏ về giá trị, khả năng phát sinh tranh chấp không cao, thiếu trải nghiệm tính hợp đồng, dẫn đến trách nhiệm mua bán qua loa, không quan tâm đến tâm lý, cảm xúc lẫn nhau của các bên. Theo luật, vấn đề hủy giao dịch của bên bán phức tạp hơn sau khi hợp đồng đã hình thành, trong khi bên mua được quyền hủy đơn hàng thông qua chức năng hủy trực tuyến [giống như đơn phương chấm dứt hợp đồng trên hợp đồng truyền thống]. Tuy không được “ưu ái” như bên mua, nhưng thực tế bên bán vẫn có những cách để ngăn được hành vi hủy đơn của bên mua.
Chẳng hạn, sau khi đặt hàng, bên bán đánh dấu chọn ngay vào mục “hàng đã đóng gói” trên app [trong khi hàng có thực sự được đóng gói hay chưa thì chỉ người bán mới biết] nhằm ngăn hành vi đổi ý, trả hàng của bên mua, và hệ thống tự động sẽ không cho phép bên mua thao tác trả hàng được nữa.
Vấn đề đặt ra là, nếu ưu ái cho những “bên bán thụ động” kiểu như trên thì về lâu dài có cần thiết luật hóa những hành vi lách luật này hay không. Định dạng loại bỏ hành vi hay tái cân bằng quyền lợi giữa các bên, nghĩa là, nếu bên nào đã được lợi [như trường hợp hủy hàng của bên mua] và không có sự lựa chọn khác đi thì đổi lại bên kia được quyền sử dụng những “vũ khí” đối ứng trong thực thi hợp đồng theo nguyên tắc “có đi có lại”, xem như một hình thức phạt “ngoài hợp đồng” tương xứng. Ví dụ, ai hủy đơn hàng nhiều sẽ không còn được sử dụng phương thức trả tiền mặt khi nhận hàng. Luật khó đi sâu nhưng văn bản hướng dẫn không thể bỏ qua bộ quy tắc giao tiếp cơ bản này giữa các bên.
Đây chỉ là một ví dụ, một chế tài nhỏ nhưng hơn hết đó quyền lợi của người tiêu dùng được đối xử như thế nào. Không cơ chế điều chỉnh, mỗi sàn làm theo cách riêng sẽ dễ dẫn đến sự tùy tiện.
Một phương thức giao dịch điện tử, dù an toàn đến đâu đi chăng nữa cũng đều có thể bị xâm nhập bởi yếu tố công nghệ. Khi xảy ra, nó hoàn toàn có thể tạo ra một dạng sự kiện pháp lý kiểu như bất khả kháng, hoàn cảnh thay đổi [hardship] hoặc làm cho giao dịch bị vô hiệu. Do vậy giữa con người phục vụ, làm ra công nghệ và công nghệ phục vụ cho con người, ai, cái gì được xem là nhân tố tạo ra sự kiện pháp lý hay vô hiệu đó. Liệu con người và công nghệ, nhất là đối với các chủ thể đặc biệt như trí tuệ nhân tạo [AI], các đối tượng thuộc vòng tuần hoàn công nghệ với AI [con người làm ra AI, AI làm ra máy móc, máy móc phục vụ con người] sẽ đóng vai trò gì, có năng lực liên đới chịu trách nhiệm trong trường hợp này hay không là một trong những tiếp cận mới, khả thi nên được đặt ra để xem xét, làm rõ trong dự thảo Luật Giao dịch điện tử hiện nay.
[*] Công ty luật Contracts-vn
[1] Khoản 2, điều 14, Luật Giao dịch điện tử
[2] //vibonline.com.vn/du_thao/du-thao-de-nghi-xay-dung-luat-giao-dich-dien-tu-sua-doi
[3] Ví dụ, giả chữ ký rồi scan lên tài liệu