Trách nhiệm của các bên trong việc phòng chống gian lận giao dịch ngân hàng điện tử
Hoạt động giao dịch ngân hàng điện tử ngoài 2 đối tượng chính là ngân hàng (đơn vị cung cấp dịch vụ ngân hàng điện tử) và khách hàng (người sử dụng dịch vụ), việc đảm bảo an toàn cho các giao dịch ngân hàng điện tử phụ thuộc vào rất nhiều bên: các nhà cung cấp dịch vụ kết nối Internet, các công ty cung cấp thiết bị (bộ định tuyến, bộ phát wifi, máy tính/điện thoại thông minh, token bảo mật), các công ty cung cấp hệ điều hành và phần mềm,… Vì vậy việc xác minh, quy trách nhiệm để xảy ra giao dịch gian lận cho những bên thứ ba là rất phức tạp, chúng ta chỉ có thể xem xét trách nhiệm của ngân hàng và khách hàng.
Trách nhiệm ngăn ngừa gian lận của mỗi bên trong các giao dịch ngân hàng điện tử phụ thuộc phần lớn vào các điều khoản của thỏa thuận sử dụng dịch vụ - thứ mà ngân hàng nắm quyền kiểm soát và có thể tự điều chỉnh theo ý muốn của mình. Để giảm thiểu gian lận, thúc đẩy sự phát triển của các dịch vụ ngân hàng điện tử, cần tìm biện pháp cân bằng quyền lợi và trách nhiệm giữa ngân hàng và khách hàng. Chúng ta hãy cùng tìm hiểu xem các nước trên thế giới thực hiện điều đó như thế nào?
Nước Anh
Ở Anh, bộ Quy tắc kinh doanh ngân hàng (Banking Conduct of Business Rules) do Financial Conduct Authority ban hành và Quy định về Các điều khoản không công bằng trong hợp đồng với người tiêu dùng (Unfair Terms in Consumer Contracts Regulations) đều buộc các ngân hàng phải có trách nhiệm đảm bảo công bằng cho khách hàng của mình. Các điều khoản được coi là không công bằng, nếu chúng trái với nguyên tắc thành tín, tạo ra sự mất cân bằng đáng kể trong các quyền và nghĩa vụ của các bên đối với những thiệt hại của khách hàng.
Một ngân hàng không thể giảm bớt trách nhiệm của mình trong việc bảo vệ khách hàng bằng cách điều chỉnh các quy định để gây bất lợi cho khách. Thông luật (Common law) ủng hộ cách tiếp cận này bằng cách nhắc lại rằng, cả ngân hàng và khách hàng phải có trách nhiệm ngăn chặn các giao dịch gian lận. Nghĩa vụ tuân thủ các lệnh thanh toán từ khách hàng có thể mâu thuẫn với nghĩa vụ thực hiện các biện pháp bảo vệ khách hàng khỏi gian lận. Xung đột có thể xảy ra khi ngân hàng nhận được lệnh thanh toán phát sinh từ các hoạt động gian lận. Nếu cả ngân hàng chuyển tiền và ngân hàng nhận tiền đều kiểm tra kỹ các chi tiết của lệnh chuyển tiền theo đúng thông lệ, thì rất nhiều vụ gian lận đã được phát hiện kịp thời.
Để không phải chịu trách nhiệm với các giao dịch gian lận, ngân hàng cần tuân thủ các thông lệ thực hành tiêu chuẩn trong ngành. Hơn thế nữa, nếu các quy trình nội bộ của một ngân hàng được thiết lập khắt khe hơn các thông lệ thực hành tiêu chuẩn trong ngành thì họ cũng phải tuân thủ đầy đủ các quy trình đó. Nếu một ngân hàng không tuân thủ các quy trình nội bộ của mình và các thông lệ thực hành tiêu chuẩn trong ngành ngân hàng thì khi có giao dịch gian lận xảy ra, họ không thể được miễn trừ trách nhiệm, bất kể mọi điều khoản, điều kiện sử dụng dịch vụ mà họ đặt ra với khách hàng.
Liên Minh Châu Âu
Để tạo điều kiện thuận lợi cho việc xác định trách nhiệm của các bên với những giao dịch thanh toán không được phê duyệt, Cộng đồng châu Âu đã đưa ra quy định về các dịch vụ thanh toán năm 2009 và Thanh tra độc lập về các dịch vụ tài chính (Financial Services Ombudsman) sẽ phân xử các tranh chấp theo quy định này.
Nếu một người dùng sử dụng dịch vụ thanh toán (khách hàng) nhận biết về một giao dịch không được phê duyệt trong vòng 13 tháng, kể từ ngày nó xảy ra và kịp thời thông báo cho nhà cung cấp dịch vụ (ngân hàng), ngân hàng phải hoàn tiền cho khách hàng. Ngân hàng sẽ không phải hoàn tiền nếu họ chứng minh được khách hàng đã phê duyệt việc thực hiện giao dịch, tuy nhiên ngân hàng không thể chứng minh điều đó bằng cách chỉ dựa vào việc giao dịch đã được xác thực (chẳng hạn như PIN đã được nhập đúng).
Tuy nhiên, khách hàng sẽ phải chịu trách nhiệm cho 75 euro đầu tiên, nếu giao dịch không được phê duyệt xảy ra do mất thẻ hay khách hàng không bảo đảm bí mật của mã bảo mật đi kèm (PIN /mật khẩu). Khách hàng sẽ phải chịu trách nhiệm cho toàn bộ tổn thất nếu họ gian lận hay cố tình/bất cẩn nghiêm trọng, không:
- Sử dụng các phương tiện thanh toán theo đúng các điều kiện và điều khoản sử dụng;
- Đảm bảo an toàn tính năng bảo mật của phương tiện thanh toán;
- Thông báo kịp thời cho ngân hàng về việc mất cắp, thất lạc hay sử dụng trái phép phương tiện thanh toán.
Hạn chế lớn nhất là khái niệm bất cẩn nghiêm trọng (gross negligence) có thể dẫn đến khá nhiều tranh cãi. Làm thế nào để phân biệt hành vi bất cẩn thông thường và bất cẩn nghiêm trọng?
Nếu các nhà lập pháp châu Âu buộc khách hàng phải có trách nhiệm chứng minh sự cẩn trọng của mình, thì quy định về giới hạn trách nhiệm đối với các giao dịch gian lận chỉ tồn tại trên lý thuyết, một khách hàng không bao giờ có thể chứng minh anh ta không “bất cẩn nghiêm trọng”. Ngược lại, các ngân hàng cũng rất khó để chứng minh khách hàng đã bất cẩn nghiêm trọng. Kết quả là tòa án buộc phải đứng ra phân định trường hợp nào được coi là bất cẩn nghiêm trọng. Tuy nhiên, ít nhất điều đó cũng giúp khách hàng tránh được sự ép buộc từ một phía của ngân hàng.
Chẳng hạn như toà phúc thẩm ở Brussels đã phán quyết rằng, một chủ thẻ không bị coi là bất cẩn nghiêm trọng nếu phát hiện ra mình bị mất thẻ trong vòng một tháng (Brussel 27.05.2002, NjW 2003, 311, T.B.H. 2004, 158). Ở một vụ kiện khác, toà án này nhận định rằng, trong trường hợp một người đánh rơi ví và tìm lại được, anh ta không cần phải kiểm tra ngay xem thẻ (ngân hàng) của mình có còn trong ví hay không (Brussels 04.10.2005, Bank Fin.R. 2006, 148).
Tại Mỹ
Người Mỹ cho rằng, các vụ gian lận không chỉ làm tăng chi phí của các giao dịch thanh toán mà còn dẫn đến các thiệt hại cho toàn xã hội, vì khiến toà án phải bỏ công xét xử những tranh chấp phát sinh từ những vụ gian lận. Việc buộc khách hàng gánh chịu tổn thất của các giao dịch không được phê duyệt có thể coi là một thất bại của hệ thống thanh toán. Việc đẩy trách nhiệm cho khách hàng sẽ dẫn đến nhiều hậu quả tiêu cực hơn so với những lợi ích mà họ thu được.
Nếu khách hàng cảm thấy an tâm khi thực hiện các giao dịch, thì sẽ sử dụng kênh giao dịch ngân hàng điện tử thường xuyên hơn, giúp thúc đẩy sự phát triển kinh tế. Việc giảm bớt số vụ xử kiện cũng giúp tiết kiệm chi phí và thời gian xét xử. Nếu gỡ bỏ gánh nặng của các giao dịch gian lận cho khách hàng, cả xã hội và nền kinh tế đều được hưởng lợi.
Chính vì thế, cả đạo luật Electronic Funds Transfer Act (EFTA) năm 1978 và Truth in Lending Act (TILA) năm 1968 đều đi theo cách tiếp cận khác châu Âu khi xử lý các giao dịch gian lận. EFTA được triển khai qua Regulation E, áp dụng với mọi giao dịch chuyển tiền điện tử, tức là mọi giao dịch chuyển tiền được khởi tạo từ thiết bị đầu cuối điện tử, thiết bị điện thoại, máy tính hay thẻ từ để ra lệnh hay phê duyệt để tổ chức tài chính ghi nợ hay ghi có tài khoản của người tiêu dùng cá nhân.
Nếu việc mất cắp hay thất lạc thiết bị truy cập được báo cáo trong vòng 2 ngày làm việc kể từ khi phát hiện, chủ tài khoản chỉ phải chịu trách nhiệm tối đa là 50 USD (hay giá trị thiệt hại, nếu giá trị đó nhỏ hơn 50 USD). Nếu chủ tài khoản không thể thông báo cho tổ chức tài chính trong vòng 2 ngày làm việc, thì cũng chỉ phải chịu trách nhiệm tối đa là 500 USD. Chủ tài khoản phải chịu trách nhiệm với mọi giao dịch nếu không báo cáo trong vòng 60 ngày kể từ khi nhận sao kê định kỳ - trong đó ghi nhận giao dịch không được phê duyệt. Các tổ chức tài chính có thể đặt ra mức trách nhiệm thấp hơn luật định cho chủ tài khoản. Thời hạn báo cáo có thể được kéo dài trong một số trường hợp như khi chủ tài khoản đi nghỉ dài ngày hay nằm viện. Trên thực tế, hiện nay các ngân hàng Mỹ đều áp dụng những điều khoản có lợi hơn cho khách hàng (đến mức một số người cho rằng quy định của đạo luật EFTA là không cần thiết).
Một số nước khác
Tương tự như các ngân hàng Mỹ, hầu hết các ngân hàng lớn ở Canađa đảm bảo hoàn tiền 100% cho những thiệt hại do gian lận giao dịch trực tuyến.
Cách tiếp cận của Mỹ cũng được Ngân hàng Dự trữ Ấn Độ (Reserve Bank of India) và Uỷ ban Khoa học và Công nghệ Anh (House of Lords Science and Technology Committee) học tập. Tháng 8/2016, Ngân hàng Dự trữ Ấn Độ giới thiệu chính sách 'không phải chịu trách nhiệm' (zero liability) cho khách hàng trong các vụ gian lận của bên thứ ba nếu họ báo cáo trong vòng 3 ngày. Nếu thông báo cho ngân hàng về gian lận trong khoảng từ 4 đến 7 ngày, nạn nhân chỉ phải chịu thiệt hại tối đa 5.000 rupi. Và nếu một nhân viên ngân hàng gây ra vụ gian lận, thì khách hàng sẽ được lấy lại tiền của mình, dù họ không báo cáo đúng hạn. Các ngân hàng phải giải quyết tất cả các khiếu nại trong vòng 90 ngày kể từ khi nhận được báo cáo và phải đảm bảo khách hàng không phải chịu lãi hay phí chậm trả cho thẻ tín dụng.
Cuối cùng, để giảm bớt gánh nặng cho khách hàng, các ngân hàng hoàn toàn có thể sử dụng dịch vụ bảo hiểm với giao dịch ngân hàng điện tử. Không chỉ có các ngân hàng nước ngoài, một số ngân hàng Việt Nam đã triển khai bảo hiểm cho khách, với các mức độ khác nhau.
Nguyễn Anh Tuấn
(tổng hợp)