Khách hàng mất 5 tỷ đồng tại KienlongBank: Nghi vấn lỗ hổng bảo mật và trách nhiệm ngân hàng
Mất 5 tỷ đồng tại KienlongBank: Lỗ hổng bảo mật nghiêm trọng

Khách hàng mất 5 tỷ đồng tại KienlongBank: Nghi vấn lỗ hổng bảo mật và trách nhiệm ngân hàng

Ngày 12/12/2025, ông Nguyễn C.S. (cư trú tại Hà Nội) đã mở tài khoản ngân hàng trực tuyến thông qua quy trình eKYC tại KienlongBank. Sau khi hoàn tất thủ tục, ông nộp vào tài khoản số tiền 50 triệu đồng và xác nhận mọi hoạt động diễn ra bình thường. Đến tối cùng ngày, ông chuyển thêm 5 tỷ đồng vào tài khoản với mục đích gửi tiết kiệm. Tuy nhiên, vào lúc 1 giờ 19 phút rạng sáng ngày 13/12/2025, tài khoản của ông bất ngờ phát sinh 11 giao dịch chuyển tiền ra bên ngoài, với tổng số tiền lên đến 5 tỷ đồng. Các giao dịch này bao gồm 1 lần chuyển 100 triệu đồng và 10 lần chuyển 490 triệu đồng mỗi lần.

Nhiều dấu hiệu nghi vấn về bảo mật

Sau khi báo chí phản ánh vụ việc, ông Nguyễn C.S. đã cung cấp thêm thông tin chi tiết. Ông khẳng định rằng bản thân không nhận được bất kỳ tin nhắn OTP nào gửi về số điện thoại cá nhân khi các lệnh rút tiền được thực hiện. Dữ liệu từ nhà mạng Viettel xác nhận, tại thời điểm xảy ra sự việc, chỉ có duy nhất một tin nhắn SMS được gửi đến số điện thoại của ông vào lúc 01h19 ngày 13/12/2025. Trong khi đó, theo nguyên tắc bảo mật tiêu chuẩn, mỗi giao dịch chuyển tiền đều phải đi kèm một mã OTP riêng biệt. Với 11 giao dịch, lẽ ra phải có 11 mã OTP tương ứng được gửi đến.

Ông C.S. cho biết: "Không có OTP thì không thể thực hiện giao dịch. Nhưng ở đây, tiền vẫn bị rút gần như không cần OTP nào được gửi đến tôi". Ông cũng khẳng định không thực hiện bất kỳ bước xác thực sinh trắc học nào trong thời điểm các giao dịch diễn ra. Theo quy định hiện hành, các giao dịch có giá trị lớn bắt buộc phải xác thực bằng khuôn mặt hoặc vân tay của chính chủ tài khoản.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Để chứng minh, ông S. đã trích xuất dữ liệu từ camera an ninh tại thời điểm trên. Hình ảnh cho thấy ông không sử dụng điện thoại hay thực hiện bất kỳ giao dịch nào. Tuy nhiên, phía ngân hàng vẫn cho rằng các lệnh chuyển tiền đã được "xác thực sinh trắc học đầy đủ". Ông C.S. đặt vấn đề: "Không hiểu hệ thống lấy dữ liệu sinh trắc học của tôi ở đâu khi tôi không hề thực hiện xác thực", và nghi ngờ có thể tồn tại một thiết bị lạ hoặc một phiên đăng nhập "song sinh" được gắn vào tài khoản ngay từ thời điểm mở tài khoản trực tuyến.

Không thể đẩy toàn bộ trách nhiệm cho khách hàng

Trao đổi với phóng viên, luật sư Trương Thanh Đức - Trọng tài viên Trung tâm Trọng tài quốc tế Việt Nam - cho rằng có hai dấu hiệu "cốt tử" cho thấy trách nhiệm chính có thể thuộc về phía ngân hàng và hệ thống công nghệ:

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình
  1. Khả năng phát sinh thiết bị hoặc phiên đăng nhập "song sinh" ngay sau khi mở tài khoản. Theo ông, đây là hiện tượng mà người dùng thông thường không thể tự tạo ra, kể cả trong trường hợp bị lừa đảo. "Nếu việc kiểm soát thiết bị, nhận OTP hay đăng nhập bất thường xảy ra ngay từ đầu, nhiều khả năng vấn đề nằm ở hệ thống lõi hoặc quy trình công nghệ của ngân hàng", ông Đức nhận định.
  2. Vấn đề xác thực sinh trắc học. Theo quy định, đây là lớp bảo vệ quan trọng đối với các giao dịch lớn. Ông Đức nhấn mạnh: "Sinh trắc học phải do chính người dùng thực hiện, không thể bị thay thế bằng ảnh hay công nghệ giả lập. Nếu vượt qua được lớp này mà không có sự tham gia của chủ tài khoản, thì lỗi thuộc về hệ thống".

Từ hai yếu tố trên, luật sư Trương Thanh Đức cho rằng không thể quy toàn bộ trách nhiệm cho khách hàng. Trong khi ngân hàng nắm quyền kiểm soát toàn bộ quy trình từ mở tài khoản, xác thực đến xử lý giao dịch, người dùng gần như phụ thuộc hoàn toàn vào hệ thống. Đáng chú ý, ông Đức cảnh báo đây có thể không phải là rủi ro đơn lẻ mà là vấn đề mang tính hệ thống. Nếu không được làm rõ một cách minh bạch và kịp thời, nguy cơ suy giảm niềm tin của người gửi tiền là rất lớn, thậm chí có thể gây ra những phản ứng dây chuyền trên thị trường tài chính.

Về hướng xử lý, vị luật sư cho rằng ngân hàng cần chủ động xác minh và bồi thường đầy đủ nếu xác định có lỗi từ hệ thống, thay vì kéo dài quá trình hoặc đưa ra các phương án "hỗ trợ" mang tính thỏa hiệp. "An toàn là yếu tố cốt lõi của hoạt động ngân hàng. Khi niềm tin bị xói mòn, thiệt hại còn lớn hơn rất nhiều so với giá trị của một vụ việc cụ thể", ông Đức nhấn mạnh.

Quy định pháp lý về xác thực giao dịch

Theo Quyết định 2345 của Ngân hàng Nhà nước, từ ngày 1/7/2024, khách hàng khi thực hiện chuyển khoản trên kênh điện tử với giá trị từ 10 triệu đồng/lần hoặc tổng giao dịch trên 20 triệu đồng/ngày bắt buộc phải xác thực sinh trắc học trên ứng dụng ngân hàng. Việc xác thực được thực hiện thông qua đối chiếu dữ liệu khuôn mặt với căn cước công dân gắn chip hoặc thông qua hệ thống định danh điện tử như VNeID.

Thông tư 17 của Ngân hàng Nhà nước ngày 1/1/2025 quy định về yêu cầu xác thực được mở rộng. Theo đó, chủ tài khoản chỉ được thực hiện các giao dịch như rút tiền và thanh toán bằng phương tiện điện tử khi đã hoàn tất việc đối chiếu, xác minh giấy tờ tùy thân và thông tin sinh trắc học. Điều này đồng nghĩa, nếu chưa hoàn tất xác thực, khách hàng sẽ bị hạn chế hoặc không thể thực hiện một số giao dịch điện tử.