Khách hàng mất 5 tỉ đồng tại KienlongBank: 11 giao dịch trong 14 phút

Vụ việc kéo dài 6 tháng và đã được cơ quan công an khởi tố vụ án hình sự, nhưng theo khách hàng, câu hỏi cốt lõi vẫn chưa được ngân hàng trả lời: 11 giao dịch chuyển tiền chỉ trong 14 phút, với tổng giá trị 5 tỉ đồng, đã được xác thực bằng sinh trắc học động như thế nào?

Theo đơn gửi đến KienLongBank, ông N.C.S, khách hàng bị mất 5 tỉ đồng, cho biết ngày 2/2/2026, Phòng PA05 – Công an TP Hà Nội đã ra quyết định khởi tố vụ án hình sự. Đến ngày 27/3/2026, Cơ quan Cảnh sát điều tra đã trao trả cho khách hàng 2,45 tỉ đồng là tang vật thu hồi từ chuỗi giao dịch trái phép trên tài khoản. Hiện vẫn còn hơn 2,5 tỉ đồng chưa được xử lý.

11 giao dịch bất thường, khách không nhận được tin nhắn, email và dữ liệu sinh trắc học động

Về vụ việc này, phóng viên Một Thế Giới đã liên hệ với đại diện Ngân hàng TMCP Kiên Long. Phía KienlongBank cho biết “không phản ánh để chờ có thông tin khách quan từ phía Công an”.

Trong công văn trả lời ông N.C.S, KienlongBank cũng cho biết, căn cứ quy định pháp luật về an toàn, bảo mật cung cấp dịch vụ trực tuyến trong ngành ngân hàng (Thông tư số 50/2024/TT-NHNN ngày 31/10/2024); Quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán (Thông tư 17/2024/TT-NHNN ngày 28/6/2024 và các văn bản sửa đổi, bổ sung); Quy định về xử lý khiếu nại tố cáo; Quy định nội bộ của KienlongBank (về bảo đảm an toàn trong sử dụng dịch vụ e-Banking; Điều kiện, điều khoản mở và sử dụng tài khoản thanh toán KienlongBank), KienlongBank đã có các văn bản (số 4116/NHKL ngày 26/12/2025, số 45/NHKL ngày 07/01/2026, số 235/NHKL ngày 19/01/2026) phúc đáp đơn đề nghị của ông N.C.S và kèm các hồ sơ chứng từ, bằng chứng sử dụng tài khoản gồm: Dữ liệu sinh trắc học của ông N.C.S; Bảng liệt kê thiết bị đăng ký; Bảng liệt kê đăng nhập bằng điện thoại đang đăng ký (IP đăng nhập); Danh sách liệt kê giao dịch gửi SMS OTP theo đúng quy định pháp luật và quy định nội bộ của KienlongBank.

Theo đó, tại Công số 235/NHKL ngày 19/01/2025 (CV số 235) của KienlongBank gửi đến ông N.C.S, có nội dung KienlongBank thông tin về việc chưa có cơ sở khẳng định các giao dịch phát sinh xuất phát từ lỗi của KienlongBank như phản ánh của ông N.C.S và cần phối hợp làm rõ với khách hàng về yếu tố xác định nguyên nhân tội phạm công nghệ tiếp cận. Việc kẻ gian (nếu có) có được mã OTP để đăng nhập vào thiết bị khác của khách hàng nằm ngoài ý chí của KienlongBank.

Đại diện Ngân hàng Nhà nước cũng chưa có ý kiến vì đang chờ kết luận từ cơ quan công an.

Điểm mấu chốt trong khiếu nại của khách hàng nằm ở chuỗi giao dịch diễn ra rạng sáng 13/12/2025. Theo Công văn 235 của KienLongBank ngày 19/1/2026 phúc đáp khách hàng, từ 1h19’23” đến 1h33’05”, tài khoản của khách hàng đăng nhập và giao dịch trên thiết bị thứ hai. Sau đó, hệ thống ghi nhận tổng cộng 11 giao dịch với tổng số tiền 5 tỉ đồng. KienlongBank cho biết hệ thống đã kiểm tra hình ảnh sinh trắc học cũng như xác thực eToken trước khi thực hiện giao dịch.

Tuy nhiên, khách hàng cho rằng ngân hàng chưa cung cấp được dữ liệu sinh trắc học động tại thời điểm phát sinh 11 giao dịch này. Điều đáng nói, chủ tài khoản cho rằng hình ảnh của mình tại thời điểm tiền bị rút khác hoàn toàn dữ liệu sinh trắc học mà KienLongBank cung cấp.

“Sinh trắc học tại thời điểm rút tiền có camera an ninh ghi lại lúc 1h19 ở cơ quan, tôi đang ở thang máy, tay xách cặp, tay cầm ví và không thực hiện bất cứ hành động giao dịch nào. Trang phục thì khác so với dữ liệu sinh trắc học mà KienLongBank cung cấp”, ông N.C.S khẳng định.

Theo ông N.C.S, các tài liệu do KienlongBank cung cấp chỉ gồm 4 ảnh tĩnh, trong đó 3 ảnh thuộc thời điểm mở tài khoản eKYC và 1 ảnh chụp trong ô tô. Ông cho rằng đây “hoàn toàn không phải dữ liệu Sinh trắc học động (Liveness Check) phản ánh sự hiện diện thực tế của chủ tài khoản tại thời điểm phát sinh giao dịch”.

Từ đó, khách hàng đặt câu hỏi: nếu chuyển khoản trên 10 triệu đồng/lần phải xác thực khuôn mặt theo quy định, và nếu tổng giao dịch trong ngày vượt 20 triệu đồng thì giao dịch tiếp theo cũng phải xác thực khuôn mặt, vì sao 11 giao dịch với tổng giá trị 5 tỉ đồng vẫn thành công trong khi ngân hàng chưa cung cấp được dữ liệu sinh trắc học động tương ứng từng giao dịch?

Trả lời báo chí về việc triển khai Quyết định 2345 của Ngân hàng Nhà nước về việc xác thực khuôn mặt với giao dịch trên 10 triệu đồng/lần, ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán (Ngân hàng Nhà nước), từng cho biết việc bắt buộc xác thực khuôn mặt khi chuyển tiền nhằm ngăn chặn lừa đảo trực tuyến, bảo vệ tài sản của khách hàng trước các thủ đoạn chiếm đoạt tinh vi (như cài mã độc, chiếm quyền điều khiển điện thoại). “Xác minh người thực hiện giao dịch là chủ tài khoản bằng khuôn mặt thật (sinh trắc học) chứ không phải hình ảnh giả mạo hay thiết bị bị nhiễm mã độc”, ông Tuấn nhấn mạnh. Việc xác thực này nhằm chặn đứng lệnh chuyển tiền lừa đảo, kẻ gian không thể chuyển khoản số tiền lớn sang tài khoản khác nếu không có khuôn mặt của chính chủ, qua đó triệt tiêu tình trạng "bỗng dưng mất sạch tiền" trong tài khoản.

KienLongBank không đối chất với khách hàng về dữ liệu sinh trắc học

Một chi tiết khác được ông N.C.S cho là đặc biệt quan trọng là thời điểm cảnh báo gian lận. Theo tài liệu, lúc khoảng 01h34 ngày 13/12/2025, chỉ khoảng một phút sau khi chuỗi giao dịch kết thúc, ông gọi tới Hotline 24/7 của KienlongBank, phản ánh không thực hiện giao dịch nhưng tài khoản vẫn bị trừ tiền liên quan đến 11 giao dịch. Tổng đài viên tiếp nhận yêu cầu tra soát, báo bộ phận liên quan và hỗ trợ khóa ứng dụng vào lúc 1h46.

Ông cho rằng từ thời điểm 01h34, ngân hàng đã không còn ở trạng thái “chưa biết sự việc”, bởi đã nhận được cảnh báo trực tiếp từ chính chủ tài khoản về một sự cố có dấu hiệu gian lận.

“Khách hàng đã thông báo gian lận chỉ khoảng một phút sau khi chuỗi giao dịch kết thúc. Tuy nhiên, đến nay KLB chưa công bố tài liệu nào thể hiện các biện pháp ứng phó khẩn cấp đã được thực hiện ngay sau khi tiếp nhận cảnh báo từ khách hàng”, văn bản từ phía ông N.C.S nêu.

Vị khách hàng đặt ra các câu hỏi cần được làm rõ: KienlongBank đã thực hiện biện pháp khẩn cấp nào ngay sau khi tiếp nhận cảnh báo? Có kích hoạt quy trình xử lý gian lận hay không? Có biện pháp bảo toàn dòng tiền hay không? Có cảnh báo tới các đơn vị liên quan hay không? Nhật ký xử lý sự cố trong giai đoạn ngay sau cuộc gọi đang ở đâu?

Trong văn bản gửi KienlongBank, ông N.C.S nêu: “Với tư cách là chủ tài khoản và là người bị thiệt hại trực tiếp trong vụ việc, tôi có quyền yêu cầu KienlongBank giải trình đầy đủ các giao dịch phát sinh trên tài khoản của mình, đồng thời làm rõ dữ liệu xác thực và căn cứ kỹ thuật mà hệ thống đã sử dụng để phê duyệt từng giao dịch đang tranh chấp”.

Ông S. cho biết, ngay từ ngày 31/12/2025, ông đã có văn bản chính thức yêu cầu KienlongBank cung cấp dữ liệu sinh trắc học động, tức sinh trắc học sống, liên quan đến các giao dịch tranh chấp. Ngày 8/1/2026, ông tiếp tục yêu cầu ngân hàng cung cấp dữ liệu xác thực giao dịch, bao gồm dữ liệu OTP, dữ liệu sinh trắc học động và các dữ liệu kỹ thuật liên quan. Các văn bản này, theo khách hàng, đều đã được KienlongBank tiếp nhận và xác nhận bằng văn bản.

“Tuy nhiên, đến nay KienlongBank vẫn chưa cung cấp được dữ liệu xác thực sinh trắc học động của chủ tài khoản tại thời điểm phát sinh chuỗi giao dịch từ 01h19 đến 01h33 ngày 13/12/2025”, khách hàng nêu trong đơn.

Ông N.C.S cho biết thêm, trong công văn trả lời khách hàng, KienLongBank khẳng định có gửi tin nhắn OTP, email đến cho khách hàng, tuy nhiên ông không hề nhận được. Trong 6 tháng qua, ông đề nghị đối chứng, đối thoại nhưng KienLongBank đều né tránh, không trả lời.

Vì vậy, ông tiếp tục gửi đơn đề nghị KienlongBank cung cấp và đối chiếu trực tiếp các dữ liệu xác thực liên quan đến chuỗi 11 giao dịch chuyển tiền với tổng giá trị 5 tỉ đồng phát sinh từ 01h19 đến 01h33 ngày 13/12/2025.

Các nội dung ông N.C.S yêu cầu làm rõ gồm: thời điểm hệ thống ghi nhận xác thực sinh trắc học động đối với từng giao dịch; dữ liệu sinh trắc học động tương ứng đã được hệ thống sử dụng để phê duyệt từng giao dịch; giao dịch cụ thể mà mã SMS OTP duy nhất trong chuỗi giao dịch được sử dụng để xác thực; căn cứ xác thực mà hệ thống đã sử dụng trước khi phê duyệt từng giao dịch.

Đặc biệt, với giao dịch đầu tiên phát sinh lúc 01h19 ngày 13/12/2025, khách hàng đề nghị KienlongBank chỉ rõ chính xác dữ liệu xác thực sinh trắc học động của chủ tài khoản mà hệ thống đã sử dụng làm căn cứ phê duyệt giao dịch này.

“Nếu KienlongBank cho rằng chuỗi 11 giao dịch nêu trên là hợp lệ, đề nghị KienlongBank cung cấp dữ liệu kỹ thuật đối chứng tương ứng với từng giao dịch để chứng minh dữ liệu xác thực Sinh trắc học động mà hệ thống đã sử dụng trước khi phê duyệt giao dịch”, văn bản của ông S. nêu.

Trường hợp ngân hàng không cung cấp được dữ liệu xác thực sinh trắc học động tương ứng từng giao dịch, khách hàng đề nghị KienlongBank nêu rõ bằng văn bản căn cứ nào để khẳng định các giao dịch đó đã được xác thực hợp lệ theo quy định áp dụng tại thời điểm phát sinh giao dịch.

Vụ việc diễn ra trong bối cảnh KienlongBank đang đẩy mạnh định vị ngân hàng số với nền tảng X-Digi, được giới thiệu là tích hợp các công nghệ số hiện đại như Cloud, AI, Big Data, eKYC, FaceID và xác thực sinh trắc học.

Theo giới thiệu của ngân hàng, X-Digi và X-Digi Booth cho phép khách hàng thực hiện nhiều tác vụ từ mở tài khoản, rút/chuyển tiền, mở thẻ bằng mã QR đến ký hợp đồng vay vốn, thanh toán và kết nối dịch vụ công trực tuyến mà không cần đến chi nhánh vật lý

Chính vì vậy, trong vụ việc này, câu hỏi trọng tâm không chỉ là 5 tỉ đồng đã bị chuyển đi như thế nào, mà còn là hệ thống xác thực và ứng phó gian lận của ngân hàng số đã vận hành ra sao khi 11 giao dịch lớn diễn ra trong 14 phút, khách hàng báo gian lận gần như ngay lập tức, nhưng dữ liệu sinh trắc học động tại thời điểm giao dịch vẫn chưa được cung cấp để đối chứng.

(Bài 2: Luật sư, chuyên gia công nghệ và ngân hàng nói gì về vụ việc khách hàng mất 5 tỉ đồng và sinh trắc học động?)