Khách hàng mất 5 tỉ đồng tại KienLongBank: 10 mã OTP ‘thất lạc’
Viettel Hà Nội xác nhận ông S. chỉ nhận 1 tin nhắn mã OTP, trong khi có tới 11 giao dịch rút tiền diễn ra trong 14 phút. 10 mã OTP còn lại đã đi đâu?
Vụ khách hàng N.C.S bị mất 5 tỉ đồng tiền gửi tại KienLongBank tiếp tục xuất hiện thêm những tình tiết đáng chú ý. Ông S. tiếp tục đưa ra dữ liệu liên quan đến 11 giao dịch với bất thường nằm ở mã xác thực một lần, hay OTP.
10 tin nhắn OTP “mất tích” đi đâu?
Theo xác nhận của Viettel Hà Nội, từ 1h19 ngày 13/12/2025, chỉ có duy nhất 1 tin nhắn mã OTP được gửi về điện thoại của khách hàng. Trong khi đó từ khoảng thời gian này, trong vòng 14 phút, có tới 11 lệnh rút tiền được thực hiện.
Câu hỏi đặt ra là 10 mã OTP còn lại đã được gửi đến đâu và được sử dụng bằng cách nào? Công văn trả lời khách hàng của KienLongBank xác nhận: có hai thiết bị được sử dụng nhưng chỉ gắn với một số điện thoại!
OTP là một trong những lớp bảo mật quan trọng trong giao dịch ngân hàng trực tuyến. Nếu các giao dịch vẫn hoàn tất mà mã xác thực không đến đúng số điện thoại đã đăng ký, trách nhiệm giải trình trước hết thuộc về hệ thống vận hành và bảo mật của ngân hàng.
Sự việc khách hàng mất 5 tỉ đồng đã xảy ra 6 tháng. Đến nay, câu hỏi vẫn chưa có lời giải rõ ràng: Vì sao 10 mã OTP không được gửi về điện thoại của khách hàng, và chúng được gửi đi đâu?
Việc cung cấp chính xác các dữ liệu này có thể giúp làm rõ quá trình xác thực và thực hiện các giao dịch. Dữ liệu không đượ cung cấp, nên nghi vấn về lỗ hổng trong hệ thống công nghệ và bảo mật càng lớn.
Trưởng ban Kiểm soát KienLongBank: Sinh trắc học động có tỉ lệ sai số
Điều đáng nói, khi bị mất tiền, khách hàng N.C.S đã liên hệ với KienLongBank để làm rõ thì bà Đỗ Thị Tuyết Trinh, Trưởng Ban Kiểm soát cho rằng đối với sinh trắc học động, Ngân hàng Nhà nước vẫn cho phép một tỉ lệ sai số nhất định trong quy định.
“Không có phương thức bảo mật nào là tuyệt đối. Thậm chí trong tương lai, nếu phương thức sinh trắc học không còn đảm bảo an toàn, cơ quan quản lý hoàn toàn có thể thay thế bằng những giải pháp mới hơn. Do đó, sinh trắc học thực chất chỉ là một lớp phòng thủ bổ sung chứ không phải giải pháp toàn năng”, bà Trinh nhấn mạnh.
Vị này cũng cho rằng, yếu tố cốt lõi nhất của bảo mật tài khoản vẫn nằm ở tên đăng nhập và mật khẩu, những thông tin mật do người dùng nắm giữ và không cung cấp cho ai. Ngược lại, diện mạo hay hình ảnh cá nhân là thứ chúng ta phơi bày hàng ngày trên mạng xã hội hay video, khiến sinh trắc học chỉ mang tính chất của một lớp bổ trợ. Ngoài ra, việc Ngân hàng Nhà nước yêu cầu lưu trữ hình ảnh giao dịch còn nhằm mục đích tối quan trọng khác là phòng, chống rửa tiền.
Ngân hàng Nhà nước quy định các giao dịch gửi, chuyển, rút tiền hay thanh toán trên 10 triệu đồng bắt buộc phải xác thực chính chủ. Việc này để để ngăn một người khác, dù có tên đăng nhập, mật khẩu hay chiếm được quyền kiểm soát thiết bị, vẫn không thể chuyển số tiền lớn nếu không xác thực đúng khuôn mặt của chủ tài khoản. Vì vậy, việc sinh trắc học bị vượt qua không thể được xem đơn thuần là một sai số thông thường.
Trong khi đó, khi khách hàng trao đổi với ông Trần Ngọc Minh, Chủ tịch HĐQT KienLongBank thì vị này cho biết đang phối hợp với cơ quan công an để sớm xác định danh tính kẻ gian. Như vậy, cùng một vấn đề nhưng cách giải thích từ phía ngân hàng chưa thống nhất.
Nếu lổ hổng có xảy ra thì đây là lỗi của KienLongBank
Về sự việc này, trao đổi với Tạp chí Một Thế Giới, ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo An ninh mạng Athena, cho hay theo nguyên tắc nếu bị chiếm điện thoại và có mật khẩu thì cũng chỉ chuyển được 10 triệu/lần và 2 lần, tức là 20 triệu này thì không cần xác thực khuôn mặt.
“Nếu chuyển vượt số trên thì phải có sinh trắc học mới chuyển được. Hệ thống cho phép chuyển số lớn mà không có xác thực sinh trắc học thì hệ thống KienLongBank đã có lổ hỏng nào đó. Nếu lổ hổng có xảy ra thì đây là lỗi của KienLongBank, không phải của khách hàng và KienLongBank phải chịu trách nhiệm”, ông Thắng phân tích.
Ông Thắng nhấn mạnh: “Nếu ngân hàng cho phép chuyển mà không cần sinh trắc học thì ngân hàng phải chịu trách nhiệm. còn việc ngân hàng đưa ra lý do đổi smartphone hay lý do nào khác thì cũng không thuyết phục”.
Trao đổi với Tạp chí Một Thế Giới, Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI, Trọng tài viên VIAC, phân tích 2 vấn đề. Thứ nhất là việc xuất hiện hai tài khoản có thông tin trùng nhau gần như tuyệt đối về thời điểm phát sinh, ông Đức nhận định: “Nếu dữ liệu thể hiện hai tài khoản được tạo ra trong cùng một thời điểm đến mức chỉ chênh nhau phần rất nhỏ của giây, đây là dấu hiệu bất thường về mặt kỹ thuật. Một cá nhân, dù thao tác nhanh đến đâu, cũng khó có thể tự tạo ra hai tài khoản giống nhau trong khoảng thời gian như vậy”.
Thứ hai là vấn đề xác thực sinh trắc học: Trong vụ việc có tới 10-11 giao dịch được thực hiện mà khách hàng không trực tiếp xác thực, thì vấn đề rất nghiêm trọng. “Sinh trắc học phải là xác thực sống, phải là khuôn mặt thật tại thời điểm giao dịch. Nếu chỉ dùng một bức ảnh tĩnh mà vẫn xác thực được thì hệ thống đó trở nên vô nghĩa”, ông Đức nói.
Khách hàng mất tiền luôn ở thế yếu khi ngân hàng nắm toàn bộ dữ liệu
Quan trọng hơn cả, theo luật sư Đức, trong các vụ mất tiền qua tài khoản ngân hàng, vấn đề lớn nhất là khách hàng gần như không có khả năng tiếp cận hệ thống kỹ thuật để tự chứng minh mình vô can. Toàn bộ dữ liệu giao dịch, nhật ký hệ thống, quy trình xác thực và dấu vết kỹ thuật đều nằm trong hệ thống của ngân hàng. Nếu không có một cơ quan độc lập đủ thẩm quyền kiểm tra trực tiếp hệ thống công nghệ, người dân sẽ rơi vào thế bất lợi. Khách hàng chỉ có thể khẳng định “tôi không thực hiện giao dịch, tôi không cung cấp mật khẩu, tôi không ủy quyền”, trong khi ngân hàng nắm toàn bộ dữ liệu để giải thích sự việc.
“Nếu không chứng minh được khách hàng tự giao dịch, tự cung cấp thông tin bảo mật hoặc tự ủy quyền, thì ngân hàng không thể dễ dàng phủi trách nhiệm. Tiền gửi của khách hàng phải được ngân hàng bảo vệ. Công nghệ, bảo mật và quy trình vận hành là trách nhiệm của ngân hàng”, luật sư Đức nhấn mạnh.
Từ vụ việc này, ông Đức cho rằng cần đặt ra yêu cầu lớn hơn đối với hệ thống ngân hàng: phải có cơ chế kiểm tra độc lập, minh bạch dữ liệu giao dịch và giám sát công nghệ bảo mật. Niềm tin của người dân cần được bảo đảm bằng chuẩn kỹ thuật, trách nhiệm pháp lý và sự giám sát của cơ quan có thẩm quyền.
“Nếu sinh trắc học được xem là lớp bảo vệ cuối cùng nhưng vẫn bị vượt qua, vấn đề không chỉ nằm ở một vụ mất tiền cụ thể. Đó còn là cảnh báo đối với an toàn của toàn bộ hệ thống giao dịch trực tuyến. Vì vậy, vụ việc cần được điều tra đến cùng, làm rõ trách nhiệm của từng bên và công khai kết quả ở mức cần thiết để bảo vệ quyền lợi của khách hàng, đồng thời củng cố niềm tin vào hệ thống ngân hàng số”, luật sư Đức nhấn mạnh.
KienLongBank thừa nhận nghĩa vụ bồi thường “nếu có lỗi”
Trách nhiệm của ngân hàng không chỉ được đặt ra từ phân tích của chuyên gia an ninh mạng hay luật sư. Chính KienLongBank cũng đã đề cập vấn đề này trong văn bản trả lời khách hàng.
Theo công văn số 235/NHKL, ngày 19/01/2026 trả lời khách hàng mất 5 tỉ do ông Nguyễn Văn Minh, Phó TGĐ KLB phụ trách kĩ thuật CNTT, đại diện ký, có nói về trách nhiệm trong việc thực hiện các nghĩa vụ theo Hợp đồng của KienLongBank.
“Tại điểm g (i) khoản 10.2 Điều 10 Điều kiện điều khoản mở và sử dụng tài khoản thanh toán bằng phương tiện điện tử của KienlongBank có quy định KienlongBank có nghĩa vụ: "g) Chịu trách nhiệm về những thiệt hại phát sinh trong trường hợp: i) Thiệt hại do sai sót hoặc do lỗi của KienlongBank bao gồm việc không tuân thủ đúng quy định pháp luật về an toàn, bảo mật trong cung cấp dịch vụ".
Điều 360 Bộ luật Dân sự 2015 quy định: "Trường hợp có thiệt hại do vi phạm nghĩa vụ gây ra thì bên có nghĩa vụ phải bồi thường toàn bộ thiệt hại, trừ trường hợp có thỏa thuận khác hoặc luật có quy định khác."
Với các quy định nêu trên thì có thể hiểu rằng trong trường hợp KienlongBank phát sinh lỗi khi không tuân thủ đúng quy định pháp luật về an toàn, bảo mật trong cung cấp dịch vụ, KienlongBank sẽ phải bồi thường thiệt hại cho Khách hàng”.
Nếu ngân hàng chứng minh được khách hàng tự thực hiện giao dịch, tự cung cấp thông tin bảo mật hoặc ủy quyền cho người khác, trách nhiệm có thể thuộc về khách hàng. Ngược lại, nếu 10 mã OTP không được gửi về số điện thoại đã đăng ký, sinh trắc học không phải của chủ tài khoản nhưng vẫn được chấp nhận, hoặc quy trình cho phép chuyển số tiền lớn mà không có xác thực hợp lệ, trách nhiệm là của ngân hàng.
Vụ việc này là phép thử đối với nguyên tắc nền tảng của ngân hàng số: Ngân hàng phải chứng minh hệ thống của mình đủ an toàn, và khi hệ thống có lỗi, ngân hàng phải chịu trách nhiệm đối với thiệt hại phát sinh của khách hàng.
