5 tỷ đồng 'bốc hơi' tại KienlongBank: lỗi của ai?

Theo quy định của pháp luật, các đối tượng sử dụng mạng máy tính, viễn thông để chiếm đoạt tài sản có thể bị xử lý hình sự theo Điều 174 hoặc Điều 290 của Bộ luật Hình sự Việt Nam, với mức hình phạt lên tới 20 năm tù hoặc tù chung thân, tùy theo mức độ vi phạm.

Vụ việc một khách hàng phản ánh bị rút sạch 5 tỷ đồng trong tài khoản trực tuyến tại KienlongBank đang làm dấy lên lo ngại về mức độ an toàn của ngân hàng số. Cụ thể, trong ngày 12 và rạng sáng 13/12/2025, tài khoản trực tuyến của một khách hàng tại KienlongBank liên tục ghi nhận các giao dịch rút tiền bất thường. Đến khi phát hiện, 5 tỷ đồng đã không còn trong tài khoản. Các giao dịch diễn ra qua hai thời điểm khác nhau, cho thấy kẻ tấn công thực hiện nhiều đợt rút tiền có chủ đích thay vì một lần duy nhất.

Đây là loại tình huống mà người dùng dịch vụ tài chính số lo ngại nhất, nhưng hầu hết tin rằng mình sẽ không gặp phải.

Sau khi nhận phản ánh, KienlongBank tiến hành rà soát toàn diện và gửi báo cáo lên Ngân hàng Nhà nước Việt Nam. Kết quả bước đầu cho thấy toàn bộ 11 giao dịch đều được xác thực bằng mã OTP gửi về đúng số điện thoại đã đăng ký. Thiết bị đăng nhập, địa chỉ IP và dữ liệu sinh trắc học của khách hàng cũng không phát sinh dấu hiệu bất thường từ góc độ hệ thống.

Nói theo ngôn ngữ kỹ thuật: hệ thống ngân hàng hoạt động đúng quy trình. Vấn đề nằm ở chỗ khác.

Phần báo cáo của KienlongBank với Ngân hàng Nhà nước (ảnh: N.M).

Tội phạm đã làm gì để vượt qua lớp bảo vệ OTP?

Các chuyên gia bảo mật nhận định, hạ tầng ngân hàng hiện đại thường được bảo vệ nhiều lớp, khiến việc tấn công trực tiếp vào máy chủ ngân hàng trở nên tốn kém và rủi ro cao. Vì vậy, nhóm tội phạm công nghệ cao chuyển sang khai thác yếu tố dễ tổn thương hơn nhiều: hành vi của người dùng.

KienlongBank đã chuyển toàn bộ hồ sơ vụ việc đến Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (PA05) thuộc Công an TP. Hà Nội để đề nghị hỗ trợ xác minh. Đây là bước tố tụng bắt buộc theo yêu cầu của Ngân hàng Nhà nước khi vụ việc có dấu hiệu tội phạm. Hiện cơ quan công an chưa công bố kết luận hoặc hướng điều tra chính thức.

Trong các kịch bản lừa đảo phổ biến được ghi nhận, kẻ tấn công thường giả danh nhân viên ngân hàng hoặc cơ quan chức năng, gửi đường link trang web giả mạo trông giống hệt giao diện thật để đánh cắp thông tin đăng nhập, mời gọi đầu tư tài chính lãi suất cao nhằm dẫn dụ nạn nhân tự nhập OTP, hoặc cài ứng dụng chứa mã độc để chiếm quyền điều khiển thiết bị từ xa.

Ranh giới trách nhiệm: ngân hàng hay khách hàng?

Trao đổi với báo chí, luật sư Đặng Văn Cường cho biết, trong các tranh chấp liên quan đến giao dịch điện tử, nguyên tắc xác định trách nhiệm dựa vào yếu tố lỗi. Nếu sự cố bắt nguồn từ lỗ hổng bảo mật của tổ chức cung cấp dịch vụ, ngân hàng phải chịu trách nhiệm bồi thường. Nếu khách hàng để lộ thông tin hoặc bị lừa đảo, thiệt hại thuộc về phía khách hàng.

Tuy nhiên, ranh giới này trên thực tế không rõ ràng như trên giấy tờ.

Ông Cường chỉ ra điểm mấu chốt: OTP được nhập đúng không đồng nghĩa với việc khách hàng chủ động thực hiện giao dịch. Trong nhiều kịch bản lừa đảo tinh vi, người dùng bị dẫn dụ từng bước cho đến khi họ tự tay nhập mã xác thực mà không nhận ra mình đang chuyển tiền cho kẻ gian.

Đây chính là vùng xám pháp lý mà hệ thống tài chính Việt Nam chưa có hướng dẫn đủ cụ thể để phán xét.

2 thiết bị (iphone) được gắn vào tài khoản anh Nguyễn C.S., trùng khít tuyệt đối về thời gian.

Ngân hàng Nhà nước yêu cầu xử lý theo quy định

Ngân hàng Nhà nước đã có Công văn số 1053/NHNN-TT ngày 11/02/2026 yêu cầu KienlongBank rà soát và báo cáo kết quả xử lý vụ việc. Đây là căn cứ để KienlongBank lập báo cáo gửi lại cơ quan quản lý vào ngày 26/02/2026.

Cơ quan quản lý cũng nhấn mạnh: khi có dấu hiệu tội phạm, ngân hàng phải chủ động báo cáo cơ quan chức năng, phối hợp điều tra và thông tin đầy đủ cho khách hàng. KienlongBank đã gửi hồ sơ đến Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (PA05) thuộc Công an TP. Hà Nội để đề nghị hỗ trợ xác minh.

Nếu xác định có hành vi chiếm đoạt tài sản thông qua mạng máy tính hoặc viễn thông, đối tượng có thể bị xử lý theo Điều 174 hoặc Điều 290 Bộ luật Hình sự, với mức phạt tù lên tới 20 năm hoặc chung thân.

Hệ thống an toàn, con người vẫn là khâu rủi ro nhất

Vụ việc tại KienlongBank phản ánh một nghịch lý của ngân hàng số: càng nâng cấp bảo mật hệ thống, kẻ tấn công càng tập trung vào người dùng. Công nghệ sinh trắc học, xác thực hai lớp, hay mã OTP đều có thể trở nên vô nghĩa nếu người dùng bị dẫn dụ tự cung cấp thông tin.

Tại Việt Nam, tốc độ tăng trưởng giao dịch không dùng tiền mặt đang kéo theo một thực tế đáng lo: hàng triệu người dùng mới tiếp cận ngân hàng số nhưng chưa có đủ kỹ năng nhận diện rủi ro. Facebook và các nền tảng mạng xã hội trở thành địa bàn hoạt động lý tưởng cho các chiến dịch lừa đảo tài chính quy mô lớn.

Kết luận chính thức từ PA05 sẽ là căn cứ pháp lý quyết định ai phải chịu trách nhiệm cho 5 tỷ đồng đã mất. Song dù kết quả điều tra như thế nào, vụ việc đã đặt ra câu hỏi mà ngân hàng số Việt Nam phải trả lời sớm hơn: hệ thống có trách nhiệm đến đâu khi người dùng bị lừa ngay trên chính nền tảng của mình?