Vụ 'bốc hơi' 5 tỷ trong tài khoản: Dấu hiệu bất thường mã OTP, sinh trắc học

Như Tiền Phong đã thông tin, ngày 12/12/2025, ông Nguyễn C.S. (ở Hà Nội) mở tài khoản eKYC tại KienlongBank, sau đó nộp 50 triệu đồng và xác nhận hoạt động bình thường. Tối cùng ngày, ông S. chuyển thêm 5 tỷ đồng vào tài khoản để gửi tiết kiệm. Tuy nhiên, lúc 1h19 rạng sáng 13/12, tài khoản phát sinh 11 giao dịch chuyển tiền ra ngoài, tổng cộng 5 tỷ đồng. Các giao dịch gồm 1 lần 100 triệu đồng và 10 lần 490 triệu đồng.

Nhiều dấu hiệu nghi vấn

Sau khi báo Tiền Phong phản ánh vụ việc ông Nguyễn C.S. (Hà Nội) mất 5 tỷ đồng tại KienlongBank chỉ sau 24 giờ mở tài khoản, khổ chủ này cung cấp thêm nhiều thông tin về việc cá nhân ông không nhận được bất kỳ tin nhắn OTP gửi về số điện thoại khi có lệnh rút tiền.

Cụ thể, dữ liệu xác nhận từ nhà mạng Viettel cho thấy, tại thời điểm xảy ra sự việc, chỉ có duy nhất một tin nhắn SMS được gửi đến số điện thoại của ông vào lúc 01h19 ngày 13/12/2025. Trong khi đó, theo nguyên tắc bảo mật thông thường, mỗi giao dịch chuyển tiền đều phải đi kèm một mã OTP riêng biệt. Với 11 giao dịch, lẽ ra phải có 11 mã OTP tương ứng.

“Không có OTP thì không thể thực hiện giao dịch. Nhưng ở đây, tiền vẫn bị rút gần như không cần OTP nào được gửi đến tôi”, ông C.S. cho biết.

Ông C.S khẳng định không thực hiện bất kỳ bước xác thực sinh trắc học nào trong thời điểm xảy ra các giao dịch. Theo quy định hiện hành, các giao dịch giá trị lớn bắt buộc phải xác thực bằng khuôn mặt hoặc vân tay của chính chủ tài khoản.

Để chứng minh, ông S. đã trích xuất dữ liệu từ camera an ninh tại thời điểm trên. Hình ảnh cho thấy ông không sử dụng điện thoại hay thực hiện giao dịch nào. Tuy nhiên, phía ngân hàng vẫn cho rằng các lệnh chuyển tiền đã được “xác thực sinh trắc học đầy đủ”.

“Không hiểu hệ thống lấy dữ liệu sinh trắc học của tôi ở đâu khi tôi không hề thực hiện xác thực”, ông C.S, đặt vấn đề và nghi ngờ có thể đã tồn tại một thiết bị lạ hoặc một phiên đăng nhập “song sinh” được gắn vào tài khoản ngay từ thời điểm mở tài khoản trực tuyến.

Không thể đẩy toàn bộ trách nhiệm cho khách hàng

Trao đổi với PV Tiền Phong, luật sư Trương Thanh Đức - Trọng tài viên Trung tâm Trọng tài quốc tế Việt Nam - cho rằng, có hai dấu hiệu “cốt tử” cho thấy trách nhiệm chính có thể thuộc về phía ngân hàng và hệ thống công nghệ:

Thứ nhất là khả năng phát sinh thiết bị hoặc phiên đăng nhập “song sinh” ngay sau khi mở tài khoản. Theo ông, đây là hiện tượng mà người dùng thông thường không thể tự tạo ra, kể cả trong trường hợp bị lừa đảo. “Nếu việc kiểm soát thiết bị, nhận OTP hay đăng nhập bất thường xảy ra ngay từ đầu, nhiều khả năng vấn đề nằm ở hệ thống lõi hoặc quy trình công nghệ của ngân hàng”, ông Đức nhận định.

Thứ hai là vấn đề xác thực sinh trắc học. Theo quy định, đây là lớp bảo vệ quan trọng đối với các giao dịch lớn. Ông Đức nhấn mạnh: “Sinh trắc học phải do chính người dùng thực hiện, không thể bị thay thế bằng ảnh hay công nghệ giả lập. Nếu vượt qua được lớp này mà không có sự tham gia của chủ tài khoản, thì lỗi thuộc về hệ thống”.

Từ hai yếu tố trên, luật sư Trương Thanh Đức cho rằng không thể quy toàn bộ trách nhiệm cho khách hàng. Trong khi ngân hàng nắm quyền kiểm soát toàn bộ quy trình từ mở tài khoản, xác thực đến xử lý giao dịch, người dùng gần như phụ thuộc hoàn toàn vào hệ thống.

Đáng chú ý, ông Đức cảnh báo đây có thể không phải là rủi ro đơn lẻ mà là vấn đề mang tính hệ thống. Nếu không được làm rõ một cách minh bạch và kịp thời, nguy cơ suy giảm niềm tin của người gửi tiền là rất lớn, thậm chí có thể gây ra những phản ứng dây chuyền trên thị trường tài chính.

Về hướng xử lý, vị luật sư cho rằng ngân hàng cần chủ động xác minh và bồi thường đầy đủ nếu xác định có lỗi từ hệ thống, thay vì kéo dài quá trình hoặc đưa ra các phương án “hỗ trợ” mang tính thỏa hiệp.

“An toàn là yếu tố cốt lõi của hoạt động ngân hàng. Khi niềm tin bị xói mòn, thiệt hại còn lớn hơn rất nhiều so với giá trị của một vụ việc cụ thể”, ông Đức nhấn mạnh.