Cán bộ ngân hàng Sacombank bán thông tin cho tội phạm: Dấu hỏi bảo mật?
Vụ việc cựu cán bộ Sacombank chi nhánh Gò Vấp, TP.HCM bán hồ sơ của 54 doanh nghiệp cho đối tượng Nguyễn Lê Thanh Tú dẫn đến đối tượng này lừa đảo, chiếm đoạt 3,1 tỷ đồng khiến dư luận đặt dấu hỏi về bảo mật thông tin khách hàng của ngân hàng?
Ngày 17/11, Công an tỉnh Phú Thọ đã hoàn tất kết luận điều tra và đề nghị Viện KSND cùng cấp truy tố Nguyễn Lê Thanh Tú (34 tuổi, ở TP.HCM) và 11 bị can liên quan vụ chiếm đoạt 3,1 tỷ đồng của khách hàng.
Đáng chú ý, theo kết luận, tháng 10/2019, Tú biết một số ngân hàng thương mại có sơ hở trong quản lý hồ sơ khách hàng, cấp user cá nhân cho nhân viên để truy cập mạng nội bộ nên lên kế hoạch chiếm đoạt tiền.
Tú kết thân với Nguyễn Thái Thịnh – cựu cán bộ Sacombank chi nhánh Gò Vấp, TP.HCM và 2 đồng nghiệp của Thịnh là Đoàn Lê Trí Viễn và Lê Thái Nhân. Tú đề nghị nhóm Thịnh truy cập mạng nội bộ, thu thập thông tin các khách hàng của ngân hàng để bán lại cho mình.
Nhóm cán bộ ngân hàng sau đó đã bán hồ sơ của 54 doanh nghiệp cho Tú với giá gần 750 triệu đồng. Nhiều thông tin có giá trị như mã số thuế, số tài khoản, mẫu con dấu và chữ ký của chủ doanh nghiệp đã bị Tú lợi dụng để lừa đảo. Tú thuê người làm giả giấy tờ, con dấu của công ty rồi cho đàn em đến ngân hàng rút tiền nhằm chiếm đoạt.
Nạn nhân của vụ án là bà N.T.K. (giám đốc công ty thép) trình báo tới công an về việc tài khoản của công ty bị thâm hụt hơn 3 tỷ đồng dù không có giao dịch nào. Công ty bà K. là một trong 54 doanh nghiệp bị nhóm của Thịnh đánh cắp thông tin rồi bán cho Tú.
Cùng với Tú, Nguyễn Thái Thịnh, Đoàn Lê Trí Viễn, Lê Thái Nhân và 8 bị can khác bị đề nghị truy tố về các tội Mua bán trái phép thông tin tài khoản ngân hàng; Làm giả, sử dụng tài liệu của cơ quan, tổ chức và Lừa đảo chiếm đoạt tài sản. Tuy nhiên, việc cán bộ Sacombank bán thông tin cho tội phạm đã khiến dư luận đặt dấu hỏi về bảo mật thông tin khách hàng?
Bảo mật thông tin khách hàng tại ngân hàng được quy định rõ trong các điều khoản hợp đồng và một luật bất thành văn đã trở thành thông lệ của ngành ngân hàng là phải tuyệt đối bảo mật thông tin của khách hàng. Bởi vậy các ngân hàng luôn cam kết sẽ bảo mật thông tin khách hàng.
Tuy nhiên qua vụ việc trên có thể thấy có lỗ hổng trong bảo mật ngân hàng rất lớn, ảnh hưởng đến quyền lợi của khách hàng. Đặc biệt, lỗ hổng ấy lại xuất phát từ chính cán bộ, nhân viên ngân hàng bán thông tin của khách hàng ra bên ngoài để trục lợi. Do đó đã tạo sự lo ngại của nhiều khách hàng khi giao dịch tại ngân hàng về sự an toàn của hệ thống bảo mật ngân hàng.
Bởi khi thông tin của khách hàng không được bảo mật, bị lộ lọt ra ngoài sẽ tạo nên nhiều ảnh hưởng tiêu cực đến khách hàng như trường hợp bà N.T.K. bị thâm hụt tài khoản lên đến 3 tỷ đồng như vụ án ở trên. Đồng thời làm ảnh hưởng đến niềm tin, sự tín nhiệm của khách hàng đối với ngân hàng. Để đảm bảo an toàn, nhiều khách hàng sẽ tìm đến các ngân hàng có sự tin tưởng trong công tác bảo mật thông tin khách hàng. Lượng khách hàng mất đi, doanh thu, lợi nhuận của chính ngân hàng đó sẽ bị ảnh hưởng.
Không chỉ ở Việt Nam, nhiều nước trên thế giới rất chú trọng vấn đề bảo mật thông tin khách hàng. Cụ thể, tại Thụy Sĩ, Luật Liên bàng về Ngân hàng và ngân hàng tiết kiệm nước này quy định rõ: “vi phạm các nghĩa vụ bảo mật thông tin của khách hàng có thể dẫn đến ba loại chế tài: hình sự, dân sự, hành chính. Đối với trách nhiệm hình sự, chủ thể phải chịu trách nhiệm do vi phạm nghĩa vụ bảo mật không chỉ giới hạn ở nhân viên – người phổ biến thông tin mà còn cả đối với những Tổ chức tín dụng – với tư cách là người sử dụng lao động”. Pháp luật nước này cũng quy định chế tài ngay cả khi chưa có thiệt hại xảy ra.
Không phải ngẫu nhiên, pháp luật Việt Nam quy định rất chặt chẽ về việc bảo mật thông tin khách hàng. Cụ thể, tại điều 14, Luật Các Tổ chức tín dụng quy định rõ: “Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải bảo đảm bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng”.
Pháp luật Việt Nam cũng quy định rõ trách nhiệm của Ngân hàng khi làm lộ thông tin khách hàng. Cụ thể, tại khoản 1, 2 Điều 35 BLDS 2015 và Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng 2010, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân, tổ chức phải được cá nhân, tổ chức đồng ý. Ngoài ra, Điều 38 Luật Ngân hàng Nhà nước Việt nam 2010 và Điều 14 Luật các tổ chức tín dụng 2010 đều có quy định về nghĩa vụ bảo vệ bí mật bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng.
Tại Nghị định 117/2018/NĐ-CP quy định về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cũng nêu rõ: “Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải được giữ bí mật và chỉ được cung cấp theo quy định của Luật các tổ chức tín dụng năm 2010, sửa đổi, bổ sung năm 2017, Nghị định này và pháp luật có liên quan”.
Như vậy, thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng phải được bảo mật tuyệt đối, trừ các trường hợp pháp luật quy định được phép cung cấp. Bảo mật thông tin của khách hàng là trách nhiệm của các tổ chức tín dụng, các chi nhánh ngân hàng, các cơ quan, tổ chức này không được tự ý tiết lộ thông tin khách hàng ra bên ngoài hay thực hiện bất kỳ hành vi bất chính nào như việc trục lợi, sử dụng trái phép, mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin đó.
Do đó, liên quan vụ án trên, dù là sai phạm của cán bộ, nhân viên nhưng vẫn có trách nhiệm của pháp nhân. Bởi con người của pháp nhân thực hiện nhiệm vụ của pháp nhân giao mà gây thiệt hại cho khách hàng thì lỗi trước tiên thuộc về pháp nhân. Do đó, trường hợp này, ngân hàng Sacombank cũng phải chịu trách nhiệm.
Theo quy định tại Điều 20, Nghị định 88/2019/NĐ-CP của Chính phủ, hành vi không thực hiện quy định, quy trình bảo mật, an toàn công nghệ thông tin trong hoạt động cung ứng dịch vụ thông tin tín dụng sẽ bị phạt tiền từ 20 triệu đồng đến 40 triệu đồng.
Liên quan đến trách nhiệm dân sự, trường hợp chứng minh được các thiệt hại và tổn thất gánh chịu xuất phát từ việc lộ thông tin, khách hàng hoàn toàn có quyền khởi kiện ra tòa án nhân dân có thẩm quyền và ngân hàng sẽ phải chịu trách nhiệm bồi thường thiệt hại cho khách hàng theo phán quyết của hội đồng xét xử. Tuy nhiên, khi nhân viên ngân hàng làm lộ thông tin khách hàng, dư luận hoàn toàn có thể đặt dấu hỏi về vấn đề bảo mật và việc mất niềm tin vào ngân hàng là không thể tránh khỏi. Do đó, các ngân hàng cần siết chặt hơn nữa quá trình bảo mật thông tin, đặc biệt từ phía nhân viên cán bộ ngân hàng của mình.
Tâm Đức/KT