Thông tin 'nóng' vụ tài khoản bỗng dưng 'bốc hơi' 5 tỷ đồng trong đêm
Ngân hàng TMCP Kiên Long (KienlongBank) báo cáo Ngân hàng Nhà nước Việt Nam về vụ việc khách hàng phản ánh bị rút 5 tỷ đồng trong tài khoản trực tuyến. Theo kết quả rà soát bước đầu, các giao dịch đều được xác thực hợp lệ, sử dụng đúng mã OTP gửi đến số điện thoại đã đăng ký của khách.
Ngày 20/4/2026, báo Tiền Phong đăng tải bài viết: "Thông tin 'nóng' vụ tài khoản bỗng dưng 'bốc hơi' 5 tỷ đồng trong đêm" có nội dung như sau:
Rà soát toàn diện vụ việc
Theo báo cáo của KienlongBank, ngày 23/2/2026, nhận được yêu cầu từ Ngân hàng Nhà nước về việc làm rõ đơn đề nghị của ông Nguyễn C.S. liên quan đến các giao dịch bất thường. Khách hàng này cho biết đã thông qua hình thức định danh điện tử (eKYC), tuy nhiên chỉ trong khoảng thời gian từ ngày 12/12 đến rạng sáng 13/12/2025, tài khoản đã phát sinh hàng loạt giao dịch rút tiền mà ông không thực hiện.
Cụ thể, có tổng cộng 11 giao dịch được ghi nhận thành công, khiến toàn bộ số dư 5 tỷ đồng trong tài khoản bị “bốc hơi”. Ngay sau khi phát hiện, ông C.S. đã liên hệ tổng đài ngân hàng để yêu cầu kiểm tra, đồng thời đề nghị làm rõ nguyên nhân và bồi thường thiệt hại.
Phía KienlongBank cho biết đã tiến hành rà soát toàn diện vụ việc, bao gồm kiểm tra thông tin sinh trắc học, thiết bị đăng nhập, địa chỉ IP và lịch sử gửi mã OTP. Theo kết quả bước đầu, các giao dịch đều được xác thực hợp lệ, sử dụng đúng mã OTP gửi đến số điện thoại đã đăng ký của khách hàng.
Từ đó, ngân hàng nhận định chưa có cơ sở để xác định sự cố xuất phát từ lỗi hệ thống. Thay vào đó, khả năng xảy ra gian lận công nghệ cao được đặt ra, trong đó đối tượng có thể đã chiếm quyền truy cập hoặc thu thập được mã OTP của khách hàng để thực hiện giao dịch trái phép. Tuy nhiên, KienlongBank cũng nhấn mạnh rằng việc xác định nguyên nhân cụ thể cần chờ kết luận từ cơ quan chức năng.
Theo các thông tin được cung cấp, khách hàng mở tài khoản khi được một đối tượng trên mạng xã hội Facebook mời chào với thông tin về mức lãi suất cao. Trong quá trình đến để tìm hiểu, giao dịch viên của Ngân hàng đã chủ động cảnh báo đây là thông tin không đúng quy định, có dấu hiệu lừa đảo. Ngân hàng thực hiện khuyến cáo nhiều lần qua email, SMS tới khách hàng không .
Liên quan đến vụ việc, ngân hàng đã chủ động gửi văn bản đề nghị hỗ trợ điều tra tới Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (PA05) - Công an TP Hà Nội, đồng thời cung cấp toàn bộ hồ sơ, dữ liệu liên quan phục vụ công tác xác minh. Đến nay, phía ngân hàng cho biết vẫn đang chờ kết luận chính thức từ cơ quan công an.
Trách nhiệm thuộc về ai?
Trao đổi với PV Tiền Phong, Luật sư Đặng Văn Cường - Đoàn luật sư Hà Nội - phân tích, cao đang diễn biến ngày càng phức tạp, với nhiều thủ đoạn tinh vi nhằm xâm nhập hệ thống hoặc đánh cắp thông tin người dùng để chiếm đoạt tài sản. Trong bối cảnh đó, cả ngân hàng và khách hàng đều có trách nhiệm trong việc bảo vệ an toàn tài khoản.
Theo ông Cường, nếu cơ quan chức năng xác định nguyên nhân xuất phát từ lỗ hổng bảo mật của ngân hàng - chẳng hạn như hệ thống bị tấn công, vượt qua tường lửa hoặc tồn tại điểm yếu chưa được khắc phục - thì trách nhiệm bồi thường sẽ thuộc về phía ngân hàng. Ngược lại, nếu khách hàng để lộ thông tin đăng nhập, mã OTP hoặc vô tình tiếp tay cho hành vi gian lận, thì thiệt hại sẽ do chính khách hàng chịu.
“Nguyên tắc chung là bên nào có lỗi gây thiệt hại thì bên đó phải bồi thường”, ông Cường nhấn mạnh, đồng thời cho biết chỉ có cơ quan chức năng mới đủ thẩm quyền kết luận nguyên nhân và xác định trách nhiệm pháp lý.
Cũng theo quy định của pháp luật, các đối tượng sử dụng mạng máy tính, viễn thông để chiếm đoạt tài sản có thể bị xử lý hình sự theo Điều 174 hoặc Điều 290 của Bộ luật Hình sự Việt Nam, với mức hình phạt lên tới 20 năm tù hoặc tù chung thân, tùy theo mức độ vi phạm.
Luật sư Cường cho biết thêm, vụ việc trên không chỉ gây thiệt hại lớn về tài sản mà còn làm dấy lên tâm lý lo ngại trong người dân về mức độ an toàn của tiền gửi trong hệ thống ngân hàng.
Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, các chuyên gia cảnh báo rằng tội phạm công nghệ cao đang ngày càng tận dụng sự thiếu cảnh giác của người dùng thay vì trực tiếp tấn công vào hệ thống ngân hàng vốn được bảo mật nhiều lớp.
Thực tế cho thấy, nhiều vụ việc tương tự xảy ra do người dùng vô tình cung cấp thông tin đăng nhập hoặc mã OTP thông qua các đường link giả mạo, cuộc gọi lừa đảo hoặc ứng dụng độc hại. Do đó, các ngân hàng liên tục khuyến cáo khách hàng tuyệt đối không chia sẻ thông tin bảo mật, không truy cập các liên kết không rõ nguồn gốc và chỉ giao dịch qua kênh chính thức.
Một chuyên gia tài chính - ngân hàng cho rằng, không chỉ là trách nhiệm của tổ chức cung cấp dịch vụ mà còn phụ thuộc rất lớn vào ý thức và kỹ năng của người sử dụng. Trong thời đại số, mỗi cá nhân cần chủ động trang bị kiến thức an toàn thông tin để tự bảo vệ mình trước những rủi ro ngày càng tinh vi.
Tiếp đến, báo Tiền Phong thông tin thêm trong bài viết cùng chủ đề: "Vụ 'bốc hơi' 5 tỷ trong tài khoản: Dấu hiệu bất thường mã OTP, sinh trắc học" cụ thể như sau:
Như Tiền Phong đã thông tin, ngày 12/12/2025, ông Nguyễn C.S. (ở Hà Nội) mở tài khoản eKYC tại KienlongBank, sau đó nộp 50 triệu đồng và xác nhận hoạt động bình thường. Tối cùng ngày, ông S. chuyển thêm 5 tỷ đồng vào tài khoản để gửi tiết kiệm. Tuy nhiên, lúc 1h19 rạng sáng 13/12, tài khoản phát sinh 11 giao dịch chuyển tiền ra ngoài, tổng cộng 5 tỷ đồng. Các giao dịch gồm 1 lần 100 triệu đồng và 10 lần 490 triệu đồng.
Nhiều dấu hiệu nghi vấn
Sau khi báo Tiền Phong phản ánh vụ việc ông Nguyễn C.S. (Hà Nội) mất 5 tỷ đồng tại KienlongBank chỉ sau 24 giờ mở tài khoản, khổ chủ này cung cấp thêm nhiều thông tin về việc cá nhân ông không nhận được bất kỳ tin nhắn OTP gửi về số điện thoại khi có lệnh rút tiền.
Dữ liệu xác nhận từ nhà mạng Viettel tại thời điểm rút tiền chỉ có một tin nhắn đến số điện thoại của ông Nguyễn C.S. (ảnh: N.M).
Cụ thể, dữ liệu xác nhận từ nhà mạng Viettel cho thấy, tại thời điểm xảy ra sự việc, chỉ có duy nhất một tin nhắn SMS được gửi đến số điện thoại của ông vào lúc 01h19 ngày 13/12/2025. Trong khi đó, theo nguyên tắc bảo mật thông thường, mỗi giao dịch chuyển tiền đều phải đi kèm một mã OTP riêng biệt. Với 11 giao dịch, lẽ ra phải có 11 mã OTP tương ứng.
“Không có OTP thì không thể thực hiện giao dịch. Nhưng ở đây, tiền vẫn bị rút gần như không cần OTP nào được gửi đến tôi”, ông C.S. cho biết.
Ông C.S khẳng định không thực hiện bất kỳ bước xác thực sinh trắc học nào trong thời điểm xảy ra các giao dịch. Theo quy định hiện hành, các giao dịch giá trị lớn bắt buộc phải xác thực bằng khuôn mặt hoặc vân tay của chính chủ tài khoản.
Để chứng minh, ông S. đã trích xuất dữ liệu từ camera an ninh tại thời điểm trên. Hình ảnh cho thấy ông không sử dụng điện thoại hay thực hiện giao dịch nào. Tuy nhiên, phía ngân hàng vẫn cho rằng các lệnh chuyển tiền đã được “xác thực sinh trắc học đầy đủ”.
Camera ghi lại thời điểm tài khoản của ông C.S bị rút tiền.
“Không hiểu hệ thống lấy dữ liệu sinh trắc học của tôi ở đâu khi tôi không hề thực hiện xác thực”, ông C.S, đặt vấn đề và nghi ngờ có thể đã tồn tại một thiết bị lạ hoặc một phiên đăng nhập “song sinh” được gắn vào tài khoản ngay từ thời điểm mở tài khoản trực tuyến.
Không thể đẩy toàn bộ trách nhiệm cho khách hàng
Trao đổi với PV Tiền Phong, luật sư Trương Thanh Đức - Trọng tài viên Trung tâm Trọng tài quốc tế Việt Nam - cho rằng, có hai dấu hiệu “cốt tử” cho thấy trách nhiệm chính có thể thuộc về phía ngân hàng và hệ thống công nghệ:
Thứ nhất là khả năng phát sinh thiết bị hoặc phiên đăng nhập “song sinh” ngay sau khi mở tài khoản. Theo ông, đây là hiện tượng mà người dùng thông thường không thể tự tạo ra, kể cả trong trường hợp bị lừa đảo. “Nếu việc kiểm soát thiết bị, nhận OTP hay đăng nhập bất thường xảy ra ngay từ đầu, nhiều khả năng vấn đề nằm ở hệ thống lõi hoặc quy trình công nghệ của ngân hàng”, ông Đức nhận định.
Thứ hai là vấn đề xác thực sinh trắc học. Theo quy định, đây là lớp bảo vệ quan trọng đối với các giao dịch lớn. Ông Đức nhấn mạnh: “Sinh trắc học phải do chính người dùng thực hiện, không thể bị thay thế bằng ảnh hay công nghệ giả lập. Nếu vượt qua được lớp này mà không có sự tham gia của chủ tài khoản, thì lỗi thuộc về hệ thống”.
Từ hai yếu tố trên, luật sư Trương Thanh Đức cho rằng không thể quy toàn bộ trách nhiệm cho khách hàng. Trong khi ngân hàng nắm quyền kiểm soát toàn bộ quy trình từ mở tài khoản, xác thực đến xử lý giao dịch, người dùng gần như phụ thuộc hoàn toàn vào hệ thống.
Đáng chú ý, ông Đức cảnh báo đây có thể không phải là rủi ro đơn lẻ mà là vấn đề mang tính hệ thống. Nếu không được làm rõ một cách minh bạch và kịp thời, nguy cơ suy giảm niềm tin của người gửi tiền là rất lớn, thậm chí có thể gây ra những phản ứng dây chuyền trên thị trường tài chính.
Về hướng xử lý, vị luật sư cho rằng ngân hàng cần chủ động xác minh và bồi thường đầy đủ nếu xác định có lỗi từ hệ thống, thay vì kéo dài quá trình hoặc đưa ra các phương án “hỗ trợ” mang tính thỏa hiệp.
“An toàn là yếu tố cốt lõi của hoạt động ngân hàng. Khi niềm tin bị xói mòn, thiệt hại còn lớn hơn rất nhiều so với giá trị của một vụ việc cụ thể”, ông Đức nhấn mạnh.
Theo Quyết định 2345 của Ngân hàng Nhà nước, từ ngày 1/7/2024, khách hàng khi thực hiện chuyển khoản trên kênh điện tử với giá trị từ 10 triệu đồng/lần hoặc tổng giao dịch trên 20 triệu đồng/ngày bắt buộc phải xác thực sinh trắc học trên ứng dụng ngân hàng. Việc xác thực được thực hiện thông qua đối chiếu dữ liệu khuôn mặt với căn cước công dân gắn chip hoặc thông qua hệ thống định danh điện tử như VNeID.
Thông tư 17 của Ngân hàng Nhà nước ngày 1/1/2025 quy định về yêu cầu xác thực được mở rộng. Theo đó, chủ tài khoản chỉ được thực hiện các giao dịch như rút tiền và thanh toán bằng phương tiện điện tử khi đã hoàn tất việc đối chiếu, xác minh giấy tờ tùy thân và thông tin sinh trắc học. Điều này đồng nghĩa, nếu chưa hoàn tất xác thực, khách hàng sẽ bị hạn chế hoặc không thể thực hiện một số giao dịch điện tử.
