Lỗ hổng quản lý khiến Ví Bảo Kim bị chiếm đoạt hơn 17 tỷ đồng

Lỗ hổng quản lý khiến Ví Bảo Kim bị chiếm đoạt hơn 17 tỷ đồng

(ĐTCK) Lợi dụng kẽ hở trong hệ thống quản lý, hai cựu nhân viên của CTCP Thương mại điện tử Bảo Kim, đơn vị sở hữu ví điện tử Bảo Kim đã chiếm đoạt số tiền lên tới 17,6 tỷ đồng của Công ty.

Đầu năm 2018, anh Giang Tài (ở TP.HCM) đã tạo lệnh rút số tiền 100 triệu đồng từ tài khoản ví điện tử Bảo Kim về tài khoản Ngân hàng Vietcombank. Tuy nhiên, sau 4 tháng, anh Tài mới nhận được số tiền trên. Vì sao chỉ một thao tác rút tiền nhưng khách hàng mất thời gian dài như vậy?

Từ sau những khiếu nại của khách hàng, Công ty Bảo Kim mới phát hiện những việc làm sai trái của nhân viên.

Mới đây, Tòa án nhân dân TP. Hà Nội đã đưa ra xét xử vụ án này. Số tiền mà công ty này bị thiệt hại lên đến 17,6 tỷ đồng phần nào cho thấy những lỗ hổng về quy trình quản lý nghiệp vụ.

CTCP Thương mại điện tử Bảo Kim được cấp giấy phép 26 hoạt động cung ứng dịch vụ trung gian thanh toán, gồm cổng thanh toán điện tử, hỗ trợ thu chi hộ và ví điện tử. Quy trình và thủ tục mở tài khoản khá đơn giản và tiện dụng.

Khách hàng đăng ký mở tài khoản ví điện tử miễn phí trên website của Công ty. Tài khoản được liên kết với một tài khoản ngân hàng và khách hàng sẽ thực hiện nạp tiền - rút tiền - chuyển tiền thanh toán hàng hóa. Tài khoản cho phép lưu giữ một khoản giá trị tiền tệ được đảm bảo bằng giá trị tiền gửi tương đương số tiền được chuyển từ tài khoản thanh toán ngân hàng theo tỷ lệ 1:1.

Khi làm thủ tục, khách hàng cần cung cấp các thông tin cá nhân như họ tên, địa chỉ, email, số điện thoại. Hệ thống Bảo Kim xác thực. Sau đó, khách hàng nạp tiền vào tài khoản ngân hàng và được cấp tài khoản ví điện tử. Khách hàng có thể nạp tiền bằng hình thức nộp tiền mặt hoặc chuyển tiền.

Khi đó, hệ thống Bảo Kim sẽ tự động “báo Có” trên ví điện tử của khách hàng khoản tiền điện tử tương ứng số tiền nạp. Để rút tiền, khách hàng đăng nhập email, số điện thoại, mật khẩu, nhập lệnh rút tiền (số tiền cần rút, số tài khoản ngân hàng chỉ định). Hệ thống Bảo Kim tự động sẽ gửi mã giao dịch OTP vào email, số điện thoại của khách hàng để xác thực, đồng thời làm phát sinh phiếu chỉ điện tử trên hệ thống quản trị.

Đại diện Bảo Kim cho biết, Công ty có đội ngũ từ 4 - 5 nhân viên nghiệp vụ chi có quyền đăng nhập vào hệ thống quản trị. Những nhân viên này có trách nhiệm kiểm tra chính xác, đầy đủ các thông tin ghi trên phiếu chi điện tử và duyệt phiếu chi. Họ cũng có quyền đăng nhập vào tài khoản ngân hàng của Công ty và thực hiện chuyển tiền vào tài khoản khách hàng chỉ định theo lệnh rút tiền (có chứng từ giao dịch), hoàn thành quy trình rút tiền của khách hàng trong ví điện tử.

Lợi dụng sơ hở trong quản lý, Trần Văn Toàn (sinh năm 1989, ở Thanh Xuân) là nhân viên kinh doanh đã cấu kết với Đào Minh Nguyệt (sinh năm 1989, ở huyện Hoài Đức) là nhân viên nghiệp vu thu chi để chiếm đoạt số tiền 17,6 tỷ đồng của Công ty. Các đối tượng thực hiện theo 2 cách thức sau: Thứ nhất, Toàn nhờ Nguyệt chuyển tiền sai lệnh.

Thay vì chuyển tiền vào tài khoản do khách hàng chỉ định theo lệnh rút tiền thì Nguyệt chuyển tiền vào tài khoản theo yêu cầu của Toàn để Toàn chiếm đoạt. Đó cũng các trường hợp như anh Tài có lệnh rút tiền, nhưng không nhận được tiền. 

Có những trường hợp, Toàn lấp liếm bằng cách nhờ đối tượng khác tìm kiếm, giới thiệu khách hàng mở ví điện tử và hứa hẹn nếu khách hàng liên tục lặp lại thao tác nạp, rút tiền thì được hưởng 1% tổng số tiền. Đơn cử như trường hợp của anh Nguyễn Hoàng Hiệp (ở Hải Phòng). Ngày 29/1/2018, anh Hiệp nạp 300 triệu đồng vào ví điện tử và tạo lệnh rút vào tài khoản ngân hàng. Toàn nhờ Nguyệt chuyển lệnh rút tiền vào tài khoản của mình để chiếm đoạt tiền. Sau đó, Toàn nhờ Nguyệt chuyển 300 triệu đồng từ tài khoản ngân hàng của Công ty Bảo Kim vào tài khoản của anh Hiệp.

Cách thứ hai là Toàn chiếm quyền truy cập vào tài khoản khách hàng bằng cách nhờ nhân viên IT thay đổi thông tin email, số điện thoại trên ví điện tử của khách hàng bằng thông tin mới do Toàn cung cấp. Nhân viên IT không nghi ngờ vì Toàn là nhân viên kinh doanh có doanh thu lớn của Công ty. Toàn lấy lý do khách hàng đang ở nước ngoài nên nhờ đổi giúp. Sau khi chiếm đoạt tiền, Toàn tiếp tục nhờ nhân viên IT đổi lại thông tin ban đầu để khách hàng không phát hiện.

Ngân hàng Nhà nước cho biết, do tính chất phức tạp giữa các sản phẩm, dịch vụ vừa mang bản chất ngân hàng nhưng lại được phân phối dưới hình thức công nghệ sẽ chứa đựng nhiều rủi ro hơn khi sử dụng. Để bảo vệ quyền lợi khách hàng, các quốc gia trên thế giới yêu cầu nhà cung cấp dịch vụ phải đặc biệt tuân thủ các quy định về cung cấp và minh bạch hóa thông tin, bảo mật thông tin khách hàng. Mặt khác, cần phải có các quy trình nội bộ, phát triển công nghệ để phòng tránh chuyển thông tin khách hàng một cách vô ý hoặc cố ý.                                      

Tin bài liên quan