Anh N.C.S ở Hà Nội mới đây đã phản ánh về vụ việc tài khoản online bị thâm nhập và ‘lấy cắp’ khoản tiền hàng tỷ đồng. Vụ việc đã xảy ra nhiều tháng nhưng đến nay vẫn chưa có câu trả lời rõ ràng.
Tóm tắt sự việc như sau: khoảng 13h05 đến 13h20 ngày 12/12/2025, khách hàng thực hiện mở tài khoản thanh toán tại ngân hàng bằng hình thức định danh điện tử (eKYC).
Đến 16h15 - 16h30 cùng ngày, tức là 3 tiếng sau khi mở tài khoản bằng eKYC, anh N.C.S đã tới trực tiếp phòng giao dịch của ngân hàng tại Hà Nội để gửi 50 triệu đồng vào tài khoản tại quầy giao dịch. Sau giao dịch này, khách hàng mở điện thoại và vào app ngân hàng để kiểm tra thì số dư hiện đầy đủ, hoạt động bình thường.
Tại thời điểm đó, anh N.C.S cho biết, “không nhận được bất cứ thông báo hay thông tin nào từ phía hệ thống của ngân hàng cũng như nhân viên tại quầy của nói rằng tài khoản có 2 thiết bị đang được gắn vào”.
Sau đó, khách hàng thực hiện chuyển tiền từ ngân hàng khác vào tài khoản mở tại ngân hàng bằng hình thức chuyển tiền trực tuyến với tổng cộng số dư là 5 tỷ đồng.
Tuy nhiên, đến 1h19 rạng sáng ngày 13/12/2025, tài khoản khách hàng đã bị rút đi 5 tỷ đồng mà chủ tài khoản hợp pháp là anh N.C.S không phải là người thực hiện rút tiền.
Ngay sau khi mất tiền, anh N.C.S đã gửi văn bản tới ngân hàng thông báo về sự việc. Hai tuần sau, (ngày 26/12/2025) ngân hàng có văn bản phúc đáp và gửi kèm 1 số tài liệu kỹ thuật với khẳng định và xác nhận, tài khoản bị mất tiền là do sử dụng 2 thiết bị. Trong đó, thiết bị 2 được ngân hàng xác nhận và khẳng định là thiết bị thực hiện rút tiền.
Sau đó, anh N.C.S đã phản ánh sự việc tới cơ quan quản lý và đưa vụ việc ra công an. Đến nay, Công an Hà Nội đã có quyết định khởi tố vụ án.
Bản thân anh N.C.S, bằng việc tìm hiểu các văn bản, tài liệu do chính phía ngân hàng cung cấp đã phát hiện ra rất nhiều điểm bất thường từ lúc mở tài khoản EKCY đến lúc 5 tỷ đồng bị rút đi và cho rằng cần được làm rõ.
Cụ thể, tại thời điểm khởi tạo tài khoản thông qua hình thức eKYC lúc 13h20 ngày 12/12/2025, theo văn bản ngân hàng cung cấp khẳng định, tài khoản của khách hàng: sử dụng 2 thiết bị. Tuy nhiên, qua kiểm tra tài liệu bảng đăng ký thiết bị do chính ngân hàng xác nhận thì anh N.C.S nhận thấy 1 hiện tượng bất thường. Đó là, hệ thống ngân hàng đã ghi nhận hai thiết bị cùng gắn với tài khoản tại đúng cùng một thời điểm (13:20:29.953368), trùng khít tuyệt đối về thời gian.
Theo anh N.C.S: “ngay tại thời điểm mở tài khoản bằng eKYC thì đã có 1 thiết bị lạ (thiết bị 2) gắn vào tài khoản của tôi. Về mặt vật lý và con người thực tế, không ai có thể khởi tạo tài khoản thành công trên cùng 2 thiết bị trùng nhau tuyệt đối đến 1 phần triệu giây cả. Tôi cũng không có quyền năng hay công cụ nào để ra lệnh hay can thiệp vào hệ thống (Core Banking) hay Dữ liệu hệ thống để gán, gắn hay sao chép hoặc nhân bản thiết bị 2 gắn vào tài khoản của mình. Trong khi CCCD, khuôn mặt, thiết bị của tôi là duy nhất”.
Vì vậy, anh N.C.S cho rằng, việc hai thiết bị được ghi nhận đồng thời tại cùng một thời điểm đặt ra yêu cầu phải làm rõ cơ chế xác thực và cơ chế ghi nhận thiết bị trong hệ thống ngân hàng.
Tiếp theo, tại giai đoạn đổi và cấp quyền thiết bị 2 (khoảng lúc 15h27) khi hệ thống ngân hàng ghi nhận hoàn tất thay đổi từ thiết bị 1 sang thiết bị 2, qua thông tin từ ngân hàng K cung cấp và đối soát với dữ liệu của nhà mạng cũng như máy điện thoại của mình tức là thiết bị 1, anh N.C.S phát hiện nhiều điểm bất thường như: Không tồn tại dữ liệu xác thực sinh trắc học tại thời điểm cấp quyền; Dữ liệu đối soát với nhà mạng không ghi nhận phát sinh OTP tương ứng; Các tin nhắn OTP ghi nhận chỉ bao gồm mã xác thực dạng 6 chữ số, không thể hiện nội dung giao dịch hoặc hành động cụ thể (như thay đổi thiết bị, cấp quyền truy cập); Các mã OTP này không thể hiện được mối liên hệ giữa mã xác thực và hành vi xử lý tương ứng tại thời điểm phát sinh; Không tồn tại dữ liệu xác thực đầu vào tại thời điểm xử lý… Tuy nhiên hệ thống vẫn ghi nhận cấp quyền truy cập cho thiết bị 2.
Theo anh N.C.S, qua đối soát đã xuất hiện mâu thuẫn giữa dữ liệu hệ thống và dữ liệu đối soát độc lập cần được làm rõ.
Đặc biệt, tại giai đoạn thực hiện giao dịch lúc 01h19, thời điểm 5 tỷ đồng trong tài khoản của khách hàng bị rút đi bằng 11 lệnh, đều có giá trị rất lớn (1 lệnh 100 triệu và 10 lệnh 490 triệu đồng, và đều được thực hiện dồn dập liên tục trong quãng thời gian rất ngắn.
Anh N.C.S cho biết: sau khi xem xét lại toàn bộ diễn biến giao dịch và thực tế tại thời điểm đó tôi không thực hiện bất kỳ hành vi/hành động nào liên quan đến thiết bị (điện thoại). Camera an ninh được trích xuất, đã ghi lại nguyên vẹn hình ảnh tôi mặc áo khoác xanh bộ đội, 1 tay xách cặp còn 1 tay thì cầm ví, nên tôi khẳng định là chủ tài khoản là tôi đã không có thực hiện bất cứ lệnh rút nào tại thời điểm 1h19 ngày 13/12/2025”.
Vì vậy, anh N.C.S đặt vấn đề, việc thiết bị 2 thực hiện rút tiền khi: Không ghi nhận dữ liệu xác thực sinh trắc học tại thời điểm giao dịch; Dữ liệu sinh trắc học sử dụng không gắn với thời điểm phát sinh giao dịch… là không có cơ sở xác định chủ thể thực hiện giao dịch tại thời điểm phát sinh.
Từ những dữ liệu đã được chính ngân hàng K xác nhận và đối soát với các dữ liệu của nhà mạng + dữ liệu tin nhắn SMS trong máy điện thoại của cá nhân (thiết bị 1) và camera an ninh đã được trích xuất, Anh N.C.S đặt nghi vấn về việc: Không ghi nhận dữ liệu xác thực tại các thời điểm xử lý quan trọng; Không tồn tại liên kết giữa thiết bị – thời điểm – chủ thể; Dữ liệu xác thực không được tạo lập tại thời điểm xử lý…
Vì thế, anh N.C.S đề nghị các cơ quan có thẩm quyền tiến hành kiểm tra, giám định kỹ thuật hệ thống để làm rõ và xử lý theo quy định pháp luật nhằm bảo về quyền lợi khách hàng và ngăn chặn các rủi ro tương tự cho thể tiếp tục xảy ra.
