§
Quay lại danh sách
Bảo vệ người tiêu dùng

Lừa đảo trực tuyến và phishing – Các biện pháp bảo vệ pháp lý

Các biện pháp bảo vệ pháp lý chống lừa đảo trực tuyến và phishing: quy định của Bộ luật Hình sự, bồi thường thiệt hại, trách nhiệm của ngân hàng và quy trình tố giác.

D

Dr. Nagy Ildikó

Giới thiệu

Các vụ lừa đảo trực tuyến và tấn công phishing ngày càng tinh vi hơn, ảnh hưởng đến ngày càng nhiều công dân Hungary mỗi năm. Theo số liệu của Viện An ninh mạng Quốc gia, năm 2025 số vụ sự cố mạng được báo cáo đã vượt quá ba mươi nghìn trường hợp, trong đó phần đáng kể gây ra thiệt hại tài chính cho nạn nhân. Bài viết này nhằm cung cấp cái nhìn toàn diện về các biện pháp bảo vệ pháp lý chống lừa đảo trực tuyến, từ trách nhiệm hình sự đến bồi thường thiệt hại dân sự.

Đánh giá hình sự đối với lừa đảo trực tuyến

Cấu thành tội lừa đảo trong Btk.

Bộ luật Hình sự năm 2012, Luật số C (Btk.) Điều 373 quy định cấu thành tội lừa đảo. Theo đó, người nào nhằm mục đích thu lợi bất chính mà dùng thủ đoạn gian dối hoặc duy trì sự lầm lẫn của người khác, gây ra thiệt hại, thì phạm tội lừa đảo. Lừa đảo trực tuyến là hình thức thực hiện cấu thành tội lừa đảo truyền thống trong môi trường internet.

Các trường hợp tăng nặng của tội lừa đảo đặc biệt liên quan trong môi trường trực tuyến:

  • Lừa đảo gây thiệt hại đáng kể (250.001 HUF – 5.000.000 HUF): phạt tù từ một đến năm năm
  • Lừa đảo gây thiệt hại đặc biệt lớn (5.000.001 HUF – 50.000.000 HUF): phạt tù từ hai đến tám năm
  • Lừa đảo gây thiệt hại đặc biệt nghiêm trọng (trên 50.000.000 HUF): phạt tù từ năm đến mười năm

Lừa đảo thông qua hệ thống thông tin

Btk. Điều 375 quy định cấu thành tội đặc biệt là lừa đảo thông qua sử dụng hệ thống thông tin. Theo cấu thành này, người nào nhằm mục đích thu lợi bất chính mà đưa dữ liệu vào hệ thống thông tin, thay đổi, xóa dữ liệu được quản lý trong đó, hoặc ảnh hưởng đến hoạt động của hệ thống thông tin bằng cách làm cho dữ liệu không thể truy cập được, gây ra thiệt hại, thì bị xử lý hình sự.

Cấu thành tội này thường bao gồm các hành vi sau:

  • Tạo trang web giả mạo (trang phishing)
  • Truy cập trái phép vào hệ thống ngân hàng
  • Phát tán phần mềm độc hại (malware) nhằm chiếm đoạt dữ liệu tài chính
  • Tấn công dạng “Man-in-the-middle” trong các giao dịch trực tuyến

Thu thập dữ liệu trái phép

Cấu thành thu thập dữ liệu trái phép theo Btk. Điều 422 cũng thường xuyên được áp dụng trong các vụ tấn công phishing. Người nào thu thập hoặc sử dụng dữ liệu cá nhân một cách trái phép sẽ bị phạt tù đến hai năm vì tội vi cảnh. Cấu thành này đặc biệt phù hợp khi thủ phạm chiếm đoạt dữ liệu cá nhân của nạn nhân (thông tin đăng nhập, dữ liệu thẻ ngân hàng) thông qua phishing.

Bản chất pháp lý của phishing

Khái niệm và các loại phishing

Phishing (đánh cắp dữ liệu) là hình thức tấn công dựa trên kỹ thuật tâm lý xã hội (social engineering), trong đó thủ phạm mạo danh một tổ chức đáng tin cậy – thường là ngân hàng, cơ quan chức năng hoặc nhà cung cấp dịch vụ nổi tiếng – và dụ nạn nhân cung cấp các thông tin bí mật (tên đăng nhập, mật khẩu, dữ liệu thẻ ngân hàng).

Các loại phishing phổ biến nhất:

  1. Phishing qua email: Gửi hàng loạt email dưới dạng thông báo giả từ ngân hàng hoặc nhà cung cấp dịch vụ
  2. Spear phishing: Tấn công phishing nhắm mục tiêu, được cá nhân hóa cho từng cá nhân hoặc tổ chức cụ thể
  3. Smishing: Phishing qua SMS, thường chứa thông báo giả về giao hàng hoặc ngân hàng
  4. Vishing: Phishing qua điện thoại, trong đó thủ phạm cố gắng chiếm đoạt thông tin bí mật của nạn nhân qua điện thoại
  5. Pharming: Chuyển hướng đến trang web giả mạo thông qua thao tác DNS

Tổng hợp tội phạm do phishing gây ra

Một cuộc tấn công phishing thành công thường cấu thành tổng hợp các tội phạm sau:

  • Lừa đảo thông qua sử dụng hệ thống thông tin (Btk. Điều 375)
  • Xâm phạm hệ thống thông tin hoặc dữ liệu (Btk. Điều 423)
  • Thu thập dữ liệu trái phép (Btk. Điều 422)
  • Lạm dụng phương tiện thanh toán thay thế tiền mặt (Btk. Điều 393) – trong trường hợp thủ phạm chiếm đoạt dữ liệu thẻ ngân hàng

Trách nhiệm của ngân hàng trong trường hợp phishing

Quy định đối với nhà cung cấp dịch vụ thanh toán

Theo Luật số LXXXV năm 2009 (về cung cấp dịch vụ thanh toán) và Luật số CLXXXV năm 2017 (về sửa đổi một số luật liên quan đến tài chính), nhà cung cấp dịch vụ thanh toán (ngân hàng) có nghĩa vụ thực hiện lệnh thanh toán với sự cẩn trọng hợp lý.

Chỉ thị PSD2 và xác thực khách hàng mạnh

Chỉ thị (EU) 2015/2366 của Nghị viện và Hội đồng Châu Âu (PSD2) đã đưa ra yêu cầu xác thực khách hàng mạnh (Strong Customer Authentication, SCA). Theo đó, trong các giao dịch thanh toán trực tuyến, phải áp dụng ít nhất hai yếu tố xác thực độc lập:

  1. Yếu tố dựa trên kiến thức: mật khẩu, mã PIN
  2. Yếu tố dựa trên sở hữu: điện thoại di động, token bảo mật
  3. Yếu tố cố hữu: dữ liệu sinh trắc học (vân tay, nhận dạng khuôn mặt)

Nếu ngân hàng không áp dụng xác thực khách hàng mạnh phù hợp và do đó người tiêu dùng bị thiệt hại tài chính, trách nhiệm của ngân hàng là có căn cứ.

Nghĩa vụ hoàn trả của ngân hàng

Theo Điều 48 Luật Dịch vụ thanh toán, ngân hàng có nghĩa vụ hoàn trả số tiền của các giao dịch thanh toán chưa được ủy quyền cho bên thanh toán (người tiêu dùng) ngay lập tức, nhưng chậm nhất trong vòng một ngày làm việc kể từ ngày trình báo. Ngân hàng chỉ được miễn trừ nghĩa vụ này khi chứng minh được rằng:

  • Việc xác thực giao dịch thanh toán đã được thực hiện đúng quy định
  • Hệ thống ghi nhận giao dịch thanh toán hoạt động không có lỗi trong giai đoạn đó
  • Người tiêu dùng đã hành động cố ý hoặc cẩu thả nghiêm trọng

Vấn đề cẩu thả nghiêm trọng là điểm mấu chốt trong các vụ phishing. Theo thực tiễn xét xử, việc người tiêu dùng cung cấp dữ liệu do ảnh hưởng của email phishing đặc biệt thuyết phục không bị coi là cẩu thả nghiêm trọng, miễn là người đó đã thể hiện sự cẩn trọng mà một người tiêu dùng bình thường có thể được kỳ vọng.

Thực tiễn xét xử của Tòa án Tối cao (Kúria)

Tòa án Tối cao (Kúria) đã có nhiều phán quyết về vấn đề trách nhiệm của ngân hàng trong các vụ phishing. Quan điểm nhất quán của tòa án là trách nhiệm của ngân hàng được xác lập khi:

  • Các giải pháp bảo mật được áp dụng không đáp ứng trình độ công nghệ được kỳ vọng trong giai đoạn đó
  • Ngân hàng không thông báo đầy đủ cho khách hàng về nguy cơ phishing
  • Ngân hàng không sàng lọc các giao dịch đáng ngờ bằng các phương tiện công nghệ sẵn có

Quy trình tố giác

Khởi động thủ tục

Người tiêu dùng là nạn nhân của lừa đảo trực tuyến hoặc phishing có thể thực hiện các bước sau:

  1. Biện pháp ngay lập tức: Khóa thẻ ngân hàng, thay đổi mật khẩu, thông báo cho ngân hàng
  2. Tố giác: Đơn tố giác có thể nộp tại đồn cảnh sát có thẩm quyền theo địa bàn, trực tiếp hoặc bằng văn bản. Tố giác trực tuyến cũng có thể thực hiện tại Phòng Chống tội phạm mạng thuộc Cục Điều tra Quốc gia, Cảnh sát Dự bị.
  3. Thu thập bằng chứng: Việc lưu giữ email phishing, SMS, ảnh chụp màn hình, sao kê giao dịch ngân hàng là vô cùng quan trọng cho sự thành công của cuộc điều tra.

Thủ tục của cơ quan điều tra

Theo Bộ luật Tố tụng Hình sự năm 2017, Luật số XC (Be.), cơ quan điều tra sẽ ra lệnh điều tra dựa trên đơn tố giác nếu có căn cứ nghi ngờ phạm tội. Trong quá trình điều tra tội phạm mạng, cơ quan chức năng thường thực hiện các biện pháp sau:

  • Kiểm tra địa chỉ IP và tiêu đề email
  • Phân tích dấu vết kỹ thuật số (file log, dấu vết máy chủ)
  • Yêu cầu tương trợ tư pháp quốc tế (nếu thủ phạm hoạt động từ nước ngoài)
  • Kiểm tra giao dịch tài khoản ngân hàng

Thủ tục của NAIH trong trường hợp vi phạm bảo vệ dữ liệu

Trong trường hợp xảy ra xử lý trái phép dữ liệu cá nhân trong quá trình tấn công phishing, Cơ quan Bảo vệ Dữ liệu và Tự do Thông tin Quốc gia (NAIH) có thể tiến hành thủ tục theo Quy định Bảo vệ Dữ liệu Chung (GDPR). NAIH có thể điều tra xem bên xử lý dữ liệu (ví dụ: tổ chức mà dữ liệu nạn nhân bị rò rỉ) đã áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu hay chưa.

Bồi thường thiệt hại dân sự

Yêu cầu bồi thường theo Ptk.

Theo Ptk. Điều 6:519, người tiêu dùng có thể yêu cầu bồi thường thiệt hại dân sự đối với người gây thiệt hại bằng hành vi trái pháp luật. Trong trường hợp lừa đảo trực tuyến, các điều kiện xác lập trách nhiệm bồi thường:

  1. Hành vi trái pháp luật: Hành vi lừa đảo (phishing) rõ ràng là trái pháp luật
  2. Thiệt hại: Sự giảm sút trong tài sản của người tiêu dùng
  3. Mối quan hệ nhân quả: Mối liên hệ nhân quả giữa hành vi trái pháp luật và thiệt hại
  4. Lỗi: Hành vi cố ý của thủ phạm

Yêu cầu bồi thường đối với ngân hàng

Người tiêu dùng cũng có thể yêu cầu bồi thường thiệt hại đối với ngân hàng theo Ptk. Điều 6:142 (thiệt hại do vi phạm hợp đồng), nếu ngân hàng vi phạm các nghĩa vụ trong hợp đồng khung dịch vụ thanh toán – đặc biệt là nghĩa vụ duy trì hệ thống thanh toán an toàn.

Khuyến nghị phòng ngừa

Ngoài các biện pháp bảo vệ pháp lý, phòng ngừa là biện pháp bảo vệ hiệu quả nhất. Một số lời khuyên cơ bản:

  • Không bao giờ cung cấp thông tin ngân hàng khi nhận được yêu cầu qua email, SMS hoặc điện thoại
  • Kiểm tra URL và chứng chỉ (SSL) của trang web trước khi thanh toán trực tuyến
  • Sử dụng xác thực hai bước cho tất cả các dịch vụ tài chính
  • Cập nhật phần mềm thường xuyên và sử dụng phần mềm diệt virus
  • Trong trường hợp email đáng ngờ, liên hệ trực tiếp với nhà cung cấp dịch vụ qua kênh liên lạc chính thức

Kết luận

Đối với lừa đảo trực tuyến và tấn công phishing, hệ thống pháp luật Hungary cung cấp sự bảo vệ toàn diện: từ truy cứu trách nhiệm hình sự, bồi thường thiệt hại dân sự đến các thủ tục bảo vệ người tiêu dùng và bảo vệ dữ liệu. Điều quan trọng nhất đối với nạn nhân là hành động ngay sau khi phát hiện bị tấn công: khóa thẻ ngân hàng, tố giác và thu thập bằng chứng. Nếu ngân hàng không thực hiện nghĩa vụ hoàn trả, người tiêu dùng có thể thực thi quyền lợi thông qua hội đồng hòa giải hoặc tố tụng dân sự.

Bài viết này mang tính chất thông tin và không cấu thành tư vấn pháp lý. Đối với các trường hợp cụ thể, chúng tôi khuyến nghị tham khảo ý kiến luật sư chuyên môn.

#lừa đảo trực tuyến #phishing #tội phạm mạng #bảo vệ người tiêu dùng
Chia sẻ: