Cuộc tấn công của nhóm hacker quốc tế hôm 24/3 đã khiến toàn bộ hệ thống giao dịch của Công ty Chứng khoán VNDirect mất kiểm soát. Đến nay, tức 5 ngày kể từ vụ tấn công, VNDirect mới cơ bản hoàn thành giai đoạn đầu tiên trong lộ trình 4 bước để phục hồi hệ thống.
Trong trường hợp chậm nhất, các khách hàng của VNDirect phải chờ đến tuần sau mới có thể giao dịch trở lại. Bên cạnh nỗi lo gánh thiệt hại khi không thể quản trị danh mục, một số nhà đầu tư còn băn khoăn về quyền lợi bản thân lẫn nghĩa vụ từ phía công ty trước sự cố này.
Khó xác định trách nhiệm bồi thường
Trao đổi với Tri thức - Znews, luật sư Nguyễn Thanh Hà, Giám đốc Công ty Luật SBLaw, cho biết pháp luật Việt Nam chưa có quy định cụ thể hướng dẫn những vụ việc tương tự trường hợp VNDirect bị hacker tấn công dẫn tới sự cố gián đoạn giao dịch của nhà đầu tư, mà mới đề cập khá chung chung về trách nhiệm của công ty chứng khoán.
Luật sư Hà dẫn nội dung tại Khoản 5 Điều 302 Nghị định 155/2020/NĐ-CP quy định: "Công ty chứng khoán, công ty quản lý quỹ đầu tư chứng khoán có trách nhiệm thực hiện hoạt động ứng phó, khắc phục sự cố, sự kiện, biến động ảnh hưởng đến an toàn, ổn định và tính toàn vẹn của thị trường chứng khoán trong phạm vi liên quan đến hoạt động của đơn vị mình".
Hay Khoản 4 Điều 11 của Thông tư 121/2020/TT-BTC quy định: "Công ty chứng khoán phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty".
Theo luật sư, việc VNDirect phải chịu trách nhiệm khi các nhà đầu tư bị thiệt hại là điều chắc chắn. Tuy nhiên, vấn đề xác định trách nhiệm đến đâu và bồi thường như thế nào thì cần phải có một cuộc điều tra kỹ lưỡng về nguyên nhân xảy ra sự cố.
Nếu sự cố này xảy ra do sự kiện bất khả kháng (theo quy định tại Điều 156 Bộ luật dân sự 2015) mà VNDirect không thể lường trước và không thể khắc phục được, việc bồi thường thiệt hại cần sự thương thảo thiện chí đến từ phía công ty và nhà đầu tư.
Nhưng nếu nguyên nhân xuất phát từ lỗi, sự thiếu trách nhiệm ở phía VNDirect, các nhà đầu tư hoàn toàn có thể đòi công ty bồi thường thiệt hại theo quy định pháp luật.
Tuy vậy, theo vị luật sự, rất khó để xác định trách nhiệm, bồi thường bao nhiêu, chứng minh thiệt hại như thế nào trong vụ việc của VNDirect. Những thiệt hại theo dạng “định mua” hoặc “định bán” không dễ để xác định giá trị thực tế.
Trong trường hợp yêu cầu bồi thường, nhà đầu tư cần chứng minh rõ ràng và cung cấp bằng chứng về thiệt hại đã gánh chịu. Điều này có thể bao gồm việc cung cấp hồ sơ giao dịch, báo cáo tài chính, chứng từ và bất kỳ thông tin nào liên quan đến thiệt hại gây ra bởi sự cố bảo mật hoặc không thể truy cập vào tài khoản.
VNDirect là bên cung cấp dịch vụ, có trách nhiệm duy trì ổn định các giao dịch với khách hàng. Nhưng trong sự việc này, họ cũng là bên bị hại, uy tín của công ty đối với khách hàng bị lung lay đáng kể
Luật sư Nguyễn Thanh Hà, Giám đốc SBLaw
“Nếu khách hàng không cung cấp đủ bằng chứng hoặc không thể chứng minh thiệt hại xảy ra hoàn toàn do hệ thống sập bởi hacker, quá trình xem xét trách nhiệm bồi thường sẽ gặp khó khăn”, luật sư Nguyễn Thanh Hà lưu ý.
Đối với trường hợp bị hacker tấn công, VNDirect cần chứng minh đã áp dụng biện pháp bảo mật và an ninh mạng đầy đủ. Nếu cơ quan có thẩm quyền điều tra ra rằng nguyên nhân đằng sau vụ tấn công là do VNDirect thiếu sót trong khâu bảo mật, công ty có thể đối mặt với việc bồi thường khách hàng.
Trong chính sách bảo mật và điều khoản hợp đồng, VNDirect cũng thông báo không có trách nhiệm đối với bất kỳ khiếu nại, yêu cầu bồi thường nào của khách hàng về thiệt hại gây ra bởi bất kỳ nguyên nhân nào ngoài tầm kiểm soát của công ty.
Luật sư Hà đánh giá vụ việc VNDirect bị hacker tấn công hoàn toàn là nguyên nhân ngoài tầm kiểm soát. Do vậy, khách hàng khó có thể truy cứu trách nhiệm bồi thường từ phía công ty chứng khoán.
Nhà đầu tư nên làm gì?
Theo chuyên gia tài chính cá nhân Lê Xuân Huy, vụ hacker tấn công vào hệ thống giao dịch của VNDirect là sự cố ảnh hưởng rất lớn đến nhà đầu tư, khiến nhà đầu tư đánh mất cơ hội kiếm lời hay quản trị rủi ro trong trường hợp cổ phiếu giảm giá.
Thực tế, đây không phải lần đầu tiên hoạt động giao dịch chứng khoán của nhà đầu tư bị tác động bởi các yếu tố bất khả kháng. Điển hình như đầu năm 2018, HoSE đã phải tạm ngừng giao dịch do xảy ra trục trặc kỹ thuật.
Trong hoạt động đầu tư, các chuyên gia thường khuyến nghị đa dạng hóa kênh đầu tư, danh mục đầu tư để giảm thiểu rủi ro. Theo ông Huy, đây chính là thời điểm nhà đầu tư nên cân nhắc đa dạng hóa danh mục đầu tư, tức nên mở tài khoản giao dịch tại nhiều công ty chứng khoán khác nhau để chia tài sản giao dịch.
Bên cạnh đó, nhà đầu tư cần theo dõi tài khoản chứng khoán thường xuyên thông qua các phần mềm, thay vì chỉ dựa vào những tính năng cơ bản mà công ty chứng khoán cung cấp. Ví dụ, sử dụng file exel để ghi chép các mục như thông tin cổ phiếu, ngày mua, khối lượng mua, tổng chi, margin và ngược lại. Hai tiêu chí chính là tổng tài sản và danh mục đầu tư phải theo dõi thường xuyên để tránh nhầm lẫn cũng như đánh giá được hiệu quả đầu tư.
Tôi thấy có một điều rất kỳ lạ là nhiều nhà đầu tư bỏ ra 100-200 triệu để kinh doanh và ghi chép lại rất chi tiết. Nhưng khi bỏ 1-2 tỷ đồng để đầu tư chứng khoán thì lại không hề ghi chép lại bất cứ thứ gì
Chuyên gia tài chính cá nhân Lê Xuân Huy
Ngoài ra, nhà đầu tư cũng cần có thói quen chụp lại hình ảnh của danh mục và tài sản vào cuối ngày giao dịch.
Dưới góc độ người tư vấn pháp luật, luật sư Nguyễn Thanh Hà cho biết nhà đầu tư cần theo dõi thông tin chính thức từ công ty chứng khoán và các cơ quan quản lý để cập nhật tình hình và biết được các biện pháp khắc phục đang được thực hiện.
Bên cạnh đó, nhà đầu tư nên kiểm tra và đảm bảo rằng tất cả tài sản, bao gồm cổ phiếu và tiền vẫn an toàn. Nếu có bất kỳ dấu hiệu nào cho thấy tài sản bị xâm phạm, cần liên hệ ngay với VNDirect và các cơ quan chức năng.
Ngoài ra, nhà đầu tư có thể cân nhắc việc tìm kiếm tư vấn pháp lý để hiểu rõ hơn về quyền lợi và trách nhiệm cá nhân trong trường hợp này, cũng như các bước có thể thực hiện để đòi bồi thường nếu thiệt hại xảy ra.
“Quan trọng không kém là duy trì sự bình tĩnh, không lan truyền thông tin không chính thức nhằm tránh gây hoang mang và ảnh hưởng đến thị trường chứng khoán nói chung”, vị luật sư nhấn mạnh.
Theo Điều 20 Thông tư 121/2020/TT-BTC khi thực hiện cung cấp dịch vụ giao dịch chứng khoán trực tuyến, công ty chứng khoán có nghĩa vụ như sau:
- Đảm bảo giao dịch liên tục, thông suốt.
- Đảm bảo an ninh, an toàn, bảo mật dữ liệu của hệ thống.
- Có hệ thống dự phòng, phương án thay thế trong trường hợp xảy ra sự cố.
- Có sự tách biệt với các hệ thống thông tin điện tử khác của công ty.
- Ban hành quy trình về việc vận hành, quản lý, sử dụng hệ thống giao dịch chứng khoán trực tuyến.
Bên cạnh đó, khi cung cấp dịch vụ giao dịch chứng khoán trực tuyến công ty chứng khoán phải ký hợp đồng hoặc phụ lục kèm theo hợp đồng mở tài khoản cho khách hàng. Trong đó bao gồm những nội dung như sau:
- Công bố về các rủi ro có thể xảy ra khi giao dịch chứng khoán trực tuyến.
- Quy định trách nhiệm của khách hàng và công ty chứng khoán về việc bảo mật thông tin về giao dịch trực tuyến của khách hàng.
Công ty chứng khoán không thực hiện xây dựng công nghệ thông tin, cơ sở dữ liệu dự phòng để bảo đảm hoạt động an toàn và liên tục của hệ thống có thể bị xử phạt 70-100 triệu đồng theo quy định tại Điểm đ Khoản 2 Điều 26 Nghị định 156/2020/NĐ-CP. Tuy nhiên, cũng loại trừ trường hợp hệ thống không thể hoạt động liên tục do yếu tố khách quan, bất khả kháng.