Trong nỗ lực hoàn thiện khuôn khổ pháp lý phục vụ quá trình chuyển đổi số quốc gia, ngày 22/6/2023, Quốc hội khóa XV đã thông qua Luật Giao dịch điện tử (GDĐT) năm 2023, gồm 7 chương, 54 điều, với nhiều nội dung mở rộng và đổi mới so với Luật GDĐT 2005. Luật này chính thức có hiệu lực từ ngày 01/7/2024, được kỳ vọng tạo nền tảng pháp lý thống nhất cho việc số hóa các giao dịch hành chính, dân sự và thương mại trên cả môi trường công và tư. Một điểm nổi bật là phạm vi điều chỉnh của luật đã mở rộng đáng kể, bao trùm toàn bộ quá trình giao dịch điện tử, từ xác lập thông điệp dữ liệu, định danh điện tử, chữ ký số, hợp đồng điện tử, dịch vụ tin cậy đến quản lý hệ thống thông tin trong cơ quan nhà nước và doanh nghiệp. Luật cũng công nhận các phương thức ký và xác nhận giao dịch điện tử như chữ ký điện tử, xác thực đa yếu tố, xác minh danh tính số, qua đó tạo hành lang pháp lý cho các hoạt động như công chứng điện tử, thanh toán trực tuyến, ký kết hợp đồng tự động giữa các hệ thống.
Tuy nhiên, sự mở rộng phạm vi và giá trị pháp lý của giao dịch điện tử chưa đi kèm tương xứng với các yêu cầu kỹ thuật về bảo mật, xác thực, và giám sát an ninh mạng. Đây chính là những kẽ hở có thể bị khai thác, làm phát sinh rủi ro lớn cho người dùng cũng như hệ thống pháp lý.
Ảnh minh họa (nguồn:Internet)
1. An ninh mạng và xác thực chưa theo kịp tốc độ số hóa giao dịch
Một trong những bước tiến lớn mà Luật Giao dịch điện tử 2023 mang lại là việc công nhận tính hợp pháp của giao dịch điện tử trong nhiều lĩnh vực vốn nhạy cảm, như công chứng, chứng thực, tài chính, ngân hàng, hợp đồng dân sự và các thủ tục hành chính công. Đây là tiền đề quan trọng cho việc hiện thực hóa chính phủ số, kinh tế số, khi người dân và doanh nghiệp có thể hoàn tất các giao dịch quan trọng mà không cần tiếp xúc trực tiếp hay sử dụng văn bản giấy.
Tuy nhiên, chính sự "số hóa toàn diện" này lại khiến các yếu tố kỹ thuật như bảo mật hệ thống và xác thực danh tính trở thành tuyến phòng vệ đầu tiên và đôi khi cũng là tuyến duy nhất chống lại gian lận, giả mạo hoặc chiếm đoạt. Trong khi quy trình pháp lý ngày càng số hóa thì nhiều nền tảng giao dịch điện tử vẫn sử dụng phương thức xác thực lạc hậu và kém an toàn, như OTP gửi qua SMS, email chưa được mã hóa hoặc các phương thức xác thực một lớp (single factor authentication). Những phương thức này có thể dễ dàng bị chiếm đoạt qua tấn công giả mạo (phishing), đánh cắp SIM, hoặc kiểm soát thiết bị đầu cuối.
Hậu quả là kẻ gian có thể giả mạo danh tính của người dùng hợp pháp để thực hiện các giao dịch điện tử hoàn toàn đúng quy trình pháp luật, trong khi người bị mạo danh không hề hay biết cho đến khi nghĩa vụ tài chính phát sinh. Đặc biệt trong các lĩnh vực như vay tiêu dùng online, mở ví điện tử, ký hợp đồng trực tuyến…điều này có thể dẫn đến các tranh chấp dân sự và trách nhiệm tài chính vô cùng phức tạp.
Một ví dụ điển hình cho rủi ro này là tình huống: một đối tượng đánh cắp thông tin định danh điện tử (e-ID) của người khác, gồm số căn cước công dân, số điện thoại, email và ảnh chân dung (dễ dàng thu thập trên mạng xã hội). Đối tượng này đăng ký ví điện tử, kích hoạt định danh thông qua OTP hoặc video call đơn giản, sau đó thực hiện giao dịch vay tiền với một tổ chức tín dụng online. Giao dịch được hoàn tất đầy đủ, chữ ký điện tử được xác nhận, tiền được giải ngân, nhưng toàn bộ quá trình đều dựa trên danh tính giả mạo.
Người thật chỉ phát hiện sự việc khi nhận thông báo nợ hoặc bị liên hệ bởi tổ chức thu hồi. Trong trường hợp đó, việc chứng minh mình là nạn nhân sẽ trở nên cực kỳ khó khăn, nếu nền tảng giao dịch không lưu đầy đủ nhật ký hệ thống, không có cơ chế kết nối với cơ sở dữ liệu định danh gốc như CSDL quốc gia về dân cư, hoặc không sử dụng công nghệ xác thực sinh trắc học để đối chiếu trước khi cho phép giao dịch có rủi ro cao. Thực tế này cho thấy rằng, việc luật công nhận tính hợp pháp của giao dịch điện tử là điều kiện cần, nhưng chưa phải điều kiện đủ để đảm bảo an toàn. Nếu thiếu các tiêu chuẩn kỹ thuật bắt buộc về bảo mật và xác thực, thì hành lang pháp lý dù đúng vẫn không ngăn được giao dịch sai, thậm chí bị lợi dụng chính vào những mục tiêu gian lận.
Trong bối cảnh đó, việc thiết lập các nguyên tắc tối thiểu về kỹ thuật an toàn trong giao dịch điện tử là yêu cầu cấp thiết. Những giao dịch có giá trị cao hoặc liên quan đến trách nhiệm pháp lý tài chính phải được gắn với các lớp xác thực mạnh, đối soát với cơ sở dữ liệu quốc gia, và kiểm soát nguy cơ qua AI/phân tích hành vi người dùng. Nếu không, chính sự số hóa toàn diện thay vì bảo vệ lại có thể trở thành môi trường thuận lợi cho hành vi giả mạo và xâm phạm danh tính phát triển mạnh hơn bao giờ hết.
2. Khoảng trống trong chế tài xử lý: Pháp luật chưa đủ lực răn đe
Một trong những điểm yếu then chốt trong thiết kế thể chế hiện nay là việc thiếu các chế tài chuyên biệt cho hành vi vi phạm trong môi trường giao dịch điện tử. Luật Giao dịch điện tử 2023, dù đã định hình nền tảng pháp lý cho giao dịch số hóa toàn diện, không có chương riêng hoặc điều khoản cụ thể nào về xử lý vi phạm liên quan đến giả mạo danh tính, chiếm đoạt tài sản số, hay phá hoại hệ thống điện tử phục vụ giao dịch. Điều này tạo ra một khoảng trống đáng kể giữa kỳ vọng pháp lý và cơ chế thực thi.
Hiện nay, các hành vi vi phạm như giả mạo định danh điện tử, lừa đảo qua ví điện tử, hoặc tấn công nền tảng giao dịch số chủ yếu được xử lý thông qua các quy định chung của Bộ luật Hình sự, như Điều 174 (Tội lừa đảo chiếm đoạt tài sản) hoặc Điều 290 (Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản). Ngoài ra, một số hành vi vi phạm mang tính hành chính được xử lý theo Nghị định 15/2020/NĐ-CP. Tuy nhiên, cách tiếp cận này chưa đủ độ chi tiết và chưa phản ánh bản chất đặc thù của tội phạm số trong môi trường giao dịch điện tử hiện đại. Một hành vi giả mạo OTP để chiếm đoạt tài khoản ví điện tử, chẳng hạn, có thể bị xử lý như một vụ lừa đảo cá nhân. Nhưng trên thực tế, những vụ việc như vậy thường có tính chất hệ thống, được tổ chức tinh vi, có thể ảnh hưởng đến hàng trăm người dùng và gây mất niềm tin nghiêm trọng vào toàn bộ mô hình giao dịch điện tử.
Hơn nữa, trách nhiệm pháp lý của các nền tảng cung cấp dịch vụ giao dịch điện tử cũng chưa được luật hóa đầy đủ. Trong bối cảnh dữ liệu người dùng ngày càng trở thành mục tiêu tấn công và lợi dụng, việc luật không quy định rõ nghĩa vụ bảo vệ dữ liệu cá nhân, giám sát giao dịch bất thường, lưu trữ log hệ thống và phối hợp truy vết hành vi vi phạm là một thiếu sót lớn. Hiện tại, chưa có nguyên tắc bắt buộc nào yêu cầu các nền tảng phải điều chỉnh cơ chế bảo mật tùy theo mức độ rủi ro của từng loại hình giao dịch, trong khi mô hình “trách nhiệm theo cấp độ rủi ro” đã được nhiều quốc gia áp dụng để nâng cao hiệu quả bảo vệ người dùng trong môi trường số.
Thực tế cho thấy, các hệ thống giao dịch điện tử có thể đúng quy trình pháp lý nhưng lại thiếu quy trình kỹ thuật bảo vệ. Ví dụ, một nền tảng cho phép ký hợp đồng vay tiền điện tử mà chỉ yêu cầu xác thực qua SMS OTP, không đối soát dữ liệu định danh, không sử dụng sinh trắc học hoặc xác thực đa lớp, thì về bản chất đã tạo điều kiện thuận lợi cho việc giả mạo danh tính. Trong trường hợp đó, thiệt hại không chỉ giới hạn ở người bị lừa, mà còn lan sang tổ chức tài chính, công ty công nghệ và cả hệ thống pháp luật vốn đứng ra bảo đảm tính hợp pháp cho giao dịch. Luật GDĐT 2023 đã tạo ra một khuôn khổ pháp lý khuyến khích giao dịch điện tử, nhưng lại không đi kèm một cơ chế cưỡng chế hoặc xử lý hậu quả tương xứng. Nếu luật chỉ đóng vai trò “mở cửa” cho số hóa mà không đồng thời “rào chắn” về an toàn và trách nhiệm, thì các đối tượng xấu hoàn toàn có thể khai thác các lỗ hổng pháp lý để hợp pháp hóa hành vi phạm tội của mình. Chỉ khi nào hành lang pháp lý được hoàn thiện song song với sự phát triển kỹ thuật số, thì mục tiêu xây dựng một môi trường giao dịch điện tử an toàn, đáng tin cậy và bền vững mới có thể được hiện thực hóa.
Luật Giao dịch điện tử 2023 là bước đi quan trọng trong quá trình chuyển đổi số của Việt Nam, nhưng vẫn còn nhiều lỗ hổng cần được nhận diện và khắc phục. Những kẽ hở trong định danh điện tử, bảo mật giao dịch, cũng như thiếu hụt chế tài xử lý hành vi giả mạo, đều đặt ra thách thức lớn đối với niềm tin xã hội vào môi trường số. Để luật phát huy hiệu quả thực chất, cần bổ sung khung kỹ thuật bắt buộc cho giao dịch điện tử nhạy cảm, xây dựng cơ chế giám sát an ninh mạng song hành với luật hóa, và đặc biệt là hoàn thiện hệ thống chế tài xử lý hành vi vi phạm trong môi trường số. Có như vậy, giao dịch điện tử mới thực sự trở thành nền tảng tin cậy cho phát triển chính phủ số, kinh tế số và xã hội số bền vững.
Liên hệ ngay để được Luật sư, Chuyên viên pháp lý hỗ trợ kịp thời:
- CÔNG TY LUẬT TNHH SAO VIỆT -
"Sự bảo hộ hoàn hảo trong mọi quan hệ pháp luật"
Tổng đài tư vấn pháp luật: 1900 6243
Địa chỉ tư vấn trực tiếp: Số 525B Lạc Long Quân, P. Xuân La, Q. Tây Hồ, Hà Nội
Gửi thư tư vấn hoặc yêu cầu dịch vụ qua Email: congtyluatsaoviet@gmail.com
