Ghi nhận đến 13h ngày 25/03/2024, website và ứng dụng của Công ty chứng khoán VNDirect vẫn chưa thể truy cập, nhà đầu tư mở tài khoản tại Công ty này cũng chưa xem bảng giá hoặc đặt lệnh được. Vậy trách nhiệm của VNDirect trong trường hợp này là gì? Có phải bồi thường cho nhà đầu tư không?
(1) Hệ thống của VNDirect đồng loạt “sập”
Theo thông báo từ phía Công ty cổ phần Chứng khoán VNDIRECT, hệ thống của công ty này đã bị tấn công từ 10 giờ sáng Chủ nhật ngày 24/03/2024. Trong thông cáo chính thức về sự cố hệ thống giao dịch trực tuyến ngày 25/03/2024, VNDirect cho biết hiện hệ thống VNDirect vẫn đang trong quá trình khắc phục và kết nối trở lại.
(Thông báo của VNDirect)
Sở Giao dịch chứng khoán Hà Nội (HNX) sau khi tiếp nhận thông tin cũng đã đưa ra thông báo tạm thời ngắt kết nối giao dịch từ xa và giao dịch trực tuyến trên các thị trường giao dịch chứng khoán niêm yết, giao dịch chứng khoán đăng ký giao dịch, giao dịch chứng khoán phái sinh, giao dịch công cụ nợ và giao dịch trái phiếu doanh nghiệp riêng lẻ của Công ty cổ phần Chứng khoán VNDirect tới HNX kể từ ngày 25/03/2024 cho đến khi VNDirect khắc phục được hoàn toàn sự cố. Các thành viên khác vẫn sẽ được kết nối và giao dịch bình thường.
(2) Công ty chứng khoán có trách nhiệm gì trong giao dịch chứng khoán trực tuyến?
Căn cứ theo Điều 20 Thông tư 121/2020/TT-BTC khi thực hiện cung cấp dịch vụ giao dịch chứng khoán trực tuyến, công ty chứng khoán có nghĩa vụ như sau:
- Đảm bảo giao dịch liên tục, thông suốt.
- Đảm bảo an ninh, an toàn, bảo mật dữ liệu của hệ thống.
- Có hệ thống dự phòng, phương án thay thế trong trường hợp xảy ra sự cố.
- Có sự tách biệt với các hệ thống thông tin điện tử khác của công ty.
- Ban hành quy trình về việc vận hành, quản lý, sử dụng hệ thống giao dịch chứng khoán trực tuyến.
Bên cạnh đó, khi cung cấp dịch vụ giao dịch chứng khoán trực tuyến công ty chứng khoán phải ký hợp đồng hoặc phụ lục kèm theo hợp đồng mở tài khoản cho khách hàng. Trong đó bao gồm những nội dung như sau:
- Công bố về các rủi ro có thể xảy ra khi giao dịch chứng khoán trực tuyến.
- Quy định trách nhiệm của khách hàng và công ty chứng khoán về việc bảo mật thông tin về giao dịch trực tuyến của khách hàng.
Đồng thời, tại Khoản 4 Điều 11 Thông tư 121/2020/TT-BTC quy định về xây dựng kế hoạch dự phòng của công ty chứng khoán như sau:
“Công ty chứng khoán phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty”.
Từ những quy định nêu trên, có thể thấy trách nhiệm của Công ty chứng khoán cung cấp dịch vụ giao dịch trực tuyến là phải đảm bảo giao dịch được diễn ra liên tục, thông suốt. Đồng thời, còn có trách nhiệm bảo vệ sự an toàn cho tài khoản của nhà đầu tư.
Bên cạnh đó, công ty chứng khoán phải cung cấp những phương pháp giao dịch thay thế dự phòng trong trường hợp xảy ra sự cố và phải có dữ liệu dự phòng (backup data) nhằm phòng ngừa những trường hợp bị tấn công thì không ảnh hưởng đến tiền của khách hàng.
(3) Khách hàng có được bồi thường khi giao dịch chứng khoán trực tuyến bị lỗi không?
Trường hợp công ty chứng khoán để xảy ra sự cố khi cung cấp dịch vụ giao dịch trực tuyến thì có trách nhiệm phải bồi thường cho khách hàng. Tuy nhiên, trên thực tế rất khó để chứng minh mức thiệt hại là bao nhiêu, mức bồi thường của công ty là như thế nào.
Về mặt nguyên tắc, như đã nêu tại mục (1), công ty chứng khoán buộc phải xây dựng hệ thống dự phòng nhằm trường hợp bị tấn công thì sẽ chạy song song hệ thống còn lại để đảm bảo tính liên tục giao dịch.
Về mức xử phạt cho hành vi này, công ty chứng khoán không thực hiện xây dựng công nghệ thông tin, cơ sở dữ liệu dự phòng để bảo đảm hoạt động an toàn và liên tục của hệ thống thì sẽ bị xử phạt từ 70 đến 100 triệu đồng theo quy định tại Điểm đ Khoản 2 Điều 26 Nghị định 156/2020/NĐ-CP. Tuy nhiên, cũng loại trừ trường hợp Hệ thống không thể hoạt động liên tục do yếu tố khách quan, bất khả kháng. Trong trường hợp đó thì công ty chứng khoán sẽ không phải chịu mức phạt nêu trên.