26/03/2024 13:52

Ai chịu trách nhiệm khi công ty chứng khoán bị tấn công?

Ai chịu trách nhiệm khi công ty chứng khoán bị tấn công?

Công ty chứng khoán VNDIRECT vừa bị tấn công, ảnh hưởng tới quyền lợi của các nhà đầu tư. Vậy ai sẽ chịu trách nhiệm khi công ty chứng khoán bị tấn công? (Chị Hằng-Hà Nội)

Chào chị, Ban biên tập xin trả lời như sau:

1. Công ty chứng khoán là gì?

Theo quy định tại khoản 1 Điều 2 Thông tư 121/2020/TT-BTC, công ty chứng khoán là doanh nghiệp được Ủy ban Chứng khoán Nhà nước cấp phép thực hiện một, một số nghiệp vụ theo quy định của luật chứng khoán.

- Theo Điều 72 Luật Chứng khoán 2019, nghiệp vụ kinh doanh của công ty chứng khoán được quy định cụ thể như sau:

Công ty chứng khoán được cấp phép thực hiện một, một số hoặc toàn bộ nghiệp vụ kinh doanh sau đây:

+ Môi giới chứng khoán;

+ Tự doanh chứng khoán;

+ Bảo lãnh phát hành chứng khoán;

+ Tư vấn đầu tư chứng khoán.

2. Trách nhiệm của công ty chứng khoán khi hệ thống bị tấn công

Theo Điều 20 Thông tư 121/2020/TT-BTC khi cung cấp dịch vụ giao dịch chứng khoán trực tuyến thì công ty chứng khoán phải có nghĩa vụ sau:

- Đảm bảo giao dịch liên tục, thông suốt;

- Đảm bảo an ninh, an toàn, bảo mật dữ liệu của hệ thống;

- Có hệ thống dự phòng, phương án thay thế trong trường hợp xảy ra sự cố;

- Có sự tách biệt với các hệ thống thông tin điện tử khác của công ty;

- Ban hành quy trình về việc vận hành, quản lý, sử dụng hệ thống giao dịch chứng khoán trực tuyến.

Ngoài ra, theo Khoản 2 Điều 5 Thông tư 134/2017/TT-BTC hướng dẫn giao dịch điện tử trên thị trường chứng khoán như sau:

- Công ty chứng khoán được yêu cầu ban hành quy trình thực hiện dịch vụ giao dịch chứng khoán trực tuyến bao gồm quy trình về xử lý sự cố; quy trình sao lưu dự phòng hệ thống, dữ liệu; quy trình kiểm soát rủi ro trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến cho nhà đầu tư, phải bố trí đội ngũ nhân viên có bằng cấp, chứng chỉ công nghệ thông tin về quản trị phần mềm, quản trị hệ thống và an ninh thông tin  để quản lý và giám sát các hoạt động của hệ thống giao dịch chứng khoán trực tuyến đảm bảo liên tục và thông suốt.

- Đồng thời, việc cung cấp và sử dụng dịch vụ giao dịch chứng khoán trực tuyến với nhà đầu tư phải được thể hiện bằng hợp đồng hoặc điều khoản của hợp đồng mở tài khoản giao dịch chứng khoán, trong đó quy định cụ thể về phương thức giao dịch chứng khoán trực tuyến, những rủi ro có thể xảy ra khi thực hiện giao dịch chứng khoán trực tuyến theo quy định tại khoản 1 Điều 15 Thông tư 134/2017/TT-BTC, trách nhiệm bồi thường của mỗi bên khi xảy ra rủi ro và trách nhiệm khác liên quan đến hoạt động giao dịch chứng khoán trực tuyến.

Ngoài ra, tại Điểm a Khoản 4 Điều 11 Thông tư 121/2020/TT-BTC quy định về xây dựng kế hoạch dự phòng của công ty chứng khoán. Trong đó, công ty chứng khoán phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty.

Nguyên tắc tối thiểu là công ty chứng khoán phải có dữ liệu dự phòng (backup data), nhằm phòng ngừa những trường hợp bị tấn công, thông tin khách hàng vẫn được lưu trữ.

Như vậy, khi cung cấp dịch vụ giao dịch chứng khoán trực tuyến thì công ty chứng khoán có trách nhiệm đảm bảo giao dịch được diễn ra liên tục, thông suốt, đồng thời ban hành quy trình xử lý rủi ro cũng như phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty và phải có dữ liệu dự phòng để thông tin khách hàng vẫn được lưu trữ phognf trường hợp bị tấn công.

Vì vậy, khi hệ thống giao dịch trực tuyến của công ty chứng khoán bị tấn công thì phía công ty chứng khoán sẽ chịu trách nhiệm khi quyền lợi của nhà đầu tư bị thiệt hại. Tuy nhiên, rất khó có thể xác minh và căn cứ để công ty chứng khoán phải bồi hoàn cho khoản đầu tư đó. Vì khó chứng minh mức thiệt hại là bao nhiêu, mức bồi thường của công ty là như thế nào.

Tuy nhiên, pháp luật quy định công ty chứng khoán phải xây dựng các kế hoạch dự phòng, nên khi công ty chứng khoán không thực hiện xây dựng công nghệ thông tin, cơ sở dữ liệu dự phòng để bảo đảm hoạt động an toàn và liên tục của hệ thống thì sẽ bị xử phạt từ 70 đến 100 triệu đồng theo quy định tại Điểm đ Khoản 2 Điều 26 Nghị định 156/2020/NĐ-CP. Trong trường hợp Hệ thống không thể hoạt động liên tục do yếu tố khách quan, bất khả kháng thì công ty chứng khoán sẽ không phải chịu mức phạt nêu trên.

Trân trọng!

Phạm Thị Thu Hà
433

Đây là nội dung tóm tắt, thông báo văn bản mới dành cho khách hàng của THƯ VIỆN PHÁP LUẬT. Nếu quý khách còn vướng mắc vui lòng gửi về Email: [email protected]