Chữ ký số - tiện lợi nhưng dễ bị lợi dụng

Dịch vụ đăng ký chữ ký số được chào mời tràn lan

Hiện nay, không chỉ các cơ quan nhà nước, nhiều doanh nghiệp, hộ kinh doanh và cá nhân cũng phải sử dụng chữ ký số để thực hiện các thủ tục thuế, hải quan, bảo hiểm xã hội hoặc giao dịch điện tử với cơ quan quản lý.

Chính nhu cầu này đã kéo theo sự phát triển mạnh của thị trường cung cấp dịch vụ chữ ký số. Trên mạng xã hội, các diễn đàn kế toán, thậm chí cả các nền tảng thương mại điện tử, không khó để bắt gặp những lời quảng cáo như “đăng ký chữ ký số nhanh trong ngày”, “token ký số giá rẻ”, “hỗ trợ cài đặt và sử dụng từ xa”. Chỉ cần tìm kiếm từ khóa “đăng ký chữ ký số”, người dùng có thể thấy hàng loạt dịch vụ chào mời với nhiều mức giá và cam kết hỗ trợ khác nhau.

Một số đơn vị còn quảng cáo sẵn sàng nhận làm trọn gói từ đăng ký, kích hoạt, cài đặt phần mềm đến hướng dẫn ký chứng từ điện tử. Thậm chí có nơi còn nhận “quản lý hộ” chữ ký số hoặc hỗ trợ ký hồ sơ từ xa cho khách hàng nếu người sử dụng không quen thao tác trên hệ thống.

Các chuyên gia cho rằng chính cách thức cung cấp dịch vụ theo kiểu “làm thay” này có thể tiềm ẩn nhiều rủi ro. Bởi khi thiết bị USB token và mật khẩu được giao cho bên thứ ba sử dụng hoặc lưu giữ, quyền kiểm soát chữ ký số của người đứng tên gần như không còn được bảo đảm.

Trong môi trường giao dịch điện tử, chữ ký số có giá trị pháp lý tương đương chữ ký tay và con dấu của người có thẩm quyền. Vì vậy, nếu thiết bị ký số bị sử dụng ngoài sự kiểm soát của chủ sở hữu, mọi giao dịch được ký bằng thiết bị đó vẫn có thể được hệ thống ghi nhận là hợp lệ.

Trao đổi về vấn đề này, luật sư Nguyễn Văn Tuấn, Giám đốc Công ty Luật TNHH TGS (Đoàn Luật sư TP Hà Nội) cho biết, về bản chất pháp lý, chữ ký số mang lại giá trị tương đương và thậm chí có nhiều ưu điểm vượt trội so với chữ ký tay và con dấu truyền thống nhờ khả năng định danh và tính không thể chối bỏ.

Theo luật sư Tuấn, nếu chữ ký tay có thể bị làm giả và cần giám định phức tạp, thì chữ ký số lại gắn liền với chứng thư số thông qua quy trình xác minh nhân thân nghiêm ngặt. Mọi thao tác ký duyệt đều được ghi nhận thời gian và lưu vết trên hệ thống, khiến việc phủ nhận trách nhiệm gần như không thể.

Đối với tổ chức, chữ ký số có thể thay thế hoàn toàn vai trò của con dấu đỏ khi xác nhận thẩm quyền pháp lý dựa trên hồ sơ doanh nghiệp đã được thẩm định. Đồng thời, công nghệ mã hóa cũng giúp bảo đảm tính toàn vẹn của văn bản, bởi bất kỳ sự can thiệp chỉnh sửa nào dù nhỏ, đều khiến hệ thống phát hiện và làm mất giá trị của văn bản điện tử.

Luật sư Tuấn cũng cho biết trong các giao dịch tài chính công như thuế, hải quan hoặc kho bạc, hệ thống vận hành dựa trên cơ chế phân quyền chặt chẽ giữa chữ ký số của người dân, doanh nghiệp và chữ ký số chuyên dùng của cơ quan nhà nước, tạo thành một cơ chế bảo mật nhiều lớp.

Ngoài ra, theo quy định của Luật Giao dịch điện tử, các thông điệp dữ liệu được ký số hợp lệ có giá trị như chứng cứ gốc trong hoạt động thanh tra, kiểm tra hoặc giải quyết tranh chấp. Điều này giúp giảm đáng kể các thủ tục hành chính truyền thống như in ấn hồ sơ, đóng dấu đỏ hay sao y bản chính.

Tuy nhiên, các chuyên gia pháp lý cũng nhấn mạnh rằng chính vì chữ ký số mang giá trị pháp lý cao nên việc quản lý thiết bị ký số và mật khẩu phải được thực hiện hết sức nghiêm ngặt. Nếu USB token hoặc mật khẩu bị giao cho người khác giữ hộ hoặc sử dụng thay, mọi giao dịch được thực hiện bằng chữ ký đó vẫn có thể được xem là hợp lệ về mặt pháp lý.

Thực tế từ các vụ án liên quan đến chứng từ khống cho thấy công nghệ không phải là nguyên nhân trực tiếp dẫn đến sai phạm. Vấn đề nằm ở quy trình quản lý và ý thức bảo mật của người sử dụng. Khi việc quản lý thiết bị ký số và mật khẩu không được kiểm soát chặt chẽ, chữ ký số vốn được thiết kế để bảo đảm tính xác thực có thể trở thành công cụ bị lợi dụng.

Trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ trong khu vực công và doanh nghiệp, việc sử dụng chữ ký số là xu hướng tất yếu. Tuy nhiên, cùng với sự phát triển của thị trường dịch vụ ký số, yêu cầu đặt ra là phải nâng cao nhận thức về bảo mật và trách nhiệm pháp lý của người sử dụng, tránh để sự tiện lợi của công nghệ trở thành kẽ hở cho các hành vi vi phạm.

Khi chữ ký số trở thành “con dấu điện tử” bị lợi dụng

Chữ ký số đang dần thay thế con dấu và chữ ký tay trong hoạt động tài chính công. Từ thanh toán ngân sách, quyết toán kinh phí đến giao dịch với kho bạc, nhiều quy trình nay chỉ cần một USB token và mật khẩu là có thể hoàn tất phê duyệt.

Thực tế cho thấy trong thời gian gần đây đã xảy ra nhiều vụ án mà điểm chung là kế toán sử dụng chữ ký số của lãnh đạo để duyệt chứng từ khống. Người trực tiếp chiếm đoạt bị xử lý nghiêm khắc song lãnh đạo đơn vị, dù không hưởng lợi, vẫn có thể vướng vòng tố tụng vì thiếu trách nhiệm trong quản lý.

Một vụ án đang thu hút sự chú ý của dư luận là vụ việc xảy ra tại Ban Thi đua và Khen thưởng (Sở Nội vụ) tỉnh Đồng Tháp. Theo cáo trạng của Viện KSND tỉnh Đồng Tháp, từ ngày 1/1/2020 đến 31/8/2023, Võ Thị Thùy Trang, kế toán Ban Thi đua và Khen thưởng, đã lập khống 173 bộ chứng từ thanh toán, sử dụng hóa đơn giá trị gia tăng của nhiều đơn vị kinh doanh để hợp thức hóa hồ sơ chi ngân sách, qua đó chiếm đoạt hơn 2,1 tỉ đồng.

Thủ đoạn được xác định là Trang chủ động lập dự toán, soạn thảo hồ sơ và đính kèm hóa đơn đầu vào để tạo thành các bộ chứng từ hợp lệ trên giấy tờ. Sau đó, các chứng từ này được nhập vào hệ thống dịch vụ công của Kho bạc Nhà nước để thực hiện giao dịch điện tử.

Theo quy trình, để hồ sơ được kho bạc chấp nhận thanh toán bắt buộc phải có chữ ký số của lãnh đạo đơn vị. Do đó Trang đã lợi dụng việc quản lý chữ ký số chưa chặt chẽ, sử dụng chữ ký số mang tên lãnh đạo để hoàn tất các bước phê duyệt điện tử. Nhờ đó, các chứng từ khống được hệ thống ghi nhận là đã có đủ điều kiện pháp lý và được giải ngân.

Hành vi này diễn ra liên tục qua nhiều năm mà không bị phát hiện kịp thời cho đến khi cơ quan chức năng vào cuộc. Đáng chú ý, ngoài việc truy tố Võ Thị Thùy Trang về tội tham ô tài sản, cáo trạng còn đề cập trách nhiệm quản lý của các lãnh đạo Ban Thi đua và Khen thưởng qua từng giai đoạn gồm: Huỳnh Anh Tuấn, Nguyễn Thành Tấn, Hồ Vũ Bảo và Huỳnh Thị Lan.

Trong đó, ông Nguyễn Thành Tấn, nguyên quyền trưởng ban, từng bị xem xét truy tố về tội thiếu trách nhiệm gây hậu quả nghiêm trọng theo khoản 2 Điều 360 Bộ luật Hình sự.

Tuy nhiên, trong đơn xin cứu xét, ông Tấn cho rằng mình không được bàn giao USB token chữ ký số, không được cung cấp mật khẩu và cũng không được tập huấn về quy trình giao dịch điện tử với kho bạc. Ông khẳng định không biết việc chữ ký số mang tên mình đã được đăng ký và sử dụng trong thanh toán.

Theo kết quả điều tra, chữ ký số của lãnh đạo Ban Thi đua và Khen thưởng được đăng ký từ năm 2019 khi ông Huỳnh Anh Tuấn ký hợp đồng với VNPT Tiền Giang. Sau khi thiết bị được cấp, bị can Võ Thị Thùy Trang là người nhận nhưng không bàn giao lại cho các cá nhân đứng tên sử dụng, trong đó có ông Nguyễn Thành Tấn.

Nội dung bàn giao công việc khi ông Tấn nhận nhiệm vụ quyền trưởng ban cũng không đề cập đến chữ ký số. Kết quả trưng cầu giám định dữ liệu điện tử từ máy tính của ông Tấn cũng không phát hiện tài liệu liên quan đến việc triển khai hoặc sử dụng chữ ký số trong thời gian ông giữ chức vụ. Vì vậy, cơ quan điều tra cho rằng chưa có cơ sở vững chắc để quy kết hành vi của ông Tấn về tội thiếu trách nhiệm gây hậu quả nghiêm trọng.

Trước đó, một vụ án khác cũng cho thấy cách chữ ký số có thể bị lợi dụng khi quy trình quản lý lỏng lẻo. Ngày 19/8/2025, TAND tỉnh Đồng Tháp xét xử vụ án Nguyễn Tấn Sĩ, cựu kế toán Phòng Nội vụ TP Mỹ Tho. Theo bản án, Sĩ đã sử dụng chữ ký số của lãnh đạo phòng để duyệt 136 chứng từ khống, chiếm đoạt hơn 3,7 tỉ đồng trong vòng ba năm.

Thủ đoạn tương tự, sau khi lập chứng từ trên hệ thống, Sĩ sử dụng USB token và mật khẩu của thủ trưởng để hoàn tất phê duyệt điện tử. Sai phạm chỉ bị phát hiện sau thời gian dài do việc quản lý và bảo mật chữ ký số lỏng lẻo. Sĩ bị tuyên 20 năm tù về tội tham ô tài sản, trong khi lãnh đạo đơn vị bị tuyên 3 năm tù về tội thiếu trách nhiệm gây hậu quả nghiêm trọng.

Điểm chung của hai vụ án là chữ ký số, công cụ được thiết kế để bảo đảm tính xác thực, lại trở thành phương tiện hợp thức hóa chứng từ khống khi quy trình kiểm soát nội bộ bị buông lỏng.

Dưới góc nhìn pháp lý hiện nay, luật sư Nguyễn Văn Tuấn, cho biết: “Việc quản lý và sử dụng chữ ký số trong cơ quan nhà nước phải tuân thủ các nguyên tắc về tính hợp lệ, an toàn, bảo mật, toàn vẹn dữ liệu và trách nhiệm quản lý khóa bí mật. Những nguyên tắc này được quy định chủ yếu tại Luật Giao dịch điện tử 2023, Nghị định 68/2024/NĐ-CP và Thông tư 41/2017/TT-BTTTT”.

Có thế thấy, việc quản lý chữ ký số trong khối cơ quan nhà nước không chỉ là thao tác kỹ thuật mà còn là một quy trình pháp lý nghiêm ngặt nhằm bảo đảm tính xác thực và an toàn tài chính. Theo đó, chữ ký số phải được tạo ra bằng khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký, đồng thời mọi thay đổi đối với nội dung văn bản sau khi ký đều phải được phát hiện để bảo đảm tính toàn vẹn dữ liệu.

Pháp luật quy định rõ trách nhiệm quản lý thiết bị lưu khóa bí mật. Theo đó, khóa bí mật cá nhân do người có thẩm quyền tự bảo quản, còn khóa bí mật của cơ quan, tương đương con dấu đỏ, phải giao cho bộ phận văn thư quản lý theo quy định. Chữ ký số chuyên dùng công vụ chỉ được sử dụng cho các văn bản điện tử thông thường và không áp dụng với tài liệu thuộc danh mục bí mật nhà nước trên Internet. Đồng thời, các cơ quan phải ban hành quy chế nội bộ để kiểm soát toàn bộ vòng đời của chứng thư số, từ đăng ký, cấp phát đến thu hồi khi cán bộ thay đổi vị trí công tác hoặc nghỉ hưu.

Luật sư Tuấn cũng cho biết thêm: “Khi chữ ký số được sử dụng để phê duyệt chứng từ và giao dịch tài chính, người đứng tên chữ ký phải chịu trách nhiệm về nội dung văn bản và việc bảo mật khóa bí mật. Theo Luật Giao dịch điện tử 2023, chữ ký số chỉ được coi là an toàn khi khóa bí mật nằm dưới sự kiểm soát duy nhất của người ký; vì vậy nếu USB token hoặc mật khẩu bị để lộ hoặc giao cho người khác sử dụng, trách nhiệm pháp lý trước hết vẫn thuộc về chủ sở hữu chữ ký.

Trong lĩnh vực tài chính công, trách nhiệm này còn gắn với quy định của Luật Kế toán 2015 về tính chính xác và trung thực của chứng từ. Nếu việc quản lý chữ ký số bị buông lỏng, cá nhân liên quan không chỉ đối mặt với kỷ luật hoặc xử phạt hành chính mà còn có thể bị truy cứu trách nhiệm hình sự khi gây thất thoát ngân sách. Theo các chuyên gia, chuyển đổi sang chữ ký số là xu hướng tất yếu, nhưng công nghệ chỉ an toàn khi đi kèm kỷ luật quản lý và trách nhiệm cá nhân”.