Ngân hàng Mỹ tự tố cáo vì vô tình đưa dữ liệu khách hàng vào ứng dụng AI trái phép

Một ngân hàng thương mại tại Mỹ vừa phải tự báo cáo lên cơ quan chức năng về việc nhân viên của mình đã vô tình tải dữ liệu nhạy cảm của khách hàng vào một ứng dụng AI không được phép sử dụng.

Community Bank, ngân hàng hoạt động tại các bang southwestern Pennsylvania, Ohio và West Virginia, đã đệ trình biểu mẫu 8-K lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) vào thứ Hai vừa qua. Ngân hàng cho biết họ đã khởi động một cuộc điều tra nội bộ về sai sót này và hiện vẫn đang đang tiến hành xem xét.

Lý do ngân hàng buộc phải nộp báo cáo là do "khối lượng lớn cũng như tính chất nhạy cảm của các thông tin phi công khai" bị ảnh hưởng.

Dữ liệu bị lộ và nguy cơ bảo mật

Theo hồ sơ gửi lên SEC, các dữ liệu bị đưa vào ứng dụng AI trái phép bao gồm tên khách hàng, ngày sinh và số An sinh xã hội (SSN). Tại Mỹ, SSN được xếp vào loại thông tin cực kỳ nhạy cảm và được bảo vệ nghiêm ngặt bởi nhiều luật liên bang và tiểu bang.

Community Bank không cung cấp chi tiết cụ thể về loại "ứng dụng phần mềm dựa trên AI trái phép" này là gì hay cách thức nó được sử dụng như thế nào. Tuy nhiên, một khả năng lớn được các chuyên gia đưa ra là nhân viên ngân hàng đã dán (paste) thông tin khách hàng vào một công cụ AI tạo sinh (Generative AI) công khai nằm ngoài hệ thống được chấp thuận của ngân hàng.

Nếu đúng là如此, việc này đặt ra câu hỏi lớn về việc liệu thông tin đó có bị truyền cho các nhà cung cấp bên thứ ba hay không, cũng như cách thức dữ liệu được lưu trữ hoặc xử lý sau đó.

Hậu quả và hành động khắc phục

Mặc dù sự cố nghiêm trọng về mặt bảo mật, Community Bank khẳng định hoạt động kinh doanh không bị ảnh hưởng. Khách hàng vẫn có thể truy cập vào tài khoản và sử dụng các dịch vụ thanh toán bình thường.

Trong bản công bố về an ninh mạng của mình, đại diện ngân hàng stated:

"Công ty đang đánh giá dữ liệu khách hàng bị ảnh hưởng và đang thực hiện các thông báo theo yêu cầu của các luật và hướng dẫn quy định liên bang và tiểu bang có liên quan. Công ty đã, và tiếp tục duy trì giao tiếp với các cơ quan ngân hàng và tài chính liên quan về sự cố này."

Ngân hàng cũng cam kết sẽ tiếp tục các nỗ lực khắc phục, thực hiện các biện pháp ngăn chặn sự cố tương tự trong tương lai và tái khẳng định cam kết bảo vệ dữ liệu khách hàng. Đây là một lời nhắc nhở đắt giá cho các tổ chức tài chính về việc cần thiết phải có chính sách sử dụng AI chặt chẽ để tránh rò rỉ dữ liệu nhạy cảm.