1. “Bắt cóc online” là gì?

“Bắt cóc online” thực chất là hành vi lừa đảo chiếm đoạt tài sản, trong đó tội phạm không bắt giữ người thật mà sử dụng:

• Deepfake giọng nói để giả tiếng kêu cứu;
• Giả mạo số điện thoại người thân;
• Hack tài khoản mạng xã hội;
• Tạo áp lực tâm lý, yêu cầu chuyển tiền trong thời gian cực ngắn.

Đặc điểm của loại tội phạm này là đánh vào tâm lý hoảng loạn của gia đình, buộc họ chuyển tiền mà không kịp kiểm tra thông tin.

2. Căn cứ pháp lý hiện hành

Mặc dù hành vi chưa được “đặt tên” trong luật, nhưng pháp luật hiện hành đã điều chỉnh:

• Điều 174 BLHS 2015 – Tội lừa đảo chiếm đoạt tài sản;
• Điều 290 BLHS 2015 – Tội sử dụng mạng máy tính, viễn thông chiếm đoạt tài sản;
• Điều 155, 156 Luật Viễn thông 2023 – Quy định về quản lý thuê bao, ngăn chặn cuộc gọi giả mạo;
• Luật An ninh mạng 2018 – Trách nhiệm của doanh nghiệp cung cấp nền tảng và nghĩa vụ bảo vệ thông tin người dùng.

Tuy nhiên, thực tế vẫn tồn tại nhiều lỗ hổng pháp lý khiến tội phạm dễ lợi dụng.

3. Vì sao “bắt cóc online” dễ xảy ra?

3.1. Lỗ hổng về quản lý danh tính số

 

Dù Việt Nam đã triển khai Cơ sở dữ liệu quốc gia về dân cư, áp dụng định danh điện tử VNeID và siết chặt tình trạng SIM rác theo Nghị định 49/2017/NĐ-CP, nhưng tội phạm vẫn khai thác được khoảng trống trong quản lý danh tính trên môi trường mạng.

Các đối tượng có thể dễ dàng:

• Giả mạo số điện thoại người thân bằng kỹ thuật caller ID spoofing (thay đổi hiển thị số gọi đến),
• Tấn công vào tài khoản mạng xã hội để mạo danh gửi tin nhắn cầu cứu,
• Thu thập trái phép dữ liệu cá nhân từ các nguồn rò rỉ trên mạng.

Pháp luật hiện hành bao gồm Luật An ninh mạng 2018, Nghị định 53/2022/NĐ-CP hướng dẫn Luật An ninh mạng, Luật Viễn thông 2023 có quy định về bảo vệ danh tính, nhưng chưa có cơ chế kỹ thuật thống nhất để ngăn chặn hoàn toàn việc giả mạo thông tin trong thời gian thực. Kẽ hở này khiến tội phạm dễ dàng dựng lên kịch bản “bắt cóc ảo” chỉ bằng vài thao tác trên thiết bị viễn thông.

3.2. Công nghệ deepfake phát triển quá nhanh

Các vụ “bắt cóc online” thường khai thác deepfake giọng nói: chỉ cần 5–10 giây ghi âm, công nghệ AI đã có thể tạo ra tiếng khóc, tiếng kêu cứu có độ chân thật gần như tuyệt đối. Trong nhiều vụ việc, phụ huynh chỉ nghe “Mẹ ơi cứu con!” là lập tức hoảng loạn, chuyển khoản theo yêu cầu của tội phạm. Điều đáng nói ở đây là pháp luật Việt Nam hiện chưa có tội danh riêng về sử dụng AI/deepfake để lừa đảo. ành vi này chủ yếu được xử lý theo Điều 174 BLHS 2015 – Tội lừa đảo chiếm đoạt tài sản, hoặc Điều 288 BLHS – Tội đưa thông tin trái phép lên mạng. Tuy nhiên, cả hai điều luật đều chưa đề cập cụ thể đến hành vi “giả danh bằng AI”, khiến việc định tội, giám định và truy cứu trách nhiệm gặp nhiều khó khăn trong thực tế. Tội phạm công nghệ có lẽ đang đi quá nhanh so với tốc độ hoàn thiện pháp luật. Đây chính là lý do deepfake trở thành công cụ lừa đảo đầy nguy hiểm.

3.3. Người dân thiếu kỹ năng số – yếu tố khiến tội phạm dễ thành công

Trong các vụ “bắt cóc online”, điều khiến nạn nhân mất tiền nhanh nhất không phải công nghệ, mà là tâm lý hoảng loạn tức thời. Phần lớn người dân rơi vào tình trạng không biết cách kiểm tra cuộc gọi giả mạo, không xác minh thôgn tin với trường học, cơ quan hoặc người thân của “nạn nhân  giả”. Theo thống kê của Bộ Công an, phần lớn nạn nhân của loại tội phạm này là phụ huynh, người cao tuổi hoặc người ít tiếp xúc công nghệ, dễ bị đánh vào tâm lý lo sợ tức thì. Dù Luật An toàn thông tin mạng 2015 nhấn mạnh trách nhiệm của cá nhân trong việc bảo vệ dữ liệu và kiểm soát thông tin, nhưng kỹ năng số của người dân vẫn là điểm yếu mà tội phạm tận dụng triệt để.

4. Cách tội phạm thực hiện “bắt cóc online”

Tội phạm không cần gặp mặt nạn nhân, không cần tiếp cận người thân, nhưng vẫn có thể tạo ra một “vụ bắt cóc ảo” khiến gia đình hoảng loạn tuyệt đối. Theo tổng hợp từ các vụ việc Công an đã cảnh báo và xử lý, thủ đoạn thường diễn ra theo 4 bước sau — nhanh, chính xác và khai thác tối đa tâm lý con người:

4.1. Thu thập thông tin cá nhân từ mạng xã hội

Tội phạm bắt đầu bằng việc thu thập dữ liệu mở (“open-source data”), như ảnh, video, số điện thoại, danh bạ, bài đăng, trường học, công ty… từ Facebook, TikTok, Instagram, Zalo.
Chỉ cần vài thông tin cơ bản, chúng có thể dựng nên toàn bộ “hồ sơ ảo” của nạn nhân. Đây là hành vi xâm phạm quyền riêng tư được bảo vệ theo Điều 38 Bộ luật Dân sự 2015 và có thể cấu thành tội Thu thập, mua bán trái phép thông tin cá nhân theo Điều 288 BLHS 2015.

4.2. Giả mạo cuộc gọi bằng công nghệ “spoofing”

Tội phạm dùng kỹ thuật giả hiển thị số điện thoại để cuộc gọi hiện lên y hệt số của con, vợ, chồng hoặc người thân.
Nạn nhân thấy đúng số quen → lập tức mất khả năng phán đoán.
Hình thức này hiện chưa được quy định rõ thành tội danh riêng, nhưng được xem là thủ đoạn gian dối – yếu tố cấu thành của tội Lừa đảo chiếm đoạt tài sản (Điều 174 BLHS).

4.3. Tạo tình huống “khẩn cấp giả”: Deepfake giọng nói & hình ảnh

Chỉ cần 5–10 giây giọng nói lấy từ livestream hoặc đoạn video cũ, kẻ xấu có thể dùng AI tạo ra tiếng khóc nức nở, tiếng kêu cứu, tiếng la hét khi “bị trói” hoặc “đánh đập”. Công nghệ deepfake dường như là một công cụ hoàn hảo để có thể dụ nạn nhân “sa lưới”. Thế nhưng hiện nay Việt Nam vẫn chưa có điều luật riêng xử lý hành vi tạo deepfake để lừa đảo, tuy nhiên vẫn có thể áp dụng điều 155 BLHS 2015 quy định về tội vu khống, nếu deepfake làm ảnh hưởng đến danh dự của nạn nhân, hoặc có thể cấu thành tội Lừa đảo chiếm đoạt tài sản (điều 174) khi diễn ra hành vi chuyển tiền.

4.4. Ép chuyển tiền ngay – đánh vào tâm lý sợ hãi

Bước cuối cùng trong màn kịch này  là gây áp lực thời gian: “Chuyển tiền trong 3–5 phút, nếu không nó sẽ bị giết.”, “Không được gọi cho ai, không được báo công an!” là những lời mà các đối tượng thường đe dọa nạn nhân thực hiện chuyển tiền theo hướng dẫn. Trong áp lực thời gian ngắn, thêm vào đó là áp lực tâm lý khi nghe thấy tiếng người thân của mình đang không ngừng kêu cứu sẽ khiến cho gia đình không kịp xác minh, mất khả năng suy nghĩ logic và dễ dàng làm theo yêu cầu chuyển khoản. Hành vi ép buộc chuyển tiền bằng mạo danh, đe dọa được xem là thủ đoạn gian dối, cưỡng ép để chiếm đoạt tài sản, đủ yếu tố hình sự theo:

• Điều 174 BLHS – Lừa đảo chiếm đoạt tài sản (nếu dùng thủ đoạn gian dối),
• Điều 170 BLHS – Cưỡng đoạt tài sản (nếu có hành vi đe dọa gây hại).

5. Trách nhiệm pháp lý của người phạm tội

Hành vi “bắt cóc online” thực chất là giả mạo thông tin, sử dụng công nghệ cao để tạo tình huống khẩn cấp nhằm lừa người bị hại chuyển tiền.
Theo pháp luật Việt Nam, đây không phải tội “bắt cóc” theo nghĩa truyền thống, mà là tội phạm công nghệ cao với nhiều cấu thành vi phạm khác nhau. Tuỳ mức độ, người phạm tội có thể bị truy cứu nhiều tội danh đồng thời.

5.1. Tội lừa đảo chiếm đoạt tài sản – Điều 174 BLHS

• Yếu tố cấu thành quan trọng của tội này là:
• Hành vi dùng thủ đoạn gian dối (deepfake, spoofing, giả mạo danh tính số)
•  Làm cho nạn nhân tin đó là sự thật
• Nhằm mục đích chiếm đoạt tiền

Bản chất Kẻ phạm tội dùng thủ đoạn gian dối để làm nạn nhân nhầm tưởng người thân đang gặp nguy hiểm, từ đó tự nguyện chuyển tiền. Với “bắt cóc online”, yếu tố “lừa dối” được thể hiện ở việc giả mạo giọng nói, hình ảnh, dựng tình huống bắt cóc khẩn cấp. Vì vậy mà hành vi nguy hiểm cho xã hội này hoàn toàn trùn khớp với dấu hiệu pháp lý của điều 174.

 

5.2. Tội sử dụng mạng máy tính, viễn thông để chiếm đoạt tài sản – Điều 290 BLHS

Đây là tội danh điển hình cho hành vi “bắt cóc online” vì toàn bộ thủ đoạn diễn ra trên môi trường số: giả số điện thoại, gọi video deepfake, điều khiển tài khoản mạng xã hội… Trong thực tế, cơ quan điều tra thường áp dụng Điều 290 cho các vụ deepfake – lừa đảo online, vì mức hình phạt nghiêm khắc và đúng bản chất hành vi.

5.3. Các tội danh khác

Ngoài 2 tội chính, hành vi “bắt cóc online” thường kèm theo nhiều vi phạm khác:

a) Tội xâm nhập trái phép mạng máy tính, thiết bị số – Điều 289 BLHS

Áp dụng khi kẻ gian:

• Hack tài khoản Facebook/Zalo
• Xâm nhập điện thoại để lấy ảnh, video, thông tin cá nhân
• Chiếm quyền điều khiển thiết bị của nạn nhân

b) Tội đưa hoặc sử dụng trái phép thông tin cá nhân – Điều 288 BLHS

Khi kẻ lừa đảo thu thập, mua bán, phát tán thông tin cá nhân của nạn nhân để phục vụ hành vi phạm tội.

c) Tội làm giả tài liệu, tài khoản điện tử

Tuỳ tính chất, có thể xử lý theo:

• Điều 341 BLHS (làm giả tài liệu, con dấu) nếu làm giả CCCD, giấy tờ
• Hoặc xử phạt theo các quy định về an ninh mạng khi tạo tài khoản giả, số điện thoại giả

5.4. Trách nhiệm dân sự kèm theo

Ngoài hình phạt tù, người phạm tội phải:

• Hoàn trả toàn bộ số tiền đã chiếm đoạt
• Bồi thường thiệt hại tinh thần
• Bồi thường chi phí phát sinh nếu nạn nhân phải bỏ tiền để khắc phục hậu quả

6. Cách nhận biết và phòng tránh “bắt cóc online”

Trong phần lớn các vụ “bắt cóc online”, nạn nhân không mất tiền vì tội phạm quá tinh vi, mà vì gia đình hoảng loạn và không kịp xác minh thông tin. Do đó, việc trang bị kỹ năng số – kỹ năng ứng phó tình huống khẩn cấp là lá chắn quan trọng nhất.

Nguyên tắc số 1: bình tĩnh.

Nếu nhận được cuộc gọi “bắt cóc”, tuyệt đối không chuyển tiền chỉ vì nghe tiếng khóc hay tiếng kêu cứu.
Hãy ngay lập tức:

• gọi lại cho người thân bằng số khác,
• hoặc nhờ người bên cạnh gọi để xác minh.
  95% các vụ lừa đảo kiểu này sẽ lộ tẩy trong vòng 30 giây khi liên lạc được với người thật.

Nguyên tắc số 2: Không chuyển tiền trong mọi trường hợp bị đe doạ

Tội phạm thường ép chuyển tiền trong 3–5 phút bằng lý do “không được gọi ai khác”. Đây là dấu hiệu kinh điển của lừa đảo theo mô hình tống tiền thời gian thực. Vì vậy phải hết sức tỉnh táo, không nghe theo yêu cầu chuyển tiền.

Nguyên tắc 3: Xác minh với cơ quan Công an

Nếu nghi ngờ nhưng không thể liên lạc được với người thân, hãy:

• báo ngay cho Công an xã/phường nơi cư trú,
• hoặc gọi số 113.
  Theo Luật Công an nhân dân 2018 và Luật Phòng chống tội phạm công nghệ cao, Công an có trách nhiệm hỗ trợ xác minh thông tin liên quan đến hành vi sử dụng mạng viễn thông để lừa đảo, đe dọa hoặc tống tiền.

Nguyễn tắc 4: Bảo mật tài khoản – chống hack, chống giả mạo danh tính

Để tránh bị chiếm quyền điều khiển tài khoản rồi nhắn tin giả mạo:

• bật xác thực 2 lớp (2FA) cho Facebook, Zalo, iCloud, Gmail;
• đặt mật khẩu mạnh, thay đổi định kỳ;
• không bấm vào link lạ (phishing) – phương thức tội phạm dùng để lấy quyền truy cập.

Một tài khoản bị hack đồng nghĩa với việc kẻ gian có đầy đủ ảnh, giọng nói, danh bạ, lịch sử chat để dựng kịch bản “bắt cóc” hoàn chỉnh.

“Bắt cóc online” không chỉ là loại tội phạm công nghệ cao, mà còn là lời cảnh báo cho cả xã hội về sự nguy hiểm của dữ liệu cá nhân và công nghệ deepfake. Trong bối cảnh pháp luật đang hoàn thiện, mỗi người dân cần nâng cao kỹ năng an toàn số, còn các cơ quan lập pháp cần sớm bổ sung quy định để bảo vệ người dân trước xu hướng tội phạm mới này.

Trên đây là toàn bộ tư vấn của chúng tôi, hy vọng rằng, những ý kiến tư vấn này, sẽ giúp làm sáng tỏ vấn đề mà Quý vị đang quan tâm. Để có thể làm rõ hơn và chi tiết từng vấn đề nêu trên cũng như các vấn đề pháp lý mà Quý vị đang cần tham khảo thêm ý kiến chuyên môn. Xin vui lòng liên hệ ngay cho chúng tôi theo địa chỉ email: luatsaosang@gmail.com hoặc qua Tổng đài tư vấn: 0936.65.3636 để nhận được sự tư vấn, giải đáp và hỗ trợ từ Luật Sao Sáng. Trân trọng cảm ơn!