Khi tội phạm vận hành như một thị trường
Tháng 2/2024, các điều tra viên của Cơ quan Tội phạm quốc gia Anh (NCA) cùng Cục Điều tra liên bang Mỹ (FBI), Cơ quan Cảnh sát châu Âu (Europol) và lực lượng thực thi pháp luật nhiều nước giành quyền kiểm soát hệ thống máy chủ của nhóm mã độc tống tiền khét tiếng LockBit trong chiến dịch Cronos. Thứ họ tìm thấy không chỉ là những dòng mã độc hay các máy chủ ẩn danh, mà là cả một hệ thống vận hành có tổ chức: có hạ tầng kỹ thuật, có mạng lưới “đối tác”, có công cụ hỗ trợ tấn công, có cơ chế thanh toán và có cơ chế phân chia lợi nhuận.
Theo NCA, ý nghĩa lớn hơn của chiến dịch này không chỉ nằm ở việc đánh vào một băng nhóm cụ thể. Nó phơi bày một thực tế đang định hình lại toàn bộ cục diện tội phạm mạng toàn cầu: tội phạm công nghệ cao đã không còn là lĩnh vực độc quyền của những “thiên tài” ẩn danh. Nó đã trở thành một thị trường: có nhà cung cấp, có khách hàng, có hỗ trợ kỹ thuật và có lợi nhuận được chia theo hợp đồng.
LockBit vận hành theo mô hình được giới an ninh mạng gọi là mã độc tống tiền như một dịch vụ (RaaS). Về cơ bản, đây là mô hình nhượng quyền thương mại: nhóm điều hành LockBit đóng vai trò nhà cung cấp nền tảng. Họ viết mã độc, duy trì hạ tầng thanh toán bằng tiền điện tử, vận hành trang rò rỉ dữ liệu, tổ chức bộ phận “hỗ trợ” để hướng dẫn nạn nhân nộp tiền chuộc, đồng thời cung cấp công cụ để các “đối tác” tiến hành tấn công. Những kẻ muốn thực hiện tấn công không nhất thiết phải tự viết mã độc từ đầu. Chúng có thể thuê lại nền tảng, khai thác quyền truy cập đã mua hoặc tự xâm nhập hệ thống mục tiêu, rồi chia lợi nhuận cho nhóm điều hành.
Theo các phân tích về mô hình hoạt động của LockBit, nhóm điều hành thường giữ khoảng 20% tiền chuộc, phần còn lại thuộc về các “đối tác” trực tiếp tiến hành tấn công, dù tỷ lệ này có thể thay đổi tùy từng thỏa thuận. Mikhail Vasiliev, công dân mang hai quốc tịch Nga và Canada, bị tuyên phạt gần 4 năm tù tại Canada vào tháng 3/2024, là một ví dụ điển hình. Hắn hoạt động như một đại lý độc lập: thuê nền tảng của LockBit, nhắm vào các tổ chức nạn nhân, khóa dữ liệu và thu tiền chuộc, rồi chia phần cho “nhà cung cấp”.
Mức độ phân công lao động trong hệ sinh thái này đáng chú ý không kém. Các báo cáo điều tra và phân tích an ninh mạng cho thấy, một cuộc tấn công mã độc tống tiền hiện đại có thể được chia thành nhiều tầng chuyên biệt. Mỗi tầng hoạt động tương đối độc lập và có thể thay thế. Điều này lý giải tại sao sau chiến dịch Cronos, vấn đề không chỉ là LockBit suy yếu đến mức nào, mà là các mắt xích trong thị trường ngầm có thể tiếp tục dịch chuyển sang nhóm khác, nền tảng khác hoặc mô hình RaaS khác, trong đó những cái tên như RansomHub nổi lên rất nhanh sau giai đoạn các nhóm lớn bị trấn áp. Vấn đề vì thế không còn nằm ở một nhóm cụ thể, mà ở thị trường ngầm nơi cung và cầu tội phạm có thể tự điều chỉnh rất nhanh sau mỗi chiến dịch trấn áp.
Chính sự phân mảnh đó buộc lực lượng thực thi pháp luật phải đặt câu hỏi khác đi: không chỉ “kẻ thực hiện tội phạm là ai?” mà còn “hạ tầng nào đang nuôi dưỡng hành vi đó, ai biết về nguy cơ ấy, và ai vẫn tiếp tục hưởng lợi từ nó?”. Khi tội phạm được tổ chức như một chuỗi dịch vụ, trách nhiệm pháp lý cũng bị chia nhỏ theo chuỗi đó. Người viết mã có thể nói mình chỉ tạo công cụ. Người bán quyền truy cập nói mình không trực tiếp tống tiền. Người vận hành hạ tầng thanh toán nói mình không biết nguồn tiền. Chính sự tách vai này khiến câu hỏi pháp lý trở nên gai góc hơn: đến đâu là cung cấp công nghệ trung lập, và từ đâu bắt đầu là tiếp tay cho tội phạm?
Khi công cụ trung lập bị kéo vào trách nhiệm hình sự
Sự “dịch vụ hóa” tội phạm không chỉ diễn ra trong lĩnh vực tấn công mạng, mà còn thâm nhập vào lớp tài chính bên dưới, và tại đây, ranh giới pháp lý trở nên đặc biệt mờ nhạt, đến mức ngay cả giới học giả luật hình sự cũng chưa thể vạch ra một đường phân định rõ ràng. Trường hợp của Roman Storm, đồng sáng lập nền tảng Tornado Cash, là một trường hợp điển hình cho sự xung đột này.
Tornado Cash là một giao thức phi tập trung trên nền tảng blockchain Ethereum, được thiết kế để ẩn danh hóa các giao dịch tiền điện tử bằng cách “trộn” chúng với nhiều giao dịch khác thông qua các hợp đồng thông minh vận hành tự động. Điểm mấu chốt ở đây là Tornado Cash không giống một công ty tài chính truyền thống: một phần hoạt động của nó dựa trên mã nguồn và hợp đồng thông minh, khiến khả năng kiểm soát trực tiếp của nhà phát triển bị thu hẹp sau khi mã được triển khai.
Cơ quan công tố Mỹ cáo buộc Storm đã biết rõ Tornado Cash bị các nhóm tội phạm sử dụng để rửa lượng lớn tiền phạm pháp. Storm bị bắt năm 2023 với các cáo buộc gồm âm mưu rửa tiền, vi phạm lệnh trừng phạt và vận hành doanh nghiệp chuyển tiền không giấy phép. Tuy nhiên, luật sư bào chữa của Storm đặt ra một lập luận đang làm đau đầu giới pháp lý: liệu có thể kết tội một người chỉ vì đã viết những dòng mã?
Mã nguồn của Tornado Cash, theo họ, không khác gì một cuốn sách giáo khoa về mật mã học: nó chỉ mô tả cách thực hiện một phép tính và bất kỳ ai cũng có thể sao chép, triển khai lại nó. Kết tội Storm, theo lập luận này, tương đương với việc kết tội một nhà hóa học vì đã công bố công thức tổng hợp một chất, mà chất đó về sau bị kẻ khác lạm dụng. Nhưng phía công tố Mỹ lại nhìn vụ việc theo hướng khác.
Theo Bộ Tư pháp Mỹ, Storm và các đồng sáng lập không chỉ tạo ra mã nguồn. Họ còn phát triển các tính năng cốt lõi, chi trả cho hạ tầng vận hành, quảng bá dịch vụ, thu lợi hàng triệu USD và tiếp tục duy trì Tornado Cash dù biết nền tảng này được sử dụng để chuyển lượng lớn tiền phạm pháp. Tháng 8/2025, bồi thẩm đoàn liên bang Mỹ kết tội Storm ở tội danh âm mưu vận hành doanh nghiệp chuyển tiền không giấy phép. Tuy nhiên, bồi thẩm đoàn không đạt đồng thuận ở hai cáo buộc nặng hơn là âm mưu rửa tiền và âm mưu vi phạm lệnh trừng phạt. Chính kết quả pha trộn này cho thấy ranh giới pháp lý trong các vụ án công nghệ phi tập trung vẫn chưa hề khép lại.
Vụ Tornado Cash không phải là đơn lẻ. Tháng 4/2024, hai nhà sáng lập ứng dụng ví tiền điện tử Samourai Wallet là Keonne Rodriguez và William Lonergan Hill bị bắt tại Mỹ với cáo buộc giúp rửa tiền thông qua các tính năng trộn và che giấu dấu vết giao dịch. Giống như Storm, họ từng lập luận mình chỉ là nhà phát triển phần mềm, không phải đồng lõa của tội phạm.
Nhưng đến tháng 11/2025, hai người này lần lượt bị tuyên án 5 năm và 4 năm tù vì tham gia âm mưu vận hành một doanh nghiệp để chuyển tiền phạm pháp, trong khi biết rõ bản chất của dòng tiền này. Theo công tố Mỹ, Samourai đã hỗ trợ hơn 237 triệu USD giao dịch bất hợp pháp.
Hai vụ án xét cạnh nhau đặt ra câu hỏi pháp lý chưa có tiền lệ: trách nhiệm của người tạo ra công cụ kéo dài đến đâu khi công cụ đó bị kẻ xấu sử dụng? Lịch sử pháp lý ghi nhận những cuộc chiến tương tự ở địa hình khác. Đạo luật Bảo vệ thương mại hợp pháp trong vũ khí (PLCAA) năm 2005 từng bảo vệ các nhà sản xuất vũ khí Mỹ trong nhiều vụ kiện liên quan đến hành vi của người dùng; Điều 230 của Đạo luật Chuẩn mực Truyền thông tạo lá chắn pháp lý quan trọng cho các nền tảng trực tuyến trước trách nhiệm đối với nội dung do người dùng đăng tải.
Nhưng các giao thức blockchain phi tập trung và công cụ trộn giao dịch tiền điện tử đã làm lung lay những khung tư duy quen thuộc đó: chúng không phải vũ khí vật lý, cũng không đơn thuần là nền tảng nội dung, mà là mã nguồn, hợp đồng thông minh và mạng lưới tự động hóa, có thể vận hành vượt khỏi mô hình kiểm soát truyền thống.
Tuy nhiên, lập luận “tôi chỉ viết mã” có những giới hạn pháp lý rõ ràng. Học thuyết “cố ý làm ngơ” trong luật hình sự Mỹ đặt ra rằng một người không thể tuyên bố vô tội nếu họ cố ý nhắm mắt trước những dấu hiệu hiển nhiên về hành vi phạm tội.
Các công tố viên trong vụ Storm lập luận rằng vấn đề không chỉ nằm ở việc ông ta viết mã, mà ở chỗ ông ta biết gì, đã làm gì với sự hiểu biết đó, có tiếp tục vận hành, quảng bá, thu lợi từ công cụ đó hay không. Đây cũng là điểm khiến các cuộc tranh luận về “trung lập của mã nguồn” dễ bị đặt sai chỗ. Câu hỏi pháp lý đặt ra ở đây không chỉ là “ai viết mã”, mà là “người đó biết gì, và đã làm gì với sự hiểu biết ấy”. Sự phân mảnh trách nhiệm trong chuỗi dịch vụ tội phạm không làm giảm tổng hậu quả; nó chỉ làm cho hậu quả đó khó quy trách nhiệm hơn.
Xu hướng pháp lý ở Mỹ và Liên minh châu Âu (EU) vì thế không đơn giản là mở rộng trách nhiệm pháp lý một cách tràn lan, mà là tìm cách xác định rõ hơn ranh giới giữa người viết mã trung lập và người vận hành, quảng bá, hưởng lợi từ một dịch vụ bị sử dụng có hệ thống cho mục đích phạm pháp. Ở Mỹ, các vụ Tornado Cash và Samourai Wallet cho thấy cơ quan công tố không muốn để công nghệ phi tập trung trở thành khoảng trống trách nhiệm.
Nhưng các phát biểu gần đây của Bộ Tư pháp Mỹ cũng cho thấy một điểm cân bằng quan trọng: chỉ viết mã, nếu không có ý định phạm tội, không thể mặc nhiên bị coi là tội phạm. Ở châu Âu, Quy định về thị trường tài sản mã hóa (MiCA) tạo khung cấp phép, minh bạch và giám sát đối với các nhà phát hành, nhà cung cấp dịch vụ tài sản mã hóa. Đây là sự dịch chuyển đáng kể từ tư duy “phản ứng” sang tư duy “phòng ngừa” và nó đang được theo dõi sát sao bởi cả cộng đồng lập trình viên lẫn thế giới ngầm.
Từ các vụ việc trên, một điều trở nên hiển nhiên: pháp luật đang phải tự viết lại chính mình - không phải trong các phòng hội thảo học thuật bình yên, mà trên những phiên tòa nơi ranh giới pháp lý mới đang được định hình qua từng lập luận, từng chứng cứ và từng phán quyết. Và trong khi các thẩm phán cân nhắc ranh giới trách nhiệm, chuỗi cung ứng tội phạm vẫn đang vận hành, mỗi ngày, trơn tru như bất kỳ doanh nghiệp hợp pháp nào.
Chiến tranh thông tin và những mối đe dọa 
Chiến tranh mạng do AI dẫn dắt sẽ tái định hình bức tranh an ninh mạng toàn cầu 
