银行卡安全问题在近年来愈演愈恶劣,无数鲜血淋淋的例子并没有给卡友们太多的警示,相反,随着信用卡使用频率的增加,各种大额信用卡的盗刷时间也层出不穷。问题是,银行卡盗刷是一种技术手段,个人再怎么小心,也难免中招。因此,银行防盗技术的落后,是个人账户资金丢失的最重要因素。让人不明白的是,相关盗刷事件一再发生,何以银行方面的技术升级始终跟不上犯罪分子的步伐?
【案例】
张先生一直在北京工作,近期没有出过北京,但却要为在南京刷的5000元消费埋单。据了解,张先生的浦发信用卡一直在钱包里,没有丢失也没有借过别人,近期信用卡主要用来淘宝购物、日常消费刷卡等。
4月13日,张先生刚到公司就收到95528的信用卡消费短信,内容大体如下:“您尾号XXXX的浦发信用卡于4月13于10:02消费3000元,需分期请拨021-38784988-5-1”由于他太太也有张副卡,张先生马上进行核对,但发现尾号不对,于是他赶紧拿起电话拨打信用卡中心挂失。就在挂失途中,又收到一条短信,内容大体相同,这次消费金额为2000元。
随后张先生向浦发信用卡中心核对信息,询问刷卡情况。据信用卡中心查询结果,是南京某商户处刷的卡,属柜台刷卡,不是网络刷卡交易。于是张先生就开始了辛苦、辗转向两地的警方报案的历程,案件目前还在侦查中。
其实,不单是张先生,异地盗刷的案件在今年频频发生。
3月9日,工商银行客户赵先生银行卡被人在深圳分5次取走了8600元。
3月13日—19日,中信银行客户肖女士银行卡被他人在安徽、杭州共取走了10万元现金。
近日,浦发银行一位刚发工资的储户的银行卡被人在深圳分两次取走了3900元。
……
这些银行卡盗刷犯罪不仅直接威胁到持卡人的资金安全,给持卡人造成经济损失,同时还威胁到金融市场的整体运行秩序。日前,人民银行、银监会、公安部和国家工商总局四部委联合下发《关于加强银行卡安全管理,预防和打击银行卡犯罪的通知》,要求加强力度打击银行卡犯罪行为。
为此,包括发卡银行、收单机构和中国银联在内的银行卡产业界相继推出了一系列措施,全面防范银行卡风险。这些措施包括:在发卡端落实银行卡账户实名制,控制信用卡发卡风险;在受理市场端,建立健全特约商户的监控制度和档案管理制度,严把特约商户准入条件,并加强对ATM的现场监控和巡查;在银行卡交易环节,完善对交易信息的动态监测和可疑交易的监控。
【专家访谈】
出路在“从磁条卡到芯片卡的迁移”
“目前要复制磁条是比较容易的”
问:现在银行卡被盗刷的原因有哪些,漏洞在哪里?
聂俊峰:目前被盗刷的情况主要有以下几种:
首先是卡片信息以及个人信息的泄漏,即使卡一直没有离开自己,其他人只要获得了你的账号、身份证号码,以及后三位验证码,就可以通过离线支付盗刷你的信用卡。
比如我们去办代缴手机话费,移动需要正反面复印你的信用卡,在这种情况下,如果工作人员存心想盗取你卡上的信息,是非常容易的。
第二种情况是卡片丢失了,但是又没有设密码,也很有可能被盗用。有时候即使你设了密码,但是密码也有可能被窥视。
最后一种情况就是信用卡被复制。这种情况需要同时满足两个条件:信用卡的磁条被复制了,不法分子在ATM或者是POS机上安装复制磁卡信息的机器,同时信用卡上的密码也被不法分子通过安装窥视摄像头获得。单从技术来讲,目前要复制磁条是比较容易的。
“广东、福建和东南亚盗刷情况比较集中”
问:目前,国内银行卡被复制盗刷的总体情况如何?
聂俊峰:目前,我国通过复制信用卡磁条盗刷额度的犯罪行为主要集中在广东和福建,从技术上来讲,要复制信用卡一点也不难。而国外如东南亚,也是信用卡复制犯罪比较猖獗的地方。但是国外有些银行的做法很值得学习,只要持卡人从这些复制犯罪多发的地方回来,银行就会主动免费地帮助客户更换新的卡和磁条信息,以防卡被复制盗刷。
“应实现从磁条卡到芯片卡的迁移”
问:信用卡安全防范的有什么发展趋势?
聂俊峰:其实从技术上来讲,完全可以通过技术的升级换代,实现从磁条卡到芯片卡的迁移,解决银行卡易被复制的难题。EMV是信用卡的芯片技术,被复制的可能性非常低。其实Visa卡和万事达卡早已摒弃旧有的磁条技术,开始改用芯片技术。而在欧洲,芯片卡已经成为主流的信用卡,对磁条卡的替代率非常高。
问:目前我国推广使用EMV情况怎样呢?
聂俊峰:目前我国推广EMV的难度比较大,监管当局一直没有确定EMV的技术标准,也没有出台相关的法规制度。究其原因,一方面是由于目前银行卡中,借记卡还是占了大部分,因此我国对EMV的需求压力尚不是太大。另一方面,银联在推广EMV上积极性也不高,甚至有阻挠作用。
我国2007年颁布了相关规定,按照国际规则,如果发卡方已经采取了信用卡的芯片升级技术,但是受理方没有更换相应技术的支付机器,那么如果是由机器问题引起被盗刷,受理方需要全盘负责损失。因此2008年奥运的时候,由于持有芯片卡的外国旅客大量涌入,银联特别紧张。此外,出于与国际卡组织竞争的考虑,银联有可能希望能够制定国内的技术标准。
【律师观点】
采用倒举证原则,让银行证明自己无过错
“四种情况下的责任划分”
问:如果银行卡被盗刷了,责任应该如何划分?
詹礼愿:这要具体情况具体分析。
首先,最简单的原则是,持卡人发现了自己的银行卡被盗刷,如果马上申报挂失,那么申报后的损失由银行负责,申报前的损失如果无法认定是银行的过失造成的,那么只能由个人承担。
其次,信用卡正面有持卡人姓名,背面有持卡人签名,商家在受理持卡消费时应按规定履行审查义务,核实卡的正面拼音与背面签名栏内的签名及交易清单上的签名是否一致。同理,银行存有客户的签名底稿,也应该履行核对的义务。根据《银行卡管理条例》中的有关规定,消费时商家要将消费者的签名和信用卡背面签名的笔迹仔细对比,防止有人盗用信用卡,如果商家没处理好这个环节,那么商家应该负责任。如果查回被盗刷记录,发现消费时签名的笔迹不是本人的,或者通过录像发现持卡消费者与信用卡上的照片不是同一个人,那么银行和商家都负有责任,损失由银行和商家分担。
再有,如果被盗刷是由于信用卡和签名一起都被复制了,或者是网上电子交易的密码被盗了,银行和商家在这过程中已履行了核对的义务,并无过错,那么银行和商家都没有责任,这种情况只能追究违法复制卡者的刑事责任,并交由公安机关侦破。
此外,若是因不法分子在自助银行安装了读卡器和微型摄像头致使储户的银行卡被盗刷,储户诉至法院要求银行赔偿损失,银行因未尽到对自助银行的安全维护义务,也应当对储户存款损失承担赔偿责任。
“法律处理上有很大改进空间”
问:目前在法律上对银行卡被盗刷有什么改进的地方?
詹礼愿:我认为在银行卡被盗刷的法律处理上,有很大的需要改进的地方。储户将资金存入银行,银行即产生了对此资金的保管义务,如果银行未能为储户提供安全的交易环境,尽到保障交易安全的责任,按理说应该对储户的存款损失承担全部责任,但事实上现在法律却不一定能够保护储户的权益。我认为,最详尽掌握储户信息的是银行,一旦储户信息被泄露,嫌疑最大的是银行,因此完全应该采用倒举证原则,让银行证明自己没有过失,在自动柜员机、自助银行装置、还有信用卡上不存在信息漏洞。这样就能够很好地促进银行对现有的技术进行更新,使其更有动力去加强监管。
问:倒举证原则如果真要实施,对于我国难度大吗?
詹礼愿:其实难度并不大,只要追加一条施法细则就可以了。但现在这只是一个建议。
【防范措施】
魔鬼藏在细节之中
从中国银联获悉,中国银联已携手各商业银行建成了银行卡风险信息共享系统和银联卡反欺诈服务中心。
截至目前,各商业银行通过银联风险防控系统已共享风险信息300多万条,通报不法中介和风险商户1.7万多家,通报欺诈嫌疑银行卡申领人上万名,发布各类风险提示2000多次,有效防范和控制了各类银行卡风险。
此外,个人在用卡过程的各个阶段,应多留个心眼,防范被盗刷从自我做起。
申请阶段注意个人资料保密
广发银行信用卡专家表示,在申请办卡时,必须通过正规渠道办理信用卡,办理业务时先检查对方工作证件,核实对方身份;办卡时需要留存个人资料复印件,可以在复印件上写明用途及使用时间,如“仅用于办理××银行信用卡”,笔迹需盖住复印件;此外,务必妥善保管身份证、房产证、收入证明等资料,不要将这些资料及复印件留给身份不明的人,以免资料外泄被冒办信用卡。
用卡阶段密码、卡号、身份证号,一个也不能忽视
信用卡有效期、CVV验证码、密码、身份证号以及其他个人身份资料等重要信息。
信用卡应视同现金一样妥善保管,不要借给他人使用,以免增加遗失或资料泄露风险;交易时一定要选择信誉较好的商户,刷卡时尽量不要让卡片离开自己的视线,并且保管好交易签购单,不要随意丢弃,这样可以有效防范卡片磁条被不法分子“克隆”后盗刷的情况。
对于需要密码的非接触式网络在线交易,如在淘宝上购买商品等,持卡人应当妥善保管卡片信息和支付密码,操作时注意防止其他人偷窥密码;不要随意登陆不明网站,小心木马程序套取支付密码;定期更新支付密码。
用卡阶段CVV码网购不必太担心
近期公众对电购、网购机票交易十分关注,不少人觉得此类交易只需要卡号、CVV验证码或卡片有效期就能进行,缺乏安全性。广发信用卡中心专家指出,此类交易目前仅限于受理机票、酒店住宿等实名制商品,盗用者无法直接使用这些商品,往往会以套现为目的,在订票后取消交易;而为应对这种情况,银行会要求收单商户在取消交易时将款项直接退还到原卡片上,不可退还现金。退还现金属于商户违规操作,一经确认,商户必须承担持卡人的损失。因此持卡人不必太过担心。此外,信用卡转还提醒持卡人使用电话或网络渠道订票时,要注意使用知名度高、安全性强的商户进行交易,以避免信息的泄露。
【漏洞分析】
高度重视信用卡后三码
磁条卡安全漏洞
据银行业人士介绍,国内银行卡目前绝大部分使用的是磁条卡,磁条卡是一种磁介质卡片,一般用塑料或纸质涂覆塑料制成,在卡片的一面敷有磁层或磁条,磁条上一般具有2至3个磁道以记录有关数据信息。
从技术上看,要盗取磁条卡内的信息,只需要用相应的读写卡器即可完成。据悉,读写卡器是一种简单的电子设备,目前国内众多电子厂家都可以生产,而且价格仅在千元左右。配合读写卡器,在ATM机安装针孔摄像头,十分便宜且随处可见的设备就可轻易复制并盗取信用卡的密码。信用卡专家、法律界专家都认为,从技术角度而言,银行有责任改进银行卡的防盗性能,为磁条卡补漏应尽快提上日程。
信息泄露隐患
一方面,诈骗犯罪集团大肆利用银行漏洞与低成本复制信用卡,另一方面,卡主在不经意的消费、“回答问题”中,把信用卡“CVV”(后三码)、“有效期”等重要信息不知不觉泄露出去,也会导致信用卡被盗刷。
在进行网上消费或信用卡离线支付时,如订机票、酒店或者是买电脑时,我们只需要提供卡号、有效期、后三码,以及个的身份证号码,便可以进行交易。因此,这些信息一旦泄露,不法分子就可以轻易地盗刷。
此外,在商场购物交易时,信用卡号码、信用卡交易收据等也是容易被人窥看的内容;在酒店等地方消费时,如不亲自去柜台刷卡,也给了服务人员一个很大的机会记下信用卡上的信息。
此前,广东警方曾通报,有发现盗卡犯罪嫌疑人买通商场员工,窃取信用卡信息的个案。因此消费时,应尽量保护好自己的个人信息。
【盗刷应对】
失卡阶段:挂失或者报案
广发信用卡专家提醒,如果发生卡片遗失或者被盗,持卡人应第一时间联系银行作挂失处理;现在不少银行推出挂失保障服务,持卡人在一定范围之内无需承担挂失前12-48小时不等时间内的信用卡被盗用损失。
若银行负有责任但不赔偿可上诉至法院
律师詹礼愿也建议消费者,事前要开通信用卡手机通知,第一时间知道自己信用卡的状况和异常刷卡情况,及时向银行申报、挂失,避免进一步的损失。同时还要及时向公安机关报案,让公安机关协助侦查被盗刷的原因,并取证。然后再具体情况处理,若银行负有责任但不肯赔偿的,可上诉法院。广发行负责人表示,如果信用卡被盗刷后得到警方认定,那么被盗刷的金额可以先行挂账,客户不需要支付;不过,如果是借记卡,就要视情况而定。