近年来,银行卡支付不断创新,第三方支付机构的加入使得支付方式进一步丰富。支付渠道的发展在为客户提供更多选择和便利的同时,也给信用卡欺诈防控带来新的挑战。
一、信用卡支付渠道不断创新。
支付是社会经济活动引起的资金转移行为。随着互联网、移动通信技术以及电子商务的繁荣发展,信用卡支付方式逐渐发生改变。以网上支付为例,2013 年,全国共发生网上支付业务 236.74亿笔,金额 1060.78 万亿元,同比分别增长 23.06% 和 28.89%.与之相对应,第三方支付机构迅猛发展。2013 年 8 月,已有 250 家支付机构取得支付业务许可证,51家加入银联网络。支付创新推动支付方式和支付工具不断改进、丰富,支付结算主体从银行扩展到支付机构,支付终端从传统 POS 延伸到互联网、手机、电话、电视等,支付渠道创新背景下的信用卡交易欺诈防控对策? 中国邮政储蓄银行股份有限公司信用卡中心 周 萌 张 洁支付环节从最初的服务于交易演变为创造交易。一系列支付创新极大地丰富了银行卡的受理范围,也为消费者带来了更多便利。
在支付渠道创新的同时监管机构逐步加大规范力度,在相关部门推动下相继出台了《电子签名法》、《电子支付指引(第一号)》等法律法规。2010 年 6 月,人民银行颁布了《非金融机构支付服务管理办法》,正式将非金融机构纳入监管范畴,明确了人民银行对非金融机构支付服务的监管职责,并从准入资质、审批程序、客户备付金管理、监督管理及过渡期等方面进行全面规范。2013年7月《银行卡收单业务管理办法》
出台,对支付机构等新型收单市场主体予以有效监管。行业监管政策的不断完善为规范支付产业、培育良好的市场竞争环境奠定了坚实的制度基础,同时将进一步推动银行卡支付领域推陈出新、快速发展。
二、信用卡交易欺诈变化趋势及防范难点。
与支付渠道不断拓宽相比,收单机构和受理终端的安全规范与创新还存在一定滞后。整体而言,目前支付渠道发展模式尚不成熟,风险控制能力良莠不齐。
这对信用卡欺诈风险管理提出了更高的要求。
1. 信用卡交易欺诈变化趋势。
(1)信用卡伪卡风险将得以一定程度缓解。
1998 年,国际银行卡组织联合制定了银行 IC 卡技术标准,并开始逐步推动 IC 卡迁移。2006 年后 IC 卡迁移工作快速推动,西欧、拉美、亚太等全球大部分地区陆续完成,信用卡欺诈风险开始不断向中国转移。国内信用卡伪卡损失在欺诈损失中的占比从 2008 年的11% 迅速增长到 2012 年的 59%.
2011 年 3 月 15 日,人民银行发布《中国人民银行关于推进金融IC 卡应用工作的意见》(以下简称《意见》),在全国范围内正式启动银行卡芯片迁移工作。根据《意见》要求,金融 IC 卡受理环境在 2012年底前搭建,2015 年起在经济发达地区和重点合作行业领域,商业银行发行的、以人民币为结算账户的银行卡均应为金融 IC 卡。在此基础上,银联相继下发了《中国银联 IC 卡技术规范》、《银联标准IC 卡伪卡风险赔付管理办法》等,以配合 IC 卡迁移工作。截至目前,国内金融 IC 卡受理环境已建设完毕,各发卡行开始加快推进 IC 卡发卡工作。基于 IC 卡在安全性上的升级可以预见,随着金融 IC 卡的推广和受理环境的改善,困扰信用卡业务多年的伪卡盗刷风险将得到一定程度的遏制。
(2)无卡支付欺诈交易呈上升态势。
2013 年二季度,互联网支付渠道欺诈损失在整体欺诈损失中的占比达 9.42%,位列欺诈损失第三位,预计未来还将进一步上升。信用卡无卡支付欺诈交易上升主要受两个因素影响 :一方面,伴随着互联网技术、移动技术的发展,居民的消费习惯逐步发生变化,线上交易以其支付便捷、手续费低廉、服务多样的特点吸引了越来越多的消费者,并有不断挤压线下市场之势。未来线上支付还将进一步扩大份额,成为主要的支付方式。而在当前阶段,线上支付创新速度极快,市场竞争激烈,而相应的风险管理技术和经验却远远落后于创新速度,交易安全性难以保障。另一方面,随着我国 IC 卡的升级,线下伪卡风险在一定时间内会得到有效控制,一部分犯罪分子将转移目标,在无卡支付渠道寻找机会。
2. 信用卡交易欺诈防范难点。
(1)无卡支付欺诈案件防控难度较大。
近年来,网上支付渠道的欺诈案件比传统欺诈案件风控难度更大,主要体现在以下几个方面。
一是犯罪更隐蔽。与伪卡等盗刷案件相比,无卡支付类欺诈案件中犯罪分子往往隐藏在互联网背后,利用虚拟身份通过变造 IP、境外 IP 实施犯罪,这势必增加案发后的追溯难度。
二是涉案区域更分散。由于互联网跨越了地域限制,网上支付渠道欺诈案件涉及客户往往非常分散,遍布全国各地,增加了案件调查、处理的成本和难度。
三是跨界特征明显。随着互联网技术和移动支付技术的发展,目前网上支付业务跨界特点明显,欺诈案件相涉及银行、第三方支付平台、网上商户、移动运营商等各个环节,案件涉及方增多,案情更复杂。
四是犯罪链条长、分工明确。目前,网上盗刷案件犯罪包括信息盗取、倒卖、犯罪实施、销赃等多个环节,每个环节各有分工,犯罪分子可能通过互联网集结进行信息倒卖和链条对接,这使得无卡支付欺诈案件犯罪呈现专业化特征,犯罪手段高明,案发后不易被识破。
(2)第三方支付机构管理水平参差不齐。
对发卡行而言,银行卡通过不同受理终端、不同交易方式完成的交易,其风险程度也存在一定差异。发卡行需要根据交易终端和交易方式采取差异化欺诈交易防范措施。但是,目前一些新型支付渠道风险管理基础工作和风控措施尚不到位。一方面,部分支付机构未能严格落实收单业务属地化管理要求,对商户后续管理缺失,商户出现多点接入、移机、交易信息漏报、交易套用等问题 ;另一方面,第三方支付平台多以大商户模式进行交易信息传输,发卡机构不能获取二级商户信息,这在一定程度上给发卡行的欺诈交易防控工作造成困难。此外,部分支付机构在推进线上支付的同时,开始通过新型支付终端拓展线下自助支付,可进行消费、转账、公用事业缴费、线上订单付款等。但此类自助支付渠道在准入、收单管理、技术安全、交易监管等方面的制度和规范尚不完善,加之便捷支付终端准入门槛低、技术标准尚不统一,其欺诈交易监管难度更大。
(3)部分新型支付渠道交易验证方式过于简单。
部分支付机构在产品创新过程中过于强调交易便捷性,往往忽视了背后的交易风险。而发卡行面对激烈的市场竞争,有时不得已放开部分交易渠道。在这个过程中,发卡行缺乏对交易渠道潜在风险和自身可承担风险程度的评估。以快捷支付为例,快捷支付开通可在网上全程办理,绑定银行卡后交易授权越过银行信息验证项,仅需支付平台交易密码即可完成。过于简单的交易验证信息很容易被犯罪分子诱骗或窃取。一旦犯罪分子通过各种渠道非法获得客户信息后,往往在极短时间内刷光客户账上资金。甚至有的犯罪分子利用个别第三方支付平台在交易验证环节设计上的漏洞,通过第三方支付平台绑定客户银行卡账户进行网上支付,盗取客户资金。
(4)我国客户信息安全保护环境不佳。
在无卡支付领域,交易授权过程无需实体卡片,通过客户信息和卡片信息的校验即可完成。支付过程中的验证信息成为交易授权的关键,客户信息安全的重要性凸显。与之形成鲜明对比的是目前我国个人信息安全管理还存在很多漏洞,行业内个人信息买卖产业链条已经相对成熟,形成了黑客、“内线”信息窃取、信息转卖、信息倒卖等多个环节。倒卖信息涉及客户身份信息、工作信息、车辆信息、银行账号、邮箱、密码、人民银行征信报告等多种类型。一旦犯罪分子非法获取了线上无卡支付的验证信息项内容,将可能越过交易验证环节直接完成盗刷交易。在此过程中,发卡行和客户无法获知信息窃取情况,因此风险不易控制。
三、信用卡交易欺诈防范对策。
1. 完善产品设计,重视交易验证安全性。
支付创新产品的设计是防范欺诈交易的关键,应当兼顾便捷性与安全性。
首先,应适当增加交易验证要素。无卡支付环节均为无磁交易,相较传统渠道缺少了实体卡片的介质作用,加之可读取信息减少,因此应严格限制仅依靠卡号、有效期等简单卡面信息作为验证要素,需增加交易验证信息以保障交易安全性。
其次,充分重视动态验证信息的作用。在无卡支付领域,个人敏感信息范畴增大,持卡人身份信息、卡面信息、手机号码、网站用户名、登录密码、支付密码等信息的泄露均会给持卡人带来潜在资金安全隐患。信息泄露风险度与信息变动频次正相关,在以上主要验证项中,卡面与个人身份信息属于基本固态信息,遭截留或窃取的途径多,难以防范,因此应在验证要素中增加必要的动态信息。
再次,应注意避免验证要素获取来源的单一性。以移动支付为例,手机支付过程中手机动态验证码获取渠道和支付终端重合,其实际验证效果将大打折扣。此外,应注意验证方式间权限分配的合理性,避免一类验证方式权限过高从而带来风险隐患。例如,某些支付平台中将手机动态验证码权限级别设置过高,一旦用户手机丢失,不法分子短时间内可以通过手机找回密码、手机确认卸载数字证书等方式突破多重交易保护防范,造成盗刷风险。
最后,在产品设计阶段应致力于建立完备的业务流程,明确后续风险交易处理机制,避免陷于被动。
2. 加强渠道管理,健全事后应对机制。
发卡行应建立起支付渠道评估机制,综合渠道规模资质、用户认证模式、交易验证模式、赔付机制、商品(商户)风险情况等,从渠道层面进行风险预判,结合银行风险偏好确立渠道风险等级和各项风险承受值。对风险较高渠道可采取较高的准入要求和渠道限制,如要求客户至网点开通权限、加强交易验证手段等。在后续渠道风险跟踪中,一旦发现风险程度超出承受阀值,发卡行应及时暂停、整改。
在具体交易层面,应以对具体卡片、客户、商户的交易监控为基础,动态调整监控重点和监控策略。要加强交易事中控制,在欺诈分子实施盗刷的过程中,其交易行为往往与客户日常交易模式存在差异,交易监控系统应加强对客户交易行为的比对,对异常交易及时采取不同控制措施,防止损失发生、防范风险扩大。
在与第三方支付机构的合作过程中,发卡行应充分重视欺诈风险发生后的应对机制。一方面应与第三方支付机构建立线上货物拦截机制,一旦发现客户盗刷交易,应在第一时间止付卡片并启动货物拦截 ;另一方面,应建立完善的赔付机制,发生盗刷交易后,发卡行应积极与收单机构、银行卡组织沟通,尽可能为客户追回损失。此外,发卡行可考虑建立欺诈损失准备金机制,在准备金额度内简化赔付流程,保障客户权益。
3. 规范收单管理,改善受理环境。
收单机构规范互联网收单业务、遏制市场违规行为、培育合规自律的市场环境,是降低欺诈创新渠道信用卡欺诈风险的重要手段。
一是要严格核实商户情况,明确商户责任,落实风险防范措施。
二是注重商户管理团队的培训,保障其合规受理银行卡。
三是对商户定期回访检查,及时处理异常交易。
四是提高对客户个人信息、卡片信息等敏感信息的保密要求,避免信息泄露。
五是规范商户管理,禁止大商户私自套小商户、支付平台商户套平台商户等情况发生,在交易报文中合规、准确、完整地传输商户信息和交易信息。对高风险渠道的交易,应上送商品信息,便于发卡行实施监控。
六是打通收单机构和发卡机构之间的信息沟通渠道,收单机构一旦发现可疑情况,可以通过设定渠道与发卡行取得联系,及时防范风险。
4. 加强各主体间沟通,完善行业规则。
随着新型支付渠道和支付方式不断涌现,支付机构、通信运营商等主体也加入支付过程并发挥了越来越重要的作用。这些机构已经获取支付主体资格并接受人民银行监管。因此,在支付渠道创新背景下,各方主体应增强沟通与合作,联合行业力量,共同正视支付创新中出现的机遇、挑战及风险,明确各方权利义务、责任权益,完善行业规则,提出必要的市场、技术、业务、风险规范,建立并共享黑名单库,保障各方信息对称,共同防控渠道风险。
5. 加强持卡人教育,提高安全意识。
发卡行要利用一切可能渠道加强客户教育工作。一是增强客户安全用卡意识,引导客户正确申领和使用卡片。二是提醒客户保护好个人信息、账号及密码等信息,如非必要,避免将相关敏感信息提供给第三方,警惕线上或线下商户以退货、退款等理由索要密码的情况。在卡片使用过程中,持卡人应高度重视银行发送的交易短信提示,一旦发现可疑情况或发生非本人知情的任何交易,应第一时间致电发卡行进行卡片挂失等处理,避免损失扩大。
