“人在家中坐,账单从海外来”“信用卡贴身存放,交易却出现在从未去过的地方”“收到入账提醒后查账,发现实际交易在两天前已发生,此前无任何提示”……近日,社交平台上关于银行卡跨境盗刷的投诉“刷屏”,涉事的浦发银行与万事达卡被推上舆论风口。
据多方信息显示,此次盗刷事件主要集中在浦发银行万事达“红沙宣”信用卡产品。监测到未经授权的交易后,浦发银行、万事达卡及万事网联迅速启动应急调查,并明确盗刷款项无需持卡人承担。
然而,这并非个案。9月16日,北京商报记者调查发现,9月以来,中信银行万事达借记卡用户也遭遇类似盗刷。多名消费者反映,其名下的“暗黑破坏神”万事达借记卡在境外发生异常交易。不同银行、不同卡种的盗刷信息,均指向提供核心清算服务的万事达卡。作为连接全球商户与发卡机构的关键枢纽,万事达卡在此次事件中的角色与责任,成为透视跨境支付安全生态的重要窗口。
浦发银行信用卡盗刷风波持续发酵,而中信银行借记卡用户也面临同样问题。消费者张天(化名)向北京商报记者透露,9月12日,其收到中信银行境外消费通知,显示银行卡在印尼消费9.64元人民币。张天立即意识到被盗刷,并迅速向银行反馈。
经核实,该笔交易发生在印尼,金额约22000印尼盾。令人疑惑的是,四天前(9月8日),该卡已发生预授权交易,但张天对此毫不知情。他质疑:“为何预授权时银行未发送任何提醒?”中信银行客服回应称,张天未开通短信提醒功能。
张天在社交平台分享经历后,发现多名持有同系列借记卡的用户也遭遇盗刷,甚至有用户交易商户与张天相同。另一名用户刘宇(化名)则表示,9月3日晚间,其连续收到银行短信,提示交易被“防盗刷安全锁”中止。“卡一直在我身边,上次使用是2024年12月在日本。盗刷方尝试三次均被系统拦截,未造成实际损失。”刘宇称,次日他便申请换卡,更新卡片有效期和CVV2码。
针对借记卡盗刷问题,北京商报记者向中信银行采访“防盗刷安全锁”触发条件及风险防范措施,但截至发稿未获回复。
与此同时,浦发银行万事达“红沙宣”信用卡盗刷规模扩大,越来越多消费者在社交平台反馈异常交易。综合信息显示,被盗刷信用卡涉及异常交易未拦截、限额卡片超额消费、已注销或挂失卡片仍被盗刷等情况,交易地点均位于境外。
9月13日,浦发银行信用卡中心、万事达卡、万事网联相继发布声明,确认检测到部分万事达无价世界卡发生未经授权交易,并已启动应急响应。涉事方明确,盗刷款项无需持卡人承担,将陆续进行调账处理。
相较于信用卡,部分借记卡用户因余额较少,盗刷损失较小,但仍无法消除对支付安全的担忧。业内对盗刷原因众说纷纭,质疑集中于发卡行和卡组织的风控体系。有行业人士指出,跨境支付领域盗刷频发,原因复杂,难以“一刀切”归因。刘宇也提到,其持有的汇丰银行和招商银行万事达借记卡未发生盗刷。
浦发银行与万事达卡的声明中,“已启动应急响应”“客户无需承担损失”的承诺背后,是复杂的跨境支付责任分配体系。在跨境支付中,发卡行负责签发卡片、审核交易并扣划资金;卡组织(如万事达卡)负责搭建全球支付网络、传递交易指令、进行清算与结算,并处理货币转换。持卡人跨境消费后,交易信息经卡组织网络在发卡行与收单方间传递。
2023年11月,万事达卡与网联清算公司合资成立万事网联,成为我国第三家获准运营的银行卡清算机构,并于2024年5月正式营业。万事网联开业后,与境内多家支付机构达成合作,合作支付机构的收单系统可全面受理境内外发行的万事达卡。
9月16日,有支付机构向北京商报记者表示,作为收单侧,其更多获取商户信息,无法获得消费者交易的完整卡片信息(如卡号、有效期、CVV2码),风控体系更关注电诈、洗钱等风险。对于不合理交易,收单侧会请求发卡行校验,即短信验证码环节。
盗刷事件背后,是多个环节的风控审核缺失。跨境支付行业从业人员指出,理论上,卡组织应对每笔交易进行风控评估,并向发卡行实时推送境外交易数据;银行则需同步用户账户状态、额度变动等信息至卡组织系统。风险分数较高的交易,应在卡组织环节被拒绝。此次事件中,卡组织与发卡行的协同机制出现断层。
此外,该从业人员表示,境外消费链条还包括信息处理商,负责信息转换与传输。常规交易需经历卡组织、信息处理商、发卡行、收单机构等多重风控审核,盗刷意味着风控体系全部失效,或部分环节风控能力薄弱。
针对盗刷原因及防范措施,北京商报记者向浦发银行、中信银行及万事达卡采访,但截至发稿未获回复。多位受访人士指出,具体责任划分需看官方公布的原因。
按照行业惯例,盗刷交易责任判定需考察交易时间、地点、验证方式等要素,但境外盗刷增加了追责难度。张天曾数次向中信银行寻求解决方案,但未获有效回复。“银行认定我绑定了境外支付导致扣费,现在我仍在等待处理方案。”张天表示,“不能因受损金额少就忽视合理诉求,谁也不能保证下一次被盗刷的是谁的卡。”
张天的焦虑折射出跨境支付领域长期存在的信息不对称。用户难以知晓卡片信息如何流转、哪些环节存在泄露风险,只能被动依赖发卡机构和卡组织的安全承诺。
20年前,万事达卡合作的金融交易数据处理厂商CardSystems Solutions遭遇黑客攻击,导致大量用户账户信息泄露,推动了支付卡行业数据安全标准的强化。当前,金融机构智能防控技术虽已升级,但跨境支付的复杂性仍给欺诈分子可乘之机。
盗刷事件背后,是全球化支付网络技术统一性与地区监管差异性的冲突。2016年,中国人民银行发布《关于进一步加强银行卡风险管理的通知》,要求全面应用支付标记化技术,对交易信息进行脱敏处理,并建立紧急止付和快速冻结机制。但从业人员提到,境外部分地区商户端验证执行标准参差不齐,为防盗刷增添了难度。
自2014年起,万事达卡在全球支付网络内推行支付标记化服务,随着万事网联在中国展开业务,该服务也已落地。据介绍,支付标记化服务通过替代银行卡卡号、验证码等敏感信息,设置交易次数、金额、有效期等约束规则,从源头控制信息泄露和欺诈交易风险。
博通咨询首席分析师王蓬博认为,跨境支付安全薄弱环节主要表现在跨境风控断层、应急响应迟缓,以及银行与卡组织风险数据共享不及时等方面。卡组织作为结算方,需履行技术风控义务,通过系统漏洞追溯、跨境风险拦截阻断盗刷,并协助银行完成资金赔付流程。
在发卡行与卡组织的协同上,王蓬博指出,双方需打破信息壁垒,建立实时数据共享机制。例如,发卡行可共享客户消费场景、地域偏好等行为数据,结算方可同步跨境高风险地区交易动态、商户合规信息,及时拦截异常交易。同时,应联合推进技术升级,加快芯片卡普及,并共同研发智能风控系统,强化对反常交易的主动预警能力。最后,要明确权责划分与应急流程,通过协议约定盗刷事件中发卡行的先行赔付责任、结算方的风险溯源与漏洞阻断义务。
北京市社会科学院副研究员王鹏建议,跨境支付盗刷问题需通过“技术防御强化—责任边界明晰—监管协同升级”构建闭环体系。技术层面应加速动态加密与AI风控普及,由国际组织牵头制定跨境支付安全框架,明确发卡行、卡组织、商户的责任边界与协作流程。同时,要强化消费者保护,提醒消费者关闭非必要境外支付功能,最终实现安全与效率的平衡。
北京商报记者 廖蒙
猜你喜欢
