德宏州銀行卡業務風險分析及應對建議

張金湛

銀行卡作為現代化支付結算工具，以其便捷、高效、經濟的突出優勢贏得了人們的喜愛，而與此相伴的是各類銀行卡犯罪層出不窮，手段不斷升級，其中銀行卡詐騙犯罪成為針對銀行各類犯罪的主流，德宏州銀行卡業務風險處于多發、高發期。

一、銀行卡欺詐案件多發，形勢不容樂觀

至2016年5月，德宏州銀行機構共發銀行卡2576908張，其中純磁條卡1291950張，占銀行卡總數的50.14%，芯片磁條二合一卡1284958張，占比為49.86%。2014年全轄發生銀行卡盜刷冒用事件6起，盜刷冒用金額34.78萬元，2015年銀行卡盜刷冒用事件驟增至99起，比上年增加了15倍，盜刷冒用金額295.87萬元，增加了7.5倍。2016年1～5月，銀行卡盜刷冒用事件已發生40起，其中一家金融機構5至6月上旬連續發生11起，呈集中爆發態勢。尤其需要關注的是2014年全轄還沒有銀行卡涉訴案件，2015年發生2件，涉訴金額3萬元，2016年1～5月就出現了11件，涉訴金額169.4萬元，涉訴案件急劇增多。

銀行卡被盜刷冒用主要有四種情況：第一種情況是當事人在不知情的情況下卡在外地銀行的ATM機被盜刷；第二種是當事人網購、國內娛樂會所刷卡消費、國外刷卡消費后資金被盜刷；第三種是當事人在緬甸賭場持銀行卡在POS機上刷卡后，回到國內被盜刷；第四種是當事人將銀行卡借給他人使用后被盜刷。

銀行卡盜刷冒用等欺詐行為造成了多重惡劣影響。一是給持卡人帶來直接的資金損失，甚至是慘重損失，造成了很大的物質和精神傷害。二是使商業銀行的信譽和形象受損，特別是對涉訴銀行而言，不但要調動很多人力物力應訴和協調，還要投入很多精力防止社會聲譽二次受損，事實上無論勝訴敗訴，商業銀行都遭受了經濟和聲譽的雙重損失。三是使客戶對銀行卡的安全性產生疑慮，動搖公眾對卡基支付新產品的信心，影響銀行產品創新和業務拓展。四是在一定程度上影響了轄區金融穩定。

二、原因分析

（一）從銀行方面看，主要有四個因素

一是磁條類銀行卡易被復制、偽造，存在一定風險隱患。德宏州純磁條銀行卡占一半還強，而磁條卡信息破解相對簡單，當磁條卡在被改裝的POS機上使用時，信息易被盜取。二是銀行卡換“芯”工作進度較慢。銀行芯片卡是以集成電路芯片作為介質的銀行卡，復制難度極高，具備很強的抗攻擊能力。2011年，人民銀行就啟動了金融IC卡推廣應用工作，但工作總體進度較慢，2016年5月末德宏州芯片銀行卡僅占49.86%，而且大部分還是芯片、磁條二合一卡，存在芯片卡降級使用（讀取磁條信息）情況。三是賬戶實名制落實不到位。不法分子使用他人賬戶實施銀行卡欺詐犯罪活動，給案件偵破、追贓、止損帶來極大困難。人民銀行德宏州中心支行2015年核查發現“無法核實”或“部分真實”問題賬戶1470戶，占核查賬戶的0.7%，存在被不法分子利用的風險。四是客戶道德風險難防范。在銀行卡及密碼有關信息泄露的容易性以及證明客戶存在保管過錯的舉證難度大的現實情況下，不法客戶和第三人串通損害銀行利益的道德風險極難防范。此外，銀行對客戶掛失響應不力加重了資金損失。如2016年5月，德宏某銀行客戶在家中收到ATM機取款3000元銀行取款短信后，立即按客戶經理指導撥打客服電話掛失，但在掛失過程中，仍不停收到取款及刷卡消費的短信，雖然掛失成功，但卡內56300元資金還是被全部盜刷走。

（二）從客戶方面看，主要問題是風險意識淡薄

持卡人將銀行卡、身份證、手機等隨意擺放，銀行卡被人在淘寶上盜用、身份證被同事朋友拿去冒名開戶等事件時有發生；有的將自己的銀行卡借給他人使用，歸還后又沒有及時更換銀行卡密碼，造成資金損失；有的為圖方便，密碼設置簡單，保密性不強，且沒有定期更換，多張銀行卡密碼相同，甚至連網上銀行、手機銀行也“共用”密碼，一旦泄漏則全部暴露于風險之中；沒有防范手機木馬病毒和釣魚網站意識，隨意安裝APP，隨心所欲使用智能終端，在儲存有賬號、口令的手機上隨意參與搶“紅包”、點擊“中獎”信息、鏈接朋友圈等行為給卡復制、信息盜竊提供機會；更注重手機支付產品的便捷性及自主操作性，而不清楚這些改進往往以簡化安全程序、增大支付風險為代價；有的缺乏警惕性，用自己的身份證為他人辦理銀行卡，甚至為蠅頭小利出賣個人銀行卡，一旦涉案，既給自己帶來不小的麻煩，也給案件偵破造成重重障礙。

（三）從支付市場看，主要問題是POS機安裝及管理不規范

部分第三方支付機構在審核辦理POS機手續時把關不嚴，信息失實，如有的客戶申請POS機時使用主體是服裝店，但真正使用的卻是紅木家具店；對特約商戶違規使用、甚至非法改裝POS機具情況缺乏足夠的約束和管理，為詐騙分子盜取客戶銀行卡信息打開了方便之門，特別是對非法在緬方邊境使用的POS機具難以監管，讓不法分子有可乘之機；部分第三方支付機構對芯片卡不準降級交易的規定執行不力，難以發揮金融IC卡安全上的優勢。

（四）從社會層面看，打擊銀行卡詐騙犯罪的強大聲勢尚未形成，誘使案件多發

銀行卡詐騙犯罪涉及線上線下，波及國內國外（釣魚網站多建在國外，許多詐騙人員、場所也在國外），作案過程的網絡化和非現場性使詐騙分子一方面減少了“犯罪感”，另一方面則增強了“安全感”，同時很多案件偵破與追贓工作復雜又漫長，全社會還沒有完全形成快速打擊銀行卡詐騙犯罪的強大聲勢，這些因素讓詐騙分子心存僥幸，不惜以身試法，鋌而走險走上違法犯罪歧途。

三、應對建議

（一）升級技術，著力增強銀行卡使用安全性

一是使用金融IC卡降低磁條交易風險。商業銀行應盡快普及使用純芯片卡，淘汰磁條卡，減少芯片磁條復合卡，并對所有刷卡機具定期進行技術升級，增加防控功能。對于存量磁條卡，各發卡銀行應盡量采取“換卡不換號”、實時發卡等多種有效措施，鼓勵和引導持卡人主動更換金融IC卡。應盡快關閉金融IC卡降級交易功能，人民銀行規定最遲到2017年5月1日，要全面關閉芯片磁條復合銀行卡的磁條交易，目前應從交易渠道、刷卡頻次、單筆交易金額、日累計交易金額、交易地區等方面進—步加強磁條卡交易風險控制。二是推廣賬戶借記交易客戶最終確認技術，即在客戶提供取款介質、錄入密碼后暫停交易，銀行向客戶己約定手機發送短信要求客戶確認支付，待客戶在本人手機確認后最終完成交易，就可以有效防范銀行卡被復制后出現的風險，保護客戶資金安全。三是應盡快研究改進賬戶密碼認證系統，逐步推廣客戶指紋認證技術，讓客戶在銀行開立賬戶時，可選擇指紋為取款的認證方式。四是研究開發并在自助設備及網上銀行、手機銀行上使用虹膜識別技術，利用人眼虹膜模式復雜且不會重復的特點，實現高精確度的客戶身份認證。五是充分發揮大數據的作用。建立基于互聯網大數據的客戶風險監控平臺，引入新的交易風險監控模型，將客戶網上行為記錄、社交活動記錄等互聯網數據導入到風險管理體系中，全面了解客戶的自然屬性和行為屬性，借此加強對銀行卡資金交易的監測分析，提高對客戶風險事件的識別和監控能力，有效預判客戶潛在風險，對異常交易及時預警，并采取調查核實、風險提示、臨時鎖定交易、延遲結算等措施迅速處理，對確認存在套現、欺詐行為的持卡人，發卡機構應臨時凍結銀行卡并向公安機關報案。六是加強客戶端軟件的安全管理。從網絡病毒防范、信息加密保護、運行環境可信等方面加強客戶端應用軟件的安全管理，確保其符合國家、金融行業相關標準和信息安全要求，另外發卡機構每年應至少開展一次外部安全評估。

（二）強化管理，筑牢銀行卡風險防范屏障

一是加強銀行賬戶管理。切實履行客戶身份識別義務，確保申請人開戶資料真實、完整、合規；打擊銀行卡買賣行為，有效遏制不法分子利用虛假賬戶或冒用他人賬戶作案的現象，為快速偵破案件、挽回資金損失創造條件。商業銀行應依照中國人民銀行要求，建立健全個人銀行結算賬戶分類管理機制，引導客戶使用Ⅱ類、Ⅲ類銀行賬戶辦理小額網絡支付業務，有效防控各類銀行賬戶特別是Ⅰ類賬戶的信息泄露風險。二是加強客戶風險提示。通過手機短信、微信、網上銀行、手機銀行、網點大屏、宣傳折頁等方式，及時向客戶發出銀行卡新型詐騙手段、花招、類型等內容的風險提示，提高客戶風險識別和防范能力。對于可疑交易，應通過短信、電話、銀行客戶端等至少兩種渠道進行交易確認和持卡人風險提示。三是加強銀行網點臨柜人員培訓，鍛煉工作人員辨別異常交易客戶的“火眼金睛”，把好疑似受騙人員資金匯出的最后一道關口。四是加大特約商戶管理力度。銀行卡清算機構應會同收單機構健全特約商戶信息電子化管理體系，嚴格落實特約商戶實名制相關規定，完整、準確地記載特約商戶及其法定代表人或主要負責人的身份信息，并對同一商戶在不同收單機構的注冊信息進行關聯管理，充分利用影像采集、區域定位等技術，采取多渠道交叉驗證等有效手段，健全特約商戶注冊審核和信息更新機制，持續加強特約商戶信息真實性管理。加強對特約商戶的現場檢查和非現場監控，確保POS機具的安全合規使用，改善邊境用卡環境。五是提高銀行卡賬戶與非銀行支付機構關聯業務的客戶身份認證和交易驗證強度。客戶首次建立業務關聯時，各發卡銀行應嚴格采用多因素身份認證方式，對客戶身份直接進行鑒別。身份鑒別應采用智能密碼鑰匙（Key）等基于安全芯片的數字證書作為必要因素，并組合至少一種其他認證因素，或采用動態口令密碼、基于客戶行為的動態挑戰應答等至少兩種動態認證因素進行組合驗證。六是加強受理終端安全管理。商業銀行、支付機構應從受理終端產品選型、驗收、現場檢查等環節加強安全管理，堵塞不符合標準、非法改裝的受理終端入網使用的漏洞，確保受理終端的技術標準符合性。七是建立風險化解機制。針對銀行卡欺詐的多發性，應盡快建立風險化解機制，引進保險賠償手段，或撥備專門的風險基金，只要確認不是客戶責任造成的資金被盜就及時給予賠付，以補救高技術性犯罪對銀行及客戶造成的損失。

（三）協調行動，形成銀行卡風險防范強大合力

一是提升銀行賬戶掛失凍結響應速度。改進客戶掛失辦理流程，優化銀行卡掛失業務處理系統，簡化業務處理程序，以最快速度凍結客戶掛失賬戶，盡可能減少受害客戶的資金損失。二是依托國家電信網絡新型違法犯罪交易風險事件管理平臺防控風險。中國人民銀行、工信部、公安部、工商總局建立了電信網絡新型違法犯罪交易風險事件管理平臺，并要求自2016年6月1日起，各銀行業金融機構、公安機關通過接口方式與該平臺連接，實現對涉案賬戶的緊急止付、快速凍結、信息共享和快速查詢。轄內各銀行機構應充分利用該平臺功能，加強溝通、密切配合，積極推進信息共享，利用緊急止付和快速凍結工作機制，最大限度挽回受害客戶的財產損失，全力維護社會公眾的合法權益。三是提高ATM管控水平，增強辨識能力。加強對自助網點的巡查和監控，強化對ATM機安裝的報警設施、監控設備的定期檢查，更新ATM機的防偽識別系統，對偽造及變造的銀行卡自動沒收，并向銀行發出警報。四是留存服務音像證據。無論是柜面還是自動取款機的交易，銀行都有必要適當保存相關視頻、音頻材料，借助這些交易環節相關音像材料來防控不法客戶和第三人串通損害銀行利益的行為，防范社會道德風險。

（四）廣泛宣傳，提高客戶用卡安全意識和水平

金融機構要通過多種渠道對公眾進行銀行現代支付知識和產品的宣傳，介紹非法買賣銀行卡和出租出借銀行賬戶的風險和危害，使公眾了解銀行卡、網上銀行、手機銀行和移動支付的基本常識及風險防范要點，掌握銀行卡詐騙防范要領，提醒持卡人設置具有一定強度的密碼并定期修改，不要輕易泄露自己的銀行卡信息、密碼及個人信息資料，增強客戶的安全意識和自我保護能力。引導客戶綜合管理個人金融資產，只辦理和使用必要的借記卡和信用卡，減少個人持卡數量，降低銀行卡風險。作為云南沿邊金融綜合改革試驗區，德宏州銀行機構還應重視在不斷壯大的外籍人員客戶隊伍中普及銀行卡使用及風險防范知識，保護好外籍人員的金融消費合法權益。