新型盜刷案曝光,內幕曝光令人後怕。據央視《焦點訪談》12月6日晚報道,前不久,江蘇宿遷等地警方破獲多起新型盜刷銀行卡的案件。
警方發現,這是一種盜刷銀行卡的新手法:不法分子通過改裝POS機,盜取卡號和密碼進行盜刷,讓羣眾財產受損。這種作案手法十發隱秘、不易察覺,普通用户很難防範。
新型盜刷案曝光 內幕曝光令人後怕
《每日經濟新聞》記者注意到,仔細剖析這起案件的過程,POS機生產廠家和第三方支付機構違規操作,給了犯罪分子可乘之機。那麼如果就此造成的損失,受害者該如何維權?在第三方支付機構陸續遭到央行處罰背後,監管部門是否能從從源頭上對第三方支付機構加大審查管理力度呢?
案情:辦理POS機300多台 瘋狂盜刷作案
來自央視上述報道稱,今年3月1號到6號,江蘇省宿遷市警方接連接到羣眾報案,反映他們的銀行卡被盜刷。警方調查中發現,在短短的6天時間,8起盜刷案件涉案金額62萬多元。經偵查,犯罪嫌疑人洪某某在瑞銀信、樂富、拉卡拉等第三方支付機構辦理POS機300多台,用於盜取卡號和密碼進行盜刷。
據警方通報,根據偵查,共抓獲洪某某、貢某等犯罪嫌疑人16名,涉案金額1000多萬元,案件涉及全國18個省市共200多起。其中,最大一筆一次盜刷人民幣91萬元。
那麼,犯罪分子為何能屢屢得手?
辦案人員分析,利用POS機作案之所以能得手,首先是部分廠家生產的POS機存在技術缺陷,按照POS機安全規範要求,POS機應該是拆機即毀。但本案中,犯罪嫌疑人貢某、廖某某購買的聯迪E550型POS機卻沒有這個功能。
POS機這第一關沒有守住,在接下去的使用POS機開展收單業務的第三方支付機構如果依規進行防範,那諸如此類的“盜刷銀行卡”問題也能在一定程度上減少。但在央視曝光的本案中,“特約商户需要在第三方支付機構註冊入網,這樣才能經營POS機業務。入網前,第三方收單機構應對特約商户嚴格審核營業執照、税務登記證、有效身份證件等”這樣的硬性規定,被卻形同虛設了。
據警方通報,在查扣的犯罪嫌疑人洪某某的電腦裏發現,有大量的手持身份證的照片,這些都是他花錢買來用於辦理POS機的。
對於上述案件,《每日經濟新聞》記者第一時間聯繫了拉卡拉方面,該公司給予記者的回覆聲明中稱,“涉案的300多台終端中,拉卡拉僅涉及1台,累計交易114筆,均為100元以下的小額借記卡交易,涉及金額9420.6元,佔全部涉案金額六十多萬的不到0.1%,未發生信息泄露。”
拉卡拉方面表示,在本案中,該公司不是犯罪分子轉移資金的通道,而是用於測試銀行密碼準確性。該案發生後,拉卡拉也已第一時間關閉涉及終端的銀行卡交易功能,同時,該公司也已將涉及商户的相關信息納入公司黑名單庫。並向中國銀聯風險信息共享系統報送黑名單,防範該商户改頭換面重新入網。拉卡拉表示,相關情況已向監管部門提交整改彙報。
那麼,上述案件中這些POS是如何得到的呢?《每日經濟新聞》記者通過一些瞭解業內“潛規則”的人士窺見了一些門道。
“虛假入網多是POS機代理商所為。”吳華(化名)在上海開了一家文化用品禮品公司,此前,她通過POS機代理商安裝過兩台POS機,通過她過去接觸的幾家代理商,她向《每日經濟新聞》記者反映:“我之前作為一個正常商户,提供完整資料信息向第三方支付公司申請POS機業務,但材料送上去審核是各種理由不通過,第三方支付公司會讓你反覆補充資料。但是,通過某些非正常途徑的代理商卻能將資料輕易審核通過。”
吳華告訴記者,做這些第三方支付POS機業務的代理商,原本安裝一台POS機可賺200元,由於這些大代理商下面還有不少分代理,因此,他們需要不斷地有商户開户才能盈利。但在實際操作過程中,因為嚴格的限制規範,很多正常商户想要申請POS機卻是很難的,所以很多代理商為了拓展商户,就會協助他們以其他商户的名義申請入户。“正常走銀聯渠道的POS機審核至少需要10天左右,非正常渠道的POS機審核有些當天就能出機器了。”
記者注意到,目前,我國可以使用POS機收單銀行卡的分為銀行系統和第三方支付機構,在實名制管理的要求之下,像貢某等特約商户在第三方支付機構註冊入網時,需提交營業執照、税務登記證、有效身份證件等,才能經營POS機業務。
然而,很多第三方支付機構卻無視這樣的硬性要求,這才出現上述案件中的犯罪嫌疑人通過幾家第三方支付機構辦理POS機300多台用於作案的情況。
此外,按照規定,對實體特約商户,第三方收單機構不得跨省級行政區域開展收單業務。而洪某某常住深圳,他所辦理的300多台POS機虛假註冊的地址遍及山東、河南、湖北等十多個省份,在全國多地使用。
按規定,上述虛假商户入網、POS機違規跨區域使用等問題,應由中國人民銀行分支機構責令第三方支付機構整改,並對其處以1萬到3萬元的罰款。
採訪中,上海某第三方支付公司的一位高層還向《每日經濟新聞》記者透露,“發生這種盜刷行為,商户肯定有責任的。因為第三方支付公司對商户有核實商户要素的要求,一般要驗證身份證、銀行卡預留手機號、銀行卡號、密碼、芯片卡等要素。假如説單筆支付金額越大,驗證要素就越多。”
他向記者補充説道:“POS機作為一種銀行卡支付的工具,安全性有很高的要求。支付公司無論是通過代理商,還是自營,都要完成一系列要素的驗證;除此之外,對商户的審核也要嚴格。支付公司為商户提供的支付通道是建立在真實貿易和持卡人真實意願兩個基礎上的。而上述案例中,有些支付公司就沒盡到這兩個基本的責任。”
後續:第三方支付監管亟待加強
如果説上述虛假商户入網、POS機違規跨區域使用等情況,均為第三方支付公司的違規操作讓犯罪分子第一關有機可乘,那麼,接下來在銀行這一關,由於沒有按規定關閉降級交易渠道,才最終讓犯罪分子徹底暢通無阻。
早在2014年,中國人民銀行下發了《關於逐步關閉金融IC卡降級交易有關事項的通知》,明確要求各發卡銀行、收單機構於2014年底前,全部關閉金融IC卡、POS機等線下渠道的降級交易。但在本案中,銀行方面也存在管理漏洞,並沒有執行這一要求。
據悉,本案中,犯罪嫌疑人廖某某就用一台老式電話POS機盜刷150多萬元,涉及 工商銀行 、 農業銀行 、 中國銀行 、 建設銀行 、 交通銀行 五大國有商業銀行及廣東華興銀行,這六家銀行都沒有關閉降級交易渠道。
通過以上案件和分析不難發現,第三方支付作為一種新興的支付機構,其所代表的支付方式更為便捷,但也容易出現紕漏。隨着第三方支付的蓬勃發展,隱藏在其背後的刑事風險也日益凸顯。第三方支付系統中的一些漏洞,一旦被犯罪分子利用,就會對用户利益造成破壞,甚至釀成地區性的金融事件。
事實上,從年初至今,央行對於第三方支付的行業整治力度一直在加大,一方面開展支付機構備付金風險和跨機構清算業務整治,嚴格支付機構市場準入和監管,加大違規處罰;另一方面則開展無證經營支付業務的整治。數據顯示,從去年底到今年初,短短半年的時間,央行已註銷4家支付公司的業務牌照,累計對7家支付機構處以罰沒逾1億元。自今年1月至10月以來,被央行開過罰單的第三方支付機構已有22家。
那麼,如何防範這種新型犯罪手段?如果發生這種被盜刷行為後,相關的第三方支付機構是否該承擔刑責?普通消費者、受害者應該怎麼進行維權?
對此,互聯網金融業資深律師、大成律師事務所律師肖颯對《每日經濟新聞》記者指出,相關支付機構不承擔刑事責任,因為支付機構並沒有實施詐騙等犯罪行為,也沒有明知他人實施犯罪行為而提供幫助。
其次,相關支付機構應在過錯範圍內,依法承擔民事責任,民事責任的類型是侵權責任。就侵權責任而言,支付機構根據責任大小承擔侵權責任。
對於受害人的維權問題,肖颯指出,受害人應當舉證。比如開通第三方支付時候的協議,資金轉移的證明,以及刑事判決書等能夠證明事實的材料。
就如何杜絕防範此類事件而言,肖颯律師建議:一方面,要增強支付知識的學習,瞭解支付規定與政策;另一方面,不能貪圖便宜,不參與違法金融活動。