据央视《焦点访谈》12月6日晚报道,前不久,江苏宿迁等地警方破获多起新型盗刷银行卡案件。警方发现,这是一种盗刷银行卡的新手法:不法分子通过改装POS机,盗取卡号和密码进行盗刷。
上海某第三方支付公司一位高层向《每日经济新闻(博客,微博)》记者表示,发生这种盗刷行为,商户肯定是有责任的。因为第三方支付公司对商户有核实商户要素的要求,一般要验证身份证、银行卡预留手机号等要素。如果单笔支付金额越大,验证要素就越多。
拉卡拉:未发生信息泄露
央视上述报道称,今年3月1日到6日,宿迁市警方接连接到群众报案,反映银行卡被盗刷。警方侦查发现,犯罪嫌疑人洪某某在瑞银信、拉卡拉等第三方支付机构办理POS机300多台,用于盗取卡号和密码进行盗刷。
办案人员分析,利用POS机作案之所以能得手,首先是部分厂家生产的POS机存在技术缺陷,按照安全规范要求,POS机应该是拆机即毁。但本案中,犯罪嫌疑人贡某、廖某某购买的联迪E550型POS机却没有这个功能。
POS机这第一关没有守住,第三方支付机构也未能严格执行相关规定。央视曝光的本案中,第三方收单机构应对特约商户严格审核营业执照、税务登记证等硬性规定形同虚设。
《每日经济新闻》记者第一时间联系拉卡拉方面,该公司在回复声明中称,“涉案的300多台终端中,拉卡拉仅涉及1台,累计交易114笔,均为100元以下的小额借记卡交易,涉及金额9420.6元,占全部涉案金额六十多万的不到0.1%,未发生信息泄露。”
拉卡拉方面表示,该案发生后,公司已第一时间关闭涉及终端的银行卡交易功能,同时也已将涉及商户的相关信息纳入公司黑名单库,并向中国银联风险信息共享系统报送黑名单。此外,相关情况已向监管部门提交整改汇报。
部分第三方支付审核不严
上述案件中的POS机是如何得到的呢?记者采访了一些了解业内“潜规则”的人士。
“虚假入网多是POS机代理商所为。”吴华(化名)在上海开了一家文化用品礼品公司。她表示,之前其作为正常商户,提供完整资料信息向第三方支付公司申请POS机业务,但材料送上去审核就是通不过。但是,通过某些非正常途径的代理商却能将资料轻易审核通过。
吴华告诉记者,做这些第三方支付POS机业务的代理商,原本安装一台POS机可赚200元,由于这些大代理商下面还有不少分代理,因此,他们需要不断地有商户开户才能盈利。但在实际操作过程中,很多正常商户想要申请POS机却是很难的,很多代理商为了拓展商户,就会协助他们以其他商户的名义申请入户。
目前,我国可使用POS机收单银行卡的分为银行系统和第三方支付机构,在实名制管理的要求之下,像贡某等特约商户在第三方支付机构注册入网时,需提交营业执照等,才能经营POS机业务。然而,很多第三方支付机构却不管这样的硬性要求。
前述第三方支付公司高层表示,POS机作为一种银行卡支付的工具,对安全性有很高的要求。支付公司无论是通过代理商,还是自营,都要完成一系列要素的验证。此外,对商户的审核也要严格。但有些支付公司没有尽到基本的责任。
除第三方支付违规操作让不法分子有机可乘,在银行这关,因未按规定关闭降级交易渠道,最终让盗刷发生。
2014年,央行下发相关通知,明确要求各发卡银行、收单机构于2014年底前,全部关闭金融IC卡、POS机等线下渠道的降级交易。但在上述案中,银行方面也存在管理漏洞,并没有执行这一要求。据悉,本案中,犯罪嫌疑人廖某某就用一台老式电话POS机盗刷150多万元,涉及工行等多家银行,这些银行都没有关闭降级交易渠道。
今年初至今,央行对于第三方支付的行业整治力度也不断在加大。
那么,受害人该如何维权?如何防范这种新型犯罪手段?互联网金融业资深律师肖飒指出,对于维权问题,受害人应当举证。如开通第三方支付时候的协议、刑事判决书等能够证明事实的材料。此外,肖飒建议,消费者要增强支付知识的学习,也不能贪图便宜,更不能参与违法金融活动。