AD
卡未离身,却被盗刷百万;没申请过信用卡,却被银行告知钱款逾期未还……近年来,银行卡被盗刷的新闻屡见报端,常常导致持卡人与银行的法律纠纷,持卡人用卡安全以及银行的风险控制备受关注。持卡人如何防止被盗刷,银行在防范欺诈风险上有哪些有效措施?对此,《第一财经日报》访问了广发银行信用卡中心风险总监王玉海。
广发银行信用卡已连续7年盈利,并一直领军国内信用卡行业,在风控方面拥有国内领先的探针系统和风险控制流程。王玉海对信用卡欺诈的各种风险点以及银行的风控措施进行了详细解读。
信用卡欺诈70%属“伪卡”
第一财经日报:今年很多银行的信用卡盗刷现象愈演愈烈。针对盗刷,持卡人用卡的各个环节上都有哪些风险点?对这些风险点银行做了哪些工作?这些工作是否能够足以保证卡的安全?
王玉海:盗刷的风险点很多,从发卡、填表、审批、制卡、激活信用卡到用卡,每个环节上都存在风险。
客户从填写一张信用卡申请表开始,风险就已经产生。他的身份证是否真实,首先需要通过公安部全国公民身份查询中心准确验证,在填完表格后,银行要做亲访、亲核、亲签。亲访即前往客户的工作单位或住址进行身份确认,亲核是核实客户证件和收入证明等文件。这是最前端的风控。
第二步是申请表录入系统。这里的风险是员工操守,防止银行内部出现信息泄露事件。录入完以后是制卡,要挑选国际认证的、严格规范的制卡公司。制卡对保密有严格的要求,每年都要进行稽核。制卡后银行要通过EMS快递或者其他安全的通讯方式送达客户。这个环节也存在潜在风险,要防范寄送错误,否则卡片激活可能被盗刷。而用卡过程更容易出现问题。
商业银行信用卡中心往往有专业的营销团队。而对营销团队的管理,从操守、培训、监控,到惩罚机制,广发可能是最严格的。一旦出现技能不足或违规,广发会毫不留情地惩罚,而且几乎每周都会对营销员的风险意识进行判断,送达到相关高层手中。我们会通过智能手段告诉营销员的领导,哪些营销员因为存在工作瑕疵需要培训。整个流程非常严谨,在业界好评比较多。
此外,广东的银行业在与警方、银联、人民银行征信中心合作和联动上有良好有效的机制,同行在每年的交流年会上也会分享风控经验。比如银联发现盗刷会通报给银行,银行发现的也会通报给银联和同行,这种机制效果很好。
日报:用卡的哪些环节最容易出现欺诈等风险?
王玉海:欺诈有很多种方式,比如虚假申请。此外更多的是“伪卡”,即假卡。
制作伪卡最简单的方式是把信用卡背面的磁条侧录下来。侧录有很多种方式:比如犯罪分子趁持卡人在商户消费时,通过仅有麻将大小的读卡器在几秒钟之内就可以把持卡人信息COPY到他人的硬盘里,再经过加工制成伪卡。伪卡制成后一般会经过另外一帮人去商户盗刷变现。
侧录和盗刷犯罪的源头都是通过商户,尤其是国内的餐饮和旅游业,因为刷卡金额小,客人流动频繁。犯罪分子可以在嘈杂的环境中安装一个很小的侧录仪,一天就可以侧录成百上千张卡片信息。而盗刷变现则很少发生在餐馆,犯罪分子往往会冒着风险做黄金、珠宝、机票等大额消费。往往在这些大额消费中,一些消费者出于各种理由不一定会积极配合商户检查相关证件,而商户为了达成这笔交易也未必会进行卡片的深究。
在国外,伪卡盗刷高峰在几年前就过去了,但在国内现在仍是上升期,在所有的信用卡欺诈中,伪卡占70%左右。目前广发的伪卡犯罪率低于行业平均水平。
日报:针对伪卡的风险,广发银行有哪些防控措施?
王玉海:银行替持卡人防范伪卡的第一点就是密码。密码是不会被侧录的,只能被盗取。有些犯罪分子拿到伪卡之后不知道有密码,很多欺诈在刷卡环节就被挡住了。防范伪卡的第二点措施是短信提醒,在大额消费刷卡后广发有免费短信提醒。这个服务是可以供客户定制的,定制之后小额刷卡消费也可以收到短信提醒,业界通行的收费标准是每月3元。这两个措施提前防范了八至九成的伪卡发生。
但短信提醒毕竟是事后行为,其有效性很大程度上取决于持卡人收到短信以后的反应。有些客户收到短信以后没有反馈,这就可能会造成二次、三次的盗刷。如果持卡人很警觉,马上通知银行止付,犯罪分子的盗刷行为就会受到银行的阻止。值得一提的是,在国外,短信普及率非常低,尤其在美国,信用卡短信提醒功能普及率很低,但他们现在也开始鼓励持卡人接受短信提醒服务。
发生盗刷以后,广发信用卡中心有业内通用的48小时赔付机制。其实这方面我们已经走得更远了——在48小时基础上,只要经过调查确认交易是被盗刷的,广发都有义务保护持卡人的利益。
此外还有事后布控,即在监管部门和人民银行的指引下,与公安部门的合作也非常密切,通过各地的警银协作。
日报:今年伪卡现象为何会出现“高峰”?
王玉海:其实从去年开始,伪卡案情就有所上升,但今年在整个业界来看更高。所幸广发这方面是在逐渐往下走,防控措施更加严格。广发信用卡伪卡的犯罪率和损失率相对来说比业界要低。
24小时监测系统
日报:那么对于广发信用卡而言,防盗刷最有效的措施都有哪些?
王玉海:广发内部有24小时不间断的实时监测,会通过智能的逻辑来判断客户消费是否被盗刷,并及时通过短信或电话提醒客户。比如客户常住广州,突然某天在澳门进行了一笔珠宝消费,那么就可以初步判断存在盗刷的可能。为了客户账户的安全,我们会马上对客户进行短信提醒。除此之外,我们还会根据更多的参数进行判断,在最短时间内打电话给客户询问是否有被盗刷,哪怕是在晚上。如果排除盗刷可能,我们会通知商户进行支付;如果确定是盗刷,我们则会让商户马上止付,防止犯罪行为的发生。
这种内部防范逻辑是在大量的分析前提下做出来的,已经达到了智能程度。根据数据,止损率能够达到80%以上。此外,通过计算机系统,有90%的欺诈案能被广发信用卡中心第一时间发现。
广发这个24小时不间断监测系统是从2004年开始做的,并不断优化,里面有成百上千个逻辑,每一个时点都在运行,能算出盗刷的概率是95%。广发信用卡中心有一个数十人的团队进行24小时值班,负责每时每刻的监测、授权和管控。
日报:银行如何管理商户,使之避免出现侧录?
王玉海:侧录有多种方式,其中之一是将犯罪机具连线到POS机上,刷卡时COPY客户信息,防范这样的犯罪主要靠银行对商户的监管。广发信用卡中心在审批商户POS机时有很多硬性和软性规定,比如对商户资质,其资料和经营范围等,这都要经过银行的严格审核。我们还会要求商户提交网线布置、各种管道的文件,使我们知道商户在硬件和软件上是否有资格。商户POS机的操作人员也要经广发信用卡中心的审查和备案。
此外,广发的网点和分行会请第三方机构以客户或合作方的名义到商户检查,评定商户是否继续符合资格,若不符合我们会马上关闭该商户。从目前来看,虽然我们商户规模不大,但是通过我行的商户去实施侧录的现象非常少。
日报:随着网购和电子商务行业的不断发展壮大,在这些领域上有哪些关于信用卡的新型犯罪手段?
王玉海:网购犯罪主要是窃取持卡人信息以后,通过不同的IP地址接管账户,并进行非持卡人操作的购物。这样的犯罪形式并不新鲜,其基础还是先获取持卡人信息。持卡人信息会通过发卡行传输给提供商品和服务的网络公司,网上商城会获悉持卡人的姓名、密码、地址以及磁条信息,所以商户的安全操守是一个关注点。
此外在信息和商品流通过程中的服务商也可能接触到持卡人的卡片信息。行业内就出现过一些客户信息泄露致使持卡人被骗的案例,比如购买手机,送来的却是砖头,这其中可能是配送环节,也可能是网络公司或银行合作商泄露了信息。所以银行一定要对直接合作的商户的资质进行严格把关,毫不轻率。
对于用广发卡在非我行商户进行消费的行为,我行无法管理商户,但我们还是有机制进行风险防控,比如限制网购的交易金额或关闭我行在高风险行业商户的交易等措施。
摄影记者/高育文
