银行卡盗刷猖獗 安全防线需支付行业共筑

在新兴支付方式带给消费者良好体验的同时，电信诈骗、网络钓鱼、手机木马等支付风险也在悄然聚集，对支付机构内控水平和外部防范提出了更高的要求。日前，支付清算协会上线运行了首个行业风险信息共享系统，希望通过协同作战对抗日益猖獗的盗刷、欺诈等风险。

随着开放的线上环境与电子犯罪技术快速传播，不法分子的犯罪成本也在大大降低，容易通过虚假开户、制作伪卡、植入病毒等手段，利用移动终端、计算机终端等渠道进行诈骗。网络盗刷、外部欺诈等支付风险事件频发，卡不离身、钱却被不法分子卷走的案例比比皆是。

支付清算协会常务副会长蔡洪波表示，新兴支付业务的跨界性和融合性，导致业务边界的模糊，增加了合规管理难度。特别是互联网开放环境与技术效率的优势，使资金周转速度大大提高，对于机构的风控水平提出了新要求。

“虽然银行、支付机构在业务拓展和交易过程中积累了大量的风险信息，但如果不能实现信息共享和连通处置，就难以形成防范合力。”民生银行网络金融部副总经理贾凤军表示，协同作战是对抗不法分子的关键。

据此，支付清算协会于2013年年底启动建立支付清算工作平台。今年6月26日该平台的行业风险信息共享系统正式上线运行。目前，支付清算协会作为拥有支付宝、财付通等300家会员单位，囊括全部从事网络支付业务的商业银行与支付机构，数据来源较为丰富。

蚂蚁金服大安全及平台数据部安全智能总监陈继东表示，“支付宝积累了海量数据，并建立了自己的风险黑名单库，希望能与同业分享，共建支付行业安全的生态圈。”

其实，在支付工具、支付方式频繁创新导致风险激增的同时，部分收单机构的无序扩张，放任外包机构漠视监管，也是乱象丛生的主因之一。

央行支付结算司支付工具管理处处长谭静蕙表示，一方面，不法分子作案手段不断智能化、专业化，使银行卡支付安全形势日趋紧迫；另一方面，一些非银行类收单机构对业务合规和防范风险意识淡漠，成为风险事件频发的主要原因。

目前，除商业银行外，有62家非银机构从事银行卡收单业务，另有117家非银机构获得网络支付业务许可。

“急于抢占市场的非银类支付机构，大量使用外包服务机构和人员拓展市场，但这些机构素质良莠不齐，成为银行卡业务风险管理的短板。”谭静蕙介绍，部分支付机构对外包机构资质审核流于形式，导致一些内控制度不健全、不具备持续经营能力、无风险防范意识的“三无”机构进入收单行业，加剧了银行卡信息泄露和欺诈套现等风险。

2015年部分地区出现特约商户的POS机被收单机构的外包人员改装，银行卡信息被侧录设备盗取导致盗刷；个别商业银行的ATM机违规留存银行卡敏感信息，被外包机构人员获取用于制造伪卡盗取资金；2014年部分地区也曾集中爆发了预授权套现风险事件、携程网站客户信息泄露事件等。

“机构内部管理不善导致信息泄露的问题较为普遍，国外一张银行卡信息甚至叫卖到25美金。”财付通在线支付部助理总经理张平介绍，支付机构应进一步健全内部信息管理制度，敏感岗位招聘必须做严谨的背景调查，努力保持人员稳定，落实保密要求，按信息敏感度和岗位要求分层管理。

谭静蕙透露，近期人民银行将发布关于银行卡收单业务外包管理的通知，对收单机构提出明确审核外包机构资质、控制外包服务范围、加强对商户检查、强化外包服务风险管理等方面的要求。

“可结合行业风险信息共享系统，建立外包机构信息共享机制，将共享的外包机构动态信息和评级，作为收单机构选择的参考依据。”谭静蕙说。