1、德宏州银行卡业务风险分析及应对建议银行卡作为现代化支付结算工具,以其便捷、高效、经济的突出优势赢得了人们的喜爱,而与此相伴的是各类银行卡犯罪层出不穷,手段不断升级,其中银行卡诈骗犯罪成为针对银行各类犯罪的主流,德宏州银行卡业务风险处于多发、高发期。 下载 一、银行卡欺诈案件多发,形势不容乐观 至 2016 年 5 月,德宏州银行机构共发银行卡 2576908 张,其中纯磁条卡 1291950 张,占银行卡总数的 50.14%,芯片磁条二合一卡 1284958 张,占比为 49.86%。2014 年全辖发生银行卡盗刷冒用事件 6 起,盗刷冒用金额34.78 万元,2015 年银行卡盗刷冒用事件骤
2、增至 99 起,比上年增加了 15倍,盗刷冒用金额 295.87 万元,增加了 7.5 倍。2016 年 15 月,银行卡盗刷冒用事件已发生 40 起,其中一家金融机构 5 至 6 月上旬连续发生 11起,呈集中爆发态势。尤其需要关注的是 2014 年全辖还没有银行卡涉诉案件,2015 年发生 2 件,涉诉金额 3 万元,2016 年 15 月就出现了 11 件,涉诉金额 169.4 万元,涉诉案件急剧增多。 银行卡被盗刷冒用主要有四种情况:第一种情况是当事人在不知情的情况下卡在外地银行的 ATM 机被盗刷;第二种是当事人网购、国内娱乐会所刷卡消费、国外刷卡消费后资金被盗刷;第三种是当事人在缅
3、甸赌场持银行卡在 POS 机上刷卡后,回到国内被盗刷;第四种是当事人将银行卡借给他人使用后被盗刷。 银行卡盗刷冒用等欺诈行为造成了多重恶劣影响。一是给持卡人带来直接的资金损失,甚至是惨重损失,造成了很大的物质和精神伤害。二是使商业银行的信誉和形象受损,特别是对涉诉银行而言,不但要调动很多人力物力应诉和协调,还要投入很多精力防止社会声誉二次受损,事实上无论胜诉败诉,商业银行都遭受了经济和声誉的双重损失。三是使客户对银行卡的安全性产生疑虑,动摇公众对卡基支付新产品的信心,影响银行产品创新和业务拓展。四是在一定程度上影响了辖区金融稳定。 二、原因分析 (一)从银行方面看,主要有四个因素 一是磁条类银
4、行卡易被复制、伪造,存在一定风险隐患。德宏州纯磁条银行卡占一半还强,而磁条卡信息破解相对简单,当磁条卡在被改装的 POS机上使用时,信息易被盗取。二是银行卡换“芯”工作进度较慢。银行芯片卡是以集成电路芯片作为介质的银行卡,复制难度极高,具备很强的抗攻击能力。2011 年,人民银行就启动了金融 IC 卡推广应用工作,但工作总体进度较慢,2016 年 5 月末德宏州芯片银行卡仅占 49.86%,而且大部分还是芯片、磁条二合一卡,存在芯片卡降级使用(读取磁条信息)情况。三是账户实名制落实不到位。不法分子使用他人账户实施银行卡欺诈犯罪活动,给案件侦破、追赃、止损带来极大困难。人民银行德宏州中心支行20
5、15 年核查发现“无法核实”或“部分真实”问题账户 1470 户,占核查账户的 0.7%,存在被不法分子利用的风险。四是客户道德风险难防范。在银行卡及密码有关信息泄露的容易性以及证明客户存在保管过错的举证难度大的现实情况下,不法客户和第三人串通损害银行利益的道德风险极难防范。此外,银行对客户挂失响应不力加重了资金损失。如 2016 年 5 月,德宏某银行客户在家中收到 ATM 机取款 3000 元银行取款短信后,立即按客户经理指导拨打客服电话挂失,但在挂失过程中,仍不停收到取款及刷卡消费的短信,虽然挂失成功,但卡内 56300 元资金还是被全部盗刷走。 (二)从客户方面看,主要问题是风险意识淡
6、薄 持卡人将银行卡、身份证、手机等随意摆放,银行卡被人在淘宝上盗用、身份证被同事朋友拿去冒名开户等事件时有发生;有的将自己的银行卡借给他人使用,归还后又没有及时更换银行卡密码,造成资金损失;有的为图方便,密码设置简单,保密性不强,且没有定期更换,多张银行卡密码相同,甚至连网上银行、手机银行也“共用”密码,一旦泄漏则全部暴露于风险之中;没有防范手机木马病毒和钓鱼网站意识,随意安装 APP,随心所欲使用智能终端,在储存有账号、口令的手机上随意参与抢“红包”、点击“中奖”信息、链接朋友圈等行为给卡复制、信息盗窃提供机会;更注重手机支付产品的便捷性及自主操作性,而不清楚这些改进往往以简化安全程序、增大
7、支付风险为代价;有的缺乏警惕性,用自己的身份证为他人办理银行卡,甚至为蝇头小利出卖个人银行卡,一旦涉案,既给自己带来不小的麻烦,也给案件侦破造成重重障碍。 (三)从支付市场看,主要问题是 POS 机安装及管理不规范 部分第三方支付机构在审核办理 POS 机手续时把关不严,信息失实,如有的客户申请 POS 机时使用主体是服装店,但真正使用的却是红木家具店;对特约商户违规使用、甚至非法改装 POS 机具情况缺乏足够的约束和管理,为诈骗分子盗取客户银行卡信息打开了方便之门,特别是对非法在缅方边境使用的 POS 机具难以监管,让不法分子有可乘之机;部分第三方支付机构对芯片卡不准降级交易的规定执行不力,
8、难以发挥金融 IC 卡安全上的优势。 (四)从社会层面看,打击银行卡诈骗犯罪的强大声势尚未形成,诱使案件多发 银行卡诈骗犯罪涉及线上线下,波及国内国外(钓鱼网站多建在国外,许多诈骗人员、场所也在国外),作案过程的网络化和非现场性使诈骗分子一方面减少了“犯罪感”,另一方面则增强了“安全感”,同时很多案件侦破与追赃工作复杂又漫长,全社会还没有完全形成快速打击银行卡诈骗犯罪的强大声势,这些因素让诈骗分子心存侥幸,不惜以身试法,铤而走险走上违法犯罪歧途。 三、应对建议 (一)升级技术,着力增强银行卡使用安全性 一是使用金融 IC 卡降低磁条交易风险。商业银行应尽快普及使用纯芯片卡,淘汰磁条卡,减少芯片
9、磁条复合卡,并对所有刷卡机具定期进行技术升级,增加防控功能。对于存量磁条卡,各发卡银行应尽量采取“换卡不换号”、实时发卡等多种有效措施,鼓励和引导持卡人主动更换金融 IC卡。应尽快关闭金融 IC 卡降级交易功能,人民银行规定最迟到 2017 年 5月 1 日,要全面关闭芯片磁条复合银行卡的磁条交易,目前应从交易渠道、刷卡频次、单笔交易金额、日累计交易金额、交易地区等方面进步加强磁条卡交易风险控制。二是推广账户借记交易客户最终确认技术,即在客户提供取款介质、录入密码后暂停交易,银行向客户己约定手机发送短信要求客户确认支付,待客户在本人手机确认后最终完成交易,就可以有效防范银行卡被复制后出现的风险
10、,保护客户资金安全。三是应尽快研究改进账户密码认证系统,逐步推广客户指纹认证技术,让客户在银行开立账户时,可选择指纹为取款的认证方式。四是研究开发并在自助设备及网上银行、手机银行上使用虹膜识别技术,利用人眼虹膜模式复杂且不会重复的特点,实现高精确度的客户身份认证。五是充分发挥大数据的作用。建立基于互联网大数据的客户风险监控平台,引入新的交易风险监控模型,将客户网上行为记录、社交活动记录等互联网数据导入到风险管理体系中,全面了解客户的自然属性和行为属性,借此加强对银行卡资金交易的监测分析,提高对客户风险事件的识别和监控能力,有效预判客户潜在风险,对异常交易及时预警,并采取调查核实、风险提示、临时
11、锁定交易、延迟结算等措施迅速处理,对确认存在套现、欺诈行为的持卡人,发卡机构应临时冻结银行卡并向公安机关报案。六是加强客户端软件的安全管理。从网络病毒防范、信息加密保护、运行环境可信等方面加强客户端应用软件的安全管理,确保其符合国家、金融行业相关标准和信息安全要求,另外发卡机构每年应至少开展一次外部安全评估。 (二)强化管理,筑牢银行卡风险防范屏障 一是加强银行账户管理。切实履行客户身份识别义务,确保申请人开户资料真实、完整、合规;打击银行卡买卖行为,有效遏制不法分子利用虚假账户或冒用他人账户作案的现象,为快速侦破案件、挽回资金损失创造条件。商业银行应依照中国人民银行要求,建立健全个人银行结算
12、账户分类管理机制,引导客户使用类、类银行账户办理小额网络支付业务,有效防控各类银行账户特别是类账户的信息泄露风险。二是加强客户风险提示。通过手机短信、微信、网上银行、手机银行、网点大屏、宣传折页等方式,及时向客户发出银行卡新型诈骗手段、花招、类型等内容的风险提示,提高客户风险识别和防范能力。对于可疑交易,应通过短信、电话、银行客户端等至少两种渠道进行交易确认和持卡人风险提示。三是加强银行网点临柜人员培训,锻炼工作人员辨别异常交易客户的“火眼金睛”,把好疑似受骗人员资金汇出的最后一道关口。四是加大特约商户管理力度。银行卡清算机构应会同收单机构健全特约商户信息电子化管理体系,严格落实特约商户实名制
13、相关规定,完整、准确地记载特约商户及其法定代表人或主要负责人的身份信息,并对同一商户在不同收单机构的注册信息进行关联管理,充分利用影像采集、区域定位等技术,采取多渠道交叉验证等有效手段,健全特约商户注册审核和信息更新机制,持续加强特约商户信息真实性管理。加强对特约商户的现场检查和非现场监控,确保 POS机具的安全合规使用,改善边境用卡环境。五是提高银行卡账户与非银行支付机构关联业务的客户身份认证和交易验证强度。客户首次建立业务关联时,各发卡银行应严格采用多因素身份认证方式,对客户身份直接进行鉴别。身份鉴别应采用智能密码钥匙(Key)等基于安全芯片的数字证书作为必要因素,并组合至少一种其他认证因
14、素,或采用动态口令密码、基于客户行为的动态挑战应答等至少两种动态认证因素进行组合验证。六是加强受理终端安全管理。商业银行、支付机构应从受理终端产品选型、验收、现场检查等环节加强安全管理,堵塞不符合标准、非法改装的受理终端入网使用的漏洞,确保受理终端的技术标准符合性。七是建立风险化解机制。针对银行卡欺诈的多发性,应尽快建立风险化解机制,引进保险赔偿手段,或拨备专门的风险基金,只要确认不是客户责任造成的资金被盗就及时给予赔付,以补救高技术性犯罪对银行及客户造成的损失。 (三)协调行动,形成银行卡风险防范强大合力 一是提升银行账户挂失冻结响应速度。改进客户挂失办理流程,优化银行卡挂失业务处理系统,简
15、化业务处理程序,以最快速度冻结客户挂失账户,尽可能减少受害客户的资金损失。二是依托国家电信网络新型违法犯罪交易风险事件管理平台防控风险。中国人民银行、工信部、公安部、工商总局建立了电信网络新型违法犯罪交易风险事件管理平台,并要求自2016 年 6 月 1 日起,各银行业金融机构、公安机关通过接口方式与该平台连接,实现对涉案账户的紧急止付、快速冻结、信息共享和快速查询。辖内各银行机构应充分利用该平台功能,加强沟通、密切配合,积极推进信息共享,利用紧急止付和快速冻结工作机制,最大限度挽回受害客户的财产损失,全力维护社会公众的合法权益。三是提高 ATM 管控水平,增强辨识能力。加强对自助网点的巡查和
16、监控,强化对 ATM 机安装的报警设施、监控设备的定期检查,更新 ATM 机的防伪识别系统,对伪造及变造的银行卡自动没收,并向银行发出警报。四是留存服务音像证据。无论是柜面还是自动取款机的交易,银行都有必要适当保存相关视频、音频材料,借助这些交易环节相关音像材料来防控不法客户和第三人串通损害银行利益的行为,防范社会道德风险。 (四)广泛宣传,提高客户用卡安全意识和水平 金融机构要通过多种渠道对公众进行银行现代支付知识和产品的宣传,介绍非法买卖银行卡和出租出借银行账户的风险和危害,使公众了解银行卡、网上银行、手机银行和移动支付的基本常识及风险防范要点,掌握银行卡诈骗防范要领,提醒持卡人设置具有一定强度的密码并定期修改,不要轻易泄露自己的银行卡信息、密码及个人信息资料,增强客户的安全意识和自我保护能力。引导客户综合管理个人金融资产,只办理和使用必要的借记卡和信用卡,减少个人持卡数量,降低银行卡风险。作为云南沿边金融综合改革试验区,德宏州银行机构还应重视在不断壮大的外籍人员客户队伍中普及银行卡使用及风险防范知识,保护好外籍人员的金融消费合法权益。
