据央视《焦点访谈》12月6日晚报道,前不久,江苏宿迁等地警方破获多起新型盗刷银行卡的案件。警方发现,这是一种盗刷银行卡的新手法:不法分子通过改装POS机,盗取卡号和密码进行盗刷,让群众财产受损。这种作案手法十发隐秘、不易察觉,普通用户很难防范。《每日经济新闻》记者仔细剖析这起案件的过程,发现是POS机生产厂家和第三方支付机构违规操作,给了犯罪分子可乘之机。
每经编辑 夏冰
每经记者 夏冰 每经编辑 吴悦
银行卡在自己手里,钱却被盗刷了。这边“电信诈骗”频频登上热搜榜,那边“银行卡盗刷”同样让你直呼难以防范。
据央视《焦点访谈》12月6日晚报道,前不久,江苏宿迁等地警方破获多起新型盗刷银行卡的案件。警方发现,这是一种盗刷银行卡的新手法:不法分子通过改装POS机,盗取卡号和密码进行盗刷,让群众财产受损。这种作案手法十发隐秘、不易察觉,普通用户很难防范。
《每日经济新闻》记者注意到,仔细剖析这起案件的过程,POS机生产厂家和第三方支付机构违规操作,给了犯罪分子可乘之机。那么如果就此造成的损失,受害者该如何维权?在第三方支付机构陆续遭到央行处罚背后,监管部门是否能从从源头上对第三方支付机构加大审查管理力度呢?
案情:办理POS机300多台 疯狂盗刷作案
来自央视上述报道称,今年3月1号到6号,江苏省宿迁市警方接连接到群众报案,反映他们的银行卡被盗刷。警方调查中发现,在短短的6天时间,8起盗刷案件涉案金额62万多元。经侦查,犯罪嫌疑人洪某某在瑞银信、乐富、拉卡拉等第三方支付机构办理POS机300多台,用于盗取卡号和密码进行盗刷。
据警方通报,根据侦查,共抓获洪某某、贡某等犯罪嫌疑人16名,涉案金额1000多万元,案件涉及全国18个省市共200多起。其中,最大一笔一次盗刷人民币91万元。
那么,犯罪分子为何能屡屡得手?
办案人员分析,利用POS机作案之所以能得手,首先是部分厂家生产的POS机存在技术缺陷,按照POS机安全规范要求,POS机应该是拆机即毁。但本案中,犯罪嫌疑人贡某、廖某某购买的联迪E550型POS机却没有这个功能。
POS机这第一关没有守住,在接下去的使用POS机开展收单业务的第三方支付机构如果依规进行防范,那诸如此类的“盗刷银行卡”问题也能在一定程度上减少。但在央视曝光的本案中,“特约商户需要在第三方支付机构注册入网,这样才能经营POS机业务。入网前,第三方收单机构应对特约商户严格审核营业执照、税务登记证、有效身份证件等”这样的硬性规定,被却形同虚设了。
据警方通报,在查扣的犯罪嫌疑人洪某某的电脑里发现,有大量的手持身份证的照片,这些都是他花钱买来用于办理POS机的。
对于上述案件,《每日经济新闻》记者第一时间联系了拉卡拉方面,该公司给予记者的回复声明中称,“涉案的300多台终端中,拉卡拉仅涉及1台,累计交易114笔,均为100元以下的小额借记卡交易,涉及金额9420.6元,占全部涉案金额六十多万的不到0.1%,未发生信息泄露。”
拉卡拉方面表示,在本案中,该公司不是犯罪分子转移资金的通道,而是用于测试银行密码准确性。该案发生后,拉卡拉也已第一时间关闭涉及终端的银行卡交易功能,同时,该公司也已将涉及商户的相关信息纳入公司黑名单库。并向中国银联风险信息共享系统报送黑名单,防范该商户改头换面重新入网。拉卡拉表示,相关情况已向监管部门提交整改汇报。
揭秘:盗刷银行卡暗藏灰色利益链
那么,上述案件中这些POS是如何得到的呢?《每日经济新闻》记者通过一些了解业内“潜规则”的人士窥见了一些门道。
“虚假入网多是POS机代理商所为。”吴华(化名)在上海开了一家文化用品礼品公司,此前,她通过POS机代理商安装过两台POS机,通过她过去接触的几家代理商,她向《每日经济新闻》记者反映:“我之前作为一个正常商户,提供完整资料信息向第三方支付公司申请POS机业务,但材料送上去审核是各种理由不通过,第三方支付公司会让你反复补充资料。但是,通过某些非正常途径的代理商却能将资料轻易审核通过。”
吴华告诉记者,做这些第三方支付POS机业务的代理商,原本安装一台POS机可赚200元,由于这些大代理商下面还有不少分代理,因此,他们需要不断地有商户开户才能盈利。但在实际操作过程中,因为严格的限制规范,很多正常商户想要申请POS机却是很难的,所以很多代理商为了拓展商户,就会协助他们以其他商户的名义申请入户。“正常走银联渠道的POS机审核至少需要10天左右,非正常渠道的POS机审核有些当天就能出机器了。”
记者注意到,目前,我国可以使用POS机收单银行卡的分为银行系统和第三方支付机构,在实名制管理的要求之下,像贡某等特约商户在第三方支付机构注册入网时,需提交营业执照、税务登记证、有效身份证件等,才能经营POS机业务。
然而,很多第三方支付机构却无视这样的硬性要求,这才出现上述案件中的犯罪嫌疑人通过几家第三方支付机构办理POS机300多台用于作案的情况。
此外,按照规定,对实体特约商户,第三方收单机构不得跨省级行政区域开展收单业务。而洪某某常住深圳,他所办理的300多台POS机虚假注册的地址遍及山东、河南、湖北等十多个省份,在全国多地使用。
按规定,上述虚假商户入网、POS机违规跨区域使用等问题,应由中国人民银行分支机构责令第三方支付机构整改,并对其处以1万到3万元的罚款。
采访中,上海某第三方支付公司的一位高层还向《每日经济新闻》记者透露,“发生这种盗刷行为,商户肯定有责任的。因为第三方支付公司对商户有核实商户要素的要求,一般要验证身份证、银行卡预留手机号、银行卡号、密码、芯片卡等要素。假如说单笔支付金额越大,验证要素就越多。”
他向记者补充说道:“POS机作为一种银行卡支付的工具,安全性有很高的要求。支付公司无论是通过代理商,还是自营,都要完成一系列要素的验证;除此之外,对商户的审核也要严格。支付公司为商户提供的支付通道是建立在真实贸易和持卡人真实意愿两个基础上的。而上述案例中,有些支付公司就没尽到这两个基本的责任。”
后续:第三方支付监管亟待加强
如果说上述虚假商户入网、POS机违规跨区域使用等情况,均为第三方支付公司的违规操作让犯罪分子第一关有机可乘,那么,接下来在银行这一关,由于没有按规定关闭降级交易渠道,才最终让犯罪分子彻底畅通无阻。
早在2014年,中国人民银行下发了《关于逐步关闭金融IC卡降级交易有关事项的通知》,明确要求各发卡银行、收单机构于2014年底前,全部关闭金融IC卡、POS机等线下渠道的降级交易。但在本案中,银行方面也存在管理漏洞,并没有执行这一要求。
据悉,本案中,犯罪嫌疑人廖某某就用一台老式电话POS机盗刷150多万元,涉及工商银行、农业银行、中国银行、建设银行、交通银行五大国有商业银行及广东华兴银行,这六家银行都没有关闭降级交易渠道。
通过以上案件和分析不难发现,第三方支付作为一种新兴的支付机构,其所代表的支付方式更为便捷,但也容易出现纰漏。随着第三方支付的蓬勃发展,隐藏在其背后的刑事风险也日益凸显。第三方支付系统中的一些漏洞,一旦被犯罪分子利用,就会对用户利益造成破坏,甚至酿成地区性的金融事件。
事实上,从年初至今,央行对于第三方支付的行业整治力度一直在加大,一方面开展支付机构备付金风险和跨机构清算业务整治,严格支付机构市场准入和监管,加大违规处罚;另一方面则开展无证经营支付业务的整治。数据显示,从去年底到今年初,短短半年的时间,央行已注销4家支付公司的业务牌照,累计对7家支付机构处以罚没逾1亿元。自今年1月至10月以来,被央行开过罚单的第三方支付机构已有22家。
那么,如何防范这种新型犯罪手段?如果发生这种被盗刷行为后,相关的第三方支付机构是否该承担刑责?普通消费者、受害者应该怎么进行维权?
对此,互联网金融业资深律师、大成律师事务所律师肖飒对《每日经济新闻》记者指出,相关支付机构不承担刑事责任,因为支付机构并没有实施诈骗等犯罪行为,也没有明知他人实施犯罪行为而提供帮助。
其次,相关支付机构应在过错范围内,依法承担民事责任,民事责任的类型是侵权责任。就侵权责任而言,支付机构根据责任大小承担侵权责任。
对于受害人的维权问题,肖飒指出,受害人应当举证。比如开通第三方支付时候的协议,资金转移的证明,以及刑事判决书等能够证明事实的材料。
就如何杜绝防范此类事件而言,肖飒律师建议:一方面,要增强支付知识的学习,了解支付规定与政策;另一方面,不能贪图便宜,不参与违法金融活动。
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。