信用卡交易欺诈变化趋势及防范难点

　　与支付渠道不断拓宽相比，收单机构和受理终端的安全规范与创新还存在一定滞后。整体而言，目前支付渠道发展模式尚不成熟，风险控制能力良莠不齐。这对信用卡欺诈风险管理提出了更高的要求。

　　1. 信用卡交易欺诈变化趋势。

　　（1）信用卡伪卡风险将得以一定程度缓解。

　　1998 年，国际银行卡组织联合制定了银行 IC 卡技术标准，并开始逐步推动 IC 卡迁移。2006 年后 IC 卡迁移工作快速推动，西欧、拉美、亚太等全球大部分地区陆续完成，信用卡欺诈风险开始不断向中国转移。国内信用卡伪卡损失在欺诈损失中的占比从 2008 年的11% 迅速增长到 2012 年的 59%.

　　2011 年 3 月 15 日，人民银行发布《中国人民银行关于推进金融IC 卡应用工作的意见》（以下简称《意见》），在全国范围内正式启动银行卡芯片迁移工作。根据《意见》要求，金融 IC 卡受理环境在 2012年底前搭建，2015 年起在经济发达地区和重点合作行业领域，商业银行发行的、以人民币为结算账户的银行卡均应为金融 IC 卡。在此基础上，银联相继下发了《中国银联 IC 卡技术规范》、《银联标准IC 卡伪卡风险赔付管理办法》等，以配合 IC 卡迁移工作。截至目前，国内金融 IC 卡受理环境已建设完毕，各发卡行开始加快推进 IC 卡发卡工作。基于 IC 卡在安全性上的升级可以预见，随着金融 IC 卡的推广和受理环境的改善，困扰信用卡业务多年的伪卡盗刷风险将得到一定程度的遏制。

　　（2）无卡支付欺诈交易呈上升态势。

　　2013 年二季度，互联网支付渠道欺诈损失在整体欺诈损失中的占比达 9.42%,位列欺诈损失第三位，预计未来还将进一步上升。信用卡无卡支付欺诈交易上升主要受两个因素影响 :一方面，伴随着互联网技术、移动技术的发展，居民的消费习惯逐步发生变化，线上交易以其支付便捷、手续费低廉、服务多样的特点吸引了越来越多的消费者，并有不断挤压线下市场之势。未来线上支付还将进一步扩大份额，成为主要的支付方式。而在当前阶段，线上支付创新速度极快，市场竞争激烈，而相应的风险管理技术和经验却远远落后于创新速度，交易安全性难以保障。另一方面，随着我国 IC 卡的升级，线下伪卡风险在一定时间内会得到有效控制，一部分犯罪分子将转移目标，在无卡支付渠道寻找机会。

　　2. 信用卡交易欺诈防范难点。

　　（1）无卡支付欺诈案件防控难度较大。

　　近年来，网上支付渠道的欺诈案件比传统欺诈案件风控难度更大，主要体现在以下几个方面。

　　一是犯罪更隐蔽。与伪卡等盗刷案件相比，无卡支付类欺诈案件中犯罪分子往往隐藏在互联网背后，利用虚拟身份通过变造 IP、境外 IP 实施犯罪，这势必增加案发后的追溯难度。

　　二是涉案区域更分散。由于互联网跨越了地域限制，网上支付渠道欺诈案件涉及客户往往非常分散，遍布全国各地，增加了案件调查、处理的成本和难度。

　　三是跨界特征明显。随着互联网技术和移动支付技术的发展，目前网上支付业务跨界特点明显，欺诈案件相涉及银行、第三方支付平台、网上商户、移动运营商等各个环节，案件涉及方增多，案情更复杂。

　　四是犯罪链条长、分工明确。目前，网上盗刷案件犯罪包括信息盗取、倒卖、犯罪实施、销赃等多个环节，每个环节各有分工，犯罪分子可能通过互联网集结进行信息倒卖和链条对接，这使得无卡支付欺诈案件犯罪呈现专业化特征，犯罪手段高明，案发后不易被识破。

　　（2）第三方支付机构管理水平参差不齐。

　　对发卡行而言，银行卡通过不同受理终端、不同交易方式完成的交易，其风险程度也存在一定差异。发卡行需要根据交易终端和交易方式采取差异化欺诈交易防范措施。但是，目前一些新型支付渠道风险管理基础工作和风控措施尚不到位。一方面，部分支付机构未能严格落实收单业务属地化管理要求，对商户后续管理缺失，商户出现多点接入、移机、交易信息漏报、交易套用等问题 ;另一方面，第三方支付平台多以大商户模式进行交易信息传输，发卡机构不能获取二级商户信息，这在一定程度上给发卡行的欺诈交易防控工作造成困难。此外，部分支付机构在推进线上支付的同时，开始通过新型支付终端拓展线下自助支付，可进行消费、转账、公用事业缴费、线上订单付款等。但此类自助支付渠道在准入、收单管理、技术安全、交易监管等方面的制度和规范尚不完善，加之便捷支付终端准入门槛低、技术标准尚不统一，其欺诈交易监管难度更大。

　　（3）部分新型支付渠道交易验证方式过于简单。

　　部分支付机构在产品创新过程中过于强调交易便捷性，往往忽视了背后的交易风险。而发卡行面对激烈的市场竞争，有时不得已放开部分交易渠道。在这个过程中，发卡行缺乏对交易渠道潜在风险和自身可承担风险程度的评估。以快捷支付为例，快捷支付开通可在网上全程办理，绑定银行卡后交易授权越过银行信息验证项，仅需支付平台交易密码即可完成。过于简单的交易验证信息很容易被犯罪分子诱骗或窃取。一旦犯罪分子通过各种渠道非法获得客户信息后，往往在极短时间内刷光客户账上资金。甚至有的犯罪分子利用个别第三方支付平台在交易验证环节设计上的漏洞，通过第三方支付平台绑定客户银行卡账户进行网上支付，盗取客户资金。

　　（4）我国客户信息安全保护环境不佳。

　　在无卡支付领域，交易授权过程无需实体卡片，通过客户信息和卡片信息的校验即可完成。支付过程中的验证信息成为交易授权的关键，客户信息安全的重要性凸显。与之形成鲜明对比的是目前我国个人信息安全管理还存在很多漏洞，行业内个人信息买卖产业链条已经相对成熟，形成了黑客、“内线”信息窃取、信息转卖、信息倒卖等多个环节。倒卖信息涉及客户身份信息、工作信息、车辆信息、银行账号、邮箱、密码、人民银行征信报告等多种类型。一旦犯罪分子非法获取了线上无卡支付的验证信息项内容，将可能越过交易验证环节直接完成盗刷交易。在此过程中，发卡行和客户无法获知信息窃取情况，因此风险不易控制。