关于信用卡盗刷问题的几点认识
2006/09/28
作者:我爱卡
目前在我国银行卡受理市场中,盗刷
信用卡案件一方面层出不穷,另一方面却很容易被人们忽视。一旦犯罪分子盗刷成功,给涉及的各方所造成的损失将是巨大的。一般而言,信用卡被盗刷大致可以分为两种情况:一是真卡被盗用,二是假卡伪卡。本文尝试从盗刷的事后责任问题和事前的防范问题展开讨论,目的是事前做好防范,事后分清责任,避免或减少争议,更好地控制信用卡盗刷带来的风险,并减少因此而造成的损失
一、关于签名不符的问题
如果是真卡被盗用,那么签名不符问题将是盗刷问题事后产生争议的主要焦点。同时,这也是目前我国银行卡行业风险争议的主要矛盾所在。在国际方面,如果是密码式卡,那么签名将不作为判定的标准,商户无需判别签名。在银联方面则规定凭签名进行交易但可以与发卡行自行约定是否同时使用密码,这里并没有明确表示密码式信用卡是否仍然以签名作为判定的标准。中国银联战略发展部 欧阳琛曾撰文认为,如果持卡人选择的是密码确认方式,则输入密码的动作就同时完成了确认身份和确认支付两个法律关系。商户无须对消费者是否是真正的持卡人进行确认,这里密码相当于电子签名,等同于书面签名的效力。下文主要针对签名式信用卡的签名问题做一讨论。
首先,签名不符的标准是一个问题,这个标准是处理争议时的判定标准同时也是商户收银员受理卡时核对签名的标准。而这也是一个非常难以界定的问题,原因是对于签名的规定不够同时也很难做到清晰,即使国际卡组织对签名的规定也是如此。例如,万事达在其发布的《退单手册》上对签名不符是用了几个例子来进行说明,具体是:“如果卡背后签名栏签的是 ‘Jan.H.Hanley’但是签购单上签的是 ‘Bob Hanley’或者是 ‘F.Hanley’,就属于签名不符,但是如果签购单上签的是 ‘Jan H. Hanley’, ‘J.H.Hanley’或是 ‘Jan Hanley’ 则可视为签名相符。如果签名时漏掉了前面的称呼,如Mr., Mrs., Dr. 也不被视为签名不符。”这里并没有提及笔迹之类的问题,其定义可以理解为只要不明显写错字、漏字就不能说是签名不符。从我国的情况来看,银联在《中国银联争议处理委员会第一届第二次会议决议》中规定,交易卡片与签购单签名不符是指明显的中英文差异、中文字数不同或无签名等。可以看出,这个定义也不清晰。其实,从这两个组织对签名不符的定义可以发现,所谓签名不符是指要发现重大的明显的差异而并不涉及笔迹问题,这种情况可能是:一、没签名,二、签了,但是明显少了或者多了一个字,三、有涂改,四、所签的字明显错了,比如卡上是“王”,他签名是“黄”,也就是说如果不是重大明显不符皆视为签名相符。
其次,在发卡行和持卡人一端,争议焦点是银联《业务规章第二卷》规定“发卡机构应要求持卡人在银联卡背面的签名条上,使用不易涂改的笔预留签名。预留签名应与申请材料签名一致。发卡机构应要求持卡人使用本人姓名作为签名,持卡人可选择任意字体。在卡片有效期内,持卡人对交易进行确认所使用的签名应与卡片签名条预留签名相同。”在这里,发卡机构只“负责要求”持卡人做到使用本人姓名作为签名,以及卡背面签名和申请材料签名一致。现在除了极少数的发卡行使用了柜面领卡当场核对持卡人身份证件并核对签名的方式,大多数发卡行采用了邮递卡的形式,并以在信件中发放列明此条款的卡章程等形式作为通知形式。另外,在接受申请人申请时,很多没有要求对方出示身份证原件而是只要求身份证复印件,这样,假冒身份申请卡的犯罪分子则有机可乘。这意味着规则中尚存在着漏洞。事后,如果发生卡丢失和卡被盗而产生盗刷的情况,在查证过程中,作为证据的丢失的卡片找到了,那么还有可能明确是不是签名不符或是作出判断;但是,如果丢失的卡片在调查中找不到了,而目前的规章和操作并不能确保卡上的签名与预留的签名相符,也就是说没有充分证据来证明到底签名相不相符,那么也就无法证实商户是否核对签名,也就是无法进行举证,而这些就会造成争议。基于以上这些情况,如果在卡片丢失的情况下,将签购单上的签名同持卡人在银行的预留签名不是同一个人的签名作为评判标准值得商榷。
另外,在商户和收单机构一端,签名不符的定义已经对商户做了较大的宽容,而需要他们做的就是至少核对一下签名,不至于出现漏字、没签名和涂改等太明显的不符。在判别商户责任时,对于签名不符的标准的定义将是一个关键问题。同时,目前确实存在商户不仔细甚至没有核对持卡人签名的情况。要解决这方面的问题,收单机构需要加强对收银员的培训,但是更重要的是要加强对商户管理人员的教育和影响,使他们认识到,在核对签名方面工作的疏漏和不严谨会给商户带来经济和信誉方面的损失甚至要承担法律责任,只有管理人员认识到问题严重性,才能督促其收银人员加强对签名的核对工作。
综上所述,签名不符的问题牵涉到包括持卡人、商户、发卡机构、收单机构以及卡组织在内的各个方面。如果要有效地解决真卡盗刷和签名不符的问题,需要各方共同努力。收单机构和发卡机构的关系应该是同舟共济而不是互相推诿,双方应该分别做好商户和持卡人的工作,一个健康有效的市场对各方都有利。
二、关于假卡伪卡盗刷的问题
国内来看,银联卡争议处理裁判规则(修订版)第六条第四小条规定,依靠密码验证的信用卡消费,通过了发卡机构系统授权而发生损失的,发卡机构承担责任。另外,裁判规则第十四条规定,对卡片冒用,如发卡机构能够证明冒用交易是因收单机构、商户未按正常程序和相关规定受理而造成的,收单机构承担责任。但在收单机构、商户按正常程序和相关规定受理的情况下,遗失卡、盗用卡以及伪造、改造银行卡通过了发卡机构系统授权或交易批准后出现的损失,发卡机构承担责任。这就是说假卡伪卡交易造成的损失由发卡行承担,除非发卡行能证明收单机构的受理违规。由于假卡伪卡的特性,那么签名不符的问题也不存在了,而这本来是盗刷的主要争议点。按照“谁主张谁举证”的原则,发卡机构需要进行举证,如没有证据显示收单机构的违规,则发卡行承担责任。可以看到,一旦出现假卡伪卡而且发卡行授权了,那么这部分责任一般由发卡行承担。当然,如果是商户进行串谋或根本就是主谋,那么商户作为犯罪人理应承担全部责任。
国际卡组织方面,以万事达为例,对此方面的规定与银联的规定基本相同。不同的是,万事达还规定收单机构必须尽心尽力监督商户的行为,对怀疑是参与共谋、欺诈或者有不良行为的商户,必须列为“有问题商户”并向卡组织汇报,如果事后经过查证证实收单机构没有尽责、没有进行汇报,万事达可以有自行决定处罚的权力,收单机构将无权享受豁免假卡伪卡交易无责任的条款。另外,万事达也规定如果某商户连续两个月的欺诈率超过8%,那么该商户发生的退单由商户收单行先行承担,同时万事达会对该商户展开审计工作,审计费用由收单机构承担,如果该商户拒绝配合执行或是继续其欺诈行为,那么同样是收单机构负责退单损失。如果有其他收单机构愿意为此类商户收单,那么该收单机构承担退单损失。在上述情况下,如果发生盗刷,那么收单机构将不再豁免假卡伪卡交易无责任。另外,万事达也设置了“过多假卡交易商户”的类别,对于列入此类别的商户和负责为其收单的机构进行处理。
三、关于零风险责任问题
真卡被盗刷时,持卡人所承担的责任也是一个需要考虑的问题。在这里零风险责任问题需要进行明确。目前银联方面还没有实施持卡人零风险责任。零风险责任是国际卡组织为保护持卡人利益所实行的规章。规章规定只要是未经持卡人授权而产生的消费金额,持卡人无需负担任何费用。此条款还有附加说明明确了受到上述条款保障的前提是:1、持卡人必须善尽管理人责任并对卡片安全维持警觉。2、而在发现卡片遭窃、遗失或发生未经授权之消费行为时,立即通报发卡行。3、持卡人必须保持良好的金融信用记录。4、并完全遵守持卡人与发卡银行双方皆同意之信用卡使用条款规定。
由此可见,这个零风险责任是有条件的。一笔交易是否是“授权交易”对持卡人的责任承担十分重要,持卡人对授权交易承担完全责任,而对“非授权交易”则可能承担不超过50美元的损失,无论他(她)是否及时报告了卡片的丢失情况。如果持卡人把信用卡拿去给别人使用做交易,就不是非授权,也就不再属于零风险的保护范围之内。其次,持卡人需要在第一时间发现丢失并及时处理才能享有零风险责任保护。再者,是道德风险的问题,持卡人如果总是遗失卡片又总是被盗刷,这种情况下有理由认为该持卡人可能存在道德风险。另外如果是密码式信用卡,因为密码在正常情况下只有持卡人本人知道,一旦自己的密码被泄露或被盗取了,这样发生的风险不在风险零责任承担范围之内。当然,如果是因为非持卡人原因发生的卡信息和个人信息泄露造成的损失,持卡人即可获得零风险责任保护。
四、关于内部风险问题
风险从来源分可以分为内部和外部两种。内部威胁是指参与共谋的行为,这些威胁产生于整个行业的路径,在这个路径上各实体的职员能取得卡信息和个人信息,其中开放式的系统因为参与的个体更多会面临更大的威胁。具体地说内部威胁包括:1、商户或者收单机构的处理商的职员搜集卡号和卡片有效日期。 2、发卡机构和发卡机构的处理商搜集个人身份信息。内部威胁可以通过良好的雇佣程序来减轻,例如进行雇员背景调查、加强控制以防止有人在未获得授权的情况下接触到敏感信息或者跟踪授权信息等。其中,商家雇员不仅有条件复制或保留卡信息并向犯罪分子提供制造伪卡,而且他自己也会有机会进行盗刷。无可争议地,相关人员作为犯罪人发生了违法行为,应该承担损失和责任,同时商户也有一定的责任。
五、信用卡盗刷的防范
第一,加强对持卡人的教育,发卡方要在发卡时向持卡人强调其权力和义务。严格实行实名制。发卡机构要加强发卡的审批的工作,防止使用假地址假身份假冒申请和假冒领卡的情况出现。在发出卡时,需核对身份证并确保持卡人在领卡时立即在卡背面签名,该签名应该使用本人姓名并且与持卡人申请卡时在申请表上的签字一致。
第二,加强对商户管理团队和收银员的培训,向对方明确不合规的操作和受理程序可能会对商户和其职员造成经济和名誉损失。无论是收单机构还是专业化服务机构进行培训,都要将培训内容列成清单,培训完成后以商户签字作为商户认可各项受训程序完成。收单机构在商户协议书里要明确商户的责任,并制定风险防范措施。专业化机构参与其中的,收单机构应在与其的协议中明确责任。收银员如果发现签名或者其他可疑之处,可以致电授权部门,收单机构指导商户进行各项核查、并同发卡行取得联系,此举可以减低风险的发生。
第三,卡组织要进一步完善规章减少漏洞,并秉承公平公正原则明确各方责任,以利于各方履行自己的义务,并减少纠纷。
第四,收单机构要加强对交易的监控,在其风险控制平台或信息平台上对异常的交易及时发出警告,并向卡组织或清算组织及时上报。对于定期回访商户的困难,收单机构需要制定措施解决,以达到完成定期回访要求。
第五,加强内部管理,控制内部风险。涉及卡信息和持卡人身份信息的各实体必须加强对员工的招聘和对内部涉及信息储存各个环节的管理,严格按照银联及其他卡组织规章办事。
第六,推动和宣传全民信用体系,加强公民对个人信用记录的重视。
第七,关注最新科技的发展,防范并应对犯罪分子使用新的技术新的手法进行信用卡犯罪。
一、关于签名不符的问题
如果是真卡被盗用,那么签名不符问题将是盗刷问题事后产生争议的主要焦点。同时,这也是目前我国银行卡行业风险争议的主要矛盾所在。在国际方面,如果是密码式卡,那么签名将不作为判定的标准,商户无需判别签名。在银联方面则规定凭签名进行交易但可以与发卡行自行约定是否同时使用密码,这里并没有明确表示密码式信用卡是否仍然以签名作为判定的标准。中国银联战略发展部 欧阳琛曾撰文认为,如果持卡人选择的是密码确认方式,则输入密码的动作就同时完成了确认身份和确认支付两个法律关系。商户无须对消费者是否是真正的持卡人进行确认,这里密码相当于电子签名,等同于书面签名的效力。下文主要针对签名式信用卡的签名问题做一讨论。
首先,签名不符的标准是一个问题,这个标准是处理争议时的判定标准同时也是商户收银员受理卡时核对签名的标准。而这也是一个非常难以界定的问题,原因是对于签名的规定不够同时也很难做到清晰,即使国际卡组织对签名的规定也是如此。例如,万事达在其发布的《退单手册》上对签名不符是用了几个例子来进行说明,具体是:“如果卡背后签名栏签的是 ‘Jan.H.Hanley’但是签购单上签的是 ‘Bob Hanley’或者是 ‘F.Hanley’,就属于签名不符,但是如果签购单上签的是 ‘Jan H. Hanley’, ‘J.H.Hanley’或是 ‘Jan Hanley’ 则可视为签名相符。如果签名时漏掉了前面的称呼,如Mr., Mrs., Dr. 也不被视为签名不符。”这里并没有提及笔迹之类的问题,其定义可以理解为只要不明显写错字、漏字就不能说是签名不符。从我国的情况来看,银联在《中国银联争议处理委员会第一届第二次会议决议》中规定,交易卡片与签购单签名不符是指明显的中英文差异、中文字数不同或无签名等。可以看出,这个定义也不清晰。其实,从这两个组织对签名不符的定义可以发现,所谓签名不符是指要发现重大的明显的差异而并不涉及笔迹问题,这种情况可能是:一、没签名,二、签了,但是明显少了或者多了一个字,三、有涂改,四、所签的字明显错了,比如卡上是“王”,他签名是“黄”,也就是说如果不是重大明显不符皆视为签名相符。
其次,在发卡行和持卡人一端,争议焦点是银联《业务规章第二卷》规定“发卡机构应要求持卡人在银联卡背面的签名条上,使用不易涂改的笔预留签名。预留签名应与申请材料签名一致。发卡机构应要求持卡人使用本人姓名作为签名,持卡人可选择任意字体。在卡片有效期内,持卡人对交易进行确认所使用的签名应与卡片签名条预留签名相同。”在这里,发卡机构只“负责要求”持卡人做到使用本人姓名作为签名,以及卡背面签名和申请材料签名一致。现在除了极少数的发卡行使用了柜面领卡当场核对持卡人身份证件并核对签名的方式,大多数发卡行采用了邮递卡的形式,并以在信件中发放列明此条款的卡章程等形式作为通知形式。另外,在接受申请人申请时,很多没有要求对方出示身份证原件而是只要求身份证复印件,这样,假冒身份申请卡的犯罪分子则有机可乘。这意味着规则中尚存在着漏洞。事后,如果发生卡丢失和卡被盗而产生盗刷的情况,在查证过程中,作为证据的丢失的卡片找到了,那么还有可能明确是不是签名不符或是作出判断;但是,如果丢失的卡片在调查中找不到了,而目前的规章和操作并不能确保卡上的签名与预留的签名相符,也就是说没有充分证据来证明到底签名相不相符,那么也就无法证实商户是否核对签名,也就是无法进行举证,而这些就会造成争议。基于以上这些情况,如果在卡片丢失的情况下,将签购单上的签名同持卡人在银行的预留签名不是同一个人的签名作为评判标准值得商榷。
另外,在商户和收单机构一端,签名不符的定义已经对商户做了较大的宽容,而需要他们做的就是至少核对一下签名,不至于出现漏字、没签名和涂改等太明显的不符。在判别商户责任时,对于签名不符的标准的定义将是一个关键问题。同时,目前确实存在商户不仔细甚至没有核对持卡人签名的情况。要解决这方面的问题,收单机构需要加强对收银员的培训,但是更重要的是要加强对商户管理人员的教育和影响,使他们认识到,在核对签名方面工作的疏漏和不严谨会给商户带来经济和信誉方面的损失甚至要承担法律责任,只有管理人员认识到问题严重性,才能督促其收银人员加强对签名的核对工作。
综上所述,签名不符的问题牵涉到包括持卡人、商户、发卡机构、收单机构以及卡组织在内的各个方面。如果要有效地解决真卡盗刷和签名不符的问题,需要各方共同努力。收单机构和发卡机构的关系应该是同舟共济而不是互相推诿,双方应该分别做好商户和持卡人的工作,一个健康有效的市场对各方都有利。
二、关于假卡伪卡盗刷的问题
国内来看,银联卡争议处理裁判规则(修订版)第六条第四小条规定,依靠密码验证的信用卡消费,通过了发卡机构系统授权而发生损失的,发卡机构承担责任。另外,裁判规则第十四条规定,对卡片冒用,如发卡机构能够证明冒用交易是因收单机构、商户未按正常程序和相关规定受理而造成的,收单机构承担责任。但在收单机构、商户按正常程序和相关规定受理的情况下,遗失卡、盗用卡以及伪造、改造银行卡通过了发卡机构系统授权或交易批准后出现的损失,发卡机构承担责任。这就是说假卡伪卡交易造成的损失由发卡行承担,除非发卡行能证明收单机构的受理违规。由于假卡伪卡的特性,那么签名不符的问题也不存在了,而这本来是盗刷的主要争议点。按照“谁主张谁举证”的原则,发卡机构需要进行举证,如没有证据显示收单机构的违规,则发卡行承担责任。可以看到,一旦出现假卡伪卡而且发卡行授权了,那么这部分责任一般由发卡行承担。当然,如果是商户进行串谋或根本就是主谋,那么商户作为犯罪人理应承担全部责任。
国际卡组织方面,以万事达为例,对此方面的规定与银联的规定基本相同。不同的是,万事达还规定收单机构必须尽心尽力监督商户的行为,对怀疑是参与共谋、欺诈或者有不良行为的商户,必须列为“有问题商户”并向卡组织汇报,如果事后经过查证证实收单机构没有尽责、没有进行汇报,万事达可以有自行决定处罚的权力,收单机构将无权享受豁免假卡伪卡交易无责任的条款。另外,万事达也规定如果某商户连续两个月的欺诈率超过8%,那么该商户发生的退单由商户收单行先行承担,同时万事达会对该商户展开审计工作,审计费用由收单机构承担,如果该商户拒绝配合执行或是继续其欺诈行为,那么同样是收单机构负责退单损失。如果有其他收单机构愿意为此类商户收单,那么该收单机构承担退单损失。在上述情况下,如果发生盗刷,那么收单机构将不再豁免假卡伪卡交易无责任。另外,万事达也设置了“过多假卡交易商户”的类别,对于列入此类别的商户和负责为其收单的机构进行处理。
三、关于零风险责任问题
真卡被盗刷时,持卡人所承担的责任也是一个需要考虑的问题。在这里零风险责任问题需要进行明确。目前银联方面还没有实施持卡人零风险责任。零风险责任是国际卡组织为保护持卡人利益所实行的规章。规章规定只要是未经持卡人授权而产生的消费金额,持卡人无需负担任何费用。此条款还有附加说明明确了受到上述条款保障的前提是:1、持卡人必须善尽管理人责任并对卡片安全维持警觉。2、而在发现卡片遭窃、遗失或发生未经授权之消费行为时,立即通报发卡行。3、持卡人必须保持良好的金融信用记录。4、并完全遵守持卡人与发卡银行双方皆同意之信用卡使用条款规定。
由此可见,这个零风险责任是有条件的。一笔交易是否是“授权交易”对持卡人的责任承担十分重要,持卡人对授权交易承担完全责任,而对“非授权交易”则可能承担不超过50美元的损失,无论他(她)是否及时报告了卡片的丢失情况。如果持卡人把信用卡拿去给别人使用做交易,就不是非授权,也就不再属于零风险的保护范围之内。其次,持卡人需要在第一时间发现丢失并及时处理才能享有零风险责任保护。再者,是道德风险的问题,持卡人如果总是遗失卡片又总是被盗刷,这种情况下有理由认为该持卡人可能存在道德风险。另外如果是密码式信用卡,因为密码在正常情况下只有持卡人本人知道,一旦自己的密码被泄露或被盗取了,这样发生的风险不在风险零责任承担范围之内。当然,如果是因为非持卡人原因发生的卡信息和个人信息泄露造成的损失,持卡人即可获得零风险责任保护。
四、关于内部风险问题
风险从来源分可以分为内部和外部两种。内部威胁是指参与共谋的行为,这些威胁产生于整个行业的路径,在这个路径上各实体的职员能取得卡信息和个人信息,其中开放式的系统因为参与的个体更多会面临更大的威胁。具体地说内部威胁包括:1、商户或者收单机构的处理商的职员搜集卡号和卡片有效日期。 2、发卡机构和发卡机构的处理商搜集个人身份信息。内部威胁可以通过良好的雇佣程序来减轻,例如进行雇员背景调查、加强控制以防止有人在未获得授权的情况下接触到敏感信息或者跟踪授权信息等。其中,商家雇员不仅有条件复制或保留卡信息并向犯罪分子提供制造伪卡,而且他自己也会有机会进行盗刷。无可争议地,相关人员作为犯罪人发生了违法行为,应该承担损失和责任,同时商户也有一定的责任。
五、信用卡盗刷的防范
第一,加强对持卡人的教育,发卡方要在发卡时向持卡人强调其权力和义务。严格实行实名制。发卡机构要加强发卡的审批的工作,防止使用假地址假身份假冒申请和假冒领卡的情况出现。在发出卡时,需核对身份证并确保持卡人在领卡时立即在卡背面签名,该签名应该使用本人姓名并且与持卡人申请卡时在申请表上的签字一致。
第二,加强对商户管理团队和收银员的培训,向对方明确不合规的操作和受理程序可能会对商户和其职员造成经济和名誉损失。无论是收单机构还是专业化服务机构进行培训,都要将培训内容列成清单,培训完成后以商户签字作为商户认可各项受训程序完成。收单机构在商户协议书里要明确商户的责任,并制定风险防范措施。专业化机构参与其中的,收单机构应在与其的协议中明确责任。收银员如果发现签名或者其他可疑之处,可以致电授权部门,收单机构指导商户进行各项核查、并同发卡行取得联系,此举可以减低风险的发生。
第三,卡组织要进一步完善规章减少漏洞,并秉承公平公正原则明确各方责任,以利于各方履行自己的义务,并减少纠纷。
第四,收单机构要加强对交易的监控,在其风险控制平台或信息平台上对异常的交易及时发出警告,并向卡组织或清算组织及时上报。对于定期回访商户的困难,收单机构需要制定措施解决,以达到完成定期回访要求。
第五,加强内部管理,控制内部风险。涉及卡信息和持卡人身份信息的各实体必须加强对员工的招聘和对内部涉及信息储存各个环节的管理,严格按照银联及其他卡组织规章办事。
第六,推动和宣传全民信用体系,加强公民对个人信用记录的重视。
第七,关注最新科技的发展,防范并应对犯罪分子使用新的技术新的手法进行信用卡犯罪。