📖 ZKIZ Archives

央視曝光宿遷POS機盜刷案 揭秘背後的灰色利益鏈

每經記者 夏冰 每經編輯 吳悅

銀行卡在自己手里，錢卻被盜刷了。這邊“電信詐騙”頻頻登上熱搜榜，那邊“銀行卡盜刷”同樣讓你直呼難以防範。

據央視《焦點訪談》12月6日晚報道，前不久，江蘇宿遷等地警方破獲多起新型盜刷銀行卡的案件。警方發現，這是一種盜刷銀行卡的新手法：不法分子通過改裝POS機，盜取卡號和密碼進行盜刷，讓群眾財產受損。這種作案手法十發隱秘、不易察覺，普通用戶很難防範。

《每日經濟新聞》記者註意到，仔細剖析這起案件的過程，POS機生產廠家和第三方支付機構違規操作，給了犯罪分子可乘之機。那麽如果就此造成的損失，受害者該如何維權？在第三方支付機構陸續遭到央行處罰背後，監管部門是否能從從源頭上對第三方支付機構加大審查管理力度呢？

案情：辦理POS機300多臺 瘋狂盜刷作案

來自央視上述報道稱，今年3月1號到6號，江蘇省宿遷市警方接連接到群眾報案，反映他們的銀行卡被盜刷。警方調查中發現，在短短的6天時間，8起盜刷案件涉案金額62萬多元。經偵查，犯罪嫌疑人洪某某在瑞銀信、樂富、拉卡拉等第三方支付機構辦理POS機300多臺，用於盜取卡號和密碼進行盜刷。

據警方通報，根據偵查，共抓獲洪某某、貢某等犯罪嫌疑人16名，涉案金額1000多萬元，案件涉及全國18個省市共200多起。其中，最大一筆一次盜刷人民幣91萬元。

那麽，犯罪分子為何能屢屢得手？

辦案人員分析，利用POS機作案之所以能得手，首先是部分廠家生產的POS機存在技術缺陷，按照POS機安全規範要求，POS機應該是拆機即毀。但本案中，犯罪嫌疑人貢某、廖某某購買的聯迪E550型POS機卻沒有這個功能。

POS機這第一關沒有守住，在接下去的使用POS機開展收單業務的第三方支付機構如果依規進行防範，那諸如此類的“盜刷銀行卡”問題也能在一定程度上減少。但在央視曝光的本案中，“特約商戶需要在第三方支付機構註冊入網，這樣才能經營POS機業務。入網前，第三方收單機構應對特約商戶嚴格審核營業執照、稅務登記證、有效身份證件等”這樣的硬性規定，被卻形同虛設了。

據警方通報，在查扣的犯罪嫌疑人洪某某的電腦里發現，有大量的手持身份證的照片，這些都是他花錢買來用於辦理POS機的。

對於上述案件，《每日經濟新聞》記者第一時間聯系了拉卡拉方面，該公司給予記者的回複聲明中稱，“涉案的300多臺終端中，拉卡拉僅涉及1臺，累計交易114筆，均為100元以下的小額借記卡交易，涉及金額9420.6元，占全部涉案金額六十多萬的不到0.1%，未發生信息泄露。”

拉卡拉方面表示，在本案中，該公司不是犯罪分子轉移資金的通道，而是用於測試銀行密碼準確性。該案發生後，拉卡拉也已第一時間關閉涉及終端的銀行卡交易功能，同時，該公司也已將涉及商戶的相關信息納入公司黑名單庫。並向中國銀聯風險信息共享系統報送黑名單，防範該商戶改頭換面重新入網。拉卡拉表示，相關情況已向監管部門提交整改匯報。

揭秘：盜刷銀行卡暗藏灰色利益鏈

那麽，上述案件中這些POS是如何得到的呢？《每日經濟新聞》記者通過一些了解業內“潛規則”的人士窺見了一些門道。

“虛假入網多是POS機代理商所為。”吳華（化名）在上海開了一家文化用品禮品公司，此前，她通過POS機代理商安裝過兩臺POS機，通過她過去接觸的幾家代理商，她向《每日經濟新聞》記者反映：“我之前作為一個正常商戶，提供完整資料信息向第三方支付公司申請POS機業務，但材料送上去審核是各種理由不通過，第三方支付公司會讓你反複補充資料。但是，通過某些非正常途徑的代理商卻能將資料輕易審核通過。”

吳華告訴記者，做這些第三方支付POS機業務的代理商，原本安裝一臺POS機可賺200元，由於這些大代理商下面還有不少分代理，因此，他們需要不斷地有商戶開戶才能盈利。但在實際操作過程中，因為嚴格的限制規範，很多正常商戶想要申請POS機卻是很難的，所以很多代理商為了拓展商戶，就會協助他們以其他商戶的名義申請入戶。“正常走銀聯渠道的POS機審核至少需要10天左右，非正常渠道的POS機審核有些當天就能出機器了。”

記者註意到，目前，我國可以使用POS機收單銀行卡的分為銀行系統和第三方支付機構，在實名制管理的要求之下，像貢某等特約商戶在第三方支付機構註冊入網時，需提交營業執照、稅務登記證、有效身份證件等，才能經營POS機業務。

然而，很多第三方支付機構卻無視這樣的硬性要求，這才出現上述案件中的犯罪嫌疑人通過幾家第三方支付機構辦理POS機300多臺用於作案的情況。

此外，按照規定，對實體特約商戶，第三方收單機構不得跨省級行政區域開展收單業務。而洪某某常住深圳，他所辦理的300多臺POS機虛假註冊的地址遍及山東、河南、湖北等十多個省份，在全國多地使用。

按規定，上述虛假商戶入網、POS機違規跨區域使用等問題，應由中國人民銀行分支機構責令第三方支付機構整改，並對其處以1萬到3萬元的罰款。

采訪中，上海某第三方支付公司的一位高層還向《每日經濟新聞》記者透露，“發生這種盜刷行為，商戶肯定有責任的。因為第三方支付公司對商戶有核實商戶要素的要求，一般要驗證身份證、銀行卡預留手機號、銀行卡號、密碼、芯片卡等要素。假如說單筆支付金額越大，驗證要素就越多。”

他向記者補充說道：“POS機作為一種銀行卡支付的工具，安全性有很高的要求。支付公司無論是通過代理商，還是自營，都要完成一系列要素的驗證；除此之外，對商戶的審核也要嚴格。支付公司為商戶提供的支付通道是建立在真實貿易和持卡人真實意願兩個基礎上的。而上述案例中，有些支付公司就沒盡到這兩個基本的責任。”

後續：第三方支付監管亟待加強

如果說上述虛假商戶入網、POS機違規跨區域使用等情況，均為第三方支付公司的違規操作讓犯罪分子第一關有機可乘，那麽，接下來在銀行這一關，由於沒有按規定關閉降級交易渠道，才最終讓犯罪分子徹底暢通無阻。

早在2014年，中國人民銀行下發了《關於逐步關閉金融IC卡降級交易有關事項的通知》，明確要求各發卡銀行、收單機構於2014年底前，全部關閉金融IC卡、POS機等線下渠道的降級交易。但在本案中，銀行方面也存在管理漏洞，並沒有執行這一要求。

據悉，本案中，犯罪嫌疑人廖某某就用一臺老式電話POS機盜刷150多萬元，涉及工商銀行、農業銀行、中國銀行、建設銀行、交通銀行五大國有商業銀行及廣東華興銀行，這六家銀行都沒有關閉降級交易渠道。

通過以上案件和分析不難發現，第三方支付作為一種新興的支付機構，其所代表的支付方式更為便捷，但也容易出現紕漏。隨著第三方支付的蓬勃發展，隱藏在其背後的刑事風險也日益凸顯。第三方支付系統中的一些漏洞，一旦被犯罪分子利用，就會對用戶利益造成破壞，甚至釀成地區性的金融事件。

事實上，從年初至今，央行對於第三方支付的行業整治力度一直在加大，一方面開展支付機構備付金風險和跨機構清算業務整治，嚴格支付機構市場準入和監管，加大違規處罰；另一方面則開展無證經營支付業務的整治。數據顯示，從去年底到今年初，短短半年的時間，央行已註銷4家支付公司的業務牌照，累計對7家支付機構處以罰沒逾1億元。自今年1月至10月以來，被央行開過罰單的第三方支付機構已有22家。

那麽，如何防範這種新型犯罪手段？如果發生這種被盜刷行為後，相關的第三方支付機構是否該承擔刑責？普通消費者、受害者應該怎麽進行維權？

對此，互聯網金融業資深律師、大成律師事務所律師肖颯對《每日經濟新聞》記者指出，相關支付機構不承擔刑事責任，因為支付機構並沒有實施詐騙等犯罪行為，也沒有明知他人實施犯罪行為而提供幫助。

其次，相關支付機構應在過錯範圍內，依法承擔民事責任，民事責任的類型是侵權責任。就侵權責任而言，支付機構根據責任大小承擔侵權責任。

對於受害人的維權問題，肖颯指出，受害人應當舉證。比如開通第三方支付時候的協議，資金轉移的證明，以及刑事判決書等能夠證明事實的材料。

就如何杜絕防範此類事件而言，肖颯律師建議：一方面，要增強支付知識的學習，了解支付規定與政策；另一方面，不能貪圖便宜，不參與違法金融活動。