银行卡支付风险与防范

银行卡支付风险与防范摘要随着科学技术的飞速发展，我国银行卡产业发展迅速, 银行卡支付在社会商品流通领域所占比例稳步上升, 银行卡已成为我们日常生活中不可缺少的一部分, 可银行卡产生的负面影响也在不断扩大，其中银行卡犯罪和银行卡信息泄露的现象日益增加。因此，银行卡交易的各参与方和监管部门应对这类问题予以关注并寻找相应的解决办法, 以防止支付风险的出现。现在就我国银行卡犯罪的主要特征和风险情况进行分析, 并提出相应的解决措施和建议。关键词:银行卡;支付风险; 防范对策AbstractAlong with the rapid development of science and technology, bank card industry in our country develop rapidly, the proportion of bank card payments in social commodity circulation increases steadily, bank cardshave become an indispensable part of our daily life.It makes our life much convenient ,but it grows accompanied by the risk. The phenomenon of bank card crime is increasing, so it is necessary for regulatory authorities to prevent the risk of bankcard,and put forword solution and suggestion by analyzing the characteristics of the risk of bank card.Key word:bank card; pay risk; precaution counermeasure20 世纪 70 年代以来，由于科学技术的飞速发展，特别是电子计算机的运用，使银行卡的使用范围不断扩大。近几年来, 随着银行卡联网联合工作的深入开展, 各商业银行进一步加大了对银行卡业务的投入,加上专业化机构的推动, 我国银行卡产业取得了飞跃性的发展, 发卡量和交易金额均迅速增长。银行卡方便、快捷的服务方式, 逐渐改变着人们的支付方式。 截至 2006 年底, 我国银行卡的发卡量达 11.75 亿张, 同比增长 23%,2006 年总交易金额预计超过 60 万亿元, 其中消费交易额为 1.6 万亿元 , 同比增长 70%以上。国内银行卡特约商户 52 万家, 销售点终端(POS)81 万台, 自动柜员机 (ATM)9.8 万台, 同比分别增长 32%、34%和 19%。在银行卡业务蓬勃发展的同时, 银行卡产生的负面影响也在不断扩大, 其中最主要的问题之一就是银行卡风险欺诈, 它给发卡银行、收单机构、信息转接等机构和持卡人带来越来越大的损失。 银行卡犯罪案件也逐年攀升, 案件数量和损失金额快速增长。银行卡信息从近几年国际、 国内银行卡犯罪的方法来看, 主要是针对银行磁条卡和受理机具, 目的是盗取持卡人的密码和银行卡磁道数据内容。因此, 银行卡交易的各参与方和监管部门应对这类问题予以关注并寻找相应的解决办法, 以防止支付风险的出现。一 、银行卡风险的特点现实中，银行卡的风险无所不在，如在银行卡业务在营运过程中，因受主客观因素的影响，存在着一定程度的资金风险，其中发卡行 持卡人 特约商户三者之间存在商业博弈以及银行卡的自身安全这些都是潜在的风险源，同时银行允许持卡人恶意透支这种行为的存在，可能在恶意透支催收不及时，追索乏力，缺乏风险保障机制，银行卡风险也就极易形成 随着银行卡业务的进一步发展，银行卡风险发生也越来越频繁 在银行卡的发行 使用 结算等诸多环节都可能存在风险 而且随着发卡行特约商户和持卡人的增多，银行卡风险体现出涉及面宽、风险种类多、危害性大、风险的可识别性差等特点。1. 银行卡业务风险涉及面宽近年来，随着经济的发展，人们生活水平的提高，银行卡业务得到广泛的普及和发展 截止到 2009 年，我国银行卡发行总量超过 18 亿张，银行卡在促进房地产消费社会消费方面已发挥出重要作用，其中，银行卡消费在社会消费品零售总额中的占比快速上升近 25 ，在北京、上海地区这一比例高达 40这一庞大的持卡队伍，使得银行卡风险发生的可能性也就越大同时银行卡的区域间的流动性和银行卡结算过程中的种种环节都给银行卡风险发生的可能性埋下伏笔2. 银行卡业务风险种类多1）.信用风险2）.操作风险3）.技术风险4）.法律风险 3二、银行卡风险欺诈情况 1. 全球状况2006 年全球银行卡欺诈金额一直稳步攀升,据某国际银行卡组织最新数据显示:2006 年第一、二、三季度全球银行卡欺诈金额分别为 3.16 亿美元 3.73 亿美元与 4.19 亿美元,呈持续上升态势。其中,2006 年前三季度全球非面对面交易欺诈损失金额为 4.64 亿美元,伪卡欺诈损失为 4.95 亿美元,且第 3 季度中非面对面交易欺诈损失已经超过伪卡欺诈损失,其他欺诈损失较大的类型依次为失窃卡、丢失卡、虚假申请未达卡和账户冒用。相比较国际其他地区的情况,亚太地区的银行卡欺诈率(BP),还处于相对较低的水平。2. 国内状况据不完全统计,2006 年全国银行卡欺诈金额总数为 1.84 亿元人民币,国内银行卡欺诈率为 0.94BP,比 2005 年底的 0.67BP 增长 40.3%。特别是目前借记卡涉及欺诈金额增幅明显 ,由于手机短信欺诈的大范围出现,2006 年第 2 季度的借记卡涉及欺诈金额为 404.74 万元,到了第 3 季度和第 4 季度分别增至 1363.17 万元和 1442.7 万元?2006 年全国共发生账户信息泄漏事件 433 起,涉案金额达到 3491 万元,相比 2005 年全年发生的 117 起和 274 万元,涉案数量和金额分别增长了 370%和 12.7 倍。2三、银行卡信息泄露情况2007 年 1 月，TJX Companies 公司公开透露其电子信用卡 /借记卡业务系统曾被非法入侵，总共多达 45 700 000 个信用卡、借记卡的账号和超过 455 000 宗商品退货记录（包括消费者姓名和驾照号码）被盗取。2008 年 3 月，美国连锁超市 Hannaford Bros 宣布，该超市的数据库遭到黑客入侵，造成 420 多万条银行卡账户信息泄露。该公司声明表示，此次信息泄露事件波及美国东部地区全部 165 个连锁店、佛罗里达州的 106 个连锁店以及部分出售 Hannaford 产品的其他超市门店，并且随后导致了 1800 多起有关卡交易欺诈事件。2009 年 3 月，据英国每日邮报报道,英国本土多达 1.9 万张信用卡详细信息发生泄露，泄露信息包括 1.9 万张 VISA 卡、万事达卡和美国运通卡卡主的姓名、家庭住址和其他卡片信息。这些数据信息被公布在互联网上。英国支付清算协会(APACS)立即采取有关措施，但是专家指出除了目前信息泄露造成的直接损失外，以后还可能导致持卡人身份被盗用的风险。3以上的这几个只是银行卡信息泄露中的一部分事件，类似的银行卡信息泄露事件已经成为全球范围内金融机构和银行卡持卡人最感烦恼的问题之一。四、国际银行卡组织安全措施为防范银行卡产业的风险, 一些主要的的银行卡组织针对银行卡和终端产品建立了一套严格的标准和规范, 涵盖了银行卡卡片、 银行卡终端机具等产品和受理商户处理系统, 详列了敏感数据的储存、 处理、 传输及会员银行、 商品( 或服务) 提供者等各方的安全要求。国际银行卡组织和一些西方国家已将金融支付产品的安全性列入其支付环境建设的管理范畴中, 并将产品的安全性指标作为衡量该产品能否在其网络或国内使用的主要依据之一。1. 卡片安全措施国际银行卡组织对银行卡生产企业采用授权生产的原则, 对生产过程实行严格的数字化管理, 防止非法卡片从指定的生产企业流出。由于磁条卡自身存储方式的制约, 无法对磁条的安全性做出进一步要求, 仅能采用在银行卡正面加贴全息防伪标志和印刷微缩文字等简单办法提高银行卡的防伪特性。但对于金融集成电路(IC) 卡, 除上述要求之外, 还增加了对 IC 芯片硬件安全评估和 IC 卡操作系统风险测试的要求。芯片硬件安全评估是对芯片自身的安全性进行测试和评估, 采用了先进的设备和技术, 对卡片中存储的密钥、 计数器、只读代码等对象开展安全性攻击测试。银行卡组织要求金融 IC 卡所使用的芯片必须通过“Common Criteria” 评估标准 (参照 IS0/IEC 15408 标准)EAL4+ 以上的安全级别; 风险测试是针对 IC 卡产品的 COS 进行的安全风险评估, 确保卡片的 COS 调用了 IC 芯片硬件所提供的安全特征, 并得到合理、有效的运用。2. 受理设备安全措施国际银行卡组织对受理机具的生产企业不采用授权生产的原则, 仅要求受理机具的安全性符合 PCI 组织的安全规范并通过指定实验室的检测和评估。 终端安全性检测主要针对 PIN 输入设备和密钥存储区域, 设备的安全可分为物理安全性和逻辑安全性二部分。物理安全性是检测银行卡受理机具在物理构造上是否具备防攻击性和反攻击性机制, 以及不同防攻击性和反攻击性之间的关联性。逻辑安全性是检测银行卡受理机具在软件设计上是否具备防攻击性和反攻击性的机制, 例如终端是否具备自检功能, 敏感信息使用次数和时间控制, 异常数据反应, 随机数发生器特性, 嵌入式软件更新控制, 加密消息鉴别和加密方法是否达到相应的安全要求等。2五、国内的防范措施从国内银行卡犯罪的方法来看, 其主要方式是盗取银行磁条卡上的数据信息和持卡人密码(PIN) 。作为银行卡监管机构、发卡机构和收单机构应从以下几个方面采取措施预防欺诈风险的发生。1. 监管机构措施银行卡卡片和受理设备的安全管理是银行卡安全环境建设的重要环节之一, 监管机构应制定、 颁布银行卡卡片和受理设备的安全标准, 成立相应的银行卡产品检测认证机构, 指定专门实验室进行银行卡产品安全检测, 通过检测和认证使之安全性达到相应标准, 防止犯罪分子通过攻击终端机具获取持卡人密码、磁道信息或终端机具的密钥, 有效降低银行卡交易风险。特别是加强对受理设备的检测, 严格规范受理设备的交易流程、数据存储和加密、 密钥下装等环节 , 减少欺诈案件的发生。监管机构应建立银行卡风险欺诈信息沟通机制,建立监管机构、发卡机构、收单机构、信息转接机构( 中国银联) 、公安部门和其他相关部门间长期、 有效的沟通渠道, 通过各方面的力量化解风险事件, 定期通报国内外银行卡风险管理动态、银行卡犯罪趋势分析以及其他银行发生的经验教训等。加快建立健全相关的法律、法规, 依法打击银行卡风险欺诈的犯罪活动, 遏制银行卡犯罪活动的发生。2. 发卡机构措施为降低发卡风险, 发卡机构应建立健全风险管理体制, 加强制度规章建设, 提高风险管理的技术手段,加大风险管理的组织保障力度。 如针对银行卡业务开展的各个环节, 详细列举业务开展过程中可能出现的风险点, 并针对各风险点的情况提出具体的防范及控制措施; 在后台处理系统中加装银行卡风险预警监控系统。加强对银行卡磁道数据信息的保护。对于 磁道数据被窃取的不同途径采取了不同的防范方式。此外,发卡机构还可在第三磁道内增加其他的可变数据, 进一步增加银行卡的伪造难度。同时, 可以考虑在适当时机开展银行磁条卡向 IC 卡的迁移工作, 以彻底解决磁条卡安全性不高的问题。3. 收单机构措施收单机构为规避风险应当制定相应的风险策略和收单政策, 规范商户的选择、评估和签约等作业程序, 明确风险管理部门的责任, 与公安部门合作开展对欺诈交易的监控和侦测等。通过汇集、分析商户交易数据并产生相关风险评估报告。除使用已通过相关安全检测的终端产品外, 收单机构还要加强对设备和设