摘要:我國銀行卡產(chǎn)業(yè)發(fā)展迅速，銀行卡支付在社會商品流通領(lǐng)域所占比例穩(wěn)步上升，銀行卡已成為人民群眾日常生活中不可缺少的一部分，可銀行卡犯罪也如影隨行地來到我們身邊#65377;本文就我國銀行卡犯罪的主要特征和行為進(jìn)行分析，并提出相應(yīng)的解決措施和建議#65377;

關(guān)鍵詞:銀行卡;支付風(fēng)險防范;交易安全

中圖分類號:F830.46文獻(xiàn)標(biāo)識碼:B文章編號:1006-1428(2007)06-0080-03

近幾年來，隨著銀行卡聯(lián)網(wǎng)聯(lián)合工作的深入開展，各商業(yè)銀行進(jìn)一步加大了對銀行卡業(yè)務(wù)的投入，加之中國銀聯(lián)股份有限公司這種專業(yè)化機構(gòu)的推動，我國銀行卡產(chǎn)業(yè)取得了飛躍性的發(fā)展，發(fā)卡量和交易金額均迅速增長#65377;銀行卡方便#65380;快捷的服務(wù)方式，逐漸改變著人們的支付方式#65377;截至2006年底，我國銀行卡的發(fā)卡量達(dá)11.75億張，同比增長23%，2006年總交易金額預(yù)計超過60萬億元，其中消費交易額為1.6萬億元，同比增長70%以上#65377;國內(nèi)銀行卡特約商戶52萬家，銷售點終端(POS)81萬臺，自動柜員機(ATM)9.8萬臺，同比分別增長32%#65380;34%和19%#65377;

在銀行卡業(yè)務(wù)蓬勃發(fā)展的同時，銀行卡產(chǎn)生的負(fù)面影響也在不斷擴(kuò)大，其中最主要的問題之一就是銀行卡風(fēng)險欺詐，它給發(fā)卡銀行#65380;收單機構(gòu)#65380;信息轉(zhuǎn)接等機構(gòu)和持卡人帶來越來越大的損失#65377;銀行卡犯罪案件也逐年攀升，案件數(shù)量和損失金額快速增長#65377;從近幾年國際#65380;國內(nèi)銀行卡犯罪的方法來看，主要是針對銀行磁條卡和受理機具，目的是盜取持卡人的密碼和銀行卡磁道數(shù)據(jù)內(nèi)容#65377;因此，銀行卡交易的各參與方和監(jiān)管部門應(yīng)對這類問題予以關(guān)注并尋找相應(yīng)的解決辦法，以防止支付風(fēng)險的出現(xiàn)#65377;

銀行卡風(fēng)險欺詐情況

1#65380;全球狀況#65377;

2006年全球銀行卡欺詐金額一直穩(wěn)步攀升，據(jù)某國際銀行卡組織最新數(shù)據(jù)顯示:2006年第一#65380;二#65380;三季度全球銀行卡欺詐金額分別為3.16億美元#65380;3.73億美元與4.19億美元，呈持續(xù)上升態(tài)勢#65377;其中，2006年前三季度全球非面對面交易欺詐損失金額為4.64億美元，偽卡欺詐損失為4.95億美元，且第3季度中非面對面交易欺詐損失已經(jīng)超過偽卡欺詐損失，其他欺詐損失較大的類型依次為失竊卡#65380;丟失卡#65380;虛假申請#65380;未達(dá)卡和賬戶冒用#65377;相比較國際其他地區(qū)的情況，亞太地區(qū)的銀行卡欺詐率(BP)，還處于相對較低的水平#65377;2006年第一季度至2006年第三季度全球和亞太地區(qū)欺詐率情況如下:

2#65380;國內(nèi)狀況#65377;

據(jù)不完全統(tǒng)計，2006年全國銀行卡欺詐金額總數(shù)為1.84億元人民幣，國內(nèi)銀行卡欺詐率為0.94BP，比2005年底的0.67BP增長40.3%#65377;特別是目前借記卡涉及欺詐金額增幅明顯，由于手機短信欺詐的大范圍出現(xiàn)，2006年第2季度的借記卡涉及欺詐金額為404.74萬元，到了第3季度和第4季度分別增至1363.17萬元和1442.7萬元#65377;2006年全國共發(fā)生賬戶信息泄漏事件433起，涉案金額達(dá)到3491萬元，相比2005年全年發(fā)生的117起和274萬元，涉案數(shù)量和金額分別增長了370%和12.7倍#65377;

國際銀行卡組織安全措施

為防范銀行卡產(chǎn)業(yè)的風(fēng)險，保障銀行卡和受理機具(包括ATM和POS機)的安全，JCB#65380;MasterCard和Visa銀行卡組織聯(lián)合組成了“支付卡產(chǎn)業(yè)聯(lián)盟”(Payment Card Industry，簡稱PCI)，針對銀行卡和終端產(chǎn)品建立了一套嚴(yán)格的標(biāo)準(zhǔn)和規(guī)范，涵蓋了銀行卡卡片#65380;銀行卡終端機具等產(chǎn)品和受理商戶處理系統(tǒng)，詳列了敏感數(shù)據(jù)的儲存#65380;處理#65380;傳輸及會員銀行#65380;商品(或服務(wù))提供者等各方的安全要求#65377;國際銀行卡組織和一些西方國家已將金融支付產(chǎn)品的安全性列入其支付環(huán)境建設(shè)的管理范疇中，并將產(chǎn)品的安全性指標(biāo)作為衡量該產(chǎn)品能否在其網(wǎng)絡(luò)或國內(nèi)使用的主要依據(jù)之一#65377;目前，JCB#65380;MasterCard和Visa國際組織已要求會員銀行在采購和使用的銀行卡產(chǎn)品時必須遵循和符合PCI安全標(biāo)準(zhǔn)，保證銀行卡支付安全，并委托國際銀行卡組織自己的實驗室或第三方實驗室對銀行卡產(chǎn)品進(jìn)行安全檢測與評估#65377;

1#65380;卡片安全措施#65377;

國際銀行卡組織對銀行卡生產(chǎn)企業(yè)采用授權(quán)生產(chǎn)的原則，對生產(chǎn)過程實行嚴(yán)格的數(shù)字化管理，防止非法卡片從指定的生產(chǎn)企業(yè)流出#65377;由于磁條卡自身存儲方式的制約，無法對磁條的安全性做出進(jìn)一步要求，僅能采用在銀行卡正面加貼全息防偽標(biāo)志和印刷微縮文字等簡單辦法提高銀行卡的防偽特性#65377;但對于金融集成電路(IC)卡，除上述要求之外，還增加了對IC芯片硬件安全評估和IC卡操作系統(tǒng)風(fēng)險測試的要求#65377;芯片硬件安全評估是對芯片自身的安全性(包括物理防護(hù)#65380;數(shù)據(jù)存儲和環(huán)境保護(hù)等安全機制)進(jìn)行測試和評估，采用操控#65380;觀測#65380;半入侵的方式，利用激光#65380;掃描電鏡#65380;化學(xué)腐蝕#65380;微探針#65380;功耗分析和毛刺發(fā)生器等設(shè)備和手段，對卡片中存儲的密鑰#65380;計數(shù)器#65380;只讀代碼等對象開展安全性攻擊測試#65377;銀行卡組織要求金融IC卡所使用的芯片必須通過“Common Criteria”評估標(biāo)準(zhǔn)(參照IS0/IEC 15408標(biāo)準(zhǔn))EAL4+以上的安全級別;風(fēng)險測試是針對IC卡產(chǎn)品的COS進(jìn)行的安全風(fēng)險評估，確?？ㄆ腃OS調(diào)用了IC芯片硬件所提供的安全特征，并得到合理#65380;有效的運用#65377;

2#65380;受理設(shè)備安全措施#65377;

國際銀行卡組織對受理機具的生產(chǎn)企業(yè)不采用授權(quán)生產(chǎn)的原則，僅要求受理機具的安全性符合PCI組織的安全規(guī)范并通過指定實驗室的檢測和評估#65377;終端安全性檢測主要針對PIN輸入設(shè)備和密鑰存儲區(qū)域，設(shè)備的安全可分為物理安全性和邏輯安全性二部分#65377;物理安全性是檢測銀行卡受理機具在物理構(gòu)造上是否具備防攻擊性和反攻擊性機制，以及不同防攻擊性和反攻擊性之間的關(guān)聯(lián)性#65377;這些攻擊手段包括鉆孔#65380;激光#65380;化學(xué)溶劑#65380;外殼和通風(fēng)口探查，以及音頻#65380;電磁波#65380;電壓監(jiān)測等;邏輯安全性是檢測銀行卡受理機具在軟件設(shè)計上是否具備防攻擊性和反攻擊性的機制，例如終端是否具備自檢功能，敏感信息使用次數(shù)和時間控制，異常數(shù)據(jù)反應(yīng)，隨機數(shù)發(fā)生器特性，嵌入式軟件更新控制，加密消息鑒別和加密方法是否達(dá)到相應(yīng)的安全要求等#65377;

國內(nèi)的欺詐方式及防范措施

我國目前使用的銀行卡絕大多數(shù)(超過98%以上)為磁條卡，銀行卡欺詐主要是通過偽造卡片或交易信息獲取非法收益，這些信息可通過盜取卡片，監(jiān)控用戶密碼輸入，攻擊銀行后臺數(shù)據(jù)庫和終端機具等方式實現(xiàn)#65377;

從國內(nèi)銀行卡犯罪的方法來看，其主要方式是盜取銀行磁條卡上的數(shù)據(jù)信息和持卡人密碼(PIN)#65377;作為銀行卡監(jiān)管機構(gòu)#65380;發(fā)卡機構(gòu)和收單機構(gòu)應(yīng)從以下幾個方面采取措施預(yù)防欺詐風(fēng)險的發(fā)生#65377;

1#65380;監(jiān)管機構(gòu)措施#65377;

銀行卡卡片和受理設(shè)備的安全管理是銀行卡安全環(huán)境建設(shè)的重要環(huán)節(jié)之一，監(jiān)管機構(gòu)應(yīng)制定#65380;頒布銀行卡卡片和受理設(shè)備的安全標(biāo)準(zhǔn)，成立相應(yīng)的銀行卡產(chǎn)品檢測認(rèn)證機構(gòu)，指定專門實驗室進(jìn)行銀行卡產(chǎn)品安全檢測，通過檢測和認(rèn)證使之安全性達(dá)到相應(yīng)標(biāo)準(zhǔn)，防止犯罪分子通過攻擊終端機具獲取持卡人密碼#65380;磁道信息或終端機具的密鑰，有效降低銀行卡交易風(fēng)險#65377;特別是加強對受理設(shè)備的檢測，嚴(yán)格規(guī)范受理設(shè)備的交易流程#65380;數(shù)據(jù)存儲和加密#65380;密鑰下裝等環(huán)節(jié)，減少欺詐案件的發(fā)生#65377;

監(jiān)管機構(gòu)應(yīng)建立銀行卡風(fēng)險欺詐信息溝通機制，建立監(jiān)管機構(gòu)#65380;發(fā)卡機構(gòu)#65380;收單機構(gòu)#65380;信息轉(zhuǎn)接機構(gòu)(中國銀聯(lián))#65380;公安部門和其他相關(guān)部門間長期#65380;有效的溝通渠道，通過各方面的力量化解風(fēng)險事件，定期通報國內(nèi)外銀行卡風(fēng)險管理動態(tài)#65380;銀行卡犯罪趨勢分析以及其他銀行發(fā)生的經(jīng)驗教訓(xùn)等#65377;加快建立健全相關(guān)的法律#65380;法規(guī)，依法打擊銀行卡風(fēng)險欺詐的犯罪活動，遏制銀行卡犯罪活動的發(fā)生#65377;

2#65380;發(fā)卡機構(gòu)措施#65377;

為降低發(fā)卡風(fēng)險，發(fā)卡機構(gòu)應(yīng)建立健全風(fēng)險管理體制，加強制度規(guī)章建設(shè)，提高風(fēng)險管理的技術(shù)手段，加大風(fēng)險管理的組織保障力度#65377;如針對銀行卡業(yè)務(wù)開展的各個環(huán)節(jié)，詳細(xì)列舉業(yè)務(wù)開展過程中可能出現(xiàn)的風(fēng)險點，并針對各風(fēng)險點的情況提出具體的防范及控制措施;在后臺處理系統(tǒng)中加裝銀行卡風(fēng)險預(yù)警監(jiān)控系統(tǒng)#65377;

加強對銀行卡磁道數(shù)據(jù)信息的保護(hù)#65377;磁道數(shù)據(jù)被竊取通常有二種途徑:一是直接讀取卡片數(shù)據(jù);二是通過卡號推算磁道數(shù)據(jù)內(nèi)容#65377;對于第一種竊取方式只能采取加強宣傳力度的方式，教育持卡人提高風(fēng)險防范意識，注意卡片的使用和管理;對于第二種竊取方式，各發(fā)卡機構(gòu)應(yīng)嚴(yán)格按照國標(biāo)GB/T 19584規(guī)范的要求，在卡片中增加可變的CVN編碼，防止通過卡號推算出磁道信息的全部內(nèi)容并批量制作偽卡#65377;此外，發(fā)卡機構(gòu)還可在第三磁道內(nèi)增加其他的可變數(shù)據(jù)，進(jìn)一步增加銀行卡的偽造難度#65377;同時，可以考慮在適當(dāng)時機開展銀行磁條卡向IC卡的遷移工作，以徹底解決磁條卡安全性不高的問題#65377;

3#65380;收單機構(gòu)措施#65377;

收單機構(gòu)為規(guī)避風(fēng)險應(yīng)當(dāng)制定相應(yīng)的風(fēng)險策略和收單政策，規(guī)范商戶的選擇#65380;評估和簽約等作業(yè)程序，明確風(fēng)險管理部門的責(zé)任，與公安部門合作開展對欺詐交易的監(jiān)控和偵測等#65377;通過匯集#65380;分析商戶交易數(shù)據(jù)并產(chǎn)生相關(guān)風(fēng)險評估報告，比如對過多退單或銷售額非正常波動的商戶行為進(jìn)行風(fēng)險預(yù)警#65377;

除使用已通過相關(guān)安全檢測的終端產(chǎn)品外，收單機構(gòu)還要加強對設(shè)備和設(shè)備所處環(huán)境的管理和監(jiān)控，全面推廣ATM監(jiān)控系統(tǒng)，防止犯罪嫌疑人通過非法安裝攝像頭#65380;磁條閱讀器#65380;錄音裝置等方法竊取持卡人密碼和磁道數(shù)據(jù)信息#65377;此外，還可定期組織風(fēng)險管理知識培訓(xùn)，使收銀員等銀行卡從業(yè)人員及時了解銀行卡風(fēng)險發(fā)展的最新現(xiàn)狀#65380;欺詐案件類型及防范措施等，防范收單風(fēng)險的發(fā)生#65377;

參考文獻(xiàn):

［1］E-Money Consultation Financial Services RE-goldulation Team， IMPLEMENTATION OF THE ELECTRONIC MONEY DIRECTIVE， HM Treasury， UK， 2001

［2］European Central Bank， E-PAYMENTS IN EUROPE-THE EUROSYSTEM’S PERSPECTIVE， 2002

［3］European Central Bank， ELECTRONIC MONEY SYSTEM SECURITY OBJECTIVES， 2003

［4］Hanna Jyrkonen， Less cash on the counter-forecasting finish payment preferences， Bank of Finland Discussion Papers， 2004

［5］Nathalie Janson1， The Development of Electronic Money： Toward the Emergence of Free-Banking， San Jose State University （CA）， 2003

［6］Nederlandsche Bank， THE COSTS OF PAYMENTS SURVEY ON THE COSTS INVOLVED IN POS PAYMENT PRODUCTS， 2004

[7]戴維·S·埃文斯.銀行卡時代[M].中國金融出版社，2006

[8]中國人民銀行.銀行計箱機信息系統(tǒng)安全技術(shù)規(guī)范[M].電子工業(yè)出版社，2002

[9]中國銀聯(lián)股份有限公司.中國銀行卡產(chǎn)業(yè)發(fā)展報告(2006)[M].上海遠(yuǎn)東出版社，2006

(責(zé)任編輯:周智立)