世界上第一张信用卡诞生于1950年的美国,经过半个多世纪的发展,信用卡已成为全球重要的支付手段和金融工具,同时也成为犯罪分子竞相瞄准的目标。我国信用卡产业起步较晚,从80年代办理信用卡业务以来,至今也不过20多年,但随着发卡量的增大,国内针对信用卡的欺诈案件层出不穷。引进国外先进的管理经验,对当下中国信用卡产业的良性发展十分重要。
一、信用卡欺诈的定义及分类
美国法律对于信用卡欺诈的定义经历了一个发展过程。《公信借贷法案》第1644节将信用卡欺诈定义为“在涉及影响对外贸易和州际贸易的交易中,使用或企图使用任何伪造、虚构、变造、遗失、被盗的信用卡或是以诈骗手段获得的信用卡,从而获取金钱、物品或服务,一年内价值在1000美元以上的行为”。值得注意的是,此处的信用卡被严格定义为一种信用装置,而不包括未经授权的账号,因此该法仅仅限制使用非法卡片的行为,并未将使用未经授权的账号视为非法。
另外,该定义还存在几个明显的漏洞:一是犯罪嫌疑人必须是以诈骗手段取得信用卡,但如果真实持卡人将自己申请的卡片出借或出卖给犯罪嫌疑人,则法院不能引用上述法律进行裁决;二是上述定义没有明令禁止拥有伪卡或制造伪卡设备的行为。
除《公信借贷法案》外,法院还可以援引《邮寄欺诈法》和《通信欺诈法》来判决信用卡欺诈方面的案件,但由于必须证明欺诈行为与邮寄或通信之间的关联性,受害者在此类案件中往往很难胜诉。
为了弥补以上缺陷,美国国会于1984年颁布了《信用卡欺诈法》,根据该法的规定,仅仅使用账号进行欺诈的行为也有可能构成信用卡诈骗罪,而且也不要求犯罪嫌疑人必须是以诈骗手段取得信用卡,只要具备欺诈意图即可。另外,该法还禁止个人持有15张以上的非法卡片。不过,这部法案并没有取代此前有关信用卡诈骗罪的规定,而是作为其有效补充。
从学理上来说,信用卡欺诈就是以不诚实的方式使用信用卡,表现为使用无效卡、伪卡或盗用的卡进行消费或取现。来自Juniper银行的Daniel Buttafogo先生认为,信用卡欺诈是指未经真实持卡人授权的账户活动,具体表现形式主要有以下几种。
1.申请阶段欺诈
申请阶段欺诈存在两种形式:熟人欺诈和非熟人欺诈。所谓熟人欺诈,是指受害人的家庭成员、室友或亲戚,通过获取受害人的邮件和个人信息(如社会安全号码,出生日期等),向发卡机构提出申请,并以受害人的名义使用申请下来的卡片。这种情形一旦被发现,通常会由相关人员内部解决。由于实施欺骗的一方对于受害人来说非常熟悉,为了避免家人朋友间的尴尬,结果往往是赔偿了事。
非熟人欺诈通常是陌生人通过使用一系列高科技手段非法获取受害人的个人信息后,以受害人的名义申请卡片,进而在受害人不知情的情况下使用这张卡片。互联网搜索引擎和数据库使得获取个人的社会安全号码和其他个人信息变得异常容易,这种盗取身份的行为往往给受害人重建信用记录造成严重的困难。
2.使用遗失和被盗的信用卡
使用遗失和被盗的信用卡是一种最为常见的欺诈形式。当持卡人的信用卡丢失或被盗后,犯罪分子直接获取了信用卡账号。另外,由于这些遗失或被盗的卡片经常是放在钱包或公文包里,犯罪分子往往还能同时获取其他信息。如果罪犯使用这些信息扩大犯罪,如申请其他卡片或是办理其他金融业务,就会使问题变得更加复杂。幸运的是,大多数信用卡的遗失或被盗都能在第一时间内发现,通过告知发卡机构,持卡人的损失可以减少到最小。对消费者来说,更为重要的是,如果遗失或被盗的卡片及时挂失,卡片发行机构通常会赔偿挂失之后的损失。
3.未达卡(邮件拦截)的欺诈
此类欺诈案件通常发生在个人邮件被犯罪分子拦截后所导致的信用卡盗用。为防止此类损失发生,大多数的发卡机构都会要求客户在使用信用卡进行消费前致电发卡机构激活卡片。这样的程序能够使发卡机构迅速发现欺诈,有效减少损失。
4.伪造信用卡
当犯罪分子获得有效的信用卡卡号后,就可以伪造信用卡。通过快速搜索互联网,犯罪分子能收集所有制造伪卡的材料。传统的压模机具、切削机、解密机、磁条编码程序以及各种各样的生产伪卡的工具都能在网上找到。然后,真实持卡人的信息就能通过这些工具被压到空白卡的磁条上或者被人为地改变卡面,伪卡的制造就完成了。
在引入实时授权终端之前,犯罪分子仅仅通过丢弃的销售小票上的信用卡信息就能制造伪卡。在当今的电子化时代,卡片磁条上的信息通过授权终端能够被读取,几乎所有商户的终端都在合法地使用这种技术,通过读取卡片背面磁条上的信息,如持卡人姓名、账号、发卡机构名称等来完成授权。当这种技术用于犯罪时,同样的信息也可以直接通过电话或网络用于未经授权的消费或用来制造伪卡。
最初,这些数据读取器具通过电话线与听筒和授权终端机相连,当持卡人使用信用卡进行消费时,电子读卡器会捕捉到相关信息,并将其存储起来留待后用。除非商户参与了欺诈,否则这些设备相对来说还是容易被识别和拆除的。
近年来,随着一些小型的、能够同时存储上百条信息的便携式设备的出现,滥用信用卡的行为也愈演愈烈。一旦犯罪分子获取了持卡人的信用卡,就能使用这些设备迅速读取和储存卡片上的信息,这种情形通常发生在餐馆付费等需要持卡人暂时失去对卡片控制的场合。
当犯罪分子盗取了一个有效账号或利用卡号生成软件制造了一个有效账号后,就能把卡号凸印到一张空白卡上,然后他会把空白卡磁条上的数据都抹掉,最后用这张卡去消费。由于磁条不能被读取,商家就不得不通过手工操作将卡号输入到POS,这就使得犯罪分子能够规避发卡机构的授权系统。
5.账户接管
当犯罪分子获得了足够多的个人信息,以至于能够冒充持卡人与发卡银行交涉时,账户接管的情况就会发生。犯罪分子先是打电话给发卡机构的客服中心,要求改变账单地址;然后他会要求挂失卡片,同时补寄新卡到改变后的地址。这样,犯罪分子就成功地接管了真实持卡人的账户。为了阻止这种犯罪形式,征信局和发卡银行在遇到更改账单地址的请求时,往往都会通过电话核实,并/或给两个地址都发出信件通知。
6.电话与网络欺诈
以上所描述的种种欺诈手段通常与实体卡片有关。当无须使用实体卡片时,另一种类型的欺诈就出现了,这就是支付卡行业里所说的邮购欺诈或电话定购欺诈。所有通过这种方式进行的交易都面临如何取得发卡机构授权并确认真实持卡人的问题。当然,邮件订购和电话订购至少提供了一定程度的授权保证,因为大多数消费都是通过客户身份识别码直接将购买目录邮寄到特定的地址,商家通过这些信息来核实邮寄地址和用户身份码之间的匹配性。
然而,在通过互联网购买商品时,上述方法就不适用了。订购指令可能是从位于任何位置的计算机中发出的,商家无法验证卡号与实际持卡人之间的关联性。针对这种情形,目前还没有任何被发卡各方(信用卡组织、发卡机构、商家和消费者)统一接受的授权系统。具有电脑芯片的智能卡提供了一种解决方案,但是到目前为止,这种技术还没有得到大规模应用,因为当网络欺诈案发生时,往往是由发卡机构买单,再加上行业规章允许发卡机构向商家索赔,这就进一步降低了解决问题的动机。
Buttafogo认为,很多互联网欺诈交易都可能最终被定性为“熟人欺诈”。有些持卡人会在网上订购一些性质比较暧昧的商品(如色情杂志),但是一旦面对家人时,他可能会抵赖,不承认自己知道此次交易,并且上报为欺诈。这样一来,合法的账单交易就有可能被上报为“从没收到过卡”,发卡银行就会撤销该笔交易。美国《银行家》杂志在2001年11月推出一份名为“我没有做过”的报告,这份有关互联网欺诈的报告指出,色情杂志费用可能占整个网络欺诈案的一半。
此外还有一种更为隐蔽的网络用卡欺诈行为:如今在网上能够很容易地找到像CreditMaster和CreditWizard这样的计算机程序,这些程序能够生成有效的16位信用卡号码序列。犯罪分子利用这些序列,就能快速地在网上对那些没有设置监控设施的商家进行欺诈交易。Buttafogo认为,正是这些程序促成了有组织的网络欺诈案。
二、欺诈管理
针对以上种种欺诈手段,美国的发卡机构经过多年探索,已经研究出一整套防控策略。
1.申请阶段
申请环节构成风险管理的第一防线,通常发卡机构都会从多个渠道确认申请人的信息,例如审查电话号码的地址和距离,以确定其是否与申请表上所填的内容一致。对于某些高风险的申请,发卡机构都会审查其来源渠道、申请人所处位置或者其他一些特征。在网上主动提供申请资料的人总是会被详细地审查,来自风险频发地区的申请表也会被严格审查。另外,申请表上的信息必须与征信局的信息保持一致,例如姓名、地址或电话号码等。
2.账号激活阶段
每当一张新卡被客户激活时,发卡机构就会进行相应的反欺诈控制。当激活账号的电话不是从申请表上所填的家庭电话拨过来时,系统会有自动显示。此时,账号不能被自动激活,专门的客服代表会跟来电人核对其他信息。
3.交易行为监控
有经验的发卡机构都会对高风险的情形和交易提前进行选择性的监控,例如,新开账户集中大笔取现的情形就会被监控。一种复杂的神经网络软件通常被用来监控可疑的交易行为,例如,一个很少用卡取现的人突然连续取现,发卡机构就会引起警惕,有可能会给持卡人打电话进行核实。同样,持卡人在一个远离常规购物区域的地方大举消费时,也会引起发卡机构相应的行动。这些高风险的交易行为通常与遗失卡或失窃卡有关。
4.特约商户方面的欺诈防范
发卡机构一般通过信息技术侦测欺诈,与之不同的是,特约商户能够直接辨别变造卡,或是碰到客户身份被质疑的情形。但是,情况往往很尴尬,毕竟冤枉一个客户的代价是高昂的。有鉴于此,商家既要有效避免欺诈,又要处理好与客户的关系。商家往往会在征得发卡机构同意的情况下,在适当额度内承认一笔可疑交易,以防止得罪一个合法的客户。在涉及有疑问的大额交易时,商家为了避免与客户正面冲突,通常会有意制造无法正常刷卡的情况并告诉客户:这笔交易需要得到发卡机构的授权,客户必须在现场打电话给发卡机构来验证自己的身份。如果是明显的欺诈案件,商家可以没收客户的卡片。同样地,考虑到冒犯客户的风险,这种情况很少发生。
5.侦测和防止互联网欺诈
如上所述,互联网以及卡片不在场交易所具有的匿名特点给欺诈管理带来了特有的难度。证明持卡人的身份成为防止欺诈的基本要求,但至今还没有统一的解决方案。互联网所带来的信用卡欺诈案件比实体卡片或是电话订购导致的欺诈案更多。
Card Verification Value2(CVV2)是被许多发卡机构所采用的一种反互联网欺诈的手段。大多数信用卡的背面都有一组专属于该卡片的三位数代码。为了确保网上交易的安全,商家会要求顾客将这三位数代码连同卡号一并输入。由于这三个数字只能在卡片上见到,因此购买者大多数情况下都拥有实体卡片,而不会出现签单被盗取后获得三位代码的情况。但是,一旦卡片本身被盗取,上述方法就不是一种有效的措施。
另一种控制网络欺诈案的新型方法是使用账号隐藏软件,其关键要素是赋予每次交易一个单独的使用号码。许多发卡机构都开发出了专门的软件,将这一步骤加入到网上购物过程。当顾客在网上准备购买商品时,他们要登录发卡机构的网站,选中用于支付的卡片,这时会生成一个唯一的信用卡号和相应的有效日期,用于完成此次网上交易。然而到目前为止,这些程序还没有被广泛接受和使用。据说,消费者认为这个步骤十分不方便。
6.爆发型欺诈
爆发型欺诈是一种通常会造成巨大损失的新型信用卡欺诈犯罪,具体含义是指真实客户依靠多张卡片逐渐积累起足够多的信用额度,然后通过大额取现、购买易变现商品等方式刷爆卡片。犯罪分子通常会用一张卡片的钱来还另一张卡片的欠款,从而维持信用额度,最后在取走更多现金后销声匿迹。这种行为很难被预见,因为在卡片被刷爆之前,犯罪嫌疑人的用卡行为与正常消费者一般无二。通过在多家发卡机构之间累积信用,单个账户的信用额度通常能成倍提高。据报道,某家个人征信局曾纪录了一个案例,犯罪嫌疑人通过这种方式造成多家发卡机构75万美元的损失。
尽管辨别这种行为存在一定难度,当犯罪嫌疑人决定刷爆信用卡时,还是会有一些客观的征兆,如大额取现、迅速用光额度、信用报告中有多笔消费未曾还款等。发卡机构一旦发现这些异常情况,就会关闭持卡人的账户。
三、对中国信用卡产业的启示
随着中国信用卡市场的不断发展,国内信用环境缺失的问题日益凸显出来。由于目前没有专门针对信用卡监管方面的法律,各种针对信用卡的犯罪甚嚣尘上,而司法机关却缺乏相应的依据来制裁犯罪嫌疑人。要改变这种尴尬的现状,必须由行业协会出面,呼吁相关部门尽快出台新的《银行卡业务管理办法》。发卡银行还要加强与司法机构的沟通,力争在一些高等级的法院中形成有利于银行的典型判例,甚而至于出台相关司法解释或内部工作指引。只有加强这些工作,信用卡欺诈才能真正得到有效遏制。(作者任职于中国民生银行信用卡中心法务室)