銀行只計算信用卡的“信用額度",但是願意讓你以信用付款的是賣家!
2013年9月6日 星期五
哇奇網遭到信用卡盜刷!常常聽到這類事件所以沒什麼大不了?
不過你可知道,你的信用卡有沒有使用3D驗證跟誰要背負那筆盜刷金額有很大關係?
而且銀行完全沒有風險,最重要的是整個制度上即使有未能解決的缺陷未卻仍想繼續擴大發卡量?
今天是一個真實案例的分享以及信用卡制度(網路交易)原來如此不安全的探討。
說不安全可能有點太嚴重了,網路上使用信用卡交易雖然方便,但是對於持卡人(注意!是持卡人而非交易的盜刷者買家)及賣家暗藏者沒被解釋過的風險。
登場人物及事件說明
2012年9月 -去年9月哇奇網接到幾筆信用卡交易的訂單,由於當時某熱賣商品缺貨導致只有前幾筆訂單得以先出貨,其餘必須等待下次進貨。
2012年10月 -
就這樣一直盯廠商端的進貨日終於在10月的時候進貨。正要出貨的那一天恰巧哇奇網的收單銀行-○泰○華銀行(後續簡稱A銀行)的調扣組人員打電話來向我們調幾筆交易資訊。起先以為是詐騙集團,查了來電號碼以及請她來信時的email等等都是A銀行的才放心將含個人資料的資訊提供給她。提供前也問林小姐這幾筆交易是否有任何問題,她回應只是一個偶爾會查交易的正常程序而已。心裡雖然抱著疑問但是既然銀行都說只是正常程序我也沒有理由暫緩出貨,因此將貨品寄出並email聯絡告知客戶。(當時的訂單內容全部是訂購人與商品收件人為不同人,僅認為是常見的送親朋好友類的訂單。不過原來這跟後續發現的事件手法相關)
2012年11月 -
某一天突然再次收到A銀行調扣組人員來電告知我們那幾筆交易全部是盜刷,然後寄來email裡附上持卡人的聲明書(內容為真實持卡人簽署說明自己並未刷那幾筆款項以及有妥善保管本人信用卡資訊等內容)並要求我們簽署一份扣款回覆明細表的文件,裡面有一欄問是否同意扣款的選項,我們當然填寫不同意並附上理由,之後也來來回回與同一名調扣組人員聯絡數十次。
當時A銀行主張由於我們的信用卡交易沒有開啟3D驗證功能,所以如果遇到盜刷,真正持卡人只要提出沒有作此交易的證明(亦簽署聲明書)就可以完全免責,然後與店家要求扣款或若已請款並撥款則會要回款項。
3D驗證是什麼?哇奇網的金流是利用第三方代收代付金流交易平台(思○資訊,後續簡稱金流服務商),系統內產生訂單後所有付款動作是在金流交易平台的畫面裡填寫,我們對於客人的信用卡資料完全無法得知也不會留下任何痕跡,最後全憑金流交易平台的授權成功與否來進行請款以及後續的出貨動作。詢問金流服務商關於3D驗證的事情,他們反而認為我莫名其妙,說3D驗證是持卡人要辦的東西,平台沒有什麼開啟不開啟的...連專業代收代付服務商都不知道此事,身為商家的我怎會知道不是持卡人有開啟就好?!(今年3,4月左右在無告知我們的狀態下,金流服務商已經將自家信用卡交易功能悄悄的開啟3D驗證功能。後來A銀行也說他們有因為這次事件輔導該金流服務商要開發此功能)。
3D驗證服務,就是由Visa、MasterCard這些國際發卡組織,所推出的網路安全認證服務,讓您在使用信用卡線上購物之前,再輸入一組您自行設定的「專屬密碼」,來確保只有您本人才可以使用自己的信用卡於網路上交易,不用擔心別人知道卡號就可以盜刷,等於是加倍的安全刷卡機制。
若付款時強制使用3D驗證,未開啟的持卡人必須在付款途中立即向發卡行辦理才可以完成交易。此時買家可能會失去交易意願,而且交易程序多一道也有可能讓買家跳出畫面。不過這些風險是小事,若應該只有本人才知道的密碼不知為何被他人知道並惡用,除非本人可以“證明”並非自己盜刷或刻意將資訊洩漏,否則因為是只有本人才能得知的資訊,將有需要付款的責任。所以不是持卡人,不然就是店家的意思。我付錢串金流服務商的交易平台就是為了方便買家可以有多重選擇並且讓我們免於一一確認付款的程序,只要收到付款了就出貨屬於一般商家的心態。同意讓消費者以“信用”先墊付的乃銀行的服務,但是萬萬沒想到銀行從交易中抽取佣金卻說自己只是中介立場。如果真是這樣,銀行在與我們這些店家簽特約商店契約的時候應該有說明風險以及輔導適當處理方式的義務(當初是金流服務商指定必須要開一個A銀行的帳戶,隨後來了A銀行的契約書簽署後就完成帳戶開立了)。
暫時撇開3D驗證的事,這次事件讓我看到信用卡制度的大缺陷,其實是所有盜刷交易裡使用的信用卡的發卡行全部都是中○信○銀行(後續B銀行)。在哇奇網購物時雖然需要註冊帳號,但畢竟是網路非面對面的註冊,填寫資訊是否真實並無法有效確認,不過其中一個帳號的註冊姓名與其中一筆聲明書持卡人姓名是一模一樣,代表可推測除了卡號,姓名也被盜刷者(或集團)得知了。加上第一筆聲明書在交易的1週內就被簽署、最後一筆也在9月內就獲得,我們10月才出貨時原本可以及時阻止,但是到了11月B銀行才把聲明書給A銀行(那時也才被告知盜刷)。是作業流程繁瑣還是怠慢要這麼久才告知是盜刷?或者是因為銀行都以信用卡國際組織訂的規則受保護(聽說是英文厚厚的一本,裡面規則為只要真正持卡人簽署聲明書證明非本人交易,發卡行即可不需提出任何說明向收單行要回款項)所以銀行總是不痛不癢而養成的傲慢。我們2次附上以上以及其他理由拒絕扣款卻至今都沒有獲得B銀行的任何解釋。
在出貨前我們曾經與訂購人聯絡要告知缺貨的事情但是聯絡不上,不過訂單指定的收件人倒是聯絡上,當時問收件人是否知道會收到該商品,對方回答確實是有購買此商品因此就進一步告知出貨時間會晚。但後來得知是盜刷事件後再次與收件人做確認時,才知道原來各位收件者是在其他平台看到相當低的價格因此購買並匯款(應該是盜刷者準備的人頭帳戶),盜刷者收到匯款後再到販售此商品的其他網站利用別人的卡號購買此商品並指定要寄給匯款的買家。由於信用卡交易獲得授權、商家得以請款、買家拿到商品、整體看似正常交易,等真正的持卡人發現不明金額報為盜刷、銀行不知為何2個月的處理流程後才告知後終於浮現成為事件時,盜刷者早就拿著錢遠逃了。
信用卡制度的漏洞
經過這次事件,我甚至假想到銀行“可以”明目張膽詐財的手法。只要銀行將自己客戶的信用卡刻意洩漏用於盜刷(但是收單銀行是其他銀行),之後再快速裝好心告知客戶有可能被盜刷要各位填寫聲明書就可以讓持卡人免責。等過幾個月後再告知收單銀行依照信用卡國際組織約定將這些款項退還、發卡行就可以把自己一時“投資”的錢在沒有任何實際交易的狀態下拿回來當作自己的營收。不僅如此,處理的快速的話,單一個人還可能認為銀行處理快速及妥當值得讚賞呢。商家則是賠了商品還得把銷售的金錢給銀行。
*犯罪行為請勿嘗試。
這次事件,受害者除了哇奇網以外還有幾家大型網路商店,據銀行端說法是各家廠商都把錢還給銀行並將其金額報為損失(似乎已經是店家處理盜刷的常態)。哇奇網則是像這樣多次將內容與A銀行解釋認為責任不在我們、一度獲得暫緩將由A銀行內部討論,結果今年7月的時候突然收到A銀行法務部門的起訴狀,之後我們請曾經到appWorks當講師為我們這些創新團隊講解法律基礎的中銀律師事務所的馮律師給予法律意見、與A銀行進行簡調(馮律師還免費與我們出席簡調,太感激了!)最後終於獲得和解,雖然和解也造成部分損失,但算是已降至最低。
簡調過程也一直到了最後的最後A銀行的主管才終於出席(多次希望轉接與有決定權以及可以給予改善意見的人員洽談有效的防止方式並釐清責任歸屬卻一直被擋下)並達成和解。令人驚訝的是,當我說明上述制度漏洞時,他們也清楚,但是依照目前規則是無法避免的。
今天我們這種小蝦米會想抗戰到底不是金額大小的問題(跟其他受害的電子商務比較,我們應該算比較少的),而是既然創業想對台灣帶來些改變,看到這樣一個問題居然還沒有被積極改善而被視為少數案例的心態感到可惜。
信用卡交易的現在與未來
目前網路刷卡的制度,代收代付金流服務業可能就快要有新規則了。金融監督管理委員會已於2013年3月7日以金管銀票字第10240000530號函核備
信用卡收單機構簽訂「提供網路交易代收代付服務平台業者」為特約商店自律規範 (doc檔)
不過只是將確認身份的機制及責任轉給金流服務商、若電子商務是直接串接銀行時如何建立有效確認買家身份的責任看來還是商家,至於該如何確認並非銀行的責任。所以買賣雙方請注意,網路刷卡交易裡若出現被盜刷事件不是持卡人就是商家倒霉,這樣的狀態下還要不要享有信用卡的方便性需各自評估。
有的發卡行已經規定要設定密碼(不過這個狀況下盜刷責任歸持卡人)。
銀行應該要發OTP動態密碼產生器(TOKEN)或像Google以app方式下載,要求交易時輸入或某種更直接與本人確認身份的方式(視訊來電用臉形辨識以及聲音辨識?)。
創業就是這樣,天天有意想不到的問題需要解決。過程雖然辛苦、結果固然有可能會不滿意,但是都是相當有趣的經歷喔。viva創業!^^
0 意見:
張貼留言