銀聯二維碼支付盜刷第一案：6家銀行信用卡一夜被盜

一夜之間，一位客戶的6張信用卡遭遇盜刷，涉及光大銀行、交通銀行、興業銀行、廣發銀行、民生銀行、浦發銀行，矛頭指向這6張卡共同綁定的支付平台——銀聯錢包。

本次盜刷，均系通過二維碼掃碼支付。2016年12月，銀聯正式進軍二維碼支付市場。3個月後，發生本次盜刷事件。

銀聯回應：「這是銀聯接到的關於掃碼交易的首例持卡人否認交易投訴。」

銀聯未明確此事是否盜刷，否認存在風險漏洞；同時表示，將按風險墊付制度處理此次投訴。

銀聯錢包6張信用卡一夜被盜

浙江紹興的吉先生在2015年開通了銀聯錢包。「希望通過APP搶一些超市、餐廳的優惠券，而優惠券都是指定銀行才能享受的」，吉先生在銀聯錢包共綁定了十張銀聯卡，其中有3張借記卡、7張信用卡。

2017年3月14日凌晨1點到2點半，除銀行信用卡之外，吉先生銀聯錢包綁定的其餘6張信用卡全部被盜刷，合計13289元。（點擊查看投訴原文：http://ts.21cn.com/tousu/show/id/104665）

當時，他正在睡覺，沒有察覺到任何異常。早上7點半，他打開手機發現多個銀行公眾號的消費信息推送，感覺觸目驚心：

中石化充卡3600元。其中廣發、興業、光大均充了500+500=1000元，交行充500+100=600元。

途牛旅遊消費9689元。其中民生2100*2+4491（若干小額）=8691元，浦發499*2=998元。

交易異常未攔截，銀聯錢包有漏洞？

事後，吉先生聯繫相關金融機構試圖追款，但誰都不願承擔責任：

「打電話給銀聯客服，他們一再強調只是一個支付平台，不判斷風險，也不承擔責任。打電話給銀行要求凍結有爭議金額，不予還款，銀行說，是多張信用卡同時被盜刷，是支付平台銀聯的責任，不答應掛帳。」

銀聯客服答覆吉先生說，本次盜刷中，用於中石化儲值卡充值的四張信用卡，都是通過掃商戶二維碼進行支付的。銀聯錢包的二維碼支付方式有2種：

1，通過掃一掃來掃商戶的二維碼支付，需要輸入銀聯錢包的支付密碼但不需要手機驗證碼；

2，把自己的二維碼給商家去掃，小於500元小額消費是不用支付密碼、也不需要手機驗證碼。

吉先生表示，此前從來沒有使用銀聯錢包直接進行消費，只是搶些優惠券。也是這次盜刷后，才知道銀聯錢包也可以像支付寶錢包一樣進行掃碼支付。

他表示，從來沒有主動泄露過支付密碼。對於銀聯錢包事後不予積極解決，他非常不滿，並質疑銀聯錢包存在風控漏洞：「同一個賬戶名下的多張信用卡通過同一種方式進行重複消費，有些金額較大（2100元），居然依然不發送手機驗證碼，也未提醒銀聯錢包賬戶在異地登錄及消費。」

銀聯：無風險漏洞；如符合相關要求，會先行墊付

銀聯回應稱，本次案件中所有交易均由持卡人銀聯錢包掃描商戶二維碼完成支付。「持卡人反映的問題我們正在通過法律途徑進行調查，事件的屬性有待司法機關認定。這起事件為銀聯接到的關於掃碼交易的首例持卡人否認交易投訴。」

4月7日，銀聯辦公室通過郵件回復聚投訴表示：針對用戶投訴中提及的異地登陸、多筆重複交易等異常交易行為，銀聯錢包具備相關風控措施。系統不存在風險漏洞。本投訴，如符合相關制度要求，會先行墊付。（回復原文見本文文末）

4月13日，吉先生回復稱：聚投訴跟進后，銀聯已聯繫告知，除浦發銀行外，其餘五家銀行均有退款機制。銀聯讓逐一聯繫發卡行，由發卡行向銀聯提交資料后處理。但尚未有銀行因此退款。

同時，吉先生對銀聯的郵件答覆並不滿意，認為本次案件系銀聯風控未盡責導致：「銀聯錢包對於客戶風險防控的理解是否就剩一個簡單的六位數字支付密碼？異地登錄、新設備登錄、掃碼快捷支付都只驗證支付密碼，且都不通知用戶本人，是否合理？相對於競爭對手支付寶錢包的各種安全舉措，銀聯真的認為已經做了最大努力？」

吉先生在投訴帖追問了5個問題（見文末），尚待銀聯進一步回應。

相關判決丨吉林高院：異常交易未終止，系漏洞

2017年2月17日，吉林省高級人民法院在對張丹丹與工商銀行股份有限公司長春大經路支行銀行卡糾紛一案的再審判決中，判工行承擔賠償責任。

（查看判例原文：http://wenshu.court.gov.cn/content/content?DocID=9160605b-e17e-462e-bf56-a724009b1f59&KeyWord=%E7%9B%97%E5%88%B7）

該判決中明確指出銀行「提高技術和管理水平，增強抗擊銀行卡違法犯罪行為能力」的責任：

——本案爭議所涉借記卡在明顯存在信息異常的情況下，大經路支行仍然對該操作確認正確並進行轉賬，而未及時採取中止交易、電話確認等臨時安全措施，充分證明大經路支行在對電子交易登錄終端設備、登錄用戶身份等關鍵信息的真偽識別、監控和臨時處置等方面存在技術漏洞。

——將防範和控制銀行卡欺詐風險的責任完全或主要寄希望於持卡人嚴守密碼上，不但給持卡人非法強加了其無力承擔的不合理責任，更不利於整體銀行業的高效、安全運行和良性發展。

識別異常交易，系硬性要求

值得注意的是，二維碼支付一直以來因支付風險問題備受質疑，直到2016年8月才再次獲得官方承認。對於異常交易的風險管控，主管部門已陸續出台相關規定提出明確要求。

——2014年3月，央行下發緊急文件，叫停二維碼支付等面對面支付服務，理由是線下二維碼支付存在一定的支付風險隱患。

——2016年6月，央行出台政策《關於進一步加強銀行卡風險管理的通知》，明確各商業銀行、支付機構針對批量或高頻登錄等異常行為，應利用IP地址、終端設備標識信息、瀏覽器緩存信息等進行綜合識別，及時採取附加驗證、拒絕請求等手段。

——2016年8月，支付清算協會向支付機構下發《條碼支付業務規範》(徵求意見稿)，意見稿中明確對及時處理可疑交易、承擔因未採取措施導致的風險損失責任提出要求。這是央行在2014年叫停二維碼支付以後首次官方承認二維碼支付地位。

——2016年12月，銀聯正式推出銀聯二維碼支付標準，主要包括《銀聯二維碼支付安全規範》和《銀聯二維碼支付應用規範》兩個規範，正式進軍二維碼支付市場。這是業內首次針對二維碼支付出台的相應規範。

——2017年3月14日，銀聯發生首起掃碼支付盜刷案件，浙江紹興的吉先生銀聯錢包中綁定的6張信用卡一夜被盜，合計13289元，全部通過掃碼支付。

附1：4月7日，銀聯辦公室郵件回復聚投訴全文

銀聯錢包對於異常交易（包括異地登陸、多筆重複交易等）具備相關風控措施，會綜合根據交易情況、風控規則、用戶體驗進行判斷和處理，銀聯錢包系統不存在風險漏洞。

此次事件中，銀聯錢包已完整校驗持卡人的銀聯錢包用戶名、密碼、支付密碼等只能由用戶本人掌握的隱私要素。同時銀聯錢包的客戶端和後台都通過相關安全檢測與認證，嚴格遵守相關信息安全管理要求，不存在用戶隱私信息泄露的風險。

持卡人所述的銀聯錢包二維碼支付規則基本正確，但具體輸入要素及免密標準，銀聯錢包會根據業務場景和交易情況進行動態調整。

持卡人投訴的相關交易屬於銀聯錢包主掃支付交易，即持卡人通過銀聯錢包APP掃描商戶二維碼后，在銀聯錢包APP內完成支付。

銀聯會根據商戶、交易及用戶情況，動態確定單筆及單日交易限額。

當前，銀聯已有相應的風險墊付制度，為充分保障持卡人權益，銀聯會在符合相關制度要求的情況下，對持卡人的損失進行先行墊付。同時銀聯將啟動相應的調查取證工作，並保留進一步追償和訴諸司法的權力。

附2：4月13日，投訴人5大追問以及最新追款情況

1、銀聯錢包中有多卡綁定和快捷支付功能，是否需要承擔所綁定卡片的風險防控職責？

2、不法分子在夜間一點半至兩點半密集作案是有預謀的，說明其已經提前使出了或者盜取了我的支付密碼且永新設備登錄我的銀聯賬號。異地及新設備登錄一句提示都沒有，銀聯到底為客戶做了什麼？

3、銀聯錢包對於客戶風險防控的理解是否就剩一個簡單的六位數字支付密碼？異地登錄、新設備登錄、掃碼快捷支付都只驗證支付密碼，且都不通知用戶本人，是否合理？相對於競爭對手支付寶錢包的各種安全舉措，銀聯真的認為已經做了最大努力？

4、銀聯會根據商戶、交易及用戶情況，動態確認單筆及單日交易限額這種官方的作為答覆沒有任何誠意，就我個人而言，我的銀聯錢包賬戶從未使用過主動掃碼支付，首次掃碼支付后通過綁定的民生信用卡就進行了是比交易，且有兩筆金額高達2100元，銀聯仍未進行手機動態碼驗證，若不是民生銀行主動凍結了我的信用卡，損失還會更大。

5、你們客服所說的和五個銀行有個機制，可能可以幫我追回部分款項，是個什麼機制？銀行到底要提交什麼申請，能否站在客戶的角度，主動聯繫銀行幫忙追回款項，我不希望再發生像廣發銀行這樣的情況。

各個銀行卡片盜刷處理的最新情況：

1、交通銀行盜刷600元中石化油卡，已全額退款；

2、民生銀行盜刷8691元途牛旅遊，盜刷當日我本人致電途牛追回3606.8元，還有5084.2元未追回，已在本地的民生信用卡中心填寫了否認交易聲明，留了全部資料，待處理，據說處理時效3-6個月；

3、浦發銀行盜刷998元途牛旅遊，盜刷當日我本人致電途牛追回798.4元，還有199.6元由於浦發和銀聯沒有那個什麼機制，無法繼續追回；

4、興業銀行盜刷1000元中石化油卡，客服已通過電子郵件要了我的資料和否認交易聲明，正在處理中；

5、廣發銀行無法發起追回款項的申請，並再三追問以什麼理由向銀聯提交退款申請；

6、光大銀聯在我提交銀聯的新情況后還未聯繫過本人；

7、銀聯至今還未承認在銀聯錢包風險防控上存在問題，僅表示和五個銀聯有個什麼機制，可能可以協助我追回部分款項。