哇奇網遭到信用卡盜刷!常常聽到這類事件,所以覺得沒什麼大不了?

不過你可知道,你的信用卡有沒有使用「3D 驗證」,跟誰要背負那筆盜刷金額有很大關係?而且銀行完全沒有風險,最重要的是,整個制度上即使有未能解決的缺陷,銀行卻仍想繼續擴大發卡量?

今天是一個真實案例的分享,以及信用卡制度(網路交易)原來如此不安全的探討。說不安全可能有點太嚴重了,網路上使用信用卡交易雖然方便,但是對於持卡人(注意!是持卡人而非交易的盜刷者買家)及賣家,暗藏著沒被解釋過的風險。

  • 登場人物及事件說明

2012 年 9 月:

去年 9 月,哇奇網接到幾筆信用卡交易的訂單,由於當時某熱賣商品缺貨導致只有前幾筆訂單得以先出貨,其餘必須等待下次進貨。

2012 年 10 月:

就這樣一直盯廠商端的進貨日,終於在 10 月的時候進貨。正要出貨的那一天,恰巧哇奇網的收單銀行 o 泰○華銀行(後續簡稱 A 銀行)的調扣組人員打電話來向我們調幾筆交易資訊。起先以為是詐騙集團,查了來電號碼以及請他來信時的 email 等等,都確實是 A 銀行的官方聯絡資訊,才放心將含個人資料的資訊提供給他。提供前,也問 A 銀行這幾筆交易是否有任何問題,他回應只是一個偶爾會查交易的正常程序而已。

心裡雖然抱著疑問,但是既然銀行都說只是正常程序,我也沒有理由暫緩出貨,因此將貨品寄出並 email 聯絡告知客戶。(當時的訂單內容全部是訂購人與商品收件人為不同人,僅認為是常見的送親朋好友類的訂單。不過原來這跟後續發現的事件手法相關。)

2012 年 11 月:

某一天突然再次收到 A 銀行調扣組人員來電告知我們那幾筆交易全部是盜刷,然後寄來 email 裡附上持卡人的聲明書(內容為真實持卡人簽署說明自己並未刷那幾筆款項,以及有妥善保管本人信用卡資訊等內容),並要求我們簽署一份扣款回覆明細表的文件,裡面有一欄問是否同意扣款的選項,我們當然填寫不同意並附上理由,之後也來來回回與同一名調扣組人員聯絡數十次。

當時 A 銀行主張,由於我們的信用卡交易沒有開啟 3D 驗證功能,所以如果遇到盜刷,真正持卡人只要提出沒有作此交易的證明(亦簽署聲明書)就可以完全免責,然後與店家要求扣款,若店家已請款並撥款則會要回款項。

3D 驗證是什麼?

3D 驗證服務,就是由 Visa、MasterCard 這些國際發卡組織,所推出的網路安全認證服務,讓您在使用信用卡線上購物之前,再輸入一組您自行設定的「專屬密碼」,來確保只有您本人才可以使用自己的信用卡於網路上交易,不用擔心別人知道卡號就可以盜刷,等於是加倍的安全刷卡機制。

  • 信用卡銀行扣款 → 第三方交易平台接收 → 商家收款出貨,沒經手金流的商家仍要承擔盜刷金額

哇奇網的金流是利用第三方代收代付金流交易平台(思○資訊,後續簡稱金流服務商),系統內產生訂單後,所有付款動作是在金流交易平台的畫面裡填寫,我們對於客人的信用卡資料完全無法得知,也不會留下任何痕跡,最後全憑金流交易平台的授權成功與否來進行請款以及後續的出貨動作。

詢問金流服務商關於 3D 驗證的事情,他們反而認為我莫名其妙,說 3D 驗證是持卡人要辦的東西,平台沒有什麼開啟不開啟的……。連專業代收代付服務商都不知道此事,身為商家的我,怎會知道 3D 驗證不是持卡人有開啟就好?(今年 3,4 月左右,在無告知我們的狀態下,金流服務商已經將自家信用卡交易功能悄悄的開啟 3D 驗證功能。後來 A 銀行也說,他們有因為這次事件輔導該金流服務商要開發此功能)。

若付款時強制使用 3D 驗證,未開啟的持卡人必須向發卡行辦理才可以完成交易。此時買家可能會失去交易意願,而且交易程序多一道,也有可能讓買家跳出畫面。

不過這些風險是小事,若應該只有本人才知道的密碼不知為何被他人知道並惡用,除非本人可以“證明”並非自己盜刷或刻意將資訊洩漏,否則因為是只有本人才能得知的資訊,將有付款的責任。所以一旦出現盜刷,不是持卡人的責任,不然就是店家的。

我付錢串金流服務商的交易平台,就是為了方便買家可以有多重選擇,並且讓我們免於一一確認付款的程序。只要確定付款了就出貨,這是屬於一般商家的心態。同意讓消費者以“信用”先墊付的乃銀行的服務,但是萬萬沒想到,銀行從交易中抽取佣金,卻說自己只是中介立場。

如果真是這樣,銀行在與我們這些店家簽特約商店契約的時候,應該有說明風險以及輔導適當處理方式的義務(當初是金流服務商指定必須要開一個 A 銀行的帳戶,隨後來了 A 銀行的契約書簽署後就完成帳戶開立了)。

  • 銀行未積極處理盜刷事件,明明有機會擋下商家出貨,卻拖了 2 個月才通報

暫時撇開 3D 驗證的事,這次事件讓我看到信用卡制度的大缺陷,其實是所有盜刷交易裡使用的信用卡,發卡銀行全部都是中○信 o 銀行(後續 B 銀行)。

在哇奇網購物時雖然需要註冊帳號,但畢竟是網路,非面對面的註冊,填寫資訊是否真實並無法有效確認,不過其中一個帳號的註冊姓名與其中一筆聲明書持卡人姓名是一模一樣,這代表,我們可推測除了卡號,持卡人姓名也被盜刷者(或集團)得知了。加上第一筆聲明書在交易的 1 週內就被簽署、最後一筆也在 9 月內就獲得,我們 10 月才出貨時原本可以及時阻止,但是到了 11 月 B 銀行才把聲明書給 A 銀行。

是作業流程繁瑣還是怠慢,要這麼久才告知是盜刷?或者是因為銀行都以信用卡國際組織訂的規則受保護(聽說是英文厚厚的一本,裡面規則為只要真正持卡人簽署聲明書證明非本人交易,發卡行即可不需提出任何說明向收單行要回款項),所以不痛不癢養成的傲慢。我們 2 次附上以上及其他理由拒絕扣款,卻至今都沒有獲得 B 銀行的任何解釋。

在出貨前,我們曾經與訂購人聯絡要告知缺貨的事情但是聯絡不上,不過訂單指定的收件人倒是聯絡上,當時問收件人是否知道會收到該商品,對方回答確實是有購買此商品,因此就進一步告知出貨時間會晚。但後來得知是盜刷事件後,再次與收件人做確認時,才知道原來各位收件者是在其他平台看到相當低的價格,因此購買並匯款(應該是盜刷者準備的人頭帳戶),盜刷者收到匯款後再到販售此商品的其他網站,利用別人的卡號購買此商品並指定要寄給匯款的買家。

由於信用卡交易獲得授權、商家得以請款、買家拿到商品,整體看似正常交易,等真正的持卡人發現不明金額報為盜刷、銀行不知為何 需要 2 個月的處理流程後,才告知商家此交易不成立。事件浮現時,盜刷者早就拿著錢遠逃了。

  • 信用卡制度的漏洞讓許多商家都賠過、銀行也都知道,可是沒人去改善

經過這次事件,我甚至假想到銀行“可以”明目張膽詐財的手法。

只要銀行將自己客戶的信用卡刻意洩漏用於盜刷(但是收單銀行是其他銀行),之後再快速裝好心,告知客戶有可能被盜刷,要各位填寫聲明書就可以讓持卡人免責;等過幾個月後,再告知收單銀行依照信用卡國際組織約定,將這些款項退還。

發卡行就可以把自己一時“投資”的錢,在沒有任何交易下拿回來當作自己的營收。不僅如此,處理的快速的話,單一個人還可能認為銀行處理快速及妥當值得讚賞呢。商家則是付賠了商品還得把銷售的金錢給銀行。 * 犯罪行為請勿嘗試。

這次事件,受害者除了哇奇網以外,還有幾家大型網路商店,據銀行端說法是各家廠商都把錢還給銀行,並將其金額報為損失(似乎已經是店家處理盜刷的常態)。哇奇網則是像這樣,多次將以上論點與 A 銀行解釋,認為責任不在我們,並一度獲得暫緩將由 A 銀行內部討論。

結果今年 7 月的時候,突然收到 A 銀行法務部門的起訴狀,於是我們請曾經到 appWorks 當講師為我們這些創新團隊講解法律基礎的馮律師給予法律意見、與 A 銀行進行檢調(馮律師還免費與我們出席檢調,太感激了!),最後終於獲得和解,雖然和解也造成部分損失,但算是已降至最低。

一直到了最後的最後,A 銀行的主管才終於出席(多次希望轉接與有決定權以及可以給予改善意見的人員洽談,以找出有效的防止方式,並釐清責任歸屬,卻一直被擋下)並達成和解。令人驚訝的是,當我說明上述制度漏洞時,他們也清楚,但是依照目前規則是無法避免的

今天我們這種小蝦米會想抗戰到底,不是金額大小的問題(跟其他受害的電子商務比較,我們應該算比較少的),而是既然創業、想對台灣帶來些改變,但在看到這樣一個問題居然還沒有被積極改善,反而被視為少數案例的心態,我為此感到可惜。

  • 信用卡交易的現在與未來

目前網路刷卡的制度,代收代付金流服務業可能就快要有新規則了。金融監督管理委員會已於 2013 年 3 月 7 日以金管銀票字第 10240000530 號函核備信用卡收單機構簽訂「提供網路交易代收代付服務平台業者」為特約商店自律規範 (doc 檔)

不過只是將確認身份的機制及責任轉給金流服務商。若電子商務是直接串接銀行時,如何建立有效確認買家身份的責任,看來還是商家要承擔;至於該如何確認,並非銀行的責任。所以買賣雙方請注意,網路刷卡交易裡若出現被盜刷事件不是持卡人就是商家倒霉,這樣的狀態下還要不要享有信用卡的方便性需各自評估。

有的發卡行已經規定要設定密碼(不過這個狀況下盜刷責任歸持卡人)。銀行應該要發 OTP 動態密碼產生器(TOKEN)或像 Google 以 app 方式下載,要求交易時輸入或某種更直接與本人確認身份的方式(視訊來電用臉形辨識以及聲音辨識?)

個人買保險以及投資都有風險的說明義務,不過信用卡的風險卻很少說明明確義務,有點令人不解。總之銀行如果已經計算並評估個人的信用額度,並發放接受替個人暫墊付款的服務(而且間接式的向賣家抽取手續費),除非能證明買賣其一方有參與盜刷才能夠討回款項才是公平。

該如何防止被惡用的風險當然也就是銀行(發明此破壞性創新付款方式的創業家們)需要努力的方向。盜刷手法花樣百出,無論是一般消費者或商家在進行交易時或簽署任何文件時都必須審慎的看待才是,哇奇網這次也算是” 用力” 上了一課!

創業就是這樣,天天有意想不到的問題需要解決。過程雖然辛苦、結果固然有可能會不滿意,但是都是相當有趣的經歷喔。viva 創業!^^

哇奇網」創辦人福田幸三郎是台、日混血兒,從小在台灣長大,大學時赴日本留學,並在日本工作好一陣子。之後,他辭去工作,尋找自己想做的事,最後回台灣創辦「哇奇網」。請見:〈【哇奇網專欄】哇奇的創業故事,「試試」看才知道會不會成功

(圖片來源:JudeanPeoplesFront, CC Licensed)