5亿张银行卡预警

从中国推出贷记卡之初，就采取了与国际接轨的操作模式。某银行卡部负责人介绍，国内大多数的贷计卡消费时只要提供客户签名即可，当然客户也可以选择设立密码，但在很多消费场所只要在签购单上签名即可完成消费。这意味着假如贷记卡遗失将很容易被恶意透支。

　　继6月份东三省惊曝韩国信用卡跨境诈骗案（本报7月7日报道）后，“真卡”犯罪再次破冰：7月7日，上海警方宣布，一个来自韩国的信用卡诈骗犯罪团伙被上海警方一网打尽，经对缴获的457张韩国信用卡卡号查询发现，已有133个卡号在馨愿公司“POS”机上发生545笔交易，总金额达126万余元人民币。

　　谁来监管POS机

　　上海警方的调查证明，本次沪上的跨国信用卡诈骗案的作案手段主要是：通过POS机虚构交易，从而套取现金。

　　案件的暴露始于一件可疑的邮件。

　　5月29日上午，浦东国际机场海关在例行检查邮件时，发现一件由上海大东国际货运有限公司承运的“服装样品”中夹带着102张各种类型的韩国信用卡。该邮件的起运点是韩国，收件地址为申城虹中路上的“名成公司”。发现形迹可疑，海关遂将此邮件扣留。

　　经侦查，所谓“名成企业”纯属子虚乌有，是为了方便诈骗犯罪活动的实施而虚构出来的。今年五月初，主要犯罪嫌疑人韩国人崔英燮，以“名成公司”的名义在韩国通过媒体及中介机构，以支付好处费的形式，向韩国人征集了大批信用卡，然后招募韩国闲散人员将信用卡以随身携带或邮寄等方式带至中国境内，冒用签名恶意透支，想方设法套取现金。

　　崔英燮还在上海勾结经营代售机票业务的馨愿公司（银行的特约商户，有权申请“POS”机）经理朱正琦，双方谈定：“名成公司”以支付交易金额的百分之三的“好处费”为条件，将信用卡插入馨愿公司向银行申购的POS机上，虚构交易（即“购买机票”）。当非法套取的资金打入馨愿公司账上后，朱正琦再把资金汇入对方指定的账户上。

　　“犯罪的得逞，主要因为POS机与银行之间的系统和POS机与机场的系统是两套完全独立的系统。而对于客户与商户间进行的POS机交易是否真实，则完全取决于拥有POS机的商户的自律行为。”沪上某商业银行卡部负责人秦先生说，对于POS机的使用和管理上确实存在疏漏。

　　据秦先生介绍，目前银行与商户的资金清算过程为：客户在POS机上刷卡后，该卡的信息就会立即通过银联与各银行的后台信息平台连接，在银行确认该卡的身份后，银行就会默认客户发生交易并发出反馈指令，该指令由POS机接收后，POS机再发回给银行一个指令以确认银行的反馈指令。经过银行的确认，就可以打印出签购单，而银行根据卡的身份确认完成对商户的划账。

　　对此项工作的监管，上海银行卡办公室工作人员认为，这项监管主要由银行自己负责，根据每笔交易的金额和交易的笔数等对异常交易进行检测，该工作主要由各银行的会计科或者资金清算科完成。

　　而对此观点，银行显然有不同的看法。对于POS机的监管，某商业银行卡部负责人认为：“对于银行自己签约的商户，由银行和商户共同监管POS机的使用，银行监管的是POS的通讯和使用故障的维修，还有资金清算。但对于客户和商户间的交易状况则由商户自己监管。”

　　据统计，截止到2002年底，我国已经安装POS机约40万台。而来自上海银行卡办公室的最新统计数据显示，截止今年4月底，上海市安装POS机约1.9万台，而且上海市制定了到2005年底，全市营业面积100平方米以上或年营业额50万元以上的商业、旅游、餐饮零售和服务企业，要有50％以上可以受理银行卡的目标。但对于这些日益增多的特约商户，其日常监管仍无明确归属。

　　磁条卡的危机

　　无独有偶，在“真卡”犯罪惊现之前，“伪卡”犯罪亦曾猖獗一时。

　　6月26日下午，由广东省公安厅组织广州、深圳等地公安机关联合港、澳警方合作侦破的代号为“JK2”号跨境犯罪集团伪造国际信用卡特大案件宣布告破，缴获伪卡1090张。

　　某经侦大队的人士告诉记者，在目前侦查的多起伪造信用卡案中，其手法都大同小异，基本步骤就是先制出卡胎，然后压码即输入盗取的信用卡信息。

　　据该人士透露，输入盗取的信息是制成信用卡的关键环节，而盗取信息的主要工具就是盗码器，在港澳、广东一带被称之为“猫仔机”，其状如BP机，只要将信用卡在它上面刷一下就可以把所有的信息统统获取，这是在整个信用卡伪造过程中最关键和科技含量最高的部分。JK1号案勾勒出了这样的犯罪链：一方面向扒手收购各种偷来的证件，用作制造假卡的资料；另一方面通过安装读卡机内的解读器，偷录他人信用资料，然后将制成的每张成本几毛钱的假卡以每张1500元出售。市场主要是东南亚地区及澳大利亚、英国、马来西亚、香港等。

　　通过各信用卡案如出一辙的作案手法，可以清晰地看出，信用卡的使用方法和信息储备方式使犯罪寻到了可乘之机。

　　伪造信用卡犯罪得逞的关键就在于窃取信用卡信息，而目前世界上绝大多数的信用卡都是磁条卡，但据某制卡企业的人士评价，该种卡的安全性并不高。该邓姓专家介绍说，所谓磁条卡，即在卡的背面镶嵌有一条细细的磁条，每个磁条里储存有一个代码，但磁条里面没有储存任何客户个人信息和存款信息。在刷卡消费后，通过实时联接的网络将代码输入到银行的数据库后台，确认代码后调出具体信息。

　　邓先生称，磁条卡有其不容忽视的一个弱点———代码容易盗用。犯罪分子就是利用了这个弱点，不断地用“猫仔机”盗用代码信息，然后制成信用卡。

　　但邓先生同时称，犯罪分子虽然可以盗窃到信用卡的代码，但是很难盗用到个人密码。目前银行多采用双重密码认证，即先通过卡的密码认证这张卡是否合法，鉴别卡的属性，然后由个人设立的信用密码进行进一步的安全确认。而这两个密码均储存于银行的数据库中，除非进入银行的信息库，否则犯罪分子无法知道个人密码。

　　如果在使用时从密码上把关，将无疑是一夫当关，万夫莫开。

　　但现在国际通行的信用卡使用惯例恰恰为犯罪分子提供了可钻的空子，使犯罪得以畅通进行。按照国际惯例，为了方便使用，信用卡在刷卡时只要核对签名即可，不需要其他的身份证明，也不需要输入密码。就是说，犯罪分子只要获得磁条代码就可以不费吹灰之力大量刷卡透支。而签购单上的签名并不能起到很好的防范作用。因为，首先收银员的鉴定水平有待提高，其次是否认真执行了签名的核对也是个问题。

　　5亿张卡预警

　　据中国银联统计，截止2003年3月底中国市场已经发行5.36亿张银行卡，而截至去年底的统计数据显示，其中贷计卡为100万张左右。从中国推出贷记卡之初，我们就采取了与国际接轨的操作模式。某银行卡部负责人介绍，国内大多数的贷计卡消费时只要提供客户签名即可，当然客户也可以选择设立密码，但在很多消费场所只要在签购单上签名即可完成消费。

　　这意味着，假如贷记卡遗失，将很容易被恶意透支。

　　事实证明了这一点。来自上海市消费者协会的消息称，上海张先生于2002年10月21日不慎遗失了信用卡，三天后张先生在挂失和报案时发现该信用卡已被盗用两次，分别发生在太平洋百货和虹桥友谊商城的消费中，消费金额达一万元。

　　虽然两次消费都有持卡人签名，但对于尚待提高意识的收银员来说，签名更像是一个必经的过程而不意味着安全。

　　而一旦发生透支，消费者的权益及责任归属并没有一个明确的规定。

　　对此问题，今年3月，上海市消费者协会召开了“银行卡被盗用，责任谁来承担？”的研讨会。但银行界与法律界意见分歧，责任归属并无定论。

　　银行界认为，按照银行与商场（特约商户）之间的约定，特约商户必须在确认顾客在签购单上的签名与信用卡签名相同的情况下，才可接受该卡在联网POS机上使用。对这种疏忽特约商户是有责任的。

　　而法律界的专家则认为，首先银行与商场（特约商户）之间的关系是代理关系，代理行为的最大特点是代理行为的后果能在被代理人和第三者之间建立一种法律关系。银行作为被代理人应该就代理人的行为承担责任。所以持卡人可向银行索赔，然后银行再向商场追偿。

　　虽无定论，但会议强调，依靠签名来确认持卡人的身份是国际惯例，但这种习惯并没有在中国得到广泛的认同，原因就是汉字很容易模仿，这会给一些不法分子以可乘之机，建议使用密码与出示身份证件来确认持卡人的身份为妥。

　　对磁条卡犯罪日益猖獗所带来的种种问题，日前著名的ATM供应商NCR向全球金融机构呼吁，尽快进行ATM%BB%FA"  class="t_tag">ATM机的升级换代，通过采用新的数据加密技术和智能卡（即芯片卡或IC卡）标准来防备日趋猖獗的银行卡金融犯罪。精通卡制作的邓先生介绍说，芯片卡的信息都储存在一小块嵌在卡里的小芯片里。相较于磁条卡来说芯片卡的加密技术更高明，不容易被盗取信息，其安全性要高得多。

　　但这种卡一定要与新的操作系统匹配才可以用，这就意味着无论是银行的后台操作系统还是商户的前台终端设备都必须进行整改，所费不菲。且一张芯片卡的成本比磁条卡高得多，磁条卡只需几毛钱成本，而芯片卡要几块钱，成本是前者的十几倍，对银行来说投入很高。“所以国内的银行都还没有行动起来进行改造。”上海银行卡办公室的某人士说。