信用卡业务风险点透析

第三节　信用卡业务风险点透析

信用卡业务，其市场参与主体主要包括发卡机构、持卡人、特约商户、收单机构、数据转接服务机构（信用卡组织）五个利益单元，以及产业链中上下游有关专业服务提供商，如卡片生产商、ATM/POS机具生产商、信用卡系统开发技术服务商等。信用卡业务产业链长，其每个业务环节都蕴涵着众多风险点，每个风险点都有可能被不法分子利用，实施违法犯罪活动，产生信用卡风险案件。

这里，我们主要从商业银行的发卡和收单业务角度，来考察信用卡风险案件的主要产生环节。

一、发卡业务环节

（一）发卡营销

当前，在信用卡业务激烈的市场竞争中，如下三个现实情况是信用卡欺诈申请风险案件高发的诱因。

一是各发卡银行在激烈的市场竞争中，往往聘请大批发卡营销人员营销信用卡产品，甚至在大型商场、闹市街区、居民社区等人口流动大的地方“摆摊设点”，收集信用卡申请资料。在发卡量考核机制下，营销人员往往见表（申请表）就收，业界所谓的营销人员亲见客户填写申请、亲见客户在申请表上签名、亲自核实客户身份信息的“三亲见”原则，并没有真正做到。

二是银行借鉴成熟市场经验，开放信用卡网上申请渠道和直邮渠道，在我国征信体系尚不发达、社会信用环境还较差，银行风险控制整体水平不高的条件下，这一营销渠道往往成为不法分子实施欺诈申请犯罪的途径。

三是银行网点业务人员往往成批接受以公司团体办卡名义递交的信用卡申请资料，却往往不核实批量申请信用卡的公司及申请人的真实性，成为不法中介实施欺诈申请的途径之一。

（二）发卡审批

发卡审批环节，主要是对申请资料的真实性、有效性进行审核，根据风险级别，决定是否核准以及相应的授信额度。发卡审批是控制风险的核心环节，是防范欺诈申请的最后一道工序，同时保障后期催收时客户联系方式的有效性。审批阶段主要有以下风险点：

1.政策风险

审批人员进行审批依赖的标准是授信政策。授信政策过严会影响信用卡的市场拓展，过于宽松则会扩大风险。如今信用卡市场处于各路诸侯跑马圈地的时代。为快速占据市场份额，扩大发卡规模，一些银行倾向于较为宽松的授信政策，风险敞口放大，在这样的情况下，发卡市场面临更严重的欺诈申请。

2.征信不完善的风险

各行在对申请人进行资信核查是以电话核实、书面核实为主。虽然目前已有人民银行征信、公安部公民身份信息核查系统、银联风险信息共享系统、114电话查询台等外部手段去查询验证申请资料的真实性和有效性，但由于目前征信体系覆盖面有限、互联网搜索功能，工商、税务、养老金缴金情况等第三方调查手段还未能全面普及，较为匮乏的查证渠道难以抵御日新月异的欺诈手法。

3.操作风险

在审批过程中由于各种内外部原因导致的不合规操作也极易引发风险。由于任务紧、压力大，审批人员在审批操作中未能严格执行政策和流程规范，为完成审批作业任务而忽视审批质量；同时，各行往往采用全员营销的方式，人人背指标，审批岗位往往同时承担着市场拓展的非兼容性岗位职责，不能达到内控管理的要求，隐藏着极大的操作风险隐患。

审批人员往往受限于工作经验和阅历，审批技巧不够娴熟，在评判申请资料时，不对申请人信息的逻辑性进行审查，导致欺诈申请人趁虚而入；在受理批量申请时，只是孤立地审核单户资料的真实性和有效性，不去琢磨不同申请资料之间丝丝缕缕的关系，难以发现团体虚假申请。

更有甚者，审批人员与外部欺诈分子内外勾结作案，为欺诈申请一路开绿灯，将会给银行带来更大的损失。

（三）制卡和空白卡管理

空白卡是一种重要的金融凭证。在银行传统业务中，空白卡片视同现金进行管理。一旦发生损失，不仅可能为信用卡犯罪分子制作带来便利，同时也将造成较为恶劣的社会影响。各发卡银行以及卡片生产厂商在信用卡片生产制作、个人化以及包装、运输等环节都制定严格的监管制度，从卡片生产企业到持卡人中间的各个流转环节明确责任要求，做到专人专岗专责。

（四）卡片和密码信函邮寄

目前各银行邮寄卡片和密码的普遍模式为：由邮局直接将卡片挂号信和密码函投递至客户工作单位或家庭所在小区。由于投递不规范，很多卡片挂号信并不是客户本人签收，而是由公司前台或小区收发室代为接收，卡函很容易被他人取走。据银联的统计分析，近期在境内欺诈类型中，未达卡欺诈增长势头是最强劲的。

（五）开卡激活

控制非本人激活取决于开通环节的身份核查力度。传统的开卡方式包括电话语音和人工开卡，手机短信、网银方式为今年新兴的激活渠道。开卡激活存在的风险点如下：

（1）允许持卡人在开卡前更改个人信息，重新设置电话、手机号码等联系方式。虽然银行设置严格的开卡风险控制措施，但是欺诈分子仍可能利用发卡银行上述漏洞绕开发卡行的开卡保护措施，实施欺诈犯罪。

（2）电话语音自助激活不采用来电限制。自助语音激活方式不将激活来电与申请件上预留的电话和手机进行匹配。任意电话均可来电激活，给不法分子自助激活带来便利。

（3）人工开卡身份核查力度不强。人工开卡时，客服人员风险意识不强，在开卡激活核实身份时，在致电人无法回答核实问题时，有对致电人进行提示的情况，这在一定程度上增大了人工开卡的风险隐患。

（六）卡片使用

作为先进的代替物，信用卡还没有受到足够的重视，持卡人在卡片使用过程中风险防范意识淡薄，导致信用卡或信用卡信息意识匮乏，最终导致欺诈冒用的发生，主要有以下表现形式：

（1）对信用卡未能妥善保管；信用卡、身份证一起存放；喜欢设置生日、简单数字等“傻瓜密码”。

（2）随意将信用卡借与他人使用，或将信用卡信息告诉他人。

（3）持卡人对ATM机的工作原理知之甚少，盲目认为其功能和保密性能十分完美，面对ATM机操作缺乏警惕性，防范心理松弛。

（4）容易受短信诈骗、网络钓鱼等欺诈形式的攻击，轻易将信用卡信息泄露给他人。

（5）随意丢弃刷卡签购单、取现凭条、对账单，导致银行信息泄露。

（6）登录不安全的网站进行转账、购物时，信用卡信息被木马程序非法盗取。

（七）账户信息修改

不法分子在盗取卡片后，往往会修改手机号、对账单地址、消费确认方式等重要信息，全面接管真实客户的账户。即使客户选择了凭密消费，也会变成凭签名的方式，而银行提供的交易短信提示、对账单服务也失去了风险提示的作用。因此对账户信息修改的身份审核至关重要，在这个环节中，不法分子容易利用银行的漏洞，将所有信息变成自己的，躲在真实客户背后肆无忌惮地消费。

（八）卡片挂失补发

不法分子利用日常生活或其他渠道获取的客户信息，致电银行将真实客户的信用卡挂失，然后要求银行补发新卡，并要求邮寄至一个新地址，即邮寄给不法分子，这样导致真实客户再也不能使用自己的信用卡，而不法分子躲在幕后，以真实客户名义继续消费，并由真实客户承担债务。基于此，挂失补卡的身份核实也非常重要。

（九）债务催收

（1）部分银行没有规范的催收策略和操作流程，催收采取的方式各不相同，主要有银行的账单通知、电子邮件通知、手机短信催收、电话催收、上门催收、委托外包公司催收以及委托律师事务所的律师函催收等。在诸多催收手段中，除律师信函催收外，其他催收手段往往由于银行员工存在不当，如：上门催收通知书没有持卡人的签字确认回执或催收方式缺乏法律效力，如：电子邮件通知、手机短信催收、电话催收没有法律确认有效的第三方证据，对恶意透支行为定性的法律取证操作缺乏支持。

（2）由于信用卡是小额无担保贷款，没有抵押物可执行，即使将恶意透支户起诉到法院，也仍然存在判决周期长、执行难等问题。

（3）目前各发卡行均采用催收外包的形式，但监管当局并没有规范催收外包公司的统一规定，也没有对其资质、准入限制进行管理的机构，导致催收外包公司鱼龙混杂，不少外包公司存在操作不规范的问题，而部分发卡行对外包公司的风险管理存在缺位或不完善的情况，这也直接影响了催收的有效性。

二、收单业务环节

（一）商户的管理

1.商户拓展

在收单市场竞争日趋白热化的现阶段，一些收单机构为抢夺客户资源，重数量轻质量，降低准入门槛，违规扩展禁入类商户，将导致发卡机构对该类商户交易的退单，并将受到信用卡组织的罚款；而一些不法商户利用各收单机构之间的恶性竞争，流传作案，扰乱了整个市场的健康发展。

2.商户审批

商户审批的流程为：首先审核商户的真实性，其次进行信用卡审核和信用评级。在真实性审核阶段，收单机构工作人员审查商户“三证一表”，查询工商税务等第三方渠道进行验证，同时对进场商户作较为深入的现场调查。信用审核阶段，通过调查商户的信用和历史经营记录，作出审批决策。若在审批环节不严格执行准入政策和流程，不进行细致的现场调查，则可能会使虚假商户、套现商户成功通过审核。

第一，虚假商户。商户通过提供虚假信息，利用网上和电话营销等手段建立虚拟特约商户，不法商户冒用其他具有良好声誉或已有正常记录的商户信息，甚至盗用他人身份证，设立假店面，受理信用卡。虚假商户实施一系列欺诈之后逃之夭夭，使得收单行在受到发卡行拒付后无法追偿，蒙受损失。

第二，套现商户。此类商户设立的目的就是为了虚拟POS刷卡交易或提供网上转账业务套取银行现金，即使提供了真实的申请文件，但并不具备真实交易的基本条件。

3.商户签约

在与商户签订的合作协议中，没有约定一些风险必备条款，如：机具与单据的专用规定、受理业务的禁止转让、账户与交易信息的保密条款、商户违规操作及责任承担、交易单据保存条款、商户风险信息使用条款、交易查询及追索、终止交易的情形等规定。若在条款中没有明确约定此类条款，则无法有效约束商户的日常行为，而一旦商户实施欺诈行为，收单机构将面临被发卡机构退单，而无法要求商户履行赔偿责任的风险。

4.商户管理

第一，商户提供的资金结算账户不符合监管当局规定。商户提供的结算账户为个人账户、卡账户，不符合人民银行《人民币银行结算账户管理办法》的规定，为后续收单行行使追索权带来隐患。

第二，商户没有正确设置服务类别码（MCC）。收单行需根据商户的服务类别及经营范围设置商户服务类别码（MCC），以确定相应的扣费率和风险管理措施，而在实践中，往往出现没有正确设置MCC的情况，其情形主要有以下一些原因：对于在大型商厦、超市或酒店中独立经营的商户柜台或店面，即“店中店”，没有根据其各自的服务类别及经营范围分别设置MCC，而是统一使用一个MCC。

第三，商户的主营项目或经营范围发生变更时，没有及时变更MCC。若MCC设置不正确，将影响到后续日常交易监控的参数设置，无法准确反映商户的风险水平。后续收单机构还可能面临因设置MCC不规范而招致的退单、罚款等损失。

5.商户培训

商户培训的主要内容为：受理各种卡组织信用卡的流程；识别可疑行为以及应当采取的相应措施；账户及交易信息的保密规定；保管单具的方式和时限；需承担的风险责任及损失。

由于收单机构管理的商户众多，商户营销人员又不断面临着拓展新商户的压力，收单机构无暇对商户进行持续、有效的培训，导致商户在实务操作中出现一系列问题：收银员不仔细甚至不核对签名；不知如何识别可疑卡片，或在出现可疑行为时不知如何处置；商户违规储存信用卡的敏感信息，不对交易数据库的访问设置限制；交易单据保管混乱或遗失。上述种种情况或会导致收单机构被发卡行成功拒付，或因账户信息安全管理要求不合规、出现信息泄露，而导致信用卡组织的罚款以及对受损机构的赔偿损失。

6.商户的日常交易监控

对商户日常交易进行监控是事后控制风险最为有效的一环，在监控中可以及时发现疑似欺诈交易、疑似套现交易、被发卡行调单的交易等，及早作出应对措施，取得主动权，避免损失或损失的扩大。

一旦商户收单欺诈率、拒付比率超标，收单机构将面临VISA、Master Card以及银联的罚款。

而商户出现大额套现交易，收单机构将受到银联《信用卡违规套现处罚试行规则》的处罚。

7.商户的定期检查

收单行应根据商户的风险等级建立定期回访机制，以尽早发现问题，在定期检查中可能会发现仅通过交易监控无法发现的风险点。第一，POS机存在移机的情况，A公司的POS机摆放在B公司，不同商户合用同一台POS机等，POS机被接入可疑装置；第二，商户的产品、经营或业务活动已经发生显著变化；第三，商户账户信息安全管理不合规；违规储存信用卡磁道信息、密码等敏感信息，访问数据库不设权限设置；第四，商户未严格遵循商户协议中的风险条款。

8.商户交易终止

当商户因欺诈原因被收单机构关闭，收单行没有及时将该商户上报至银联不良信息共享系统，而导致其他收单机构与之签约开展业务，并因此发生欺诈交易的，其他收单机构可向银联申诉，并判定责任。

（二）自主银行（ATM）的管理

相对于商户，国内收单机构对ATM的重视更加不够，无人看管的ATM机极易成为各种犯罪的对象。

（1）不法分子在自助银行门口安装假门禁；

（2）ATM被改装：犯罪分子在ATM机安装截卡装置，或装入侧录设备，或安装加密码键盘、摄像头窃取密码；

（3）监控录像设备老化或覆盖范围有限，在事后侦查中，难以提供有效证据。