关于新型支付环境下银行卡安全风险防范的思考

作者：宁波银行信用卡中心总经理 单晓俊

宁波银行信用卡中心总经理 单晓俊

近年来，随着云计算、大数据、人工智能、区块链、物联网等新兴技术的不断应用，支付行业经历了一场从有形到无形、从有界到无界的颠覆性变革，对提高金融服务水平有着重要意义。技术创新赋予了银行卡支付新的特性，但其背后往往也隐藏着更加难以捕捉的风险，支付安全已经成为金融行业最受关注的话题之一。商业银行必须尽快适应新的形势，在突出支付便捷性的基础上，不断提升系统安全性，保障用户资金安全。

一、当下行业发展中的支付安全挑战

1.身份识别问题

互联网时代，人人都在“裸奔”，个人信息泄露已经成为支付安全风险的源头。传统的支付方式一般以面对面为主，“一手交钱，一手交货”，身份识别是一件很简单的事。而当下各种新型支付手段不断创新，给交易双方的身份验证带来一定挑战。尽管生物识别支付已经进入人们的生活，但是生物识别的比对效率、交叉验证的强度、对持卡人隐私的保护等问题都对其安全性提出了质疑。即便是在柜台办理支付结算业务，由于不法分子的作案手段越来越多样化、高科技化，柜台人员也很难单凭肉眼辨别出被非法手段处理过的印鉴凭证，从而形成审核风险。

2.支付信息问题

支付信息涉及身份信息、账户信息以及密码、验证码等验证信息，是个人隐私中非常重要的部分。但目前互联网行业仍然存在数据过度开放、规范相对缺失等情况，导致个人支付信息被泄露、造假、阻拦或篡改等。在移动支付过程中往往会产生个人信息的授权指令，这一环节给了不法分子作案的空间。比如：通过钓鱼网站或携带木马病毒的短信盗取客户个人信息；利用技术手段攻击用户终端设备，伪造虚假授权信息，造成客户错误支付，导致资金损失。

同时，在当前的大数据环境下，个人信息非法交易等依附在支付产业上的“黑灰产业”仍保持着相当的规模，成为电信网络诈骗的重要源头。而便捷的支付手段在为用户提供高效服务的同时，客观上也使不法分子有机会在实施各类诈骗活动后快速转移非法所得。

3.支付终端问题

随着支付场景和方式的日益多样化，各大支付机构为抢占市场，生产各类满足融合支付需求的智能支付终端，以不断优化用户体验。但其背后的生产和管理面临很多问题，滋生出很多支付安全问题。

一方面，终端产品质量良莠不齐。个别厂商追求短期利益，偷工减料，生产出不合标准的支付受理终端，将产品本身的安全质量风险转移到支付领域，加剧了信息泄露和资金安全风险。

另一方面，关联业务系统合规性仍不足。有的业务系统存在违规留存支付敏感信息的情况；在研发测试过程中，可能由于架构设计、代码质量和测试水平等因素，有的系统或多或少地存在安全漏洞，给了不法分子入侵的机会；有的系统在业务流程、交易验证、风险控制等方面存在瑕疵，容易引发支付安全隐患，例如芯片卡交易中，部分境外支付机构未按标准应用密文进行全面核验，未采用动态验证技术，导致客户资金被盗刷等。

4.支付环境问题

互联网环境下，移动支付场景和方式多种多样，比如红包、转账、扫码等。尤其是近年来，基于场景的支付活动越来越多，很多促销活动借助一系列的二维码进行线上宣传，客户只需手机扫码就可享受一定的优惠。这个过程中可能会有不法分子乘虚而入，传播含有病毒的虚假二维码，利用客户的好奇心诱导其扫码登录，从而盗取其银行账号、支付密码等个人信息，致使客户资金损失。此外，公共区域的恶意Wi-Fi也是一个影响支付安全的重要环境因素，不少客户为了节约流量往往会选择连接公共Wi-Fi，这就容易掉进不法分子伪装成商家提供免费Wi-Fi的陷阱中，从而导致信息被盗取、资金被盗刷等。

二、有效防范支付风险的措施

1.完善身份认证技术

在“万物皆可支付”的时代，身份识别方式更加多样化，信用卡作为直达账户的身份识别和介质功能必然弱化，因此需要采用多种方式交叉验证，从技术手段上看，可以综合应用身份证号核实、指纹识别、人脸识别等多种方式。支付机构需要快速适应新形势，不断提升系统安全性。同时，随着生物识别等新技术的应用越来越广泛，未来应充分发挥行业协会和全国金融标准化技术委员会的作用，不断加强对运用到支付场景的生物特征识别的注册、使用、传输、储存和相关设备的标准研究，加强生物特征识别公共数据资源库、标准测试数据集、云服务平台设计，以及标准、测试、专利服务等创新支撑平台建设，确保支付身份的安全性。

2.加强账户信息管理和安全保护

目前，我国个人支付账户数量多、种类多，为避免因账户管理问题衍生风险隐患，支付账户的管理必须向银行账户管理看齐，在加强硬性的合规审查基础上，通过主动强化、事后监测及交叉核验等方式，落实账户实名制；对于长期不用的废弃或睡眠账户要根据不同的情况加强引导，制定退出机制，提高账户体系运行效率；同时，要从技术、内控等方面严格管理账户信息，防止信息泄露，严厉打击银行卡信息非法交易，对于银行卡快捷支付绑定，要明确支付机构和银行的权责范围，加强安全保护，防止信息在银行账户与支付账户之间传递时发生泄露。

3.强化支付受理终端技术管理

受理终端的融合发展趋势，使得终端设备的注册管理和产品质量都面临着更加严格的要求。因此，为避免终端设备导致的安全隐患，一方面要加强支付受理终端的注册管理，提高终端的合规备案率，通过注册信息与交易信息比对分析，杜绝可疑交易的发生，提升支付安全性和可控性；另一方面要加强终端设备的品质管理，银行或支付机构要从产品选型、验收、现场检查的每一个环节入手，加强质量控制，监督厂商严格按照国家相关标准实施设计和生产，并完善检测认证制度，有效开展外部安全评估，切实保障终端设备的安全性。

4.优化支付软件的安全性能

支付软件平台要明确自身法律定位，完善各项内控制度，不断提升产品或服务的多样性和创新性。同时，要加强和优化支付软件自身安全性能，建立安全防火墙，严禁其他软件自动读取客户个人信息，对于系统显示客户异地登录或异常设备账号登录，或存在不明支付情况的，要第一时间发出系统警告或告知紧急联系人，必要时可采取中止支付的行为，保障客户支付安全。

5.提升用户安全防范意识

银行、支付机构应经常组织开展支付安全防范宣传教育活动，尽可能覆盖到每一个用户。首先，告知用户严格遵守网络规范，不轻易打开陌生短信链接或不明网页，不轻易安装和运行下载的软件和来历不明的软件，定期升级系统防火墙，及时修复系统漏洞。其次，提示用户注重个人隐私保护，在支付环节应当再三确认支付环境是否安全，在进行大额交易之前要充分验证对方身份信息。最后，不能随意连接公共免费Wi-Fi，在打开支付软件或者进行移动支付时要尽可能使用自身终端设备的流量数据。

三、宁波银行在银行卡支付风险防范方面的探索

宁波银行一直采取多重举措加强支付安全管理工作，明确客户端用户信息采集的用途和必要性，制定系统安全技术规范，采取安全保护控制措施，强化信息传输安全管控，落实支付产品技术认证要求，有效保障了重要数据安全。

1.3D发卡行安全认证系统

近年来，宁波银行的Visa、万事达卡、美国运通等品牌的信用卡快速发行，境外网上支付和移动支付业务高速发展，客户终端设备已经从过去单纯的PC设备升级为多样化的移动设备。宁波银行建设了一套符合各卡组织要求的最新标准，并通过EMV 3DS 2.0安全支付产品认证的3D发卡行安全认证系统，加强境外线上支付的个人身份安全验证，确保支付行为的真实性。

2.精细化快捷支付交易管理

宁波银行根据第三方支付渠道交易占比情况，将传统银联、网联分类方式，升级为支付宝、微信支付等第三方支付渠道细分的方式，实现更为精细的支付交易管理，按照第三方支付渠道维度对支付交易的单笔限额、单日累计金额、单日累计笔数等进行统一控制，并支持客户在手机银行App进行交易安全自主设置，为客户提供了个性化、精细化的交易安全管理服务。

3.手机银行App交易安全自主设置

为防范信用卡交易风险，宁波银行提供了一键锁卡的功能。客户可根据自身风险偏好、出行安排等，自主登录手机银行App，通过信用卡交易安全锁功能，对无卡交易、有卡交易、境外交易等不同渠道进行不同时间段的一键锁卡设置或解除，切实保障持卡人资金安全。

支付安全是关系民生的头等大事。面对日新月异的支付创新所衍生出来的风险隐患，金融支付同业机构应协同应对，加快建立健全支付相关法律体系，营造健康安全的支付环境；加强内控制度建设和技术联合，深化数据整合、应用与个人信息保护；加强公益宣传和防骗提醒，切实提高持卡人风险防范意识，有效保障持卡人财产安全。

本文刊于《中国信用卡》2021年第12期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。