「笨賊」偷卡手法何足慮
「笨賊」偷卡手法何足慮 信報財經新聞 (獅子山學會) 2015-10-28
有一天,電視台邀請我出席時事節目,討論非接觸式(NFC)信用卡關於私隱或安全的所謂「漏洞」。 我收到電話的第一個反應是,這些事情,有什麼好討論?因為自己用卡經驗以及常識的直覺告知,這種「漏洞」沒有新聞價值,不值得花時間討論。但製作組煞有介事的邀請,覺得這是一件大事,希望我這一類「政府最好管少一點」的人說說是否在如此大的「漏洞」下,政府都不要管,最終半推半就去了。
「漏洞」存在超過30年
也 許對製作組來說,這是一件大事,因為他們聲稱這是該電台的新聞組獨家發掘出來的「新聞」,是他們的努力不懈,鍥而不捨的精神,銀行、監管機構都發現不到的 「漏洞」給他們發現出來,然後事件發酵,紙媒又把事件放在頭版,彷彿如果沒有他們,香港人都會給駭客偷掉信用卡的錢,而鋪天蓋地的報道,也許會令一些香港人以為自己的財產保護是如此脆弱,到最後當然就傳媒加政客,發表「銀行和政府監管不力」這一類百搭萬能Key論述作總結。
這件事最令我驚奇 的,是所謂的「漏洞」,根本一直存在超過30年。無論是有NFC功能的新型信用卡或傳統的,都面對同一個問題,就是卡主的名字、卡號和到期日,甚至是印在卡背上的三個數位的防盜編碼(CVV Code),都是給人予取予攜的。NFC新型信用卡,卡主的名字、卡號和到期日,固然可透過手機軟件像報道般套取過來,但傳統信用卡使用了幾十年,刷卡的 時候,銷售員不難把上述的資料(甚至是CVV Code)都記下來,在現今科技下更可用手機拍下信用卡的影像,誇張點說,就是用WhatsApp派街坊都可以,那為何傳統信用卡有這樣的「漏洞」,傳媒 不去跟進,而硬要找新科技NFC的麻煩?
因為實情是,多年來,不是說盜用信用卡的情況罕見,而是主要承受信用卡被盜用的後果,是信用卡卡主(即市民),還是發卡銀行?資料顯示,2012年至今,在無數的信用卡(傳統卡,不是NFC)交易個案,金管局接到共有42次(咁大把)的信用卡盜用投訴 求助個案,其中20宗是銀行被判要負責相關盜用所導致的損失(因為卡主沒有不正當使用信用卡),2宗仍在調查,而20宗最後是要由卡主負責繳交相關交易。 卡主要負責的理由,分別是:8宗被確認真實交易(非盜用),8宗為卡主明知失卡卻未有即時通知發卡行,2宗為沒有在限定日子前上訴交易,2宗是卡主沒有妥 善保管信用卡。而金管局收到NFC卡被盜用的個案,同期更只有1宗投訴,最後卡主要承擔責任,是因為失卡而未能及時通報銀行。
為何3年內千 萬甚至以億計的信用卡交易,金管局只有42次的投訴,因為根據《銀行營運守則》及信用卡機構的程序,卡主只要有將信用卡資料妥善保護,是不需為未授權的信 用卡交易的直接損失負責。很多時候,當信用卡真的被盜用,而客戶發現問題向銀行投訴的時候,銀行根據上述守則,已經私下會跟客戶解決問題。可以預計,只有 向銀行投訴不果的客戶(即銀行不負責盜用的損失),才會找金管局求助。
發卡行承擔大多數損失
這又說明了一點,三年來信用卡盜 用個案,應該不止42宗,42宗不過是卡主向銀行投訴不果,才向金管局求助,更多是銀行與客戶私下解決了。你說以香港人據理力爭的性格,明明自己妥善用卡,給人盜用了,卻自己吃下了損失,香港人會這樣委屈自己嗎?可以預料,大多數的盜用,是發卡行承擔了損失。所以如果有所謂保安漏洞,更擔心的和需要採取補救方案的,應該是發卡銀行。
然而,無論是傳統或NFC信用卡,在客戶資料都予取予攜的情況下,盜用情況又不至於猖獗至失控地步(至少銀行 還沒有關掉信用卡部門,還愈發愈多卡),因為其實要有如電視台記者般有「智慧」,用手機(或其他方法)盜取卡主資料,然後到網上購物,不法之徒要解決一個 問題,就是如何把貨物送到自己手上,又不會被警方追蹤發現。我看過一些國際新聞,在網上購物發展初期,真的有「笨賊」偷用別人信用卡網上購物而落網。該電台記者當然比笨賊有智慧,但相信現今會採用記者手法盜用信用卡資料網上購物的不法分子,為數應該不多。
我不是說,信用卡盜用風險不足慮,而是既然風險大都在銀行方面,銀行基於商業「唯利是圖」的原則,自然會堵塞真正的漏洞,市民何須恐慌?金管局又何須大費周章做公關秀處理一些多餘的憂慮?只要釐清責任屬誰,事情不就簡單解決?
事實上,社會上絕大部分人的經驗,是信用卡交易可靠和帶來方便的。一些傳媒為爭取頭版報道,構成不必要的恐慌,並有可能把生長於萌芽的新付款技術扼殺,究竟對香港何益?
後記:在外國,基於防盜理由,在餐館用膳用信用卡繳費,服務員會在客戶面前刷卡。如果傳媒真的憂慮信用卡安全,應該提倡香港追隨,而不是發掘連一般賊人都不會利用的「漏洞」。
王弼
作者為獅子山學會董事
info@lionrockinstitute.org