十分钟被扣8万元 方便的“自动扣费”有多大风险

储户需警惕索要验证码的“客服短信”,如发生“盗扣”可要求银行赔偿损失

很多持卡人办理过水电煤、移动电话等的自动扣费,只要签一个协议,商户就可以从你账上直接划款,不需要再输入密码。这个扣款指令,就是通过开户行开放给外部平台(含其他银行)的代扣接口来实现的。然而,近日一些事件显示,一些扣款交易非本人操作,代扣变成了“盗扣”,本来带来极大便利的事情,却因为第三方机构滥用跨行代扣接口带来了各种风险。

十分钟被扣8万, 存款莫名消失

近日一则帖子在微信朋友圈疯转,这篇题为《什么都没做,银行卡十分钟被盗扣8万!原来是因为开通了这个功能!》的文章显示,最近,各地出现多起银行存款莫名消失的情况,目前已经引起监管层的关注。

就在几天前,湖北罗先生的银行储蓄卡先被存入1.61元,紧接着手机收到的短信提示显示卡里剩余的近8万元被人十分钟全部转完。罗先生随后报警。目前此事仍在调查当中,初步调查结果是,发现是有机构滥用跨行代扣接口导致。

事实上,近日发生了多起银行卡内存款被莫名其妙地以代扣形式被支付公司划走的事件,而且并非个案,而是集体盗刷事件。盗刷手法基本上“先有一笔小金额代发入账,接下来就是代扣”,涉及的人群包括个体户、学生、老师。涉及地区包括:四川、重庆、湖北、湖南、河南、山东、上海、辽宁。有银行也向记者反映,近期接到部分客户投诉,反映其银行账户中的一些扣款交易非本人操作。

代扣业务一般用于水电煤、保费等小额定期支出,不能用于投资理财之类的大额划账。但这几年一些机构擅自把银行代扣接口开放给外部平台,扣款用途也超出限制,原来定位于“小额、公益、便民”的代扣,现在却变了味。

不利资金安全, 招行清理“代扣”

“代扣”接口的运营也引起了银行的警惕,部分银行已开始行动。招行日前启动清理整治“代扣业务”灰色地带,于2015年9月6日关闭微众银行通过深圳人民银行金融结算中心的核身接口。“核身”接口即验证身份系统的接口。

招行表示,代扣接口的运营环境有较大的潜在风险,需要排查。为此,有必要暂停部分平台的“核身”接口。不过,招行强调:“本次排查并不针对具体机构;暂停核身接口,也不表示相应外部平台存在安全隐患。”

9月9日,招行向记者发来邮件中表示,近期有银行接到一些投诉,反映其银行账户中的一些扣款交易非本人操作,经过调查分析,发现这些交易是由于一些机构滥用跨行代扣接口导致的。鉴于代扣接口的滥用对客户资金、信息安全带来很大威胁,也严重违反金融监管规定,不利于银行有效保护客户的资金安全,招行将逐步进行清理和整治。

1、提醒

2、警惕索要验证码的“客服电话”

在资金被代扣时,持卡人接到了冒充游戏公司或者其他公司的客服电话,询问交易是否为本人授权,一头雾水的持卡人肯定第一时间否认,这时对方告知可以撤销交易,但需要提供手机验证码。注意,此时骗子已经在其他平台发起了交易,等待验证码进行支付。如果持卡人一心想要追回资金,提供了收到的短信验证码,骗子在平台上输入验证码就成功转走资金了。

发生“盗扣”可要求赔偿损失

根据《储蓄管理条例》第三条的规定,及《中华人民共和国商业银行法》第六条的规定,若储户既没有恶意串通作案,又没有故意泄露密码等信息,就需考虑银行有无尽到安全保障义务。如果是犯罪分子通过其他手段获取了储户的银行卡号、密码等资料,也需查明银行服务是否尽到审查义务以及存在技术漏洞,该举证责任在于银行一方,否则,银行应承担赔偿责任。

在发生未经储户授权的盗刷或盗扣事件时,储户可以根据《合同法》以存款合同纠纷起诉银行要求赔偿资金损失。

擅自开放接口,埋下安全地雷

一位业内人士介绍,“代扣接口”是一种资金划扣的系统协议。通俗解释就是,某平台信任A、B、C,就把资金划转的接口给它们;但平台不信任D,或者说还不够清楚D的底细,于是就没有给D相应的权利。但在实际操作中,D利用跟A、B、C的关系,接入了平台开放给它们的渠道,这就造成了隐患。

上述业内人士表示说,用招行的借记卡仍可以开立其他直销银行(如民生直销银行)的账户,这是因为民生银行属于招行信任的A、B、C之一。民生银行没有把接口开放给D(也就是其他第三方),只给了用于公共事业、电信、保险公司等事先签约符合规定的机构。因为这些机构可以核实用户身份。

“‘代扣接口’意味着开户行完全信任外部平台。”《招行微刊》表示。有银行的专业人士介绍:银行POS机的收款、网银账户的汇付,走的清算支付通道是不一样的,每一次都需要核对支付指令和身份验证。而代扣,走的是独立资金划转接口,只有第一次需要验证(指令和身份),以后就不用了。

相关人士指出,一般情况下,此类业务由商户发起扣款,发卡行在接收到扣款请求时,无法通过常规手段(例如核验密码、动码等)核实客户身份,只能通过合作协议等法律关系约束商户端合规使用,若支付机构没有正常和银行建立有效法律关系,随意将代扣接口应用于其他大额交易场景,将对客户的资金及账户信息安全带来较大的隐患。

“这几年一些机构擅自把银行代扣接口开放给外部平台,扣款用途也超出限制。”招行相关人士表示。

随意开放接口,银行爱莫能助

“遇到这种事,客户会第一时间质询开户行:银行系统是否有漏洞?有无泄漏客户信息?为何不严查商户代扣行为?”招行表示。

然而,由于发卡行在接收到扣款请求时,无法通过常规手段(例如核验密码、动码等)核实客户身份,只能通过合作协议等法律关系约束商户端合规使用。“在代扣接口协议下,系统堵漏、人员管理、商户核查等环节只能由外部平台来完成,开户行爱莫能助。”招行介绍。

因此部分支付机构违规为不符合标准的商户开通代扣业务,随意将代扣接口应用于其他大额交易场景,就对客户的资金及账户信息安全带来了较大的隐患,上述涉及全国多个省市的“盗扣”情况就属于这种形式。

记者查询得知,银监会和人民银行2014年即联合下发了《关于加强商业银行与第三方支付机构合作业务管理的通知》,该文规定“客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身,明确双方权利与义务”。

在分析诸多事件后,招行认为“代扣接口的运营环境有较大潜在风险,需要排查”。招行认为,代扣业务接口的滥用违反该规定,不利于银行有效保护客户的资金安全,银行机构也不应通过滥用代扣接口来实现扣款目的。

即日起，凤凰理财频道和凤凰iMoney合并了，以后我们将更专注于为大家做理财产品测评、咨询、投资指导服务。更多测评请关注凤凰iMoney(ID：myimoney)，投资者交流请进QQ群（174139915）。