近期,央视《焦点访谈》披露了一起利用第三方支付系统漏洞实施的金融犯罪案件。该节目于12月6日播出,揭示了今年3月一个犯罪团伙通过改装POS机设备窃取银行卡信息并进行盗刷的作案手法。据蓝鲸银行频道统计,截至10月份,已有25家第三方支付机构受到央行的行政处罚。办案民警强调,监管机构应当从源头着手,加强对第三方支付机构的审查与管控。
POS机安全漏洞揭示行业监管盲区
今年3月初,江苏宿迁市公安机关连续接到多起银行卡被盗刷的报案。经调查,犯罪嫌疑人洪某通过瑞银信、乐富、拉卡拉等多家第三方支付机构,成功申请并获取了超过300台POS机设备,利用这些设备非法获取银行卡信息并进行盗刷活动。
案件调查人员指出,犯罪分子能够成功实施盗刷,部分原因在于部分POS机产品存在技术安全隐患餐饮行业 POS 机推荐。按照行业安全标准,POS设备在拆解时应自动销毁内部数据,但涉案的联迪E550型POS机并未具备这一关键安全功能,为犯罪分子提供了可乘之机。
针对此事,拉卡拉公司回应称,在涉案的300多台终端设备中,其公司仅涉及1台,相关交易共114笔,均为金额在100元以下的小额借记卡交易,总计金额9420.6元,仅占全部涉案金额六十余万元的不到0.1%,且未发生信息泄露情况。该公司澄清其并非犯罪分子转移资金的渠道。案件发生后,拉卡拉已向监管机构提交了整改报告。
此类案件频发还暴露了实名制管理规定的执行漏洞。按照规定,商户需通过第三方支付机构注册入网后方可开展POS机业务。然而,在实际操作中,第三方收单机构对商户资质的审核流于形式,未能严格执行对营业执照、税务登记证及有效身份证件的核查程序POS机是什么。
此外,监管规定明确禁止第三方收单机构为实体特约商户提供跨省级行政区域的收单服务,但部分支付机构对此禁令置若罔闻,违规开展业务。
据了解,案件发生后,拉卡拉公司迅速关闭了涉案终端的银行卡交易功能,并在业务系统中依据商户身份证号码、结算账户等信息进行了关联排查,未发现存在关联关系的其他商户或交易记录。
同时,拉卡拉已将涉案商户信息列入黑名单,并向中国银联风险信息共享系统提交了该名单,以防止该商户再次入网。
追溯至2014年,中国人民银行曾发布《关于逐步关闭金融IC卡降级交易有关事项的通知》,要求各发卡银行及收单机构于当年底前全面关闭金融IC卡及POS机等线下渠道的降级交易功能POS机套现违法吗。然而,部分银行未能严格执行这一规定。
所谓的降级交易,指的是用户虽已更换为安全性更高的金融IC卡,但在刷卡时仍使用本应被淘汰的老式电话POS机。这类老旧设备支持单笔交易金额高达上千万元,并可实现资金实时到账,存在较大安全隐患。
办案民警提出多项建议:首先,应从源头加强对POS机生产的监管,确保设备具备拆机即毁的安全功能;其次,银行应尽快为客户更换安全性更高的芯片IC卡,同时必须严格执行规定关闭IC卡降级交易通道;此外,监管机构需加大对第三方支付机构的审查管理力度。
第三方支付机构频遭监管处罚
据蓝鲸银行频道统计,去年底至今年初的短短半年内,央行已注销了4家支付公司的业务牌照,并对7家支付机构处以合计超过1亿元的罚款。今年1月至10月期间,已有25家第三方支付机构收到央行的罚单。
10月份,央行、财政部、住建部及工商总局等多部委联合发布了《非银行支付机构风险专项整治工作实施方案》,明确提出将对支付机构客户备付金风险及跨机构清算业务进行专项整治环迅支付。
11月中旬,又一起案件引发关注:一名居民的三万五千余元存款被不明转账易生支付。经调查,犯罪嫌疑人将该居民的银行账户绑定了"快钱"、"平安深付"、"支付宝"及"小米支付"等多个第三方支付平台,随后通过异地消费方式转移资金。最终,相关第三方支付公司对损失金额进行了全额赔偿。
10月18日,央行营管部在其官方网站公布了针对钱袋宝的处罚决定。北京钱袋宝支付技术有限公司因违反支付机构客户备付金管理规定及银行卡收单业务管理规定,被处以人民币12万元的罚款。
8月16日,央行开出的一张高额罚单引发了对第三方支付市场的全面整顿。易宝支付有限公司因违反相关清算管理规定,被没收违法所得1059.22万元,并处以违法所得4倍的罚款4236.90万元,总计罚没金额达5296.12万元。这是央行近年来对非银支付机构开出的最大金额罚单。
2016年1月至10月第三方支付机构受罚情况如下:
