民眾誤信釣魚網站或是一頁式網頁,以為是刷卡買自己的商品,實際卻是付了詐團的商品,變成遭盜刷引民怨,銀行局長莊琇媛說,將朝三方面著手,一、發卡行需站在持卡人立場去申請爭議款,二、OTP簡訊內容需清楚,三、交易行為若有異常,發卡行需和持卡人做交易確認。
全案起因是,有民眾陳情,因誤信假臉書網頁,例如本來是要買速食店的優惠券,並提供了卡號、OTP驗證碼,結果詐團一拿到持卡人卡號和OTP驗證碼後,立刻「複製」轉去刷高價品,結果變成持卡人埋單。
依國際信用卡組織規定,當持卡人自己將卡號、驗證碼給出去時,等於自己外洩帳密,就不能視同爭議款;但持卡人則認定,自己卡號、驗證碼是被詐團複製盜刷,而非自己外洩。
今早財委會立委郭國文質疑,歐盟認為OTP是當事人身分的安全確認,只要民眾把OTP給出去了,銀行就得把錢給付出去?
金管會主委黃天牧坦言,國際發卡組織都是用OTP(一次性密碼)做確認身分,把OTP做交易指標,若持卡人的OTP都已經回復了,就是確認交易已經完成了。
莊琇媛說,為解決此爭議,金管會去年底找了發卡組織和幾大發卡行討論,依國際發卡組織規定,民眾自己把OTP驗證碼輸入,表示自己參與了,跟一般信用卡盜刷不同,加上這也牽涉到境外收單和特店,全都需遵守國際卡組織規定,因此很難列爭議款,但金管會認為此舉對民眾不公平。
她說,因民眾以為是刷麥當勞,但卻不知道自己資訊是被詐團複製到另外一個購物網站去刷包,怎麼可以說他是參與了呢?
因此,一旦發生此爭議狀況,金管會要求各發卡行做三件事。
一、發卡行需站在持卡人立場,去替持卡人申請爭議款
二、未來各銀行的OTP簡訊訊息需要清楚,如持卡人正在做何種動作,是刷卡還是綁卡?若是刷卡,金額又多少?也要求發卡行需宣導,請民眾需注意OTP訊息內容,民眾看清楚後再輸入,如前述例子,刷麥當勞和包包的金額可能就差很大。
三、持卡人都會有不同交易習慣和模式,只要發卡行發現持卡人有不符合交易習慣時,銀行就不應該傳送OTP驗證碼和授權,需要請持卡人和銀行聯繫,確認是否是持卡人真正要做的交易。
