12月起你的银行卡将发生重大变化!反欺诈咨询顾问深度解读新规

bigsec

2016年12月1日起,央行的一系列新规定将正式开始实施。这其中有几条将对普通持卡人的使用习惯以及银行、第三方支付等金融机构的风险控制产生较大的影响。在此,岂安资深反欺诈咨询顾问针对以上规定的具体内容及相应的影响进行解读。

一、关于Ⅰ类、Ⅱ类、Ⅲ类个人银行账户

Q1:新政里提到的银行的三类账户有什么区别?

A:简单来说: Ⅰ类账户是全功能账户,可以等同于以往无任何业务限制的借记卡账户。 Ⅱ、Ⅲ类账户则是在用户已拥有Ⅰ类账户的基础上,增设的两类功能逐级递减的账户类别。 例如,在存取现金或进行消费时,I类账户没有任何限制,而Ⅱ/Ⅲ类类账户的日累计限额/年累计限额不能超过1万元/5千元。 bigsec

Q2:为什么这么麻烦地搞出三类账户?

A:对于银行来说,过往许多用户持卡数量过多,有部分账户会成为僵尸账户。这既造成了个人记忆及管理上的不方便,也会使得银行运营成本上升;更甚者,它为欺诈分子对他人账户进行买卖、冒名开户等欺诈行为提供了方便。 在新规实施后,每人在每家商业银行只允许开设一个I类账户而II类、III类账户由于在功能上进行了相关限制,因此,在一定程度上降低了相关风险。

Q3:之前有的账户怎么办?

A:根据新政的规定,在2016年12月1日前开立的Ⅰ类账户现阶段仍可以正常使用。 不过,未来,银行会逐步对同一个人开立多个Ⅰ类户的情况进行排查,如果发现个人开户数量较多的,银行会引导对多余的Ⅰ类账户进行归并,或者根据用途,将其中的部分Ⅰ类账户降为Ⅱ类或Ⅲ类户。

Q4:这三类账户,我(普通持卡人)应该怎么区分使用呢?

A:对普通持卡用户来说,在新规对账户进行分类后,这三类账户可以适用于我们不同的应用场景。例如:

  • I类账户由于功能上没有任何限制,可作为个人财富主账户,主要进行大额储蓄、大额理财等;
  • II类账户可以做为持卡人中额的理财+支付账户;
  • III类账户主要用户进行小额高频的消费或交易。

这样一来,三类账户彼此可以实现功能上一定的隔离,减少了某类账户因卡片遗失或被欺诈分子非法获取所带来的风险和损失。 例如,对于目前第三方支付的快捷支付业务,持卡人可以根据需要,选择绑定II类或III类账户,这样就无需暴露I类账户,减少了潜在的资金损失风险。 bigsec

解读

新规对于每个用户第三方支付机构账户数进行限制后,不仅能够节约这些支付机构对账户的管理成本,同时,一人一个账户,也将方便监管账户的资金动向,对盗卡盗刷,洗钱等不法行为,具有较好的遏制作用。

二、关于支付标记技术对信息脱敏处理

Q1:什么是支付标记技术?

A:所谓的支付标记技术(Payment Tokenization),又可翻译为支付令牌化,是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术,即使用唯一的一个支付标记(与主卡号保持一致,一般由 13 至 19 位的数字组成)来替代银行主账号进行交易验证。

bigsec

Q2:什么是域控?

A:基于支付标记技术的支付方案,可以通过域控属性限定交易场景(所谓域控,表示标记被限定的使用场景,比如特定的交易类型、使用次数、支付渠道等限定场景或场景的任意组合)。 这样一来,即使某支付标记被欺诈分子所获知,由于其无法得到其他关键信息,同时该支付标记拥有单独的域控,因此,其负面影响将大大降低。

Q3:支付标记技术能够怎么样保护持卡人的个人敏感信息不致外泄?

A:通常,银行持卡人(特别是信用卡持卡人)主要面临着卡片欺诈风险和无卡欺诈风险两大类风险。

  • 卡片欺诈风险主要是由于持卡人卡片遗失或在刷卡过程中,遭欺诈分子复制成伪卡而衍生出的相关风险,从而对持卡人造成潜在的资金风险;
  • 无卡欺诈风险主要主要是由于账户相关重要信息,如卡号、CVV2、密码、有效期等,因保管不当或被恶意程序攻击造成泄露而衍生出的相关风险。 运用支付标记技术进行支付,相对于传统基于卡号的交易传递过程,由于用支付标记作为唯一的支付标示进行传输,使得原始卡号和有效期等敏感信息无需进行传输就能完成支付,从而极大程度地减少了这些敏感信息泄露的可能性。

解读

运用支付标记技术进行支付,相对于传统基于卡号的交易传递过程,由于用支付标记作为唯一的支付标示进行传输,使得原始卡号和有效期等敏感信息无需进行传输就能完成支付,从而极大程度地减少了这些敏感信息泄露的可能性。

三、关于此次新规其它不可不知的措施

Q1:听说新政实施后,我的支付宝或者微信只能支付不超过1000元了,是真的吗?

A:1000元的限额,在新政中主要是针对银行的III类账户的余额的。因此,如果你通过支付宝或者微信进行快捷支付,绑定的账户又是III类账户的话,才会有1000元的额度限制。 现阶段暂时不会影响支付宝或者微信的使用。未来会不会有影响,要看央行会不会出台针对第三方支付机构的支付限额规定。

Q2:听说ATM转账24小时到账?

A:针对日益猖獗的电信诈骗,保护持卡用户的合法财产不被欺诈分子侵占,本次新规规定,凡使用ATM机进行转账的,除了转账至该持卡人本行其他账户能实时到账外,其余跨行转账以及向他人账户转账,均需要24小时后才能到账;在此期间内,如持卡人对转账存疑,可进行撤销操作。 bigsec

Q2:听说6个月内无交易记录的“沉睡”账户会暂停非柜面业务?

A:本次新规规定,如果从开户之日起,6个月内无交易记录的“沉睡”账户,银行应暂停其非柜面业务,支付机构应当暂停所有业务,待开户人或开户单位重新在银行和支付机构核实身份后,方可恢复业务。

解读

通过上述这些审核方式,能够对账户开户事前、事中、事后等各个阶段进行交叉检查,能够较好地防范中介开户,伪冒他人开户等欺诈行为,从源头上控制账户风险的发生。

作者简介

姚智明 岂安科技咨询顾问 5年反欺诈咨询经验,丰富的多行业业务风险反欺诈经验,负责岂安科技不同行业不同客户的风险咨询及分析工作。 岂安科技求Java研发大师加入