“據(jù)統(tǒng)計，2014年至今，人民銀行全系統(tǒng)金融消費權(quán)益保護部門受理的網(wǎng)絡(luò)支付類投訴占互聯(lián)網(wǎng)金融類投訴的95.06%。”近日，央行有關(guān)人士向《第一財經(jīng)日報》透露。

上述央行人士向《第一財經(jīng)日報》介紹：今年1月，某支付機構(gòu)泄露了上千萬張銀行卡信息，涉及全國16家銀行，截至7月31日由于偽卡形成的損失已達3900多萬元。

非銀行支付機構(gòu)(下稱“支付機構(gòu)”)服務(wù)電子商務(wù)發(fā)展和為社會提供小額、快捷、便民的小微支付服務(wù)，適應(yīng)公眾日益增長的個性化、差異化支付需求，近年來網(wǎng)絡(luò)支付服務(wù)得到快速發(fā)展。但支付機構(gòu)在迅速發(fā)展的過程中，相關(guān)問題和風(fēng)險不斷顯現(xiàn)，消費者未能得到有效保護。

“目前，支付賬戶普遍未落實賬戶實名制，挪用客戶資金事件時有發(fā)生，網(wǎng)絡(luò)支付疏于安全管理，消費者缺乏權(quán)益保護意識。”上述央行人士提醒消費者，在使用網(wǎng)絡(luò)支付等服務(wù)時應(yīng)提高自我保護意識和風(fēng)險識別能力。

“在追求和享受支付便捷性的同時，消費者忽視了自身金融信息的保護，對支付業(yè)務(wù)內(nèi)在風(fēng)險的警惕性不足，風(fēng)險不斷積累。伴隨著日益頻繁的支付活動，個人支付信息泄露風(fēng)險大大增加，消費者面臨更大的資金被盜和欺詐風(fēng)險。”該央行人士說。

近年來，通過非銀行支付機構(gòu)辦理支付業(yè)務(wù)的客戶資金風(fēng)險案件頻發(fā)，暴露出部分支付機構(gòu)一味追求支付便捷而忽視支付安全、支付系統(tǒng)存在嚴(yán)重漏洞、客戶資金安全和信息安全難以得到有效保障等問題。

《第一財經(jīng)日報》從權(quán)威人士處獲悉了近年來部分支付機構(gòu)風(fēng)險事件案例，并匯總整理部分風(fēng)險事件摘編如下：

1.利用黑客手段盜取支付寶客戶資金系列案

2015年6月，珠海市公安機關(guān)偵破一宗橫跨廣東、黑龍江、四川、上海和浙江等5省(市)的特大利用黑客手段盜取支付寶資金系列案件，打掉一個非法買賣公民個人信息、制作掃描探測軟件和實施網(wǎng)絡(luò)套現(xiàn)的犯罪團伙，抓獲關(guān)鍵犯罪嫌疑人6名，繳獲作案計算機等工具一批。

該案是比較常見的支付賬戶盜竊案件，犯罪嫌疑人通過網(wǎng)上購買他人提供的賬號、密碼信息，使用掃號軟件批量測試是否與支付機構(gòu)支付賬號、密碼一致，比對成功后實施盜竊。公安部門初步查明，犯罪嫌疑人涉嫌盜竊支付寶賬戶117個，涉案金額7萬余元。

此外，嫌疑人電腦硬盤中存儲各類公民個人信息40多億條，涉及支付寶、京東和Paypal等支付賬戶達1000多萬個，初步估算賬戶涉及資金近10億元。

2.內(nèi)鬼泄密20G海量用戶信息被盜賣

2013年11月27日，某支付公司內(nèi)部一員工因伙同他人多次以批量出售的方式泄露用戶信息被杭州當(dāng)?shù)鼐酱丁?/p>

據(jù)該涉案嫌疑人交代，他曾經(jīng)是該支付公司技術(shù)員工，利用工作之便，在2010年分多次在公司后臺下載了公司用戶的資料，資料內(nèi)容超20G。

隨后伙同兩名外部人員，以500元3萬條的價格將用戶信息多次出售予電商公司、數(shù)據(jù)公司。這些用戶資料，包括公民個人的真實姓名、手機、身份證號、電子郵箱、家庭住址、消費記錄等。

據(jù)其供述，僅最大買家服裝類電商V公司就曾通過該團伙一次性購買用戶資料1000萬條。不過V公司一位副總裁表示并不清楚此事。支付公司方面則承認(rèn)確有內(nèi)部員工盜賣用戶信息案，一名負(fù)責(zé)人稱：“不得不承認(rèn)，我們在管理上出了一些問題。”

3.支付公司未履行安全保障義務(wù)導(dǎo)致消費者購物款被盜轉(zhuǎn)

2014年7月張先生在某購物網(wǎng)站上和賣家協(xié)商購買價值27500元的照相機一臺，雙方約定分多筆交易付款。后根據(jù)支付機構(gòu)網(wǎng)頁提示登錄到網(wǎng)上銀行進行付款操作，收款方名稱為：XX支付科技有限公司。

付款后該購物網(wǎng)站顯示“等待買家付款中”，張先生到銀行查詢，被告知錢款已經(jīng)打到支付機構(gòu)。后張先生發(fā)現(xiàn)打入支付機構(gòu)的錢款被轉(zhuǎn)入另外一個工商銀行賬戶，而此賬號并非本次交易賣方的賬戶。

按照支付機構(gòu)交易規(guī)則，在買方?jīng)]有確認(rèn)收貨前，支付機構(gòu)不能將貨款轉(zhuǎn)出。張先生訴至人民法院，認(rèn)為該購物網(wǎng)站和支付機構(gòu)作為交易平臺的提供方和第三方資金管理方，未盡到安全管理義務(wù)，致使己方購物款被盜轉(zhuǎn)，要求法院判決該購物網(wǎng)站和支付機構(gòu)賠償其相應(yīng)損失。

經(jīng)法院查明，支付機構(gòu)未將貨款轉(zhuǎn)入賣方而轉(zhuǎn)入他人賬戶，法院認(rèn)定支付機構(gòu)未盡到安全注意義務(wù)。其經(jīng)營的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器和程序的安全性不足，或他人利用網(wǎng)絡(luò)技術(shù)非法入侵，均有可能導(dǎo)致張先生的財產(chǎn)受到損失。最終法院判決支付機構(gòu)應(yīng)賠償張先生相應(yīng)損失，共計20129元。

4.網(wǎng)絡(luò)融資平臺用戶資金被盜案

2012年11月，上海陸家嘴國際金融資產(chǎn)交易市場股份有限公司(下稱“陸金所”)運營的“穩(wěn)贏”融資交易平臺，部分用戶600余萬元資金被盜。

經(jīng)初步查明，犯罪分子通過買來的某銀行600余萬條賬戶信息，將儲戶賬戶綁到“陸金所”交易平臺，并通過該平臺將資金轉(zhuǎn)移到用假軍官證開立的同名銀行賬戶，利用“穩(wěn)贏”網(wǎng)絡(luò)融資交易平臺綁定銀行賬戶時無需提供密碼且可一人同時綁定多個賬戶的漏洞，通過支付機構(gòu)以購物退款的方式將資金轉(zhuǎn)移到其實際控制的他名銀行“網(wǎng)絡(luò)賬戶”，以達到其轉(zhuǎn)移贓款的目的。

該案件暴露了以下幾方面的問題：一是銀行違反賬戶管理規(guī)定和實名審核要求，開立假名賬戶;二是支付機構(gòu)賬戶實名制落實不到位，對特約商戶管理不嚴(yán)，為洗錢犯罪提供了通道;三是部分網(wǎng)絡(luò)交易平臺存在安全漏洞，用戶在網(wǎng)絡(luò)融資平臺注冊的驗證手續(xù)過于簡單，且在綁定銀行賬戶時未經(jīng)銀行驗證。

5.網(wǎng)店店主利用某支付公司漏洞制作營業(yè)執(zhí)照盜取資金

2014年3月5日，兩名嫌犯張某、劉某利用某支付公司網(wǎng)上平臺在賬戶改密業(yè)務(wù)中的漏洞，盜刷數(shù)家企業(yè)在該支付公司支付賬戶內(nèi)的資金共20余萬元。因涉嫌盜竊罪，目前他們被海淀區(qū)檢察院批準(zhǔn)逮捕。

張某、劉某一起在某購物網(wǎng)站上開店。在開店過程中，二人發(fā)現(xiàn)修改其網(wǎng)店的支付賬戶用戶名和密碼時，只需在網(wǎng)上向該家支付公司客服提交電子版營業(yè)執(zhí)照即可，由于客服對電子版營業(yè)執(zhí)照的審核不嚴(yán)，很容易受理通過。二人發(fā)現(xiàn)這一漏洞后，就采取PS技術(shù)，偽造其他公司的電子版營業(yè)執(zhí)照，提交修改密碼申請，進而控制賬戶并盜竊資金。

6.快捷支付驗證不足導(dǎo)致的客戶資金被盜案件

托人代辦信用卡的李先生由于將銀行預(yù)留手機號碼、身份證與儲蓄卡的高清照片都泄露給了騙子，盡管存款當(dāng)天便驚醒回神，迅速去銀行柜面關(guān)閉網(wǎng)銀并更改預(yù)留聯(lián)系方式，但仍未能避免三日后卡內(nèi)現(xiàn)金被悉數(shù)盜刷而空的命運。更讓李先生氣憤的是，此番快捷支付扣除他的款項，竟無需經(jīng)過他銀行卡支付密碼的驗證。

記者獲悉，開通快捷支付業(yè)務(wù)并不繁瑣，只需在支付機構(gòu)快捷支付頁面提供本人的姓名、身份證號碼、銀行卡號以及銀行預(yù)留手機號等有效個人信息，即可快速開通，而后期支付時也無需經(jīng)過原有銀行卡的支付密碼驗證，只需在支付頁面上輸入支付密碼或關(guān)聯(lián)銀行卡信息即可完成資金交易。

而對于為何支付轉(zhuǎn)賬等走款流程要越過銀行卡支付密碼的環(huán)節(jié)，支付機構(gòu)方面則對記者表示：“這是國際上的規(guī)定和慣例，不允許在網(wǎng)上支付的時候輸入銀行卡密碼。”

快捷支付業(yè)務(wù)模式里，銀行的服務(wù)界面被屏蔽在客戶的支付流程之外，銀行從用戶支付結(jié)算的前臺，退到了代理第三方清算的后臺，只扮演‘賬房先生’的角色，被動地處理來自支付機構(gòu)的指令，不再認(rèn)證用戶的身份，不再掌握用戶的支付行為。當(dāng)用戶的銀行卡忽然在不知情的某天被綁上了別人的快捷支付，且未經(jīng)自己銀行卡支付密碼的驗證便被刷走卡內(nèi)所有現(xiàn)金，這種驚心動魄的切身體驗是否還會讓你繼續(xù)一往無前地依賴那種“方便”與“快捷”?

7.利用網(wǎng)絡(luò)支付平臺盜劃銀行卡資金案

2015年3月，中國人民銀行四川省射洪縣支行相繼接到商業(yè)銀行金融重大事項報告，稱其客戶趙某個人銀行結(jié)算賬戶大額資金被盜劃。

2015年3月11日，趙某分別向銀行反映其5個銀行卡存款賬戶資金在2015年3月7日至9日期間遭到連續(xù)盜劃二十余次，盜劃金額累計達到21.9萬元，期間被屏蔽了手機動賬短信提示。

通過查詢趙某5個銀行卡個人銀行結(jié)算賬戶交易流水，發(fā)現(xiàn)其資金通過上海某網(wǎng)絡(luò)支付機構(gòu)劃至北京一家公司賬戶，系客戶個人身份信息被不法分子盜取，不法分子冒用客戶在網(wǎng)上注冊三方理財公司所致。該盜劃事件的特點在于屏蔽了銀行客戶手機動賬短信提示功能，并關(guān)聯(lián)客戶所有銀行卡個人結(jié)算賬戶。

經(jīng)各方努力，截至5月，客戶被盜資金全部被追回。

8.不法分子利用支付平臺從事虛假交易實施詐騙

廣東省公安機關(guān)經(jīng)偵部門在偵辦一起涉嫌合同詐騙案件時發(fā)現(xiàn)，犯罪嫌疑人吳某、文某、曾某等人虛構(gòu)現(xiàn)貨交易平臺，通過第三方支付機構(gòu)將被騙群眾賬戶的虧損資金轉(zhuǎn)移至犯罪嫌疑人所控制賬戶非法牟利。

初步統(tǒng)計兩個平臺涉及受害群眾近4000名，涉案金額1億余元。與以往虛假大宗現(xiàn)貨交易平臺直接收取被害人資金、修改數(shù)據(jù)侵吞錢款的手法相比，這種方式更加隱蔽和難以打擊，應(yīng)予關(guān)注。