信用卡消費密碼“兩頭堵”

對于信用卡用戶來說，設置消費密碼是理所當然的事。很多人還會在填寫信用卡開卡信息時將“設置消費密碼”這一項格外留心對待，生怕自己一個疏漏，造成信用卡喪失最后一道防火墻——消費密碼的保護。

為了多加一道保險，人們在開卡時大多會選擇“密碼+簽名”的雙重驗證來防止信用卡被盜刷。但在實際情況中，很多商戶只會象征性地讓顧客簽個名，并不會核對筆跡是否與卡片背面一致。久而久之，一些持卡人將簽名這一流程看得可有可無，驗密刷卡成為主流的賬戶安全保障。

設了密碼又如何

但是，消費密碼真的如你想象般地守護著信用卡的賬戶安全嗎？

F小姐也曾篤信信用卡消費密碼能夠保障賬戶安全，但經(jīng)過了一件事后，她的信賴感蕩然無存。一次就餐后，F(xiàn)小姐準備用信用卡付款，在餐廳服務人員將POS機遞給她時，她沒輸入密碼就不小心按下了確認鍵。正當她準備重新輸入密碼時，服務人員卻告知她，已經(jīng)付款成功了。

明明設置了消費密碼的F小姐不禁產(chǎn)生了疑慮：如果信用卡遺失或被盜，他人豈不是也能隨意刷卡消費？當初申請卡片時說好的“密碼+簽名”雙保險呢？

這讓F小姐回想起一次用信用卡在網(wǎng)上訂酒店的經(jīng)歷。當時，她只輸入了身份證號、卡號、有效期、持卡人姓名及卡片背面的3位附加碼，就成功預訂了酒店并收到完成付款的短信，根本沒有輸入密碼的環(huán)節(jié)。一度感嘆信用卡便捷度高的她如今卻總感覺有些不踏實。

在F小姐身上發(fā)生的類似事件也在很多卡民生活中上演著，經(jīng)記者調(diào)查發(fā)現(xiàn)，有兩種情況會導致信用卡消費密碼“失效”。

銀行與商戶的神秘協(xié)議

網(wǎng)上預訂酒店、機票，無需驗證密碼也能成功付款，在很多知名旅行服務網(wǎng)站都會出現(xiàn)這類情況，且越是知名的網(wǎng)站概率越高。據(jù)網(wǎng)站客服人員透露，這是因為一些銀行和網(wǎng)站簽訂有相關協(xié)議，根據(jù)協(xié)議，網(wǎng)站得到了這些銀行的授權，在顧客提供完整信息后，無需密碼授權也可完成信用卡扣款。

對于由此引發(fā)的非持卡人盜刷的風險，一些網(wǎng)站規(guī)定，酒店入住者或乘機者的姓名須與信用卡上持卡人姓名一致。雖然有此規(guī)定，但種種情況表明，這種無需刷卡、也無需密碼授權的驗證方式還是存在一定漏洞。其中最顯而易見的風險就是信息泄露，一旦網(wǎng)站遭到攻擊，在網(wǎng)站上進行過預訂的信用卡信息就將有可能泄露，雖然其中不包含密碼，但是信息量已經(jīng)足夠讓不法者進行盜刷。

POS機不驗密

當服務人員把POS機遞給顧客時，人們的習慣動作就是直接輸入密碼，殊不知在很多時候，即便不輸入密碼還是可以成功付款。這是因為一些商戶的POS機在安裝設置的時候就被設定為“不驗密”模式。這時如果發(fā)生盜刷，商戶理應承擔首要責任，已經(jīng)設置了消費密碼的顧客如在這種情況下被盜刷，可以向商戶進行索賠。

不設密碼更安全？

細心的信用卡用戶會在使用說明或開卡須知中看到這樣一段話：銀行全力保障客戶用卡安全，對失卡完全保障，卡主在掛失前48小時內(nèi)發(fā)生的被冒用損失可申請補償，但不包括憑密碼進行的交易。也就是說，對于那些設定為憑密碼交易的信用卡，經(jīng)過驗密的交易均被視為持卡者的行為，一旦出現(xiàn)密碼泄露，并因此造成的盜刷，銀行是免責的。

于是坊間開始流傳一個“更安全的”信用卡的使用技巧——只設簽名授權，不設消費密碼。用戶出此下策無外乎是因為條款規(guī)定不設密碼的信用卡在被盜刷時，銀行可以承擔部分責任，而一旦設定了密碼，銀行反而可以免責。

對此，銀行的解釋是，用戶設置信用卡消費密碼屬于自設屏障，一旦發(fā)生密碼泄露進而遭到盜刷，銀行系統(tǒng)對于盜刷抑或其他道德風險是無法識別的，即使被盜刷也被認定為個人保護密碼不當，責任由持卡人承擔。而如果沒有設置消費密碼的情況下發(fā)生盜刷，在追查責任時，筆跡專家能分辨真?zhèn)?，如確認非本人簽名，責任則轉移到收款的商戶一邊。

但事實上，不設消費密碼真的更安全嗎？

在一些歐美國家，簽名授權被視為和密碼授權同樣重要的信用卡消費安全保障。即便在正確輸入密碼后，很多收款人員還會將簽名與信用卡背面的筆跡進行核對，如果出入很大，就需要付款人給出合理的解釋。

而在國內(nèi)，簽名對于很多持卡者和收款人員只是流于形式。很多人即使開卡后大半年未在卡片背面簽名，也付款無阻，更不要說用簽名作為消費授權了。這種習慣的養(yǎng)成不得不歸咎于銀行常年缺失的信用卡“簽名授權”理念的灌輸。

可見，如果只設定簽名授權的消費模式，不僅不能為持卡者帶來更高安全系數(shù)，在現(xiàn)有環(huán)境下，反而會適得其反。不同授權方式的優(yōu)劣見圖1。

非經(jīng)密碼授權的盜刷如何求償

銀行規(guī)定的兩種授權方式原意是為了從兩方面圍堵信用卡盜刷的現(xiàn)象，但事實卻變成了對持卡人的“兩頭堵”：設了密碼遭遇盜刷無法求償；不設密碼又風險重重。既然根據(jù)銀行信用卡條款規(guī)定，不設消費密碼被盜刷后有機會獲得賠償，那么為了獲得賠償挽回損失，持卡人需要做些什么呢？針對兩種不同的盜刷情況——模仿簽名授權、互聯(lián)網(wǎng)盜刷，應對方法見圖2。

記者手札

被盜刷確實讓人頭疼，尤其是被不法者在境外進行網(wǎng)上盜刷，更是讓人不知所措甚至喪失追討的信心。但是發(fā)生在筆者身邊的例子或許能給大家一些信心。在北歐旅行期間，W先生的手機收到了信用卡在南美的消費記錄，當時那種手足無措可想而知。而在經(jīng)過流程圖中列明的步驟進行追償后，由于材料齊全，他在幾個月后就得到了開卡行的全額賠償。

其實包括中行、招行在內(nèi)的很多銀行對于信用卡的盜刷都有一定的賠償條例，持卡人獲賠成功率的高低很大程度取決于自身的應對態(tài)度。要知道，卡片在從未遺失的情況下出現(xiàn)盜刷，持卡人是有很大可能獲得賠償并挽回損失的。