拉卡拉虚假入网遭央视曝光，第三方支付监管亟待加强

蓝鲸TMT 刘敏娟

近年来，银行卡遭遇盗刷的案例已屡见不鲜，各种盗刷手法层出不穷，令人防不胜防。

据央视报道，公安机关日前又发现了一种盗刷银行卡的新手法，除了有POS机违规跨区域使用的问题，拉卡拉等第三方支付机构及工商银行、中国银行等机构也存在操作或管理漏洞。

案情回顾

据悉，警方调查中发现，在案发前几名受害人都去过宿迁的华仔理发店、武夷君茶楼等场所刷卡消费，而且使用的都是POS机刷卡。

而向商户提供POS机的是宿迁人贡某与一伙人在惠州的一家宾馆里有过接触，而这伙人正是在广东惠州、东莞、深圳等地在自动取款机取款的人。

贡某落网后表示，今年2月，他在网上QQ群里看到有人发布利用改装POS机可以盗刷别人银行卡的帖子，于是去福建厦门学习改装技术。

此后，他将改装好的POS机推荐给商户使用，过一段时间就会以升级的名义取回POS机，拆开机器读取盗采的信息，并联合复制银行卡的团伙完成最后的盗刷环节。

漏洞分析

1、POS机违规跨区域使用，不符合拆机即毁要求

办案人员分析称，宿迁多起利用POS机作案之所以能得手，首先是部分厂家生产的POS机存在技术缺陷。

按照POS机安全规范要求，POS机应该拆机即毁。但本案中，犯罪嫌疑人贡某、廖某某购买的联迪E550型POS机却没有这个功能。

2、拉卡拉等第三方支付机构虚假入网，实名制管理形同虚设

我国可以使用POS机收单银行卡的分为银行系统和第三方支付机构，在实名制管理的要求之下，像贡某等特约商户在第三方支付机构注册入网时，需提交营业执照、税务登记证、有效身份证件等，才能经营POS机业务。

然而，很多第三方支付机构却无视这样的硬性要求。据央视报道称，本案中，犯罪嫌疑人洪某某在瑞银信、乐富、拉卡拉等第三方支付机构办理POS机300多台，用于盗刷银行卡作案。

此外，按照规定，对实体特约商户，第三方收单机构不得跨省级行政区域开展收单业务。而洪某某常住深圳，他所办理的300多台POS机虚假注册的地址遍及山东、河南、湖北等十多个省份，在全国多地使用。

按规定，上述虚假商户入网、POS机违规跨区域使用等问题，应由中国人民银行分支机构责令第三方支付机构整改，并对其处以1到3万元的罚款。

3、银行没有按规定关闭降级交易渠道

早在2014年，中国人民银行下发了《关于逐步关闭金融IC卡降级交易有关事项的通知》，明确要求各发卡银行、收单机构于2014年底前，全部关闭金融IC卡、POS机等线下渠道的降级交易。但在本案中，银行方面也存在管理漏洞，并没有执行这一要求。

据悉，本案中，犯罪嫌疑人廖某某就用一台老式电话POS机盗刷150多万元，涉及工商银行、农业银行、中国银行、建设银行、交通银行五大国有商业银行及广东华兴银行，这六家银行都没有关闭降级交易渠道。

通过以上案件和分析不难发现，第三方支付作为一种新兴的支付机构，其所代表的支付方式更为便捷，但也容易出现纰漏。监管部门需要加大对第三方支付机构的审查和管理力度，让不法分子没有可乘之机。