犯罪分子利用銀聯(lián)設計的“超限”功能,即通過預授權信用卡最高能刷可交易額度的115%,與部分支持預授權類交易的特約商戶勾結,合謀套取發(fā)卡銀行額外信用額度。
廣東省廣州市中級人民法院近日就這樣一個案件進行了判決,由此也讓這一違法手法的細節(jié)曝光——在這個案件中,作案人利用15臺POS機,在短短一年時間里,就“套”走了1個億,金額之大、手法之嫻熟以及團隊運作之“高效”,令人吃驚。
其中,值得注意的是,發(fā)卡行廣東南粵銀行廣州分行(下稱“南粵銀行廣州分行”)與外包收單服務的第三方支付機構匯聯(lián)支付網(wǎng)絡技術服務有限公司(下稱“匯聯(lián)支付”)卻因誰該承擔或者賠償南粵銀行廣州分行高達578萬元的損失,產(chǎn)生意見沖突。而有觀點也認為,非法套現(xiàn)金額如此巨大,也跟銀聯(lián)的預授權規(guī)則存在漏洞有關系。
那么,犯罪分子是如何利用POS機的“預授權”功能套現(xiàn)1億多元人民幣?而銀行、第三方支付和銀聯(lián),究竟誰該背這個“鍋”?
1個億是如何“套”出去的?
2013年,廣東省花都區(qū)名叫“品然店”、“達聯(lián)行”等的15家商戶,每家都由匯聯(lián)支付安裝了一臺南粵銀行廣州分行的pos機。
同年12月,劉某和葉某發(fā)現(xiàn)品然店等店鋪的南粵銀行廣州分行POS機有“預授權”功能,便找來同伙賴某和羅某分工合作,通過利用POS機進行未發(fā)生實際貨物交割的“預授權交易”,非法套取信用卡卡內(nèi)資金。該團伙分頭向15家商戶租取POS機,并答應店主以“預授權”交易金額的0.5%支付其手續(xù)費。
在2013年12月到2014年12月僅僅一年時間里,劉某等總計從15家商戶非法套現(xiàn)1億多元人民幣。這種利用信用卡“預授權”漏洞進行超額套現(xiàn)的犯罪手法俗稱“空套”。
信用卡預授權通常指,商戶向發(fā)卡機構取得持卡人30天內(nèi)在不超過預授權一定金額比例范圍的付款承諾。簡單來說,預授權就是先凍結信用卡內(nèi)部分資金用作押金,隨后按實際消費金額結算的交易。當客戶在30天內(nèi)對預授權進行結算時,該預授權就會被取現(xiàn)。
一位銀行信用卡風險管理部門負責人對記者表示,犯罪分子通常會同時擁有一臺預授權功能的POS機A和一臺用于消費的POS機B。首先將本金存入到信用卡上以提高可消費額度,按照慣例,消費會優(yōu)先扣除這筆溢繳款資金;其次,在A機上發(fā)起一筆與本金等額的大額預授權交易假設30萬元和一筆假設100元小額預授權交易;然后,將30萬元預授權交易用B機刷掉,并取消100元預授權交易,之后預授權就又恢復到30萬元,便可以反復進行套現(xiàn)。
此中的關鍵在于,第三步中撤銷小筆金額后,會誤導銀行認為剛剛那筆30萬元的交易也未完成。但事實上,那筆30萬元已經(jīng)被轉(zhuǎn)走了。
普通的信用卡套現(xiàn)是通過POS機以虛假交易的方式,將信用額度以內(nèi)的金額套現(xiàn),而“空套”則可以套現(xiàn)出遠高于信用額度的金額。只要先向信用卡內(nèi)存入大筆現(xiàn)金,就能將這張信用卡額度瞬間提升到數(shù)百萬,再利用銀聯(lián)設置的“預授權交易金額上浮15%”的規(guī)則,就能套取發(fā)卡銀行額外信用額度。。
例如,如果某張信用卡透支額度僅1萬元,但存30萬元進去后,可用額度變成了30萬元,那么通過預授權就可以交易34.5萬元。如此便可直接繞過信用卡的透支額度限制。而此中關鍵便在于銀聯(lián)設計的“超限”功能,即通過預授權信用卡最高能刷可交易額度的115%。
發(fā)卡行、收單方和銀聯(lián)誰應承擔損失
“利用銀聯(lián)上浮15%的‘超限’功能進行信用卡‘預授權’套現(xiàn)的案件這兩年已經(jīng)不多了,但信用卡套現(xiàn)行為仍然屢禁不止,”上述銀行信用卡風險管理部門負責人對記者表示,“經(jīng)過2013、2014年此類案件的集中爆發(fā),銀行和第三方收單機構目前都加強了對商戶信息的核查。”
事實上,早在2014年此類案件多發(fā)時,銀聯(lián)就已警示信用卡套現(xiàn)第三方清查商戶信息,目前此項“超限”功能仍然適用于商戶的“預授權交易”中。
銀聯(lián)方面對記者表示,就規(guī)則本身而言是沒有問題的,如今仍在使用。至于犯罪分子利用該規(guī)則實施詐騙,銀行和負責收單的第三方支付機構應加強對商戶的信息核查。銀聯(lián)當初設置預授權交易上浮15%這條規(guī)則的時候參照了VISA和MASTER CARD,主要是針對酒店額外消費。
上述案件中,南粵銀行廣州分行和匯聯(lián)支付對商戶核查、監(jiān)控不到位,或也使犯罪分子有機可趁。
在上述案件初審中,南粵銀行廣州分行訴訟請求匯聯(lián)支付賠償其損失人民幣578萬(此涉案金額為退單金額減去‘南粵銀行已扣回金額’再減去‘商戶已退款金額’的差額)及利息。
在南粵銀行看來,其與匯聯(lián)支付以及銀聯(lián)簽訂的《銀行卡收單專業(yè)化服務合作協(xié)議書》和匯聯(lián)支付出具的《銀行卡收單外包服務承諾書》均顯示, “商戶出現(xiàn)套現(xiàn)、虛假交易、側(cè)錄磁道信息等違規(guī)行為,經(jīng)過中國銀聯(lián)的差錯爭議處理或生效的法律判決判定最終責任在商戶的,匯聯(lián)應向南粵銀行承擔其已經(jīng)向發(fā)卡行或持卡人承擔的相應責任和損失賠償。”
因此,由于在本案中商戶非法經(jīng)營,以虛構交易的方式,使用銷售點終端機具刷卡套現(xiàn),造成南粵銀行損失,廣州市花都區(qū)人民法院原審判決匯聯(lián)支付應償付南粵銀行的全部損失及利息。
然而,匯聯(lián)支付此后上訴表示不服判決,認為南粵銀行違規(guī)向15家商戶開放“預授權交易”權限,而且沒有告知匯聯(lián)支付。根據(jù)中國人民銀行規(guī)定,預授權交易只普遍存在于酒店和租車等特定行業(yè),而這15家商戶不符合銀行對其開放預授權的標準。因此,南粵銀行也應當依法承擔相應的風險責任。
同時,由于涉案商戶所申請的POS機為“T+1”結算類型,即為收單行及發(fā)卡行可以預留出至少一天的審查和應對時間。而且預授權交易時,其交易數(shù)據(jù)包是同時到達發(fā)卡行、收單行后臺交易及管理系統(tǒng)的。但在2013年12月至2014年12月期間,過億的預授權交易金額卻被放行無阻。因此,匯聯(lián)支付方面認為,此次交易損失也是由于南粵銀行放棄日常審核義務及存在的風險管理漏洞所造成的。無論是發(fā)卡行、收單行均應按風控規(guī)則審核POS商戶的預授權交易權限、持卡人交易是否正常等交易信息。
最終法院接受匯聯(lián)支付的上訴意見,承認未考慮南粵銀行對損失造成也存在過錯,從而減少匯聯(lián)支付的賠償金額,損失由南粵銀行和匯聯(lián)支付共同承擔。