犯罪分子利用銀聯(lián)設(shè)計的“超限”功能，即通過預(yù)授權(quán)信用卡最高能刷可交易額度的115%，與部分支持預(yù)授權(quán)類交易的特約商戶勾結(jié)，合謀套取發(fā)卡銀行額外信用額度。

廣東省廣州市中級人民法院近日就這樣一個案件進行了判決，由此也讓這一違法手法的細節(jié)曝光——在這個案件中，作案人利用15臺POS機，在短短一年時間里，就“套”走了1個億，金額之大、手法之嫻熟以及團隊運作之“高效”，令人吃驚。

其中，值得注意的是，發(fā)卡行廣東南粵銀行廣州分行（下稱“南粵銀行廣州分行”）與外包收單服務(wù)的第三方支付機構(gòu)匯聯(lián)支付網(wǎng)絡(luò)技術(shù)服務(wù)有限公司（下稱“匯聯(lián)支付”）卻因誰該承擔或者賠償南粵銀行廣州分行高達578萬元的損失，產(chǎn)生意見沖突。而有觀點也認為，非法套現(xiàn)金額如此巨大，也跟銀聯(lián)的預(yù)授權(quán)規(guī)則存在漏洞有關(guān)系。

那么，犯罪分子是如何利用POS機的“預(yù)授權(quán)”功能套現(xiàn)1億多元人民幣？而銀行、第三方支付和銀聯(lián)，究竟誰該背這個“鍋”？

1個億是如何“套”出去的？

2013年，廣東省花都區(qū)名叫“品然店”、“達聯(lián)行”等的15家商戶，每家都由匯聯(lián)支付安裝了一臺南粵銀行廣州分行的pos機。

同年12月，劉某和葉某發(fā)現(xiàn)品然店等店鋪的南粵銀行廣州分行POS機有“預(yù)授權(quán)”功能，便找來同伙賴某和羅某分工合作，通過利用POS機進行未發(fā)生實際貨物交割的“預(yù)授權(quán)交易”，非法套取信用卡卡內(nèi)資金。該團伙分頭向15家商戶租取POS機，并答應(yīng)店主以“預(yù)授權(quán)”交易金額的0.5%支付其手續(xù)費。

在2013年12月到2014年12月僅僅一年時間里，劉某等總計從15家商戶非法套現(xiàn)1億多元人民幣。這種利用信用卡“預(yù)授權(quán)”漏洞進行超額套現(xiàn)的犯罪手法俗稱“空套”。

信用卡預(yù)授權(quán)通常指，商戶向發(fā)卡機構(gòu)取得持卡人30天內(nèi)在不超過預(yù)授權(quán)一定金額比例范圍的付款承諾。簡單來說，預(yù)授權(quán)就是先凍結(jié)信用卡內(nèi)部分資金用作押金，隨后按實際消費金額結(jié)算的交易。當客戶在30天內(nèi)對預(yù)授權(quán)進行結(jié)算時，該預(yù)授權(quán)就會被取現(xiàn)。

一位銀行信用卡風(fēng)險管理部門負責人對記者表示，犯罪分子通常會同時擁有一臺預(yù)授權(quán)功能的POS機A和一臺用于消費的POS機B。首先將本金存入到信用卡上以提高可消費額度，按照慣例，消費會優(yōu)先扣除這筆溢繳款資金；其次，在A機上發(fā)起一筆與本金等額的大額預(yù)授權(quán)交易假設(shè)30萬元和一筆假設(shè)100元小額預(yù)授權(quán)交易；然后，將30萬元預(yù)授權(quán)交易用B機刷掉，并取消100元預(yù)授權(quán)交易，之后預(yù)授權(quán)就又恢復(fù)到30萬元，便可以反復(fù)進行套現(xiàn)。

此中的關(guān)鍵在于，第三步中撤銷小筆金額后，會誤導(dǎo)銀行認為剛剛那筆30萬元的交易也未完成。但事實上，那筆30萬元已經(jīng)被轉(zhuǎn)走了。

普通的信用卡套現(xiàn)是通過POS機以虛假交易的方式，將信用額度以內(nèi)的金額套現(xiàn)，而“空套”則可以套現(xiàn)出遠高于信用額度的金額。只要先向信用卡內(nèi)存入大筆現(xiàn)金，就能將這張信用卡額度瞬間提升到數(shù)百萬，再利用銀聯(lián)設(shè)置的“預(yù)授權(quán)交易金額上浮15%”的規(guī)則，就能套取發(fā)卡銀行額外信用額度。。

例如，如果某張信用卡透支額度僅1萬元，但存30萬元進去后，可用額度變成了30萬元，那么通過預(yù)授權(quán)就可以交易34.5萬元。如此便可直接繞過信用卡的透支額度限制。而此中關(guān)鍵便在于銀聯(lián)設(shè)計的“超限”功能，即通過預(yù)授權(quán)信用卡最高能刷可交易額度的115%。

發(fā)卡行、收單方和銀聯(lián)誰應(yīng)承擔損失

“利用銀聯(lián)上浮15%的‘超限’功能進行信用卡‘預(yù)授權(quán)’套現(xiàn)的案件這兩年已經(jīng)不多了，但信用卡套現(xiàn)行為仍然屢禁不止，”上述銀行信用卡風(fēng)險管理部門負責人對記者表示，“經(jīng)過2013、2014年此類案件的集中爆發(fā)，銀行和第三方收單機構(gòu)目前都加強了對商戶信息的核查。”

事實上，早在2014年此類案件多發(fā)時，銀聯(lián)就已警示信用卡套現(xiàn)第三方清查商戶信息，目前此項“超限”功能仍然適用于商戶的“預(yù)授權(quán)交易”中。

銀聯(lián)方面對記者表示，就規(guī)則本身而言是沒有問題的，如今仍在使用。至于犯罪分子利用該規(guī)則實施詐騙，銀行和負責收單的第三方支付機構(gòu)應(yīng)加強對商戶的信息核查。銀聯(lián)當初設(shè)置預(yù)授權(quán)交易上浮15%這條規(guī)則的時候參照了VISA和MASTER CARD，主要是針對酒店額外消費。

上述案件中，南粵銀行廣州分行和匯聯(lián)支付對商戶核查、監(jiān)控不到位，或也使犯罪分子有機可趁。

在上述案件初審中，南粵銀行廣州分行訴訟請求匯聯(lián)支付賠償其損失人民幣578萬（此涉案金額為退單金額減去‘南粵銀行已扣回金額’再減去‘商戶已退款金額’的差額）及利息。

在南粵銀行看來，其與匯聯(lián)支付以及銀聯(lián)簽訂的《銀行卡收單專業(yè)化服務(wù)合作協(xié)議書》和匯聯(lián)支付出具的《銀行卡收單外包服務(wù)承諾書》均顯示， “商戶出現(xiàn)套現(xiàn)、虛假交易、側(cè)錄磁道信息等違規(guī)行為，經(jīng)過中國銀聯(lián)的差錯爭議處理或生效的法律判決判定最終責任在商戶的，匯聯(lián)應(yīng)向南粵銀行承擔其已經(jīng)向發(fā)卡行或持卡人承擔的相應(yīng)責任和損失賠償。”

因此，由于在本案中商戶非法經(jīng)營，以虛構(gòu)交易的方式，使用銷售點終端機具刷卡套現(xiàn)，造成南粵銀行損失，廣州市花都區(qū)人民法院原審判決匯聯(lián)支付應(yīng)償付南粵銀行的全部損失及利息。

然而，匯聯(lián)支付此后上訴表示不服判決，認為南粵銀行違規(guī)向15家商戶開放“預(yù)授權(quán)交易”權(quán)限，而且沒有告知匯聯(lián)支付。根據(jù)中國人民銀行規(guī)定，預(yù)授權(quán)交易只普遍存在于酒店和租車等特定行業(yè)，而這15家商戶不符合銀行對其開放預(yù)授權(quán)的標準。因此，南粵銀行也應(yīng)當依法承擔相應(yīng)的風(fēng)險責任。

同時，由于涉案商戶所申請的POS機為“T+1”結(jié)算類型，即為收單行及發(fā)卡行可以預(yù)留出至少一天的審查和應(yīng)對時間。而且預(yù)授權(quán)交易時，其交易數(shù)據(jù)包是同時到達發(fā)卡行、收單行后臺交易及管理系統(tǒng)的。但在2013年12月至2014年12月期間，過億的預(yù)授權(quán)交易金額卻被放行無阻。因此，匯聯(lián)支付方面認為，此次交易損失也是由于南粵銀行放棄日常審核義務(wù)及存在的風(fēng)險管理漏洞所造成的。無論是發(fā)卡行、收單行均應(yīng)按風(fēng)控規(guī)則審核POS商戶的預(yù)授權(quán)交易權(quán)限、持卡人交易是否正常等交易信息。

最終法院接受匯聯(lián)支付的上訴意見，承認未考慮南粵銀行對損失造成也存在過錯，從而減少匯聯(lián)支付的賠償金額，損失由南粵銀行和匯聯(lián)支付共同承擔。