2012-10-03 信用卡盜刷防不了 網路驗證碼破功?!安全沒有 付款責任先擔

親民黨立法院黨團新聞稿2012.10.02
信用卡盜刷防不了網路驗證碼破功?!
安全沒有  付款責任先擔
網路刷卡消費越來越普及，信用卡業者最近力推網路驗證碼(VISA 3D、MasterCard Secure Code、JCB J/Secure)，目前共有18家發卡機構提供此服務(註)。民眾在網路上刷卡消費時，除平常一般輸入信用卡基本資訊外，尚須輸入驗證碼以確認為本人(詳附件一)，期提高網路刷卡的安全性。然親民黨接獲民眾陳情，發現此機制不但沒有保障到民眾，反而讓消費者承受全部疑義帳款的責任。其問題就在於民眾申請信用卡網路驗證碼時，必須簽署一份服務約定條款，內容明示「持卡人同意若交易過程中有輸入上述個人密碼、提示問題與回答等機密訊息，此交易即視為持卡人本人的交易，持卡人不得否認」，換言之，使用網路驗證碼消費具不可否認性，因此遭受盜刷的民眾仍須負起全部帳款責任，沒有免責的可能性。
楊姓民眾陳情投訴，今年八月前往埃及旅遊時，接獲銀行端來電，需確認五筆海外消費是否為楊姓民眾所為，當下楊姓民眾即表示此為盜刷，要求銀行立即進行控管，而在銀行通知後更有十三筆類似的消費，盜刷金額驚人高達十一萬。然而銀行卻以前五筆係屬網路上輸入VISA 3D驗證碼為由，既然楊姓民眾表示沒有將密碼外洩或告知予第三人，便認定此為消費者知悉密碼狀況下的行為，判定為持卡人所為，是以要負擔全部帳款，讓民眾直呼跟土匪沒兩樣。親民黨日前已揭露國際犯罪集團跨海盜刷的案例，此次再度證實其嚴重性，而銀行端刻意忽略跨海盜刷的可能性，以及本例前後刷卡內容的可疑性均高，僅以知悉密碼行為來要求消費者擔負全責，親民黨對此粗糙的判定，認為金管會疏於監督、金融消費評議中心更沒有保障消費者權益。
目前國內信用卡發卡數共3千3百萬張，前三大銀行發卡數近1千2百萬張，佔總發卡數三成五，除第一發卡銀行中國信託採取簡訊OTP密碼機制(One Time Password)，密碼具時效性和一次性(5分鐘內需使用、僅限此次消費)，第二大的國泰世華與第三大的台新銀行均採用網路驗證碼，親民黨認為，信用卡公司推廣驗證碼立意是讓網路刷卡多一層的防護，然而服務約定條款要求消費者不讓任何人知道密碼、提示問題予回答等機密訊息，並明定使用密碼完成之交易均視為消費者同意下的行為，具不可否認性，如此條款讓銀行與信用卡公司責任全免，還迴避掉疑義帳款的舉證工作，讓消費者承擔網路盜刷的所有風險。親民黨要求金管會立即調整此服務約定條款的條文內容，並調查與楊姓民眾同樣受害的持卡人案例，釐清疑義帳款的清償責任。
此外，因發生疑義而暫停付款之帳款，依據信用卡定型化契約範本第13條，「因發生疑義而暫停付款之帳款，如經銀行證明無誤或因非可歸責於銀行之事由而不得扣款時，持卡人於受銀行通知後應立即繳付之，並自原繳款期限之次日起，以年息百分之N計付利息予銀行」，親民黨認為此條款等於是讓消費者莫名繳付更多利息，一般的疑義帳款並非持卡人意願發生，理當待釐清償付責任後由責任方繳付原金額，不該增加持卡人利息，此條文等同懲罰持卡人，金管會設計如此的定型化契約條文，等於是讓銀行變相收取利息，其心可議。
親民黨要求:

1. 金管會須責成銀行公會建立跨國線上交易盜刷案件，建立同業間即時通報系統，並加強與檢警調單位及國際組織合作打擊不法。
2. 修改信用卡網路驗證碼「服務約定條款」關於持卡人密碼與安全部分，      消費之不可否認性條文。
3. 修改「信用卡定型化契約範本」第13條關於利息費用的規範
4. 同時呼籲銀行公會應加強訓練銀行機構的服務品質，面對類似案件與消費者溝通的態度令人搖頭，被盜刷已經是令人惱火的經驗，網友屢屢抱怨銀行將消費者當賊一樣在防，實在不像是先進國家的服務水準。

 
註: 目前提供任一種網路驗證碼服務的發卡銀行或機構包含永旺信用卡公司、中國信託商業銀、臺灣銀行、永豐銀行、國泰世華銀行、第一銀行、華南商業銀行、日盛銀行、土地銀行、兆豐國際商業銀行、渣打國際商業銀行、台北富邦商業銀行、台新國際商業銀行、臺灣中小企業銀行、合作金庫銀行、新光銀行、彰化銀行、聯邦銀行共18家發卡機構。
 
附件一: 使用網路驗證碼刷卡流程圖
附件二: 網路驗證碼服務約定條款持卡人密碼與安全條文內容
附件一、使用網路驗證碼刷卡流程圖
第1步: 一般網路刷卡需求項目輸入
需求項目

• 持卡人姓名、身分證字號、出生年月日: 如果是該消費網站的會員，多不用另外填寫
• 信用卡卡號：一定要
• 信用卡有效期限：一定要
• 信用卡背面的一組CSV驗證碼：這是最重要的一項

第2步網路驗證碼輸入(下圖為示意圖，從官網擷取示範畫面)
VISA 3D驗證碼
             
     
或MasterCard Secure Code驗證碼

或JCB J/Secure驗證碼
輸入正確的信用卡驗證碼後，網路刷卡消費即完成。
附件二、網路驗證碼服務約定條款持卡人密碼與安全條文內容

在註冊過程中持卡人所設定的個人密碼、提示問題與回答及國泰世華銀行提供給持卡人的任何訊息皆應視為機密，持卡人應負保管之責，未盡保管之責所致之損害，由持卡人自行負責，國泰世華銀行不負任何賠償責任。持卡人並同意： ( 1 ) 不讓任何人知道上述個人密碼、提示問題與回答等機密訊息 ( 2 ) 採取最嚴格的方式保護上述個人密碼、提示問題與回答等機密訊息。例如：不將上述訊息寫在任何地方。 持卡人同意若交易過程中有輸入上述個人密碼、提示問題與回答等機密訊息，此交易即視為持卡人本人的交易，持卡人不得否認。 持卡人同意若個人密碼、提示問題與回答等機密訊息發生遺失或被竊或被其他人知悉之情事或有發生之虞時，應比照信用卡約定條款中卡片遺失或被竊或其它喪失佔有之約定，立即通知國泰世華銀行並完成必要的掛失程序。於上述通知或掛失程序完成後，不論持卡人之個人密碼、提示問題與回答等機密訊息是否被使用，持卡人之個人密碼、提示問題與回答等機密訊息都將被終止使用。若任何使用此個人密碼、提示問題與回答等機密訊息之交易產生，持卡人應配合國泰世華銀行與相關司法單位進行調查。 台新國際商業銀行VISA信用卡網路驗證服務約定條款 歡迎也感謝您使用「台新銀行信用卡網路驗證服務」(以下簡稱本驗證服務)。在使用本驗證服務之前，請先詳閱下列各項條款(以下簡稱本條款)，您有權決定是否申請本驗證服務，而台新國際商業銀行(以下簡稱本行)得以任何理由或不出具任何理由，拒絕本驗證服務註冊之申請： 1. 條款之接受 a. 當您註冊或使用本驗證服務時，即表示您已閱讀、瞭解並同意遵守本條款之所有內容，及與本驗證服務有關之其他規定。本行有權不經個別通知您，隨時修改或變更本條款之內容。建議您隨時上網查詢最新版約定條款，其網址為：https://acs.taishinbank.com.tw。若您不同意本條款之內容，您應立即停止使用本驗證服務。 4. 持卡人密碼與安全 完成本驗證服務的註冊程序後，您將收到一個本行給您的密碼，您應負保管之責。凡本行給您的密碼、任何您指定的安全問題與答覆及其他與本驗證服務有關之本行提供給您的任何資料，均應視為機密資料(於本條中，稱「密碼」)。您同意：  (1) 絕不洩漏或讓任何其他人知道或使用「密碼」  (2) 採取合理之步驟，為「密碼」保密(例如，您同意不將「密碼」抄寫      下來以及不將「密碼」放在會被其他人看到的地方)。 您並同意，凡是使用「密碼」完成之信用卡交易，本行均得將該信用卡交易視為已經您本人同意的交易。亦即，若您未善盡保管「密碼」之義務而致其他人使用「密碼」，則因此產生之款項及費用仍然應由您自行負擔。您亦同意，若您的「密碼」遺失、被竊，或您知悉有其他人已知道您的「密碼」、您的密碼已遭盜用或有其他任何安全問題發生時，您應立即通知本行。對於已完成之信用卡交易，是否已使用「密碼」，而有任何爭議時，均以本行之記錄為準。應由本行負責者，本行均將依約定負責(請參閱貴客戶與本行簽訂之持卡合約書中，有關「未經授權使用之責任」相關規定)。
	永豐銀行JCB驗證服務約定事項 歡迎您使用「永豐銀行JCB驗證服務」（以下簡稱本驗證服務）。在使用本驗證服務前，敬請詳閱下列各項約定。持卡人可自行選擇是否使用本驗證服務，永豐銀行（以下簡稱本行）保留核准持卡人使用本驗證服務與否之權利。持卡人於註冊申請本驗證服務時，即視為同意遵守以下各條款之約定。 一、各項服務約定 持卡人同意，本行有對本驗證服務約定事項進行修改、增刪之權利。本驗證服務約定事項如有增刪、修改時，本行得以書面、電子郵件或網站公告之方式通知持卡人；若持卡人不同意本條款內容之增刪、修改，持卡人應立即停止使用本驗證服務。 三、持卡人密碼與安全保密 在註冊過程中持卡人所設定的個人密碼、提示問題與回答及本行提供給持卡人的任何訊息（下稱「機密資訊」）皆應視為機密，持卡人應負保管之責，未盡保管之責所致之損害，由持卡人自行負責，本行不負任何賠償責任。持卡人並同意： （1）不得以任何方式令他人知悉機密資訊。 （2）採取最嚴格的方式保管機密資訊。例如：不將機密資訊寫在任何地方。 持卡人同意若交易過程中有輸入機密資訊，此交易即視為持卡人本人的交易，持卡人不得否認。 持卡人同意若機密資訊發生遺失、被竊或被其他人知悉之情事或有發生之虞時，應比照信用卡契約中卡片遺失或被竊或其它喪失佔有之約定，立即通知本行並完成必要的掛失程序。於上述掛失程序完成後，不論持卡人之機密資訊是否被使用，該機密資訊都將被終止使用。若有任何使用該機密資訊之交易產生，持卡人應配合本行或相關單位進行調查。