银行卡盗刷门后续：更安全的IC卡“卡”在哪儿了？

先天存在安全缺陷的金融磁条卡，其实早已有了安全的替代品——金融IC卡；但商家和消费者的习惯、新旧模式并存的混乱，延缓了IC卡的普及脚步。　　更令人忧虑的是，为了兼容旧模式，现行的金融IC卡，其实是一种留有“后门”的过渡性产物——双模卡。　　2011年，信用卡欺诈损失1.48亿元，较上年增长25.78%。在此背景下，更安全的IC卡“卡”在了过渡期，难以及时发挥应有的作用，不能不说是一种遗憾。　　复制设备仅售8000元　　《第一财经日报》上周连续报道了武汉王爱芬银行卡遭复制，被盗刷68万元一事，
曝光了复制银行卡和冒名办卡的“行业”内幕。这一切，其实只要金融IC卡取代磁条卡，就完全可以避免。　　“其实，磁条卡天生有‘缺陷’。”某银行信用卡中心陈经理向本报坦言，“只要客户在某被动过手脚的卡槽刷过卡，磁条信息就可能被复制，他人手上就可能出现一张‘双胞胎’卡。”　　陈经理所供职的银行也曾遇到过多起本行所发银行卡被盗用的事件，被盗客户通常都会归咎于发卡行，认为自己的银行卡从未离身，发生盗用意味着管理漏洞导致数据泄露，发卡行难辞其咎。　　“复制的伪磁条卡一般有三种：白卡、变造卡和侧录卡。”陈经理介绍，白卡是指从卡厂或某些机构流出的空白磁条卡，磁条上没有信息，犯罪分子可将非法取得的账号信息压印其上；变造卡是指过期、遗失或休眠的银行卡，被不法分子“刷”入新的账户资料；侧录卡是指利用电话卡、门卡等磁性材料卡改造而成的金融卡。　　因大部分银行都有严格的“白卡”管理机制，因此要从银行获取白卡并不容易，但本报由一家在网上自称“融资担保公司”的银行卡非法代办商处获悉，从卡厂“进货”相当宽松，而且批发成本在每张卡几角到几元之间。　　制卡行业通行的ISO7811-2标准规定，磁条卡上的磁条有三根磁道，第一根和第二根磁道分别存储76个字母或数字型字符和37个数字型字符，并在首次写入后呈“只读”状态；第三条磁道存储104个数字型字符，可反复“擦写”。　　据上述不法代办商称，第一根磁道通常记录银行信息，第二根磁道记录卡号信息，第三根记录银行账户余额等信息。不过，即使是“只读”状态的磁道，也并非不能破解，只要在黑市上花8000元买一套“磁卡复制器”，就能轻松将卡号等信息“烧入”相应磁道，变造一张新卡，白卡就更不在话下了。　　该不法代办商还说，用这种复制器，借记卡和信用卡都能复制，不过，如果卡片设有密码，则须通过其他手段获取。如在持卡人向POS机输入密码时偷看；或是在ATM机上安装微型摄像头偷拍。　　而伪卡在使用时，通常也不易被识破。本报记者走访的多家商户均表示，收银员对磁条卡的识伪手段仍停留在初级水平，包括对比卡上凸印卡号与POS机打印卡号、核对卡号前六位所代表的发卡行与卡面标注发卡行信息、检查激光防伪标记等。　　双模卡仍存“后门”　　这种门槛较低的造假手段，对金融IC卡就无计可施了。IC卡采用集成电路芯片技术和特殊保密措施，其保存的信息难以破译，防伪性也很高。　　事实上，监管层和银行机构已经花了不小的力气推行IC卡。　　2010年，央行就已拟定推行银联标准IC卡目标。去年3月，央行发布《中国人民银行关于推进金融IC卡应用工作的
意见》，决定在全国范围内正式启动银行卡芯片迁移工作，并要求银联直联POS机在去年6月前完成改造，可受理IC卡；全国性商业银行布放的间联POS、ATM机则要分别于2011年底、2012年底前完成相关改造；2013年起实现所有受理银行卡的联网通用终端都能受理IC卡。在发卡方面，要求全国性商业银行自2013年1月1日起发行IC卡；在经济发达地区和重点合作行业领域，自2015年1月1日起实现IC卡全流通，磁条卡退出。　　“政策力度已经不小了。”上海银行同业公会相关人士对本报表示，该协会所辖商业银行的收单POS机，95%以上完成了芯片卡受理环境改造，此外，“五大行”和招行等也已开始发行芯片与磁条两种介质并存的双模卡。　　然而，据本报多方了解到，金融IC卡的推行绝非一帆风顺，发卡行和收单行各有苦衷。　　对发卡行来说，成本是个大问题。一张普通磁条卡成本为1.2元左右，而一张芯片—磁条双介质卡目前的成本则为18元，相当于磁条卡的15倍。5年前，后者的成本甚至高达30元。而以建行为例，普通客户办理IC卡开卡的工本费仅为5元。　　“其实，令业内感到郁闷的主要还不是制卡的高成本，而是投入了高成本，到头来仅能有限发挥防范风险的作用。”上述同业公会相关人士表示，问题恐怕就出在双模卡上。　　双模卡原本是一种过渡期的变通手段。在芯片卡受理环境改造期内，发卡行唯恐纯粹的IC卡在部分场合无法使用，于是发行了双模卡。谁料，由于消费者和商家习惯了磁条卡的旧模式，或者由于不了解IC卡的新模式，因此即使持有双模卡，或者装备了可受理IC卡的POS机，在实际刷卡时往往还是采用磁条模式。　　本报记者以消费者名义询问多家商户：“是否可以刷IC卡？”对方往往一脸茫然。当记者出示一张金融IC卡时，对方回答则往往是：“我们用的还是过去那种‘划一下’的刷卡方式。”　　结果，双模卡的IC模式使用比例偏低，而磁条模式依然不能杜绝信息盗取和伪造盗刷，成了一个安全上的“后门”，新旧模式的并行，导致旧模式“苟延残喘”，新模式“少人问津”，这恐怕是双模卡推出时谁也没有想到的情形。　　为盗刷埋单：收卡行叫屈　　既然双模卡仍不能杜绝盗刷，那么相应的责任应由谁承担呢？　　根据业内的风险分担惯例，伪卡和信用卡套现等风险一般由收单行承担。因为布控终端和渠道、管理商户、最后通过第三方支付机构进行跨行清算等，是由收单行实际操作的。　　但是，双模卡的情形有些特殊，收单行认为全由自己埋单“有点冤”。　　本报获悉，银联曾下达内部通知，明确如双模卡发生盗刷，只要刷卡是通过磁条模式的，由收单行承担客户的损失。银联的本意，希望以此敦促收单行加速POS机改造、积极培训商户。　　但是，部分收单行认为，对每一笔实际刷卡行为进行监控，确保刷卡使用IC模式，难度太大；在收单行看来，在受理环境业已改善的条件下，保留磁条模式已属多余，而且徒增风险。　　据透露，银行相关业务同业组织将向银联建议，鉴于目前受理环境业已改善，希望银联从技术上统一封堵双模卡的磁条刷卡通道，以确保IC模式得到充分使用，降低收单行单方面承担的风险。　　此外，收单行也对发卡行颇有微词，认为发卡行拿走大部分利润，承担的成本却不匹配。　　根据业内公开的秘密，信用卡产业链的利润分割是，发卡行70%、收单行20%、银联10%。这样分割的理由是，发卡行承担制卡发卡、账户管理成本，并要推出刷卡回馈等促销活动，因此分得的利润最多；而收单行承担的是提供机具设备和凭证、与商户签约等成本，并由此延伸，承担了管理和培训商户、对持卡人资信负责以确保商户回款的义务。　　双模卡变通所带来的收益，收单行仅分得两成；双模卡“后门”所导致的成本，则全要由收单行“埋单”。标准的切换及其过渡过程，带来了利润分配格局的失衡，在纯IC卡全面取代磁条卡和双模卡之前，这种业内的博弈仍将持续。　　中国银行（601988）业协会数据显示，截至去年末，全国信用卡应偿信贷总额达8129.56亿元，较2010年末增加3637.96亿元，增长81.0%。随着信用卡市场的快速发展，相应的风险管理也日益成为业内的重要课题。