「笨賊」偷卡手法何足慮          信報財經新聞 (獅子山學會) 2015-10-28

有一天，電視台邀請我出席時事節目，討論非接觸式（NFC）信用卡關於私隱或安全的所謂「漏洞」。 我收到電話的第一個反應是，這些事情，有什麼好討論？因為自己用卡經驗以及常識的直覺告知，這種「漏洞」沒有新聞價值，不值得花時間討論。但製作組煞有介事的邀請，覺得這是一件大事，希望我這一類「政府最好管少一點」的人說說是否在如此大的「漏洞」下，政府都不要管，最終半推半就去了。

「漏洞」存在超過30年

也 許對製作組來說，這是一件大事，因為他們聲稱這是該電台的新聞組獨家發掘出來的「新聞」，是他們的努力不懈，鍥而不捨的精神，銀行、監管機構都發現不到的 「漏洞」給他們發現出來，然後事件發酵，紙媒又把事件放在頭版，彷彿如果沒有他們，香港人都會給駭客偷掉信用卡的錢，而鋪天蓋地的報道，也許會令一些香港人以為自己的財產保護是如此脆弱，到最後當然就傳媒加政客，發表「銀行和政府監管不力」這一類百搭萬能Key論述作總結。

這件事最令我驚奇 的，是所謂的「漏洞」，根本一直存在超過30年。無論是有NFC功能的新型信用卡或傳統的，都面對同一個問題，就是卡主的名字、卡號和到期日，甚至是印在卡背上的三個數位的防盜編碼（CVV Code），都是給人予取予攜的。NFC新型信用卡，卡主的名字、卡號和到期日，固然可透過手機軟件像報道般套取過來，但傳統信用卡使用了幾十年，刷卡的 時候，銷售員不難把上述的資料（甚至是CVV Code）都記下來，在現今科技下更可用手機拍下信用卡的影像，誇張點說，就是用WhatsApp派街坊都可以，那為何傳統信用卡有這樣的「漏洞」，傳媒 不去跟進，而硬要找新科技NFC的麻煩？

因為實情是，多年來，不是說盜用信用卡的情況罕見，而是主要承受信用卡被盜用的後果，是信用卡卡主（即市民），還是發卡銀行？資料顯示，2012年至今，在無數的信用卡（傳統卡，不是NFC）交易個案，金管局接到共有42次（咁大把）的信用卡盜用投訴 求助個案，其中20宗是銀行被判要負責相關盜用所導致的損失（因為卡主沒有不正當使用信用卡），2宗仍在調查，而20宗最後是要由卡主負責繳交相關交易。 卡主要負責的理由，分別是：8宗被確認真實交易（非盜用），8宗為卡主明知失卡卻未有即時通知發卡行，2宗為沒有在限定日子前上訴交易，2宗是卡主沒有妥 善保管信用卡。而金管局收到NFC卡被盜用的個案，同期更只有1宗投訴，最後卡主要承擔責任，是因為失卡而未能及時通報銀行。

為何3年內千 萬甚至以億計的信用卡交易，金管局只有42次的投訴，因為根據《銀行營運守則》及信用卡機構的程序，卡主只要有將信用卡資料妥善保護，是不需為未授權的信 用卡交易的直接損失負責。很多時候，當信用卡真的被盜用，而客戶發現問題向銀行投訴的時候，銀行根據上述守則，已經私下會跟客戶解決問題。可以預計，只有 向銀行投訴不果的客戶（即銀行不負責盜用的損失），才會找金管局求助。

發卡行承擔大多數損失

這又說明了一點，三年來信用卡盜 用個案，應該不止42宗，42宗不過是卡主向銀行投訴不果，才向金管局求助，更多是銀行與客戶私下解決了。你說以香港人據理力爭的性格，明明自己妥善用卡，給人盜用了，卻自己吃下了損失，香港人會這樣委屈自己嗎？可以預料，大多數的盜用，是發卡行承擔了損失。所以如果有所謂保安漏洞，更擔心的和需要採取補救方案的，應該是發卡銀行。

然而，無論是傳統或NFC信用卡，在客戶資料都予取予攜的情況下，盜用情況又不至於猖獗至失控地步（至少銀行 還沒有關掉信用卡部門，還愈發愈多卡），因為其實要有如電視台記者般有「智慧」，用手機（或其他方法）盜取卡主資料，然後到網上購物，不法之徒要解決一個 問題，就是如何把貨物送到自己手上，又不會被警方追蹤發現。我看過一些國際新聞，在網上購物發展初期，真的有「笨賊」偷用別人信用卡網上購物而落網。該電台記者當然比笨賊有智慧，但相信現今會採用記者手法盜用信用卡資料網上購物的不法分子，為數應該不多。

我不是說，信用卡盜用風險不足慮，而是既然風險大都在銀行方面，銀行基於商業「唯利是圖」的原則，自然會堵塞真正的漏洞，市民何須恐慌？金管局又何須大費周章做公關秀處理一些多餘的憂慮？只要釐清責任屬誰，事情不就簡單解決？

事實上，社會上絕大部分人的經驗，是信用卡交易可靠和帶來方便的。一些傳媒為爭取頭版報道，構成不必要的恐慌，並有可能把生長於萌芽的新付款技術扼殺，究竟對香港何益？

後記：在外國，基於防盜理由，在餐館用膳用信用卡繳費，服務員會在客戶面前刷卡。如果傳媒真的憂慮信用卡安全，應該提倡香港追隨，而不是發掘連一般賊人都不會利用的「漏洞」。

王弼

作者為獅子山學會董事

info@lionrockinstitute.org