多起跨境盗刷事件引发对支付安全体系的关注

近日，一系列银行卡在境外发生未经授权交易的情况引发广泛讨论。不少用户反映，“卡片并未离身，却出现海外消费记录”“收到入账提醒后核对，发现交易实际发生在两天前且此前无任何通知”……类似经历在社交平台上不断出现，使浦发银行与万事达卡成为关注焦点。

综合各方信息，此次事件主要涉及浦发银行与万事达卡合作发行的“红沙宣”信用卡。在发现部分未获授权的交易后，浦发银行、万事达卡及万事网联已启动调查程序，并承诺相关损失无需由持卡人承担。

事实上，类似情况并非仅此一例。据北京商报记者9月16日进一步了解，除前述信用卡产品外，今年9月以来，中信银行发行的万事达借记卡（如“暗黑破坏神”主题卡）也出现了盗刷案例。多名持卡人表示遭遇了未授权交易。尽管涉及不同银行、不同卡种，但这些事件均与提供支付清算服务的万事达卡相关。作为连接全球商户与发卡银行的关键枢纽，万事达卡在此次事件中的角色与责任，成为观察跨境支付安全体系的一个重要视角。

技术防护存在的现实挑战

在浦发银行信用卡盗刷事件引发广泛关注的同时，另一家银行的借记卡用户也遇到了相似问题。

持卡人张天（化名）向北京商报记者表示，9月12日，他收到中信银行的消费通知，显示其银行卡在境外产生了一笔9.64元人民币的交易。张天立即意识到卡片可能被盗刷，随即联系银行客服。经银行核实，该笔交易地点位于印度尼西亚，金额约为22000印尼盾，且早在9月8日就已产生预授权。张天对此完全不知情，并对银行为何在预授权阶段未发送任何提示提出疑问。中信银行客服的解释是，张天未开通短信提醒服务。

张天在社交平台分享经历后，找到了多位同样持有中信银行“暗黑破坏神”万事达借记卡并遭遇盗刷的用户，其中有人交易的商户与张天相同。在该话题的讨论中，还有不少同系列卡片的持卡人表示遇到了类似情况。

刘宇（化名）也关注到了张天的经历。更早一些，在9月3日晚，刘宇连续收到中信银行的短信，提示其交易被“防盗刷安全锁”功能中止。刘宇称：“这张卡一直在我身边，上次使用是2024年12月在日本。盗刷方尝试了三次均被系统拦截，因此未造成实际损失。第二天我就申请换卡，这会更新卡片有效期和CVV2码。由于交易被中止，银行也无法查询具体盗刷发生地点。”

针对持卡人反映的借记卡盗刷问题，北京商报记者就何种情况会触发安全锁、银行对风险交易有哪些防范措施等问题询问中信银行，但截至发稿未获回复。

就在刘宇和张天遭遇盗刷的同期，浦发银行万事达“红沙宣”信用卡出现大规模盗刷，越来越多的消费者在社交平台反馈情况，引起多方关注。汇总信息显示，被盗刷的信用卡涉及多种情形，包括异常交易未被拦截、超出限额消费、已注销或挂失的卡片仍发生交易等，所有交易地点均在境外。

9月13日，浦发银行信用卡中心、万事达卡及万事网联相继发布声明，均表示已监测到部分万事达无价世界卡存在未授权交易，并第一时间启动应急预案。据北京商报记者获取的最新进展，相关方确认盗刷损失不由持卡人承担，将陆续进行账务调整。

卡组织与各参与方的责任划分

相比于可进行大额消费的信用卡，部分借记卡被盗刷的用户因账户余额较少，实际损失有限，但这并未完全消除他们对支付安全的担忧。

关于盗刷原因，业内看法不一，更多质疑指向发卡行和卡组织的风险控制体系。有业内人士指出，银行卡盗刷在支付行业，尤其是跨境支付领域并非罕见，原因多样，不能一概而论。刘宇也在采访中提到，他同时持有的汇丰银行和招商银行的万事达借记卡并未发生盗刷。

在浦发银行与万事达卡的声明中，“已启动应急响应”“客户无需承担损失”等承诺的背后，涉及一套复杂的跨境支付责任分配机制。

在跨境支付链条中，发卡行负责发行卡片、审核交易并从持卡人账户扣划资金。万事达卡等卡组织则负责构建全球支付网络、在银行间传递交易指令、完成清算结算及货币转换。持卡人在境外消费后，交易信息通过卡组织网络在发卡行与收单机构之间传递。

2023年11月，经中国人民银行批准，万事达卡与网联清算有限公司合资成立了万事网联，成为我国第三家获准开展银行卡清算业务的机构，并于2024年5月正式开业。万事网联成立后，已与境内多家支付机构达成合作，使得合作支付机构的收单系统能够受理境内外发行的万事达卡。

9月16日，有支付机构向北京商报记者表示，作为收单侧，通常只能获取商户信息，难以获得消费者交易的完整卡片信息（如卡号、有效期、CVV2码等），其风控重点更多在于防范电信诈骗、洗钱等。对于异常交易，收单侧在识别风险后，会请求发卡行进行验证，例如通过短信验证码等方式。

盗刷事件的发生，暴露出多个环节风险控制的缺失。一位跨境支付行业从业者指出，在跨境交易场景中，理论上卡组织应对每笔交易进行风险评估，并向发卡行实时推送境外交易数据，银行则需将用户账户状态、额度变动等信息同步至卡组织系统。风险评分较高的交易应在卡组织环节就被拒绝。此次事件中，卡组织与发卡行之间的协同机制首先出现了问题。

该从业者进一步表示，除了发卡行、卡组织、收单机构和商户外，境外消费链条上还包括负责信息转换与传输的信息处理商。正常情况下，一笔交易从发起到完成需经过卡组织、信息处理商、发卡行、收单机构等多重风控审核。盗刷的发生意味着整个风控体系失效，或存在某些环节风控能力薄弱、过度依赖其他环节审核的情况。

关于盗刷主要原因及具体防范措施，北京商报记者向浦发银行、中信银行及万事达卡等方面询问，但截至发稿未获回复。在责任划分方面，多位受访人士表示，具体需等待官方公布的盗刷原因。

跨境支付安全体系的规则优化

依据行业惯例，盗刷交易的责任认定需考察交易时间、地点、验证方式等多重因素，但发生在境外的盗刷无疑增加了追责的难度。

张天在发现盗刷后，多次联系中信银行寻求解决方案，但未得到有效回复。“银行推断是我绑定了境外支付导致的扣费，我仍在等待银行的处理方案。不能因为损失金额小就忽视用户的合理诉求，毕竟谁也无法保证下次盗刷不会发生在自己身上。”张天说。

张天的焦虑也反映出跨境支付领域长期存在的信息不对称问题：用户难以了解自身卡片信息的流转路径及潜在泄露环节，只能被动依赖发卡机构和卡组织的安全承诺。

回溯历史，二十年前万事达卡合作的金融数据处理商CardSystems Solutions曾遭遇重大黑客攻击，导致大量用户账户信息泄露，这极大地推动了支付卡行业数据安全标准的合规与强化。如今，金融机构的智能防控技术已显著升级，但跨境支付的复杂性仍为欺诈行为提供了可乘之机。

盗刷事件的背后，也折射出全球化支付网络的技术统一性与地区监管差异之间的冲突。早在2016年，中国人民银行即发布《关于进一步加强银行卡风险管理的通知》，要求全面应用支付标记化技术对交易信息进行脱敏处理，并建立紧急止付和快速冻结机制。但前述从业者提到，境外部分地区商户端的验证执行标准不一，增加了防范盗刷的难度。

自2014年起，万事达卡开始在全球推广支付标记化服务。随着万事网联在中国开展业务，这项服务也已在国内落地。支付标记化技术旨在以支付标记替代银行卡卡号、验证码等敏感信息，并通过设置交易次数、金额、有效期和渠道等规则约束，从源头控制信息泄露和欺诈交易风险。

博通咨询首席分析师王蓬博认为，跨境支付安全的薄弱环节主要体现在跨境风控断层、应急响应滞后，以及银行与卡组织之间风险数据共享不及时等方面。卡组织作为结算方，应履行技术风控职责，通过追溯系统漏洞、拦截跨境风险交易来阻断盗刷，并协助银行完成资金赔付流程。

关于发卡行与卡组织的协同，王蓬博建议：首先双方应打破信息壁垒，建立实时数据共享机制，例如发卡行分享客户消费习惯、地域偏好等行为数据，卡组织同步跨境高风险地区交易动态及商户合规信息，以便及时拦截异常交易；其次应共同推进技术升级，加快芯片卡的全面普及，并联合研发智能风控系统，增强对反常交易的主动预警能力；最后需明确权责划分与应急流程，通过协议约定盗刷事件中发卡行的先行赔付责任以及卡组织的风险追溯与漏洞阻断义务。

北京市社会科学院副研究员王鹏建议，应对跨境支付盗刷问题，需构建“技术防御强化—责任边界明晰—监管协同升级”的闭环体系。技术层面应加速动态加密与人工智能风控的普及，并由国际组织牵头制定跨境支付安全框架，明确发卡行、卡组织、商户等各方的责任边界与协作流程。同时，应加强消费者保护，提醒用户关闭非必要的境外支付功能，最终实现支付安全与效率的平衡。