《經濟參考報》于6月6日刊發了《支付密碼被改　持卡人質疑交行風控》一文。近日，記者從持卡人方面獲悉，對于信用卡被盜刷8552元一事，交行方面依然拒絕承擔責任，并要求持卡人償還被盜刷的欠款。“我和交行協商，交行方面說可以分三個月還款，前三個月可以不收取手續費和利息，但本金不能少還。”楊女士對《經濟參考報》記者說。

　　楊女士稱，“交行方面認為當時是我把個人信息泄露了，但至于為什么我的手機在沒有收到密碼修改的短信提示和驗證碼的情況下，就被修改了密碼，交行不能給出明確的說法。”

　　今年5月8日，楊女士的交行信用卡被盜刷了8552元是分為三筆交易，通過第三方支付平臺易寶支付進行，在一個名為寶物網的購物網站上下單完成的。至于這筆資金具體流向了哪個商戶名下，則不得而知。

　　事實上，近年來，支付寶、微信、財付通等都建立起了龐大的支付鏈條，第三方支付工具也日漸成為銀行與商戶間的資金流通橋梁。不過，在這些合作過程中，資金風險隱患時常被消費者詬病，第三方支付金融終端等工具的漏洞也頻頻被不法分子所利用。

　　《經濟參考報》記者查閱以往的案例發現，不法分子盜刷信用卡或銀行卡有幾種手段。一種是制造虛假第三方支付軟件或網站，騙取網上或手機購物的持卡人輸入銀行卡信息，從而復制并偽造銀行卡進行盜刷。還有一種更新的做法是，以辦卡人的名義和自己的手機號開通第三方支付，并與辦卡人的信用卡號捆綁，使用第三方支付的密碼以及指定手機號收到驗證碼，直接轉走卡內的資金。

　　另外，隨著互聯網技術的提高，平時只要在手機上輸入銀行卡在第三方支付的密碼就可以輕松進行網購支付，但由此帶來的風險是，如果手機遺失，很容易被不法分子利用。

　　一位業內分析人士指出，“如果，隨意拿起一部已綁定了第三方快捷支付的手機，并同時獲知該快捷支付開通者的身份證號。那么，登錄快捷支付賬戶，在輸入賬戶名后，點擊忘記登錄密碼，之后輸入手機短信上的驗證碼就可以進入更改密碼界面。在完成修改密碼并登錄快捷支付賬戶，可以看到綁定的銀行卡信息，同樣運用找回密碼功能更改銀行卡快捷支付密碼，接下來就可以順利地轉賬或消費。”

　　北京郵電大學經濟管理學院教授楊學成表示，“就信用卡盜刷來說，整個鏈條涉及商戶、第三方支付機構和銀行三方。從支付交易的各個環節所承擔的風險責任來分析，商戶承擔了用戶身份及購買行為風險識別的責任。”

　　“第三方支付機構受限于用戶、商品和銀行卡等信息不足，不太可能完全識別和控制交易環節中的風險。銀行則負責對用戶信用卡信息核對，提供不同安全級別的安全認證接口，一旦用戶信息泄露，銀行也很難做出判斷。”楊學成認為，“支付風險控制是一個鏈條系統化、結構化的體系，一個安全的消費環境需要商戶、第三方支付機構和金融機構三方共同營造，任何一方存在漏洞，都有可能引發安全風險。”

　　業內分析人士普遍認為，目前，越來越多的人選擇快捷支付進行網上購物，但第三方移動支付行業的快捷支付功能，本身就面臨著安全與快捷的矛盾。

　　今年4月，銀監會與央行聯合下發了《關于加強商業銀行與第三方支付機構合作業務管理的通知》(銀監發【2014】10號)，明確強調，“首次建立業務關聯時，必須通過第三方支付機構和銀行的雙重身份鑒別”，在實踐操作中，開通快捷支付時一般只需要第三方支付機構的身份鑒別。同時，還指出“第三方支付需要和銀行共享客戶和交易信息”，交易信息至少應包括：直接提供商品或服務的商戶名稱、類別和代碼，受理終端(網絡支付接口)類型和代碼，交易時間和地點(網絡特約商戶的網絡地址)，交易金額，交易類型和渠道，交易發起方式等；網絡特約商戶的交易信息還應當包括商品訂單號和網絡交易平臺名稱。但在實際操作中，部分第三方支付機構發送給銀行的信息并不包括二級賬戶的信息，即銀行只能看到有一筆錢交易，但無法得知資金具體流向和用途。

　　這意味著，銀行需要在與第三方支付機構合作過程中，更嚴格地把控資金交易風險。一位第三方支付機構人士認為，“快捷支付領域應在安全和快捷之間找到平衡點，要在確保安全性的前提下，考慮縮短流程改進用戶體驗。快捷支付必須研發新技術提升支付安全，如新增指紋識別、聲控識別等技術，或者考慮設定一定時間到賬之類的方法。”