非觸式交易無規管 騙徒盜卡狂碌

（星島日報報道）金管局最新數據顯示，2023年首季收到229宗有關信用卡未經授權交易的投訴，而2022年全年總共有391宗，即今年首季投訴已達去年全年6成。工聯會九龍東團隊自今年3月以來，已收到十多宗信用卡詐騙求助個案，部分涉及未受規管的「手提電話非觸式交易」，事主收到「釣魚短訊」，登入高仿假冒網站欺騙輸入一次性密碼進行授權，被盜用金額由6000元至18萬元不等，當事主向銀行通報並要求中止交易，卻未獲受理。
工聯會九龍東團隊聯同兩名受害人昨日召開記者會，立法會議員鄧家彪表示，個案主要分成兩大類：一類是傳統信用卡上交易；另一類為手提電話非觸式交易，即沒有儲值功能的電子支付工具，包括Apple Pay及Google Pay等。

鄧家彪指，有受害人被釣魚網站騙去一次性密碼後與Apple Pay進行綁定，在收到交易短訊後7分鐘便向銀行通報並要求中止交易，惟銀行仍處理該交易。他強調，傳統信用卡上交易受現有《銀行營運守則》規管，惟手提電話非觸式交易並不受該守則規管，亦不屬金管局儲值支付工具發牌制度的監管範圍，存在重大漏洞。
「CUT卡」繁瑣花近50分鐘

工聯會社區主任譚美普指，手提電話非觸式交易的原理，是將信用卡全套資料複製至手提電話上，其交易普遍被視為實體卡交易而非網上交易，且獲得一次授權綁定後便可以無限次使用，毋須每次輸入密碼，同時按照現行信用卡交易機制，「實體卡」交易很大機率不會觸發交易提示短訊系統，導致有受害人信用卡遭多次盜用，在查閱月結單時始發現信用卡遭盜用。

代表友人現身說法的李先生表示，朋友於今年1月初遭到釣魚網站騙去一次性密碼，及後該信用卡被騙徒綁定至Google Pay上，在澳洲境外多次進行實體交易。當收到交易短訊後立即通知銀行要求中止信用卡服務，惟過程繁瑣耗費近50分鐘才「CUT卡」。由於盜用交易均在澳洲實體店進行，因此他們向入境處申請出入境記錄證明未曾離港，但銀行並不接納該證明，反要求事主全額付清。在與銀行協商5個月後，最終轉介至金管局才解決。

工聯會九龍東團隊就此向政府及金管機構提出系列建議，包括將手提電話非觸式交易工具納入監管範圍，並設立交易爭議處理機制；持卡人可自行決定是否每宗交易均需接收提示短訊；金管局規定所有發卡銀行在APP內設立「一鍵CUT卡」功能；發卡銀行妥善履行責任針對境外未經授權交易向所在地警方報警；及參考內地「國家反詐中心APP」，採取更為主動反詐措施。
團隊促納入監管保障市民

金管局發言人表示，根據金管局現行指引，綁定信用卡至手機支付工具，如Apple Pay應被視為高風險交易，客戶須通過雙重認證才可進行綁定，銀行並須在綁定完成後向客戶發出通知。考慮到近日透過綁定受害人信用卡至新手機支付工具作未授權交易的個案顯著增加，金管局已向業界提供新指引，要求銀行為客戶綁定信用卡至新流動支付工具，如Apple Pay時，除發出一次性手機短訊驗證碼外，須作出多一重認證，例如透過雙向SMS，程式內確認或回電（Callback），以確認客戶確實有向銀行發出相關綁定指示。