万事达卡“盗刷门”背后

人在家中坐，账单从海外来信用卡贴身存放，交易却出现在了本人从未去过的地方收到入账提醒后去查账，才发现实际交易在两天前已经发生，此前却没有任何提示……过去几日间，类似的被盗刷信息在社交平台刷屏了，涉事的浦发银行和万事达卡被推上了风口浪尖。

结合多方信息来看，浦发银行本次盗刷事件主要集中在浦发万事达红沙宣信用卡产品，在监测到部分未经授权的交易后，浦发银行、万事达卡及万事网联启动应急调查，盗刷款项无需持卡人承担。

而这并非孤例。9月16日，记者进一步调查发现，不仅仅是前述红沙宣信用卡产品卷入盗刷风波，9月以来中信银行万事达的借记卡也有遭遇盗刷的情况。多名消费者指出，自己名下的中信银行暗黑破坏神万事达借记卡被盗刷。不同银行、不同卡种的盗刷信息背后，均指向了提供服务的万事达卡。作为连接全球商户与发卡机构的核心枢纽，银行卡清算组织万事达卡在此次事件中的角色与责任，成为透视跨境支付安全生态的关键窗口。

技术防线的现实裂缝

浦发银行信用卡盗刷风波纷纷扬扬，无人关注的角落里，还有一家银行的借记卡持卡用户也遭遇了同样的问题。

消费者张天（化名）告诉记者，9月12日，其收到中信银行推送的消费通知，页面信息显示银行卡在境外消费9.64元人民币。张天迅速意识到银行卡被盗刷，随后立即向中信银行客服反馈了相关信息。

经中信银行客服核实，该笔交易刷卡地点在印尼，交易金额约为22000印尼盾，在扣款的四天前，张天所持有的这张借记卡已经在9月8日发生了预授权。张天对此却并不知情，这也让他不禁质疑，为何在预授权时，银行方面没有任何提醒。对此，中信银行客服的解释是，张天并未开通短信提醒功能。

在公开社交平台上分享这一经历后，张天找到了几位同样持有中信银行暗黑破坏神万事达借记卡且被盗刷的用户，还有一名被盗刷用户的交易商户与张天相同。而在张天发起的讨论中，还有不少持有同系列借记卡的用户表示自己遇到了同样的情况。

张天的遭遇也引起了刘宇（化名）的关注。比张天更早一点，刘宇在9月3日晚间连续收到中信银行的短信通知，提示其交易被防盗刷安全锁中止。这张卡一直在我身边，上一次使用是2024年12月在日本。本次盗刷方一共尝试了三次都被系统拦截了，因此没有造成我的实际损失。次日我便向银行申请了换卡，这会对卡片有效期和CVV2码进行更新。因为实际交易被中止，银行方也无法查询盗刷具体发生在何处。刘宇表示。

针对消费者反馈的借记卡被盗刷问题，何种情况下会触发防盗刷安全锁、对于盗刷等风险交易有哪些防范措施，记者向中信银行进行采访，但截至发稿未收到回复。

就在刘宇、张天接连遭遇盗刷的期间，浦发银行万事达红沙宣信用卡被大规模盗刷，越来越多的消费者在社交平台上发布信息反馈情况，引发多方关注。综合多方信息来看，被盗刷的信用卡中涉及的情况包括异常交易未被拦截、限额卡片被超额消费、已申请注销或已申报挂失的卡片仍被盗刷等多类，交易地点则均发生在境外。

9月13日，浦发银行信用卡中心、万事达卡、万事网联相继发布情况说明，均表示检测到部分万事达无价世界卡发生未经授权的交易，已经第一时间启动应急响应。从记者获得的最新进展来看，涉事方确认盗刷款项无需持卡人承担，会陆续进行调账处理。

卡组织与多方的权责边界

相较于能被大额消费的信用卡，部分借记卡被盗刷的用户有些庆幸，由于借记卡内余额较少，造成的资金损失并不大，但这也并不能完全打消持卡用户对于盗刷的担忧。

对于引发相关盗刷的原因，业内众说纷纭，更多质疑指向了发卡行和卡组织的风控体系。有行业人士表示，银行卡被盗刷的情况在业内时有发生，尤其是跨境支付领域，被盗刷的原因五花八门，并不能一刀切。此外，刘宇也在采访中提到，自己另外持有汇丰银行和招商银行的万事达借记卡，则未发生盗刷情况。

而在浦发银行与万事达卡的声明中，已启动应急响应客户无需承担损失的承诺背后，还有一套复杂的跨境支付责任分配体系。

在跨境支付中，发卡行负责签发支付卡片、审核交易并从持卡人账户扣划相应资金。而万事达卡这类卡组织则负责搭建全球支付网络、在不同银行间传递交易指令、进行清算与结算，并负责货币转换。持卡人跨境消费后，交易信息经卡组织网络在发卡行与收单方间传递。

2023年11月，经人民银行许可，万事达卡与网联清算公司合资成立万事网联，这也是我国第三家获准运营的银行卡清算业务机构，后于2024年5月正式营业。万事网联开业后，陆续与境内多家支付机构达成合作，合作支付机构的收单系统可全面受理境内外发行的万事达卡。

9月16日，有支付机构方面告诉记者，作为收单侧，更多获取的是商户信息，正常情况下无法获得消费者交易的完整卡片信息，尤其是卡号、有效期、CVV2码等，风控体系更关注的是电诈、洗钱等。对于不合理的交易，收单侧在意识到风险时，会请求发卡行进行校验，就是较为日常的短信验证码环节。

而盗刷事件背后，实际上是多个环节的风控审核缺失。另有跨境支付行业从业人员指出，在跨境场景中，理论上，卡组织应该对每笔交易进行风控评估，并向发卡行实时推送境外交易数据，银行则需将用户账户状态、额度变动等信息同步至卡组织系统。风险分数较高的交易，在卡组织这一环就会被拒绝。相关盗刷事件中，卡组织与发卡行的协同机制首先出现了断层。

此外，前述从业人员表示，除了发卡行、卡组织、收单机构以及商户外，境外消费的链条上还有一环是信息处理商，用于保障信息转换与传输。常规交易中，一笔交易从发起到完成需要经历卡组织、信息处理商、发卡行、收单机构等多重风控体系审核，盗刷即意味着风控体系全部失效，或是存在部分环节风控能力薄弱、过度依赖其他环节的审核能力，最终造成盗刷。

对于产生盗刷的主要原因和具体的防范措施，记者向浦发银行、中信银行以及万事达卡等进行采访，但截至发稿未收到回复。在各方具体的责任划分方面，多位受访人士指出，具体还是要看官方公布导致盗刷的原因。

跨境支付安全的规则重构

按照行业惯例，盗刷交易的责任判定需考察交易时间、地点、验证方式等诸多要素，但发生在境外的盗刷则为这类追责增加了难点。

在发现被盗刷后，张天曾数次向中信银行寻求解决方案，但未能获得有效回复。银行认定我是绑定了境外支付后导致的扣费，现在我仍在等待银行给我处理方案。不能因为受损金额少就忽视掉我们的合理诉求，毕竟谁也不能保证下一次被盗刷的是谁的银行卡。张天表示。

张天的焦虑也折射出跨境支付领域长期存在的信息不对称，用户难以知晓自己的卡片信息如何流转、在哪些环节存在泄露风险，只能被动依赖发卡机构和卡组织的安全承诺。

20年前，万事达卡合作的金融交易数据处理厂商CardSystems Solutions遭遇重大黑客攻击，导致大量用户账户信息被泄露，极大地推动了支付卡行业数据安全标准的合规与强化。当前，金融机构的智能防控技术虽已大幅升级，但跨境支付的复杂性仍给欺诈分子可乘之机。

盗刷事件背后，全球化支付网络的技术统一性与地区监管差异性之间冲突仍存。早在2016年，中国人民银行发布《关于进一步加强银行卡风险管理的通知》，要求全面应用支付标记化技术，对交易信息进行脱敏处理，并建立紧急止付和快速冻结机制。但前述从业人员也提到，境外部分地区商户端验证执行标准参差不齐，为防盗刷增添了难度。

自2014年开始，万事达卡开始在全球支付网络内推行支付标记化服务，随着万事网联在中国展开业务，这一服务在中国境内也已落地。据介绍，支付标记化服务，即应用支付标记化技术，替代银行卡卡号、卡片验证码、支付机构支付账户等敏感信息，通过设置支付标记的交易次数、交易金额、有效期和支付渠道等约束规则，从源头控制信息泄露和欺诈交易风险。

在博通咨询首席分析师王蓬博看来，跨境支付安全薄弱环节主要表现在跨境风控断层、应急响应迟缓，以及银行与卡组织风险数据共享不及时等方面。卡组织作为结算方，需履行技术风控义务，应通过系统漏洞追溯、跨境风险拦截阻断盗刷，并协助银行完成资金赔付流程。

在发卡行与卡组织的协同上，王蓬博指出，首先双方需打破信息壁垒，建立实时数据共享机制，例如发卡行可共享客户日常消费场景、地域偏好等行为数据，结算方可同步跨境高风险地区交易动态、商户合规信息，及时拦截异常交易；其次应联合推进技术升级，加快芯片卡全面普及，并共同研发智能风控系统，强化对反常交易的主动预警能力；最后要明确权责划分与应急流程，通过协议约定盗刷事件中发卡行的先行赔付责任、结算方的风险溯源与漏洞阻断义务。

北京市社会科学院副研究员王鹏则建议，跨境支付盗刷问题需通过技术防御强化—责任边界明晰—监管协同升级构建闭环体系。技术层面应加速动态加密与AI风控普及，由国际组织牵头制定跨境支付安全框架，明确发卡行、卡组织、商户的责任边界与协作流程。同时，要强化消费者保护，提醒消费者关闭非必要境外支付功能，最终实现安全与效率的平衡。

记者 廖蒙