註冊
根據歐洲國際組織EPC(The European Payments Council)的報告,詐騙集團為隱匿犯罪行為並且加快取得資金,通常會透過以下幾種方式註冊或取得數位支付帳戶使用權:a、盜取他人身分資料並註冊帳戶;b、盜取現有帳戶;c、匿名註冊(例如註冊只要求電子郵件地址)。取得數位支付帳戶後,歹徒就可以利用帳戶本身已綁定的支付工具或儲值額,或將他人的信用卡綁定於數位支付帳號,以進行洗錢活動。
四大類的數位支付工具中,除電子支付之外,其他數位支付工具的註冊要求皆比較簡單,例如只用手機號碼甚至可採匿名方式進行,惟相關詐欺風險(特別由信用卡綁定所引發的相關風險)卻不見得低於電子支付,形成了風險與風控不一致的現象;再者,如EPC報告所提到的,儘管實名認證和手機認證看起來比較安全,但若相關程序不夠嚴謹(例如認證資料可能被以假網站、假交易迷惑、或口語欺詐、或駭客APP從中攔截等風險),仍有可能使得用戶在毫無警覺的情況下淪為詐騙集團的人頭戶,等到發現時往往為時已晚,甚而因此官司纏身。
建議加強管控措施
重新檢視目前數位支付風控和保護民眾的政策:數位支付的風控措施理應反映交易風險,風險越高,支付控管方式就要越謹慎,關鍵是風控若能做得越好,就算風險再高也能利用更好的風控技術或科技來減降風險而變成低風險,目前匿名制數位支付工具容易淪為詐騙集團的詐騙資金與洗錢工具,其支付限額理應較實名制數位支付來得低,惟依據現行作法,信用卡綁定於匿名數位錢包的交易限額卻比採實名制的電子支付來得高,建議未來應從風險控管的觀點,重新審視相關各類數位支付註冊和限額等的設定是否合理,以強化交易安全性。另外,目前信用卡公司對簡訊OTP認證碼遭用戶傳遞給詐騙集團後的交易仍視為合法的授權交易,須由用戶自行承擔損失,與實體信用卡遭盜用時用戶最多只需負擔一定自負額的處理方式,此作法是否允當,值得商榷。
提高實名驗證準確度:目前在台灣的實名制數位支付工具中,身分驗證程序通常會要求使用者上傳身分證,然而,此種方式並不能確保驗證程序是由身分證持有者親自完成,建議利用拍攝當下註冊人的照片與身分證上的照片利用科技進行對比,或要求註冊人持身分證採取不同的動作,以確保註冊者為身分證持有人本人。另外,也可以考慮使用TWID身分識別中心提供的身分識別驗證服務透過門號或超商進行身分認證,或搭配金融FIDO認證以提高準確度。
提防手機SIM卡落入歹徒手中:大部分數位支付工具係以手機門號註冊,手機門號亦是金融機構發送OTP和重要訊息的主要渠道,重要性不言可喻。SIM卡若不慎落入歹徒手中(例如假冒客戶本人向電信公司申請更換SIM卡),歹徒便可以輕易假冒成受害客戶,申請各類數位支付帳戶進行交易。為防止類似情況產生,電信業者受理SIM卡更換或登記為新用戶之申請案件時,應同步通過多個管道(例如簡訊和電子郵件)通知客戶,經再次確認係由用戶本人申請後,才受理相關程序,並且通知客戶所屬發卡銀行及客戶已註冊之數位支付平台,建議未來電信業者可與銀行及數位支付平台合作,促進跨機構間資訊的分享,使風險監控機制更加完善。
