一场针对特定信用卡的有组织技术攻击，突破了银行安全防线，数百名持卡人深夜遭遇跨国盗刷，银行紧急响应承诺承担损失。

　　9月13日凌晨，浦发银行信用卡中心发布紧急声明，回应近期部分万事达卡发生的未经授权交易事件。声明称，该中心已与万事达卡组织第一时间启动应急响应机制，及时发现并阻断了风险，并承诺避免客户承担“不应由其承担的损失”。

　　此前，多位浦发银行信用卡用户在社交平台上反映，其名下的万事达“无价世界卡”遭遇境外盗刷。相关交易大多发生在持卡人不知情、亦无境外交易行为的情况下，事件引发公众对跨境支付安全的担忧。

　　跨国盗刷集中爆发，

　　注销卡仍被盗刷？

　　9月中旬，浦发银行信用卡遭遇大规模境外盗刷事件。新浪金融研究院注意到，在某社交平台上，遭遇此次盗刷的持卡人群聊已达350余人。

　　这些持卡人表示，自己的信用卡在未离身且未进行任何操作的情况下，突然出现多笔境外消费记录，单笔金额从数千到数万元不等。

　　时间上，盗刷集中爆发于9月9日至11日，且均发生在巴西境内。

　　交易模式上，几乎所有被盗刷用户都经历了“小额试探+大额连续消费”的流程，首笔交易多为10元内的小额支付，确认可成功扣款后，随即发生2-3笔不超过5000巴西雷亚尔（约合6500元人民币）的大额消费，多数用户的总损失金额集中在2万元左右。

　　令人不解的是，即便是可用额度极低的信用卡也未能幸免。社交媒体上有用户反映，其浦发银行信用卡总额度仅为2万元，可用额度仅剩600余元，却在巴西发生了3笔盗刷交易，合计金额接近2万元。

图源：小红书

　　更加匪夷所思的是，有持卡人发帖称，曾在8月中旬致电浦发银行客服要求注销信用卡，App随后显示卡片已失效，但却在9月中旬仍然收到该信用卡在巴西被盗刷的提示信息。

图源：小红书

　　“信用卡注销需经过30~45天‘观察期’，在这期间卡片仍存在潜在交易风险。”有银行业内人士解释称，这个观察期的目的是确保信用卡账户内没有未结清的欠款、未入账的交易或其他潜在争议款项，如果在观察期内没有异常情况，如新的欠款产生，并且之前的欠款已经全部结清，那么30~45天后银行系统会自动完成销户操作。

　　银行承诺保障客户合法权益，

　　部分持卡人账单已被清零

　　随着受害人群体的不断扩大和舆论持续发酵，浦发银行信用卡中心于9月13日凌晨紧急发布官方声明，称已监测到部分“无价世界卡”发生未经授权的境外交易，目前已联合万事达卡组织启动应急响应机制，“及时发现并阻断后续风险”，同时明确承诺将保障客户合法权益，避免用户承担不应有的损失。

图源：“浦发银行信用卡”微信公众号

　　同日，万事达卡组织旗下万事网联也发布公告，称已与包括浦发银行在内的发卡银行启动应急调查，成立专项小组追溯风险源、阻断潜在风险，并共同推进相关持卡人的资金保障流程，避免持卡人承担不应由其承担的损失。

　　对于受害者而言，最核心的关切在于这些未经授权的交易损失最终将由谁承担。

　　目前，多数遭遇盗刷的持卡人已联系浦发银行并将相关信用卡冻结或挂失，部分持卡人的盗刷账单已被清零。

　　有受害持卡人表示：“账单已经清零。我不需要补卡并要求注销卡，但客服表示目前有冻结的款项，无法操作注销。我打算下个月再联系浦发银行将卡注销。”该持卡人共被盗刷1．3万元左右，9月12日账单仍显示该金额，9月13日已经归零。

图源：小红书

　　根据国际信用卡清算规则，非因持卡人自身过错导致的盗刷损失，通常由发卡银行或卡组织承担。

　　根据《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》，发生伪卡盗刷交易或者网络盗刷交易，信用卡持卡人基于信用卡合同法律关系请求发卡行返还扣划的透支款本息、违约金并赔偿损失的，人民法院依法予以支持。

　　跨境风控体系持续完善但仍存挑战，

　　持卡人需掌握应急处置技能

　　从行业视角来看，信用卡境外集中盗刷并非首次发生。去年12月，有工行信用卡用户反馈，在前往巴黎旅行的情况下，卡片在当地发生5000多欧元的盗刷交易；今年4月，也有居住在西班牙的中国用户在社交平台发文，称自己的招行全币种信用卡被盗刷24万印度卢布。

图源：小红书

　　但此次浦发银行事件因两个特点引发更多关注：一是实时提醒机制失效，多位用户反馈，盗刷交易发生时未收到银行发送的短信或微信通知，仅在交易完成入账后才收到账单提醒，导致错过第一时间止损的机会。

图源：知乎

　　二是超授信额度交易规则存疑，前述持卡用户总额度为2万元，剩余可用额度仅600余元，却仍被盗刷1.9万元，超授比例达90%，而据行业常规，信用卡超授信额度通常控制在10%以内，此次超授比例明显超出合理范围。

　　多位信用卡行业分析人士表示，按照当前的情形看，有组织的技术性盗刷攻击的可能性更大。这意味着黑客可能找到了相关信用卡产品安全防护体系的某个漏洞，最终造成了这次集中盗刷事件。

　　事实上，针对境外盗刷这一支付安全“难题”，监管层面早有明确要求。

　　2016年，中国人民银行发布的《关于进一步加强银行卡风险管理的通知》（银发〔2016〕170号）明确要求商业银行和支付机构“强化支付敏感信息内控管理”，并“全面应用支付标记化技术”（Tokenization），从源头控制信息泄露和欺诈交易风险，同时要求银行卡清算机构应会同成员机构进一步落实银行卡受理过程中的伪卡欺诈风险责任，保护芯片化迁移方的权益。建立完善的投诉处理机制，妥善处理欺诈风险事件，切实保障客户的合法权益。

　　监管要求并未止步于此。为持续提升银行跨境支付风险防控能力，2022年中国人民银行又发布了《关于支持外贸新业态跨境人民币结算的通知》，进一步细化了对银行和支付机构在跨境业务中的展业要求，包括“明确业务真实性审核、反洗钱、反恐怖融资、反逃税以及数据报送等要求，压实银行与支付机构展业责任，防控业务风险”。

　　2024年4月，国家外汇管理局在发布《关于金融机构报送银行卡境外交易信息的通知》中，要求发卡行每日报送前24小时内单笔等值1000元人民币以上的境外消费交易信息，实行零报送制度并纳入外汇管理考核。这一规定显著提升了境外交易的透明度，为风险追溯提供了数据基础。

　　尽管商业银行已按监管要求，逐步搭建起覆盖跨境交易全流程的风险监控模型，完善紧急止付、快速冻结等应急处置机制，并且多数银行还同步优化了“可疑交易自动拦截”等防护功能，但行业共识是，这些措施仍难以完全杜绝技术手段不断翻新的跨境盗刷行为。

　　对于普通持卡人来说，了解如何防范盗刷风险至关重要。银行专业人士建议，若当前无境外消费需求，可联系银行暂时关闭境外支付功能，避免财产损失。

　　各家银行App均提供账户安全锁功能，其中包括境外安全锁、夜间安全锁，以及异地账户使用安全锁。用户可根据自身需求启用相应功能，有效避免资金损失。

　　在进行刷卡交易时，可适当调整消费限额，并增加密码验证和短信提示。在银行卡使用期间，设置较低的免密触发金额，也能在一定程度上降低被盗刷的风险。

　　目前银行卡账户金额变动提醒的方式有多种，最常见的就是短信和微信银行的提醒服务。持卡人可多渠道设置消费提醒，以便在某种渠道出现问题时仍能及时获知账户变动情况，最大程度降低盗刷损失。

　　如果发现未经授权的交易，应立即拨打发卡行客服热线核实情况、冻结账户，并及时报警处理。