防行動支付綁卡盜刷 金管會出招

金管會指出，前10大發卡機構10月底前已完成相關係統調整並開始實施，其餘髮卡機構若有與國際Pay合作者，要在12月28日前完成調整，若未能依限完成者，也要採取相應配套措施，保障持卡人權益。

近期很多民衆被釣魚簡訊及一頁式廣告詐騙，即點入簡訊超連結或廣告購物時，留下自己的個資及信用卡號，又提供一次性密碼，讓詐團成功將信用卡綁入他人的手機支付中，之後被盜刷，持卡人都不會收到任何通知。

爲因應這類新式詐術，金管會已督導銀行公會針對國際行動支付服務供應商（如Apple Pay、Samsung Pay或Google Pay等）研訂防範盜刷措施，一是強化手機綁定信用卡時的身分確認機制。國際pay廠商如有提供申請人手機門號給髮卡機構，髮卡機構應確認該門號與信用卡申請人留的手機號碼一致，才能進行後續發送一次性驗證密碼（OTP）、驗證簡訊等相關身分驗證程序，以完成綁定。

二是強化綁定完成的提醒通知機制。髮卡機構在持卡人完成綁定後，即時以簡訊或電子郵件等方式，提醒持卡人已有行動裝置綁定其信用卡，該行動裝置已具信用卡感應支付功能，並加入防詐警語。

金管會認爲，由於OTP驗證簡訊在持卡人進行網路交易或綁定信用卡過程中，是確認身分的重要認證方式，因此髮卡機構發送的OTP內容要含括三項資訊，一「簡訊目的」及「防詐警語」；二如爲消費，內容應包含刷卡消費金額；三如爲綁卡，內容須揭示爲綁定信用卡驗證，供民衆加以辨識。