事件概述 - 2024年9月，浦发银行万事达“红沙宣”信用卡和中信银行“暗黑破坏神”万事达借记卡接连发生跨境盗刷事件 [1][2] - 盗刷交易均发生在境外，涉及印尼等地，部分交易在扣款前数日已发生预授权但持卡人未收到提醒 [2][3] - 浦发银行信用卡中心、万事达卡及万事网联检测到部分万事达无价世界卡发生未经授权的交易，已启动应急响应，确认盗刷款项无需持卡人承担 [1][4] 涉及方与责任界定 - 银行卡清算组织万事达卡作为连接全球商户与发卡机构的核心枢纽，负责搭建全球支付网络、传递交易指令及清算结算 [6] - 发卡行负责签发卡片、审核交易并从持卡人账户扣划资金 [6] - 盗刷事件暴露了卡组织与发卡行在跨境交易中的协同机制出现断层，风控体系存在审核缺失或过度依赖 [7][8] 技术漏洞与风控失效 - 部分借记卡持卡人因未开通短信提醒功能，未能及时获知预授权及交易信息 [2] - 跨境支付链条涉及发卡行、卡组织、收单机构、商户及信息处理商等多个环节，盗刷意味着多重风控体系全部失效或部分环节能力薄弱 [7][8] - 中信银行部分用户的交易因“防盗刷安全锁”系统拦截而未造成实际损失，但银行方无法查询被拦截交易的具体发生地点 [3] 行业背景与安全措施 - 万事达卡与网联清算公司合资成立的万事网联于2023年11月获中国人民银行许可，2024年5月正式营业，是我国第三家获准运营的银行卡清算业务机构 [7] - 自2014年，万事达卡在全球推行支付标记化服务，以替代银行卡卡号等敏感信息，该服务已通过万事网联在中国境内落地 [10] - 跨境支付安全薄弱环节主要表现在跨境风控断层、应急响应迟缓，以及银行与卡组织风险数据共享不及时等方面 [10] 专家建议与行业展望 - 专家建议发卡行与卡组织需打破信息壁垒，建立实时数据共享机制，联合推进技术升级并明确权责划分与应急流程 [11] - 需通过“技术防御强化—责任边界明晰—监管协同升级”构建闭环体系，由国际组织牵头制定跨境支付安全框架，并强化消费者保护 [11]

事件概述 - 浦发银行万事达"红沙宣"信用卡和中信银行万事达"暗黑破坏神"借记卡在2024年9月发生跨境盗刷事件 涉及未经授权交易 交易地点均为境外 银行和卡组织承诺盗刷款项无需持卡人承担[1][3][9] - 盗刷案例包括异常交易未拦截、限额卡片超额消费、已注销或挂失卡片仍被盗刷等类型 部分借记卡盗刷金额较小 如一笔交易金额为9.64元人民币（约22000印尼盾）[3][6][8] 涉事方响应 - 浦发银行、万事达卡和万事网联在9月13日启动应急响应 检测到部分万事达无价世界卡未经授权交易 承诺进行调账处理[9] - 中信银行未对防盗刷安全锁触发条件及风险交易防范措施作出回应 部分用户因未开通短信提醒未能及时获知预授权交易[3][6][8] 跨境支付责任机制 - 跨境支付涉及发卡行（签发卡片、审核交易、资金扣划）、卡组织（搭建支付网络、传递交易指令、清算结算、货币转换）和收单机构等多方 风控需协同运作[11] - 盗刷反映风控审核缺失 可能源于卡组织与发卡行协同机制断层 或部分环节风控能力薄弱、过度依赖其他环节审核[12] 技术与管理漏洞 - 跨境支付存在信息不对称 用户难以追踪卡片信息流转和泄露环节 依赖发卡机构和卡组织安全承诺[13] - 境外商户端验证执行标准参差不齐 增加防盗刷难度 支付标记化技术（替代卡号、验证码等敏感信息）已在中国落地但未全面覆盖风险[14] 行业改进方向 - 需打破发卡行与卡组织信息壁垒 建立实时数据共享机制（如消费场景偏好、高风险地区交易动态） 联合研发智能风控系统强化反常交易预警[15] - 应通过技术防御强化（动态加密、AI风控）、责任边界明晰（发卡行先行赔付、卡组织风险溯源）和监管协同升级构建跨境支付安全闭环体系[15]