行動支付防盜安全通知機制之研析
撰成日期:110年4月
更新日期:110年4月9日
資料類別:議題研析
作者:何弘光
編號:R01277
一、題目:行動支付防盜安全通知機制之研析
二、所涉法規
電子支付機構管理條例、電子支付機構資訊系統標準及安全控管作業基準辦法、電子支付機構業務管理規則
三、探討研析
(一)報載行動支付單筆交易超過新臺幣5,000元以上銀行須通知客戶
依照現行規範,客戶使用ATM轉帳單筆交易新臺幣(下同)3萬元、信用卡刷卡單筆超過5,000元,銀行必須以簡訊、App推播或email等方式向客戶確認。但有立法委員認為目前消費者在使用行動支付時沒有收到通知,反而成為漏洞,於是提案要求金融監督管理委員會(下稱金管會)納入行動支付消費,此外ATM單筆轉帳通知門檻也應向下調整至1萬元。
銀行局官員表示,銀行公會已於2021年3月初正式向金管會送件,將修訂目前的《金融機構辦理電子銀行業務安全控管作業基準辦法》,用自律規範的方式,要求所有公會會員即銀行,只要客戶使用ATM轉帳單筆交易1萬元以上、信用卡刷卡單筆超過5,000元、行動支付單筆交易超過5,000元,金融機構就必須以簡訊、App推播或email等方式向客戶確認。金管會表示目前已收件正在審查當中,依程序2個月內應有機會依立委要求,在4月底前上路 。
(二)相關規定
所謂行動支付係指業者應用新興技術,將實體支付工具如信用卡、電子票證等下載至行動裝置(包括手機或手環、指環等穿戴式裝置),讓行動裝置變錢包,消費者經過申請及身分驗證等程序後,即可持行動裝置進行消費交易 。有關該交易確認通知機制之相關規定如下:
1. 《電子支付機構管理條例》第29條第2項規定:「專營之電子支付機構應建置符合一定水準之資訊系統,其辦理業務之資訊系統標準及安全控管作業基準,由主管機關定之,變更時亦同。」
2. 《電子支付機構資訊系統標準及安全控管作業基準辦法》第10條之1第7款規定:「約定連結存款帳戶付款之設計原則,應符合下列要求:七、通知機制:電子支付機構應要求開戶金融機構建立通知機制,於完成轉帳交易後,通知使用者。」
3. 《電子支付機構業務管理規則》第7條第3項規定:「電子支付機構對於使用者支付指示,應以使用者同意之方式通知其再確認,並於執行使用者支付指示後通知其結果。」
四、建議事項
為降低詐騙案發生機會,立法院財政委員會2020年12月17日通過臨時提案,要求ATM轉帳單筆1萬元、行動支付5,000元,銀行應以簡訊、APP推播或電子郵件方式通知消費者,預定2021年4月前實施 ,金管會表示在4月底前上路。而截至2021年1月底止,計有5家專營電子支付機構及23家兼營電子支付機構(含銀行、中華郵政股份有限公司及電子票證發行機構),總使用者人數約1,212萬人 ,針對行動支付產業未來可能面臨的各種挑戰,建立完善的風險管理機制,持續強化交易環境之安全防護,應是首要之務。除上開報載情形外,另建議作法如下:
(一) 行動支付當日交易次數超過5次者應簡訊通知客戶
為確保信用卡網路交易安全,防範信用卡網路交易盜刷,金管會已要求信用卡發卡機構、收單機構及相關單位採行相關安全機制,例如針對當日國外網路交易累計交易次數達5次(含)以上者,發卡機構將即時以簡訊、APP推播或電子郵件等方式通知持卡人,以利持卡人即時掌握相關交易訊息 。而行動支付被盜用之風險亦高,自應比照辦理,惟其通知方式似以簡訊較為即時。
(二) 行動支付當日交易次數之計算應不分國內外
金管會已要求信用卡發卡機構、收單機構及相關單位採行相關安全機制,針對當日「國外」網路交易累計交易次數達5次(含)以上者,發卡機構將即時以簡訊、APP推播或電子郵件等方式通知持卡人,以利持卡人即時掌握相關交易訊息。惟行動支付重在「行動」,所以其即時通知防範機制之交易次數計算,並不同於信用卡,即不應限於「國外」,而應將其國內外之交易次數併計。
(三) 行動支付當日交易次數或金額明顯異常者應電洽消費者
行動支付當日交易次數或金額明顯重大異常者,例如短時間密集交易或交易金額暴增等,即有可能是消費者在意思不自主或由他人為行動支付之操作者,此時,縱使依上述簡訊通知亦無法降低風險,宜由客服人員電洽消費者探求真意,多層安全防護。
撰稿人:何弘光
二、所涉法規
電子支付機構管理條例、電子支付機構資訊系統標準及安全控管作業基準辦法、電子支付機構業務管理規則
三、探討研析
(一)報載行動支付單筆交易超過新臺幣5,000元以上銀行須通知客戶
依照現行規範,客戶使用ATM轉帳單筆交易新臺幣(下同)3萬元、信用卡刷卡單筆超過5,000元,銀行必須以簡訊、App推播或email等方式向客戶確認。但有立法委員認為目前消費者在使用行動支付時沒有收到通知,反而成為漏洞,於是提案要求金融監督管理委員會(下稱金管會)納入行動支付消費,此外ATM單筆轉帳通知門檻也應向下調整至1萬元。
銀行局官員表示,銀行公會已於2021年3月初正式向金管會送件,將修訂目前的《金融機構辦理電子銀行業務安全控管作業基準辦法》,用自律規範的方式,要求所有公會會員即銀行,只要客戶使用ATM轉帳單筆交易1萬元以上、信用卡刷卡單筆超過5,000元、行動支付單筆交易超過5,000元,金融機構就必須以簡訊、App推播或email等方式向客戶確認。金管會表示目前已收件正在審查當中,依程序2個月內應有機會依立委要求,在4月底前上路 。
(二)相關規定
所謂行動支付係指業者應用新興技術,將實體支付工具如信用卡、電子票證等下載至行動裝置(包括手機或手環、指環等穿戴式裝置),讓行動裝置變錢包,消費者經過申請及身分驗證等程序後,即可持行動裝置進行消費交易 。有關該交易確認通知機制之相關規定如下:
1. 《電子支付機構管理條例》第29條第2項規定:「專營之電子支付機構應建置符合一定水準之資訊系統,其辦理業務之資訊系統標準及安全控管作業基準,由主管機關定之,變更時亦同。」
2. 《電子支付機構資訊系統標準及安全控管作業基準辦法》第10條之1第7款規定:「約定連結存款帳戶付款之設計原則,應符合下列要求:七、通知機制:電子支付機構應要求開戶金融機構建立通知機制,於完成轉帳交易後,通知使用者。」
3. 《電子支付機構業務管理規則》第7條第3項規定:「電子支付機構對於使用者支付指示,應以使用者同意之方式通知其再確認,並於執行使用者支付指示後通知其結果。」
四、建議事項
為降低詐騙案發生機會,立法院財政委員會2020年12月17日通過臨時提案,要求ATM轉帳單筆1萬元、行動支付5,000元,銀行應以簡訊、APP推播或電子郵件方式通知消費者,預定2021年4月前實施 ,金管會表示在4月底前上路。而截至2021年1月底止,計有5家專營電子支付機構及23家兼營電子支付機構(含銀行、中華郵政股份有限公司及電子票證發行機構),總使用者人數約1,212萬人 ,針對行動支付產業未來可能面臨的各種挑戰,建立完善的風險管理機制,持續強化交易環境之安全防護,應是首要之務。除上開報載情形外,另建議作法如下:
(一) 行動支付當日交易次數超過5次者應簡訊通知客戶
為確保信用卡網路交易安全,防範信用卡網路交易盜刷,金管會已要求信用卡發卡機構、收單機構及相關單位採行相關安全機制,例如針對當日國外網路交易累計交易次數達5次(含)以上者,發卡機構將即時以簡訊、APP推播或電子郵件等方式通知持卡人,以利持卡人即時掌握相關交易訊息 。而行動支付被盜用之風險亦高,自應比照辦理,惟其通知方式似以簡訊較為即時。
(二) 行動支付當日交易次數之計算應不分國內外
金管會已要求信用卡發卡機構、收單機構及相關單位採行相關安全機制,針對當日「國外」網路交易累計交易次數達5次(含)以上者,發卡機構將即時以簡訊、APP推播或電子郵件等方式通知持卡人,以利持卡人即時掌握相關交易訊息。惟行動支付重在「行動」,所以其即時通知防範機制之交易次數計算,並不同於信用卡,即不應限於「國外」,而應將其國內外之交易次數併計。
(三) 行動支付當日交易次數或金額明顯異常者應電洽消費者
行動支付當日交易次數或金額明顯重大異常者,例如短時間密集交易或交易金額暴增等,即有可能是消費者在意思不自主或由他人為行動支付之操作者,此時,縱使依上述簡訊通知亦無法降低風險,宜由客服人員電洽消費者探求真意,多層安全防護。
撰稿人:何弘光