防行动支付绑卡盗刷 金管会出招

金管会指出，前10大发卡机构10月底前已完成相关系统调整并开始实施，其余发卡机构若有与国际Pay合作者，要在12月28日前完成调整，若未能依限完成者，也要采取相应配套措施，保障持卡人权益。

近期很多民众被钓鱼简讯及一页式广告诈骗，即点入简讯超连结或广告购物时，留下自己的个资及信用卡号，又提供一次性密码，让诈团成功将信用卡绑入他人的手机支付中，之后被盗刷，持卡人都不会收到任何通知。

为因应这类新式诈术，金管会已督导银行公会针对国际行动支付服务供应商（如Apple Pay、Samsung Pay或Google Pay等）研订防范盗刷措施，一是强化手机绑定信用卡时的身分确认机制。国际pay厂商如有提供申请人手机门号给发卡机构，发卡机构应确认该门号与信用卡申请人留的手机号码一致，才能进行后续发送一次性验证密码（OTP）、验证简讯等相关身分验证程序，以完成绑定。

二是强化绑定完成的提醒通知机制。发卡机构在持卡人完成绑定后，即时以简讯或电子邮件等方式，提醒持卡人已有行动装置绑定其信用卡，该行动装置已具信用卡感应支付功能，并加入防诈警语。

金管会认为，由于OTP验证简讯在持卡人进行网路交易或绑定信用卡过程中，是确认身分的重要认证方式，因此发卡机构发送的OTP内容要含括三项资讯，一「简讯目的」及「防诈警语」；二如为消费，内容应包含刷卡消费金额；三如为绑卡，内容须揭示为绑定信用卡验证，供民众加以辨识。