近日，多位浦发银行信用卡用户反映，其名下万事达“无价世界卡”在境外遭遇盗刷。记者获悉，浦发银行已向部分用户提供补偿措施，包括积分补偿、消费返还及费用减免等。同时，浦发银行信用卡中心也迅速回应称，近期已监测到部分客户存在未经本人授权的异常交易，并已启动风险防控机制。

然而，这一事件仍引起高度关注：在移动支付盛行、跨境消费日益频繁的背景下，“隔空”盗刷是如何发生的？一旦损失产生，责任应如何划分？而在磁条卡仍在海外大量使用的现实下，支付安全风险该如何防范？

隔空盗刷如何发生？

与国内“刷卡必须输入密码”的普遍习惯不同，海外信用卡交易中，持卡人多数场景只需提供卡号、有效期与CVV码（Card Verification Value）即可完成支付。缺乏密码验证的流程，令信用卡信息一旦泄露，极易被复制利用。

CVV码由发卡行通过算法生成，并印制在卡背签名栏附近。它与卡号、有效期共同构成离线交易的核心验证要素，主要用于酒店预订、电话订票、网络购物等无需实体卡的支付。

“盗刷的关键往往在于CVV码。”浙江杭州一位支付行业技术专家对记者解释称，“卡号和有效期在很多支付环节可能被记录，若再加上CVV码，几乎等同于拿到一张可交易的信用卡。”

记者了解到，CVV码被盗取存在多种途径。最常见的是数据泄露，黑客通过攻击电商网站、支付平台甚至银行数据库，批量窃取卡片信息。暗网交易是另一途径，一整套包括卡号、有效期、CVV、姓名及地址的信息，售价仅数美元至十几美元不等。

此外，钓鱼诈骗也较为普遍，犯罪分子伪造银行或支付平台网站，通过短信或邮件诱导用户输入信用卡信息。物理偷盗同样存在风险，一些ATM或POS机被安装盗录设备，同时配合针孔摄像头偷窥CVV码。

业内人士分析，此次浦发“无价世界卡”事件，部分用户近期并未使用过卡片或访问可疑网站，大概率涉及某电商或支付平台数据泄露，被黑产批量盗取。

值得注意的是，犯罪团伙通常不会立即动用盗取的信息，而是将其绑定到具备NFC功能的手机电子钱包中，等待数月后集中进行“爆发式”盗刷，以规避风控系统监测。“这就是典型的‘无卡支付’盗刷。”一位银行风控人士指出。

600元如何刷出2万元额度？

除了盗刷行为本身，此次事件还引发了一个令人费解的现象：部分用户的信用卡额度仅为数百元，但盗刷金额却高达数万元。

“这与海外信用卡的离线交易机制密切相关。”上述支付行业人士对记者说，在该模式下，商户无需实时与发卡行交互即可完成交易，先行放行后，再在数天或最长30天内提交清算。这意味着，犯罪分子可以在短时间内集中完成多笔交易，而银行的实时额度系统尚未更新冻结金额，从而形成“账面可用余额虚高”。

一位从事支付清算的技术专家向记者解释：“离线交易模式下，商户先消费、后入账，结算通常可延迟数天。而国内银行多采用‘T+1’更新额度逻辑，两者之间存在错配，为盗刷提供了可乘之机。”

更复杂的是，一些银行在境外场景下会自动上调临时额度至原授信的3至5倍，以提升用户体验。这一机制在正常情况下便利了大额消费，但在盗刷场景下却被犯罪分子利用，相当于提供了额外的“杠杆空间”。业内人士分析，这也是为何原本额度不高的卡片，在短时间内出现数万元盗刷的原因之一。

责任如何划分？

在信用卡盗刷案件中，责任归属长期是争议焦点。根据最高法2021年出台的司法解释，信用卡盗刷案件中举证责任主要在银行。北京大成（长春）律师事务所律师葛仲彰认为，如果银行未能识别伪卡交易或未及时拦截异常消费，即未能尽到安全保障义务，应承担主要赔偿责任；而持卡人若存在信息泄露、延迟挂失等过错，则需自行承担部分损失。

记者了解到，司法实践中，多数案件银行需承担七成以上责任。例如，华北某地法院近期审理的一起案件中，持卡人王某的信用卡境外被盗刷2000元。他在第一时间冻结账户并报警，法院最终判定银行未尽风控义务，应承担全部赔偿责任。

但跨境交易中的维权远不如国内顺畅。“国际卡组织通常要求持卡人在规定时间内提交包括交易凭证、沟通记录在内的支持文件，否则银行无法代表客户申请拒付或退款。”一位金融律师提醒，“时间优先、证据为王，这是跨境维权的基本原则。”

通常来说，信用卡交易链条涉及发卡行、国际卡组织、收单行、商户等多方主体。上述律师称，法院在审理时通常认定消费者作为弱势一方，银行及相关机构应对外承担赔偿责任，至于各方之间的责任再通过内部追偿解决。

不过，也存在法院酌定责任的情况。若原告在卡片保管上存在明显疏忽，法院可能判定持卡人与银行各自承担一定比例责任。

支付安全：磁条卡换芯片卡

从介质层面看，磁条卡仍是盗刷高发的重要原因。业内普遍共识是，磁条卡被盗刷的概率是芯片卡的数倍。老版万事达卡多数仅具备磁条功能，安全性远逊于支持EMV芯片标准的卡片。

中国市场近年来已逐步完成芯片卡替换，但在海外，磁条卡仍然被大量使用。一旦持卡人持有的仍是磁条卡，境外交易的安全隐患就不可避免。

“从安全角度看，磁条卡确实是软肋。”前述支付行业人士表示，“更换芯片卡既是资金安全的需要，也能提升支付体验。”

据悉，万事达已在中国市场推出兼容EMV和银联PBOC3.0标准的新型芯片卡，实现“一芯双应用”，可同时支持境内外使用。与此同时，卡组织的活动与权益也已明确限定在新发芯片卡用户范围内，以进一步推动存量磁条卡的更新换代。

前述人士称，对于普通持卡人而言，主动更换芯片卡不仅能降低盗刷风险，还能参与更多权益活动；而对于银行和卡组织，全面淘汰磁条卡则是提升支付体系安全性的必由之路。