“人在家中坐，账单从海外来”“信用卡贴身存放，交易却出现在了本人从未去过的地方”“收到入账提醒后去查账，才发现实际交易在两天前已经发生，此前却没有任何提示”……过去几日间，类似的被盗刷信息在社交平台“刷屏”了，涉事的浦发银行和万事达卡被推上了风口浪尖。

结合多方信息来看，浦发银行本次盗刷事件主要集中在浦发万事达“红沙宣”信用卡产品，在监测到部分未经授权的交易后，浦发银行、万事达卡及万事网联启动应急调查，盗刷款项无需持卡人承担。

而这并非孤例。9月16日，北京商报记者进一步调查发现，不仅仅是前述“红沙宣”信用卡产品卷入盗刷风波，9月以来中信银行万事达的借记卡也有遭遇盗刷的情况。多名消费者指出，自己名下的中信银行“暗黑破坏神”万事达借记卡被盗刷。不同银行、不同卡种的盗刷信息背后，均指向了提供服务的万事达卡。作为连接全球商户与发卡机构的核心枢纽，银行卡清算组织万事达卡在此次事件中的角色与责任，成为透视跨境支付安全生态的关键窗口。

技术防线的现实裂缝

浦发银行信用卡盗刷风波纷纷扬扬，无人关注的角落里，还有一家银行的借记卡持卡用户也遭遇了同样的问题。

消费者张天（化名）告诉北京商报记者，9月12日，其收到中信银行推送的消费通知，页面信息显示银行卡在境外消费9.64元人民币。张天迅速意识到银行卡被盗刷，随后立即向中信银行客服反馈了相关信息。

经中信银行客服核实，该笔交易刷卡地点在印尼，交易金额约为22000印尼盾，在扣款的四天前，张天所持有的这张借记卡已经在9月8日发生了预授权。张天对此却并不知情，这也让他不禁质疑，为何在预授权时，银行方面没有任何提醒。对此，中信银行客服的解释是，张天并未开通短信提醒功能。

在公开社交平台上分享这一经历后，张天找到了几位同样持有中信银行“暗黑破坏神”万事达借记卡且被盗刷的用户，还有一名被盗刷用户的交易商户与张天相同。而在张天发起的讨论中，还有不少持有同系列借记卡的用户表示自己遇到了同样的情况。

张天的遭遇也引起了刘宇（化名）的关注。比张天更早一点，刘宇在9月3日晚间连续收到中信银行的短信通知，提示其交易被防盗刷安全锁中止。“这张卡一直在我身边，上一次使用是2024年12月在日本。本次盗刷方一共尝试了三次都被系统拦截了，因此没有造成我的实际损失。次日我便向银行申请了换卡，这会对卡片有效期和CVV2码进行更新。因为实际交易被中止，银行方也无法查询盗刷具体发生在何处。”刘宇表示。

针对消费者反馈的借记卡被盗刷问题，何种情况下会触发“防盗刷安全锁”、对于盗刷等风险交易有哪些防范措施，北京商报记者向中信银行进行采访，但截至发稿未收到回复。

就在刘宇、张天接连遭遇盗刷的期间，浦发银行万事达“红沙宣”信用卡被大规模盗刷，越来越多的消费者在社交平台上发布信息反馈情况，引发多方关注。综合多方信息来看，被盗刷的信用卡中涉及的情况包括异常交易未被拦截、限额卡片被超额消费、已申请注销或已申报挂失的卡片仍被盗刷等多类，交易地点则均发生在境外。

9月13日，浦发银行信用卡中心、万事达卡、万事网联相继发布情况说明，均表示检测到部分万事达无价世界卡发生未经授权的交易，已经第一时间启动应急响应。从北京商报记者获得的最新进展来看，涉事方确认盗刷款项无需持卡人承担，会陆续进行调账处理。

卡组织与多方的权责边界

相较于能被大额消费的信用卡，部分借记卡被盗刷的用户有些庆幸，由于借记卡内余额较少，造成的资金损失并不大，但这也并不能完全打消持卡用户对于盗刷的担忧。

对于引发相关盗刷的原因，业内众说纷纭，更多质疑指向了发卡行和卡组织的风控体系。有行业人士表示，银行卡被盗刷的情况在业内时有发生，尤其是跨境支付领域，被盗刷的原因五花八门，并不能“一刀切”。此外，刘宇也在采访中提到，自己另外持有汇丰银行和招商银行的万事达借记卡，则未发生盗刷情况。

而在浦发银行与万事达卡的声明中，“已启动应急响应”“客户无需承担损失”的承诺背后，还有一套复杂的跨境支付责任分配体系。

在跨境支付中，发卡行负责签发支付卡片、审核交易并从持卡人账户扣划相应资金。而万事达卡这类卡组织则负责搭建全球支付网络、在不同银行间传递交易指令、进行清算与结算，并负责货币转换。持卡人跨境消费后，交易信息经卡组织网络在发卡行与收单方间传递。

2023年11月，经人民银行许可，万事达卡与网联清算公司合资成立万事网联，这也是我国第三家获准运营的银行卡清算业务机构，后于2024年5月正式营业。万事网联开业后，陆续与境内多家支付机构达成合作，合作支付机构的收单系统可全面受理境内外发行的万事达卡。

9月16日，有支付机构方面告诉北京商报记者，作为收单侧，更多获取的是商户信息，正常情况下无法获得消费者交易的完整卡片信息，尤其是卡号、有效期、CVV2码等，风控体系更关注的是电诈、洗钱等。对于不合理的交易，收单侧在意识到风险时，会请求发卡行进行校验，就是较为日常的短信验证码环节。

而盗刷事件背后，实际上是多个环节的风控审核缺失。另有跨境支付行业从业人员指出，在跨境场景中，理论上，卡组织应该对每笔交易进行风控评估，并向发卡行实时推送境外交易数据，银行则需将用户账户状态、额度变动等信息同步至卡组织系统。风险分数较高的交易，在卡组织这一环就会被拒绝。相关盗刷事件中，卡组织与发卡行的协同机制首先出现了断层。

此外，前述从业人员表示，除了发卡行、卡组织、收单机构以及商户外，境外消费的链条上还有一环是信息处理商，用于保障信息转换与传输。常规交易中，一笔交易从发起到完成需要经历卡组织、信息处理商、发卡行、收单机构等多重风控体系审核，盗刷即意味着风控体系全部失效，或是存在部分环节风控能力薄弱、过度依赖其他环节的审核能力，最终造成盗刷。

对于产生盗刷的主要原因和具体的防范措施，北京商报记者向浦发银行、中信银行以及万事达卡等进行采访，但截至发稿未收到回复。在各方具体的责任划分方面，多位受访人士指出，具体还是要看官方公布导致盗刷的原因。

跨境支付安全的规则重构

按照行业惯例，盗刷交易的责任判定需考察交易时间、地点、验证方式等诸多要素，但发生在境外的盗刷则为这类追责增加了难点。

在发现被盗刷后，张天曾数次向中信银行寻求解决方案，但未能获得有效回复。“银行认定我是绑定了境外支付后导致的扣费，现在我仍在等待银行给我处理方案。不能因为受损金额少就忽视掉我们的合理诉求，毕竟谁也不能保证下一次被盗刷的是谁的银行卡。”张天表示。

张天的焦虑也折射出跨境支付领域长期存在的信息不对称，用户难以知晓自己的卡片信息如何流转、在哪些环节存在泄露风险，只能被动依赖发卡机构和卡组织的安全承诺。

20年前，万事达卡合作的金融交易数据处理厂商CardSystems Solutions遭遇重大黑客攻击，导致大量用户账户信息被泄露，极大地推动了支付卡行业数据安全标准的合规与强化。当前，金融机构的智能防控技术虽已大幅升级，但跨境支付的复杂性仍给欺诈分子可乘之机。

盗刷事件背后，全球化支付网络的技术统一性与地区监管差异性之间冲突仍存。早在2016年，中国人民银行发布《关于进一步加强银行卡风险管理的通知》，要求全面应用支付标记化技术，对交易信息进行脱敏处理，并建立紧急止付和快速冻结机制。但前述从业人员也提到，境外部分地区商户端验证执行标准参差不齐，为防盗刷增添了难度。

自2014年开始，万事达卡开始在全球支付网络内推行支付标记化服务，随着万事网联在中国展开业务，这一服务在中国境内也已落地。据介绍，支付标记化服务，即应用支付标记化技术，替代银行卡卡号、卡片验证码、支付机构支付账户等敏感信息，通过设置支付标记的交易次数、交易金额、有效期和支付渠道等约束规则，从源头控制信息泄露和欺诈交易风险。

在博通咨询首席分析师王蓬博看来，跨境支付安全薄弱环节主要表现在跨境风控断层、应急响应迟缓，以及银行与卡组织风险数据共享不及时等方面。卡组织作为结算方，需履行技术风控义务，应通过系统漏洞追溯、跨境风险拦截阻断盗刷，并协助银行完成资金赔付流程。

在发卡行与卡组织的协同上，王蓬博指出，首先双方需打破信息壁垒，建立实时数据共享机制，例如发卡行可共享客户日常消费场景、地域偏好等行为数据，结算方可同步跨境高风险地区交易动态、商户合规信息，及时拦截异常交易；其次应联合推进技术升级，加快芯片卡全面普及，并共同研发智能风控系统，强化对反常交易的主动预警能力；最后要明确权责划分与应急流程，通过协议约定盗刷事件中发卡行的先行赔付责任、结算方的风险溯源与漏洞阻断义务。

北京市社会科学院副研究员王鹏则建议，跨境支付盗刷问题需通过“技术防御强化—责任边界明晰—监管协同升级”构建闭环体系。技术层面应加速动态加密与AI风控普及，由国际组织牵头制定跨境支付安全框架，明确发卡行、卡组织、商户的责任边界与协作流程。同时，要强化消费者保护，提醒消费者关闭非必要境外支付功能，最终实现安全与效率的平衡。

北京商报记者 廖蒙