网贷、银联谁之过：用户3分钟发生5笔盗刷

一次在互联网金融公司app平台（下称“互金平台”）的贷款经历，让于晓辉接连遭遇了信息泄露、电信诈骗、银行卡被盗刷一系列事情，损害发生后，却没有任何一方能够为他的损失承担责任。

“轻信他人，泄露手机验证码确实是我的问题”，于晓辉坦白承认。

然而，不法分子如何获取了他在互金平台的贷款全部信息？又为何诈骗电话的时间可以如此精准？为何在自己第一时间通过银联官方App关闭在线支付功能后，不法分子仍能通过银联在线支付盗刷银行卡？于晓辉想不清楚。

于晓辉认为互金平台信息泄露和银联支付系统漏洞，才是导致盗刷事件的根本原因。在与互金平台、银联官方的多次沟通中，于晓辉只能提出质疑，“没有任何一方真正想要解决问题，都在相互推诿，在个人面前，平台太傲慢了。”

“结不清”的网络贷款

刚刚回国半个月的于晓辉目前还是待业状态。

11月6号，于晓辉接到一家互金平台的电话推销，对方表示下载其公司app可直接办理20000元的贷款。考虑到近期却有用钱需要，于晓辉下载了该互金平台app，并根据系统要求填写了相关个人信息，几个小时之后，名为“专属现金“的”20000元贷款划到了他的app账户。

贷款流程过于快捷，于晓辉也并未注意到信息填写页面是否有利率和还款细节的说明。11月7日中午通过查询，于晓辉得知这2万元贷款需分成24个月还款，每期还款1282.26元，总共需还款30774.24元，利息超出了于晓辉的预想。

通过与平台客服沟通，于晓辉得知立刻退还这20000元可提前结清贷款，无需付息。于晓辉向客服表示要提前结清贷款后，随后app内20000元直接被划走，再次登录是已显示“贷款已经结清”。

距离结清贷款仅过了两个小时，于晓辉接到一个来电显示为个人号码的电话，对方表示自己是该互金平台工作人员，并准确说出了余小辉的身份证、银行卡，以及在互金平台的贷款信息资料，告知于晓辉如还款还需提供一个手机验证码再次确认，否则不能彻底结清贷款手续，于晓辉便将手机刚刚收到的验证码告知了对方。

结束电话于晓辉发现，刚刚提供的验证码短信显示为“开通银联在线支付成功”，他意识到自己的信息多半已被泄露给不法分子，而刚刚的验证码则是帮助对方开通了他的银联支付权限。而此前，于晓辉从来没有下载和开通过银联app相关的服务。

于晓辉立刻联系银联官方，咨询关闭“银联在线支付功能””的方法，客服提供了一个官方链接，表示可通过此链接操作进行关闭。关闭流程如下：

关闭操作看似非常简洁，于晓辉通过在银联官网填写自己的银行卡号申请关闭了刚刚被不法分子开通的银联在线支付功能，并收到官方短信提醒通知显示，。

收到了官方关闭成功的通知，于晓辉以为风险已经解除。

“关不掉”的银联在线支付

然而，11月11日凌晨，于晓辉接连收到五笔非本人消费的银行扣款信息，每笔金额均不超过1000元，而支付方式均为他已经关闭的“银联在线支付”，银行卡还是被盗刷了。

于晓辉立刻致电发卡行，告知被盗刷事实并挂失了该张储蓄卡，随后报了警。

发卡行对此事给于晓辉的回复为，通过后台查询，盗刷交易是通过银联云闪付二维码发生的交易，关于此类通过银联在线支付渠道发生的交易，银联已经明确对发卡行提出要求，要客户自己联系银联解决问题，由银联来处理，发卡行可协助银联解决问题。

事实上，于晓辉察觉银联支付存在被盗刷风险后，虽第一时间根据银联官方指导线上关闭了银联支付功能，但官方客服及网站页面均未有任何提醒表明，银联官网线上关闭并不能彻底关闭银联支付功能，也并未标明用户需再次联系发卡行协助关闭。

于晓辉随后联系银联官方再次要求关闭银行卡在银联的在线支付和云闪付功能，而此时银联客服给出的回复仍为，建议通过银联官网关闭在线支付功能。

开通银联在线支付需要具备哪些信息？为何关闭了银联在线支付功能仍能通过银联云闪付app在线付款？

财经网经过测试发现，下载银联云闪付app后，开通在线支付需要填写银行卡号、身份证号，手机号码，通过填写手机接收到的验证码确认开通银联在线支付功能。随后可自行设置银联云闪付app的新支付密码，即可完成绑卡和开通在线支付功能。用app内的支付二维码可直接进行在线消费。

接下来，通过官方指导的关闭链接，财经网在线关闭了银联在线支付功能，同样收到了官方发送的关闭成功短信通知。而在整个关闭过程中，银联没有任何信息说明表示用户需再进行其他操作彻底关闭银联在线支付功能。

但在之后的线下店测试中，使用银联云闪付app二维码依旧可以正常付款，支付方式为银联在线支付。这证明了此前于晓辉在线关闭银联支付功能的操作是无效的。店家扫描云闪付中的支付二维码，银联在线支付功能被激活，且不需要再次短信验证。

在财经网与银联官方客服的多次沟通中，银联官方表示，“网上关闭在线支付功能只是一种途径，如果担心资金安全，可以联系银行彻底关闭。”

网上关闭途径既然无法彻底关闭银联在线支付权限，官方指导页面中为何没有具体提示？为何要设置这样一种“不彻底关闭的途径”？银联官方始终未能解答，并表示，彻底关闭银联在线支付请联系发卡行操作。

财经网致电发卡行，要求关闭测试使用的储蓄卡在银联app中的在线支付权限，操作成功。

因此，用户如开通并使用了银联云闪付app，彻底关闭在线支付功能不仅要在银联官网申请关闭，还要在app中解绑卡片，同时致电发卡行官方要求彻底关闭银联在线支付权限。很多用户通过银联官网指导，操作步骤仅仅停留在了在线申请关闭，事实上存在风险。

于晓辉银行卡被盗刷，个人信息泄露是前提，验证码是开通支付功能的关键，未能彻底关闭银联在线支付功能也是不法分子盗刷成功的重要原因。但在于晓辉看来，造成未能关闭银联支付最重要因素是，银联的官方和App中没有提示必须联系发卡行才可以真正关闭支付功能。“银联没有把好最后一关，造成了我的损失”，于晓辉如是说。

无人承担的责任

盗刷事件看似涉及了互金平台、于晓辉个人以及银联三个方面。根据于晓辉与互金平台和银联的沟通，目前，互金平台表示信息泄露与其毫无关联，银联官方也表示其不为用户自行泄露验证码担责。“花钱买教训”算是余小辉唯一的收获。

在中央财经大学法学院副教授刘权看来，互金平台很可能泄露了用户信息，给了其他主体冒充的机会，但需要具体的证据证明其关联性，比如来电手机的追查。值得注意的一点是，该互联网金融平台官网有明确声明表示“不会贷款给无业人员”，因此余小辉的贷款属于平台未审核贷款人信息，本身属于违规贷款，违反了合同约定。

刘权表示，互联网时代很多个人信息都易被过度收集、滥用，甚至非法交易，信息被泄露一次后就已经不具有可控性，谨慎安装和使用app是关键。一旦发生信息泄露损害，应及时配合相关部门调查取证，同时注意保留证据，例如不法分子电话、支付记录详情等等

最后，刘权也强调，在他看来目前很多互联网金融公司“初衷就有问题。”

一位负责此类金融诈骗案件的办案人员对财经网表示，此类盗刷实为在本人不知情的情况下进行，具体应算作秘密窃取，而支付金额不超过1000通常可以被设定为小额支付，不需要密码和身份验证，大部分盗刷都是此类情况，但追回可能性很小，取证很麻烦。而银联和金融公司监管不严、pos机和皮包公司审批监管太差都是原因。

至于用户方面，该人士提示，银行类确认验证码不仅可作为开通支付权限的确认码，不法分子在掌握其个人信息的情况下，还能利用特殊手段做银行卡或者信用卡的“复制卡”，通过皮包公司或者pos机盗刷，因此任何情况下都不要泄露银行类确认码也是关键。