網頁

2015年6月22日 星期一

評估Schwab debit card 的安全性
其實台灣的Visa金融卡可能更危險

6月上旬有幾位朋友先後留言提到Schwab debit card被盜刷,引起我對Schwab debit card安全性的關注。從這次的狀況來看,就算妥善保管卡片和個資,盜刷仍防不勝防。然而,就算美國的盜刷狀況比台灣猖獗 (發卡量大或許也是原因),不過由於美國法規較完備,只要不是連對帳單都不聞不問,基本上取回被盜刷的資金並不困難,無論調查是否完成,被盜資金都必須在10天內返還。反而是台灣的Visa金融卡,萬一被盜刷,取回盜刷資金相對麻煩,資金返還沒有限期保證,某些特定情況的損失風險也比較大,更需要加倍小心

盜刷處理簡便明快,幾乎零成本

就我所知,最近發生的Schwab debit card盜刷處理,大致可以分成三種情形:
  1. 自己檢視交易紀錄時發現異常,立即聯絡客服停舊卡、發新卡並追回款項
  2. Schwab事後查覺可疑交易,主動透過電子郵件通知,請客戶回電話確認後才停舊卡、發新卡並追回款項
  3. Schwab扣款前就察覺可疑交易,並未扣款且直接停用卡片,客戶發現 debit card 無法提款或刷卡,詢問客服後才被告知原因,完成確認程序後即另行發新卡
這三種狀況大概還蠻完整的反映了Schwab對卡片沒有遺失的盜刷事件的處理情形。但無論哪一種情形,只要經過電話確認,再配合回傳書面的確認文件,透過網站信息中心 (Message Center) 或傳真皆可,就完成處理程序,沒有任何爭議或囉嗦。

掛失、補發新卡均毋需費用。在台灣用國際免付費電話 (00801-103-017),在國外也用Skype撥美國的中英文免付費客服電話,或用1-317-596-4501對方付費,都不必負擔掛失的通訊費用。只有自己遺失卡片,且要求使用快遞寄送新卡,才要負擔$15運費。但按我辦卡、定期更新卡片都沒有任何要求,也都都是用FedEx寄送。

整個過程沒有人實際蒙受任何金錢損失,也沒有人對處理過程感到不滿。當然,追回款項、等待新卡的時間仍然有可能會造成不便,發新卡大概要2~3個工作天,國際快遞大約3天,法定的盜刷回存時間是10天,除非只依靠此卡提供每日的現金消費,否則對一般人來說應該不至於造成太大的困擾。

唯一可能造成困擾的是語言問題。幾位朋友都特別提到,即使一開始是選擇中文客服,但轉接相關部門後都是講英語的,不過我有跟客服確認過,聽不懂英語的話還是可以請求中文協助。其實按過去經驗,和美國金融機構打交道,一般只要說Chines please或Mandarin please,應該都能得到中文協助。

卡片沒丟也能盜刷,防不勝防

這次被盜刷都沒有遺失卡片,用卡狀況也沒有一致性,看來是發卡端或是信息網路資料被盜的可能性較大。去年PTT也有人分享只在台灣ATM查詢過一次,卡片沒有遺失仍遭到盜刷。在網路查詢還看開卡一小時就被盜刷 (CHASE bank)的。所以,美國Debit Card的盜刷問題真的還蠻猖獗,就算自己注意小心保管卡片和密碼也無法杜絕盜刷,還是要注意帳戶交易紀錄,至少每個月的對帳單一定要看,才能保障自己的權益 (詳後段說明)。

從處理過程來看,Schwab應該也有努力在降低盜刷損失,比較遺憾的是,Schwab沒有提供Debit Card的交易通知服務,我詢問客服得到回應是 "The debit card email charge alert is a great suggestion. However, at this time we do not have this service available. And we will considerate this in this future." 但是,前面提到的PTT討論串中也有人分享他詢問刷卡通知的經驗,回應是「不用擔心盜刷,銀行會承擔全部盜刷風險」。其實,讓客戶更容易查覺盜刷,絕對也有助於銀行避免損失,而且這功能應該也必花太多錢。該文是去年12/1的留言,半年都過了,嘉信還是沒有具體計畫。

反過來說,Schwab的防範措施也可能造成某些不便。有朋友較長時間出國,提款沒幾次就刷不動了,和客服確認後才恢復提款功能。正確的做法應該是,要出國前先做 Debit Card Travel Notice (轉帳卡旅遊通知,帳戶頁面的右側有相關聯結),就可以避免這個問題。

由於盜刷難以完全杜絕,所以完善的法規或契約保障就更重要了。而這方面,美國做得比台灣好。接下來,本文的主題完全放在持卡人權益保障的角度,不會提到安全用卡的議題。其實這方面還是最基本防護,還請大家自行留意。

美國Debit Card的法律保障較為完善

美國的Electronic Fund Transfer Act (EFTA) 明確規定由金融機構承擔盜刷爭議的舉證責任,而且,消費者的責任僅限於法條中列舉者,其他未說明的責任均由金融機構承擔,對持卡人的權益有很周延的保護。

卡片沒有遺失的盜刷冒用除非有證據顯示持卡人的過失,如將卡號密碼交給其他人等等,否則只要在帳單寄達60天內告知,持卡人完全不負任何責任

卡片遺失或被偷持卡人有告知的義務,所以要承擔部分責任:掛失後的盜刷可以完全免責;但如果知道遺失 2 天內掛失,自負額是$50 2 天以上~收到對帳單60天內掛失,自負額是$500。對於不是每天把卡片帶在身上的人來講,有時真的不會即時察覺遺失或被竊,以「知道」的時間點來判定持卡人是否善盡告知義務,是比較保戶持卡人的做法。

這樣的保障其實已經蠻寬裕的了,而我詢問客服時,客服表示Schwab沒有任何報告期的限制,後來我在VISA網站看到,其實VISA在美國發行的Debit/Credit Card都有提供同樣的刷卡零風險的保障,但是這保障並不包含ATM提款。不過,我看正式的約定條款 (DEBIT CARD AGREEMENT AND DISCLOSURE STATEMENT) 仍只提供法規的基本保障,所以最好還是即時掛失比較保險,也比較有助於遏止不法行為。

盜刷金額限期回存由於Debit Card消費時會直接從帳戶扣款,這是他與信用卡最大的差別。如果是信用卡,拿到對帳單後持卡人就可以發現交易明細有問題,而在實際支付帳款前就提出異議止付,在調查期間持卡人並不會實質有損失。而Debit Card如果要等到調查確認盜刷才能取回款項,持卡人相對吃虧很多。

美國的法規在這點有提供特別的保護:只要消費者掛失並在10天內配合要求回傳確認文件,也就是盡到協助調查的義務,金融機構無論是否已經完成調查,都必須在10天內回存盜刷金額。如果調查確認後認定的盜刷金額有出入,再由金融機構索回。這樣的良善立法,可以保護Debit Card持卡人盡量避免因盜刷而面臨意外的資金窘迫。

如果連這10天都讓人不安,那麼釜底抽薪的方案是--不要在Debit Card的連結帳戶留太多現金。這對於同時使用兩家券商的朋友不是問題,但不想和其他券商打交道的話,可以考慮另開一個新戶頭。同名帳戶開戶並不需要另外的最低注資,不過仍然需要完整的申請文件,且開戶申請表和W-8ben仍須寄送正本。

限制透支之前部落格也曾經提到Debit Card透支的問題,其實相關法規有規定,如果存款餘額不足以支付單次性的刷卡或提領交易,銀行必須拒絕該筆交易,且未經客戶同意不得透支,也不得因此收取透支費用。但是,如果帳戶有設定周期性的付款或提領,則不在此限,所以就可能造成透問題。例如本來帳戶有約定要繳水電費的,結果不小心錢花光了,就可能造成透支。不過,NRA投資人並不會有這個問題,所以應該不用擔心因為透支造成額外的損失。

台灣Visa金融卡約定條款較不利,要加倍小心

台灣只有信用卡定型化契約範本,銀行則是根據此範本自行調整後套用在Visa金融卡,雖然原本的精神是提供與信用卡相同等級的保障,但由於這兩種卡特性不同,有些約定內容的調整其實不太妥當。

卡片沒有遺失的盜刷冒用屬於約定條款中「帳款疑義」的部分。雖然條文中對於舉證責任沒有具體的描述,但基於契約精神,除非銀行能舉證持卡人有過失,否則持卡人完全免責,所以這部分問題不大。由於沒有像美國那樣的法案明確訂定金融機構的舉證責任,並限定消費者的責任範圍,所以很多人對於盜刷的認定還是比較有疑慮

提出帳款疑義的期限各家規定不一。原本信用卡的定型化契約規範的期限是「當期繳款截止日前」而金融卡是立刻扣款並沒有繳款期限,於是各發卡機構就各自設定,有的是帳單寄發後30或60日,有的則是交易日後30或60日,雖然寬緊不一,但不至於太不合理。最保險的當然就是立即檢視,有問題立即聯絡發卡機構提出爭議,以免過了時效。

卡片遺失或被偷掛失後及掛失前24小時免責;掛失前24小時之前的損失,自負額不超過3000元 (我看到的幾家銀行都是直接定最高的3000元啦)。換句話說,只要遺失後24小時內掛失,就不必負擔任何損失。但是掛失一般會收手續費,而且可能被要求要去警察局報案作筆錄,增加不少麻煩。其實,如果是盜刷,除非持卡人蓄意詐欺,不然其實要辦案主要還是銀行和警方合作,實在沒必要增加消費者的負擔,需要時再協助調查就好。在國外發生問題的話,大多不會有免付費電話的服務,但可以透過Skype免費撥打台灣的0800電話。

請注意,台灣的設計是以掛失時間認定責任範圍,而美國是以「知道」的時間點來劃分,認定方式的有差異。如果卡片遺失或被偷後很快發現並掛失,兩者可說各有優劣。但如果遺失或被竊20天以上才發現,台灣現行的約定條款會造成非常大的問題

原本該信用卡的定型化契約範本是規定「持卡人得知信用卡遺失或被竊等情形而怠於立即通知發卡機構,或持卡人發生信用卡遺失或被竊等情形後,自當期繳款截止日起已逾二十日仍未通知發卡機構者」則持卡人須要負全責。由於信用卡的繳款期限是結帳日後的15~16天,算起來大約是收到對帳單後超過30天以上都沒有掛失才需要負全責,雖然較美國的60天短,但期限也還算寬裕。但是,銀行在把這規定套用到Visa金融卡時,由於Debit Card是即時扣款,所以銀行就把「繳款期限」按字面意義的上代換成「請款日」,結果就變成「自第一筆被冒用日起已逾二十日仍未通知本行者」,但問題是,如果剛過對帳單截止日期就發生冒用,消費者有可能還沒收到該筆交易的對帳單,就已經超過冒用日20天的通知期限,這非常非常不合理。

2014年5月起,有部分發卡銀行加入了Visa的「Visa金融卡刷卡零風險計劃」,只要持卡人在60天內掛失,便可免除失卡或遭冒用的損失,大大彌補了約定條款不合理的部分。該計劃預計先實行3年,再由銀行評估成效,但也不是每家發卡銀行都有加入計畫。所以,主管機關還是要針對Visa金融卡的特性訂定專用的定型化契約,才能真正改善這個問題。

盜刷金額回存沒有明訂限期契約中沒有任何保障,主管機關也沒有要求。從網路經驗分享來看,都是要等調查完畢才可能還款。在PTT的分享中,回存時間至少30天以上,國外交易可能要超過半年,一個月內退款就讓受害者覺得有效率,和美國的10天來比真是天差地別。試想,假如有人存款被盜刷一空,然後要等上半年才能追回,造成的困擾可不只是小小的不便了。所以,個人覺得非不得已 (例如因故無發申請信用卡),目前的Visa金融卡還是少用為妙。如果一定要用,務必要選擇有參予零風險計畫的銀行,且其連結的戶頭裡絕對不要放太多錢

限制透支台灣在這部分其實是更保守的,一般存款戶頭如果沒有特別設定,並不會有融資、透資的功能,所以問題不大。不過有些綜存戶有提供自動定存單質借功能,也要特別注意避免在該帳戶使用Visa金融卡。

有些特殊狀況,如自助加油飯店住宿如用Visa金融卡刷卡交易,由於是事後請款,還是可能會發生餘額不足的問題。此時銀行會通知持卡人補足存款餘額,如果逾期未補可能會有「逾期補款手續費」之類的違約金,一般行情是200元,但各家繳款期限等細節規定各有不同,還請自行確認 (美國禁止這種罰款)。由於銀行在推銷Visa金融卡時,常以不會透支沒有卡債為賣點,所以這類事件也造成了一些爭議。也有人利用這種漏洞,配合人頭戶進行詐欺

如何停用刷卡功能? 現在台灣的銀行幾乎都是直接發VISA金融卡,一般可能認為,只要不開卡就不會被盜刷,但如果萬一個資也被盜,歹徒也可以自行開卡啟用,無法確保安全。如果真的不想使用刷卡功能,最好清楚告知要請領一般金融卡,或是要求設定取消刷卡功能或將刷卡額度調整為零。如果行員說沒有一般金融卡或無法提供相關設定,可以提醒他「活期(儲蓄)存款契約附屬金融卡定型化約款範本」有規定銀行必須要提供一般金融卡。PTT有人分享跟多家銀行奮戰,要求取消刷卡功能、或免費換發一般金融卡的寶貴經驗,可以看到各家銀行的不同處理方式,很值得參考。

掛失前的盜領必須完全自負金融卡的ATM部分被政府認定是附屬於活期存款的功能,另有單獨的定型化契約,其規定消費者需要自行負擔掛失前的全部ATM交易損失,除非金融機構確有管理疏失。「Visa金融卡刷卡零風險計劃」同樣不保障ATM的冒用冒領。

相比之下,美國Debit Card的ATM交易則受到與刷卡相同的法律保障。不過這樣的差異還算可以接受,因為台灣的ATM已經全面使用晶片金融卡,比較沒有密碼被側錄的風險。古早的磁條金融卡,是傳送密碼至發卡銀行主機檢核,而晶片金融卡則是以晶片卡本身產生的交易驗證碼作為發卡銀行檢核的依據。所以,只要妥善保護好金融卡密碼,就算卡片遺失,被盜領的機會也不大,實質影響有限。在這種情形下密碼的遺失被認定為持卡人的責任,也不是沒有道理。

在這樣的使用條件下,使用網路銀行等電腦服務時的安全性就變得更重要,使用圖形鍵盤等安全機制,定期更新電腦防毒防駭機制,避免在公共場所用網路銀行交易,以盡量避免電腦鍵盤被木馬程式盜錄而遺失密碼。

起外,因為就算是晶片金融卡,在國外還是用磁條密碼交易,所以就要更加小心,一般建議,除了銀行ATM提款,最好避免在商店輸入密碼交易,簽名交易比較安全。

出國旅遊最好有備胎

Schwab debit card 有跨國提領零成本的優惠,很多人旅行喜歡用他作為現金來源 (雖然一般旅遊網站說的其實是Schwab bank發行的debit card,券商這邊的發卡銀行雖是BNY Mellon,不過仍享有同樣的優惠,用卡問題也都是由Schwab處理)。不過,考量到旅途中萬一發生盜刷或其他原因被鎖卡,即使是幾天的延遲,對於旅途來講都可能造成大麻煩。所以,備用的Debit Card可能仍是必須的。此時,台灣的VISA金融卡仍不失為方便的選擇。

只要有申請網路銀行,這個做為備胎的帳戶其實不用先放錢,真的需要時,再從其他銀行把錢轉進去就行了。這樣可以把損失風險降到最低。而且,如前所述,要選擇有參予零風險計劃的金融機構作為備胎。

如果不想碰台灣的Visa金融卡,有些外商銀行 (如花旗、匯豐) 自己就有跨國的金融網路,不需透過Visa就能跨國提領,理論上在國外出狀況也可以提供比較好的支援。有些本土銀行也和國外銀行合作提供類似的服務,不過競爭力有限。

行動

對於前進美國券商,很多人一直充滿疑慮,對於陌生的國外環境不能安心,很怕萬一要處理跨國的法律爭議。我自己以前也是如此。但一路走來卻發現,在更加完備的金融法規和強大的市場競爭壓力下,美國的金融產品往往對消費者有更好的保障。面對台灣的金融業者,除了比較方便跟客服抱怨之外,真的有提供更好的實質保障嗎?

不過,除了除了用腳投票以外,其實還是可以設法爭取自己的權益。現在政府對於民眾的陳情案件都會給予回應,所以我打算向金管會銀行局陳情,促請政府建立專門的金融卡定型化契約,除了希望改善約定條款中明顯不合理的部分, 也希望訂定盜刷款項回存的合理期限,或至少請政府出面促請銀行調整於訂條款不合理的部分。如果不能提供與信用卡同等級的保護,至少也應促請銀行提醒消費者這樣的風險,如果消費者不願意繼續使用金融卡刷卡支費功能,銀行應該免費為消費者更換一般金融卡,以免遭受不必要的風險。

希望公民力量真的能夠讓台灣變得更好。

19 則留言:

  1. Rib 這篇真好,竟然這麼「應景」。而且有「行動」,實在太強了-「希望公民力量真的能夠讓台灣變得更好。」
    就個人這陣子和各行庫、或發卡銀行打交道。真的,台灣的信用卡或金融卡手續費高人一等,卻始終得不到好服務,更別說保護了。Debit Card有十天空窗期,實在不想動用跨國提款,只得刷卡消費。沒想到遇到需要刷退時,完全不知道錢究竟卡在哪個環節。兩端都推給對方。國際刷卡很嘔,跨提更嘔,需要一筆手續費還得負擔總金額的1.5%。卡片功能不好,無法緊急支援。各位沒事最好打打信用卡0800電話,台灣Visa業務作的那麼大,提供的尊貴高級的24hr專線免付費電話居然是空號。有夠--離譜。

    回覆刪除
    回覆
    1. 謝謝支持。有時候真的有個對比才知道好壞。

      刪除
  2. Rib大
    這篇是及時雨
    感謝分享 :)

    回覆刪除
  3. 謝謝Rib的分享。
    我剛好是這波的受害者之一,藉此分享一點心得:
    6/5被盜刷(VISA purchase),金額大約是USD$65
    6/12進線客服,+1 (800)662-6068,接通後按1選擇國語服務
    客服人員告知要轉接到負責debit card的team
    同時詢問是否需要在線協助國語翻譯,我選擇接受
    過程中,客服人員表示,
    在盜刷的這筆交易後,他們有接連擋下在墨西哥的兩筆交易,
    並與我確認是否清楚這兩筆的交易。
    最後告知我,舊卡將立即關閉,新卡會立刻寄出,
    同時這幾天會有客服人員與我聯繫。
    6/16收到FEDEX的快遞,取得新卡。
    6/19收到盜刷款項歸還至帳戶。
    截至目前為止,我並未收到客服人員的電話或email。
    提供一點心得給大家參考。

    回覆刪除
  4. 我的狀況是,卡片被凍結才知道。因人不在台灣,打電話去客服,約十天收到。開了卡,還是沒領到錢,又去電嘉信。經debit card人員總總測試,才幫我開通。

    回覆刪除
  5. 謝謝Rib的分享。
    我也是這波的受害者之一,藉此分享一點心得:
    6/2被盜刷(VISA purchase),金額大約是USD$67
    6/18嘉信將被盜刷的金額,並在6/18發了一封mail說,我的debit card被盜刷,並通知說,我的舊卡在2015/7/5那天,會被停卡,然我我在6/22打電話到客服,客服說6/23號會將我的新卡從美國寄出,現在我在等卡片!!

    回覆刪除
  6. Rib 大能像您詢問,schwab的Debit Card 若在台灣刷卡會被收跨國交易手續費嗎?
    因問台灣的信用卡(包含Debit Card)若進行跨國刷卡交易,都會被收跨國交易手續費,感覺很划不來

    回覆刪除
    回覆
    1. 是的
      您也可以參考這裡的實戰經驗分享
      http://cyutptw.blogspot.tw/2013/03/firstrade-charles-schwab-visa-debit-card.html

      刪除
    2. 剛從日本回來,分享一下在日本用Schwab卡的經驗。跟大多數人經驗一樣,在日本郵局跟7-11提現都沒問題,7-11的ATM還有中文介面(推)。

      回國後查了一下,"提現"的匯率果然就是當天Visa網站的牌告匯率,但詭異的是,"刷卡"的匯率,同日內不同筆的刷卡交易匯率居然不同(實際上兩筆交易時間只差15分鐘),但都"優於"同日提現交易的匯率(也就是Visa牌告匯率)。

      不知道有沒有其他人也有這種經驗?

      刪除
    3. 刷卡要看換算日的匯率,同天消費不一定同天換算,換算日在刷卡日跟入帳日中間

      刪除
    4. 感謝提供資訊,不過我有筆刷卡的匯率,還是優於刷卡日跟入帳日期間每一天的牌告匯率,anyway我就謝謝收下了 :)

      刪除
  7. 您好:
    請問一下關於嘉信debi tcard的相關問題 :我看我的debit card有效期限快到 了。依您的經驗,是到時嘉信會自動寄新的卡片,又或者是我要主動做什麼動作嗎?感謝 。
    另外分享一下我最近的柏格頭心得:就是最近又存了一筆錢要匯出了,所以又稍微搜尋了相關資訊。
    發現台灣的指數化投資在綠角的春風化雨下,逐漸開枝散葉。有不少如rib兄不吝分享自己的經驗與心得。真是由衷感謝各位先進的分享。
    而在今年的柏格頭大會,也有幸聽到rib的分享,有一席話,深深打我的心嵌中,
    大意是:rib有時看到財經訊息也是常會見獵心喜,想說有投資的好機會,但其實就是做好指數化投資,資產配置就好了,並謙稱自己邏輯不太好。但真的是說中了我的迷失,我美股會做指數投資,但在台股因為資訊太多,也是會迷失想要投資個股,但聽完您的演講之後,我連財經新聞都懶得看了,也不再想投資個股了。
    感謝。

    回覆刪除
    回覆
    1. 我的經驗是會主動用國際快遞寄達,如果沒有的話跟客服反應一下就行了

      謝謝您的回饋,大家就互相提醒一起成長吧。

      刪除
  8. Rib大您好,
    所以如果使用Charles 信用卡在澳洲提款出來,
    可以利用即期費率領出澳幣嗎?
    費率是根據Visa匯率還是根據澳洲銀行?

    回覆刪除
    回覆
    1. 一般應該是VISA吧,但天知道當地ATM是如何結算的
      這自己試試就知道了,反正是避不開的成本

      刪除
  9. 去年秋天開始我的 Schwab Debit Card 被鎖卡了, 試過台灣幾家銀行的atm都無法成功提領現金, 不是出現 3401 主機忙碌 就是 9051 交易失敗-本項業務暫停交易 的錯誤訊息, 有人遇到一樣的狀況嗎?

    回覆刪除
  10. Schwab debit card被盜刷,經個人研究分析,覺得是以下可能性:
    1.開卡是用電話語音,語音指示當事人輸入16位數卡號、嘉信帳號、PIN碼設定、卡片到期月年4位數、3位數安全碼。
    2.上述資料是由電話系統存取,若電話系統(資安等級非常低)遭植入後門,駭客可取得卡片的完整資訊,即可盜刷。
    3.台灣是利用銀行人員確認持卡人身份審核(使用銀行內部系統執行開卡),或atm機台開卡(atm連線系統資安防護等級高)。

    結論:
    台灣人力便宜(台灣的銀行採內部人員執行客服開卡,國外為無人力之電話系統開卡且因外包客服無權限由執行開卡),atm機台密度高方便安全(國外atm機台密度低,無此種開卡)

    回覆刪除
    回覆
    1. 人力便宜也只是相對,我在台灣也從來沒透過銀行人員開甚麼卡,ATM多也沒有電話和網路方便。

      資安問題的確是需要檢討,事後似乎沒看到嘉信有甚麼正式的報告,不過至少是沒再發生了。其實除非災情很大鬧大新聞,這種大概還是僅止於內部調查吧,而且其實也很不排除還是消費端的問題。金融機構既已承擔消費者損失,消費者好像也沒有動機告上法院 (其實就也是定型化契約的目的之一吧)。

      刪除

求助時請將問題說明試算表分享連結或其他個人資訊分開成2個留言,以方便發表及回復求助說明的內容,並保留個人隱私不公開。