一夜之间，一名客户的6张信用卡被盗，涉及光大银行、交通银行、兴业银行、广发银行、民生银行、浦发银行，而盗刷目标正是这6张卡绑定的支付平台——银联钱包。

此次诈骗全部通过扫二维码完成，2016年12月，银联正式进军二维码支付市场，三个月后，就发生了这起诈骗案。

中国银联回应称：“这是银联首次接到持卡人拒绝办理二维码扫描交易的投诉。”

银联并未澄清这是否属于冒用行为，并否认存在风险漏洞；同时表示将按照风险预付制度处理此投诉。

银联钱包6张信用卡一夜被盗

来自浙江绍兴的纪先生2015年开通了银联钱包，“希望通过APP领取一些超市、餐饮的优惠券，但优惠券只在指定银行有售。”纪先生的银联钱包里一共绑定了10张银联卡，包括3张借记卡、7张信用卡。

2017年3月14日凌晨1点至2点半，除中行信用卡外，纪先生银联钱包内绑定的其余6张信用卡全部被盗，共计人民币100万元。（点击查看原诉状）

当时他正在睡觉，并未察觉任何异常，早上7点半，他打开手机，发现多个银行对公账户的消费信息推送通知，令人震惊：

中石化补足了3600元，其中广发、兴业、光大均补足了500+500=1000元，交通银行补足了500+100=600元。

途牛出行费用共计9689元，其中民生2100*2+4491（有部分小额）=8691元，普发499*2=998元。

异常交易未被拦截，银联钱包是否存在漏洞？

随后，纪先生联系了相关金融机构，试图追回这笔钱，但无人愿意承担责任：

我打电话给银联客服，他们反复强调，这只是一个支付平台，不判断风险，也不承担任何责任。

我打电话给银行，要求冻结争议金额，不予还款。银行称，多张信用卡同时被盗，是支付平台银联的责任，所以拒绝冻结账户。

银联客服回复纪先生称，此次诈骗交易中，四张充值中石化储值卡的信用卡，都是通过扫描商户二维码支付的。银联钱包的二维码支付方式有两种：

1、扫描商户二维码支付，需输入银联钱包支付密码，无需手机验证码；

2. 将二维码交给商家扫描。500元以下的小额消费无需支付密码或手机验证码。

纪先生称，此前他从来没有用过银联钱包直接购物，只是去抢过一些优惠券，经过这次刷单才知道，原来银联钱包也能像支付宝钱包一样用于扫描支付。

他称自己从未透露过支付密码，对于银联钱包事后并未积极解决问题感到十分不满，质疑银联钱包是否存在风控漏洞：

同一账户下多张信用卡以相同方式重复消费，部分金额较大（2100元），但依然未发送手机验证码，也未提醒银联钱包账户异地登录消费。

银联：无风险漏洞，满足相关要求可提前付款

中国银联回应称，该案所有交易均由持卡人使用银联钱包扫描商户二维码完成。“我们正在通过法律渠道调查持卡人反映的问题，事件性质还有待司法机关认定。这是银联收到的第一起持卡人否认二维码交易投诉的案例。”

4月7日，中国银联办公室通过邮件回复聚投速称：针对用户投诉中提到的异地登录、多次重复交易等异常交易行为，银联钱包有相关风控措施，系统不存在风险漏洞，本次投诉如符合相关制度要求，将予以提前赔付。（原文回复在本文末尾）

4月13日，纪先生回复称：“经聚投速跟进，银联已联系告知，除浦发银行外，其余5家银行均有退款机制。银联要求逐一联系发卡银行，发卡银行会将信息提交银联处理。”但目前尚未有银行退款。

同时，纪先生对银联的邮件回复并不满意，认为本案是银联未尽到风控责任导致的：“银联钱包对客户风险防控的理解，难道只有简单的六位支付密码？远程登录、新设备登录、扫码快捷支付只验证支付密码，不通知用户本人，这合理吗？相比竞争对手支付宝钱包的各项安全措施，银联真的认为自己已经尽了最大努力吗？”

纪先生在投诉帖中提出了五个问题（见文章末尾），目前仍在等待银联的进一步答复。

相关判决：吉林高院：未终止异常交易，存在漏洞

2017年2月17日，吉林省高级人民法院再审裁定，张丹丹与中国工商银行长春大经路支行银行卡纠纷案，判决工商银行承担赔偿责任。（点击查看原案）

判决书中明确指出银行“提高技术和管理水平，增强打击银行卡犯罪能力”的责任：

——在本案涉案借记卡信息出现明显异常的情况下，大经路支行依然确认操作正确并进行款项划转，且未及时采取暂停交易、电话确认等临时安全措施。这充分证明大经路支行在电子交易登录终端设备、登录用户身份等关键信息的真实性识别、监控和临时处置方面存在技术漏洞。

——将防控银行卡欺诈风险的责任全部或主要放在持卡人身上，要求持卡人严格保管密码，不仅违法将不合理、不合理的责任强加给持卡人，不利于整个银行业的高效、安全运行和健康发展。

识别异常交易是强制性要求

值得注意的是，二维码支付曾因支付风险问题备受质疑，直到2016年8月才再次得到官方认可。针对异常交易的风险管控，主管部门也陆续出台相关规定，提出明确要求。

——2014年3月，央行发布紧急文件，暂停开展二维码支付等面对面支付业务，理由是线下二维码支付存在一定的支付风险。

——2016年6月，央行发布《关于进一步加强银行卡风险管理的通知》政策，明确提出商业银行、支付机构应利用IP地址、终端设备识别信息、浏览器缓存信息等，对批量、高频次登录等异常行为进行全面识别，及时采取附加验证、请求拒绝等措施。

——2016年8月，支付清算协会向支付机构下发了《条码支付业务规范》（征求意见稿），明确对及时处置可疑交易、承担未采取措施造成的风险损失责任等提出了要求。这是自2014年叫停二维码支付以来，央行首次正式承认二维码支付地位。

——2016年12月，中国银联正式发布银联二维码支付标准，主要包括《中国银联二维码支付安全规范》和《中国银联二维码支付应用规范》，正式进军二维码支付市场。这是业界首次针对二维码支付发布相应规范。

——2017年3月14日，中国银联出现首起二维码支付诈骗案，浙江绍兴纪先生的银联钱包绑定的6张信用卡一夜之间被盗，共计人民币1000万元，全部是通过扫描二维码支付的。