綁信用卡至新流動支付工具須雙重認證 金管局發新指引 促銀行同理心助客

金管局透露，今年首季共接獲超過60宗持卡人投訴，指持卡人信用卡被綁定至新流動支付工具，並以其信用卡進行未授權交易。

金管局指，此類詐騙的典型犯案方法通常是向持卡人發送釣魚郵件或短信，誘使他們泄露其支付卡信息，並騙取其一次性密碼以綁定信用卡至流動支付工具。雖然銀行有透過短訊或電郵向持卡人提醒新的支付服務綁定，惟仍可能被持卡人忽略或未有及時回應。

新指引中，金管局要求銀行為客戶綁定信用卡至新流動支付工具（例如Apple Pay）時，除發出一次性手機短訊驗證碼外，須作出多一重認證，例如透過雙向SMS、程式內確認（In-App confirmation）或回電（Callback），以確認客戶確實有向銀行發出相關綁定指示。另金管局亦歡迎有關機構提出其他認證措施以作討論，如生物認證等。

客戶須明確同意 方獲銀行超限額信貸

在信用限額信貸方面，指引提出銀行需在6個月內實行有關超出限額的安排措施。客戶必須向銀行提出明確同意，方可獲得銀行提供超出信用限額信貸。實施期內若有出現未經授權交易超出信用限額的情况，銀行應彈性處理客戶損失。

對於有投訴人指出，有銀行質疑持卡人未保護好信用卡，並需自行承擔相關損失。新指引強調銀行必須公平待客，當客戶懷疑受騙向銀行求助時，銀行需要以務實的態度和同理心協助客戶。根據銀行業務守則，在持卡人沒有欺詐或重大過失的情况下，他們不應對未經授權的交易承擔責任。若持卡人需自行承擔損失時，銀行應確保整個調查過程透明，以及向持卡人清楚解釋理由。同時，銀行應就此建立申訴機制，持卡人可就其承擔的損失金額提出覆核。