钓鱼诈骗案层出不穷,预计明年上半年起,金融机构和电信公司必须为这类诈骗案共同负起责任,若发现哪一方有失责须对受害者作出赔偿。
新加坡金融管理局和新加坡资讯通信媒体发展局星期三(10月25日)发布共同责任框架(Shared Responsibility Framework,简称SRF)的公众咨询文件,针对发生钓鱼(phishing)诈骗案时该如何划分责任和作出赔偿征询公众意见。
受这个框架管制的是为客户资金把关的金融机构,以及在这个过程中扮演辅助角色的电信公司,因为发送短信是金融机构使用的正规沟通媒介。
当局在文告中说:“如今常见的各种诈骗类型中,因数码诈骗出现的未经授权交易尤其令人关注。由于这些交易是在客户不知情或没获得他们同意下进行,这将削弱我国数码银行服务和支付体系的信任度。”
由金管局领导的支付理事会(Payments Council)在去年2月华侨银行短信钓鱼骗案发生后,宣布与金融业者一起探讨如何落实骗案赔付框架,当时框架只涵盖金融机构。
新框架按照“瀑布模式”追究责任
新框架按照“瀑布模式”(waterfall approach)来追究责任。发生钓鱼诈骗案时,银行须负起第一层把关责任,因为它们在防止资金因诈骗而流失中扮演关键角色。若发现它们没有采取适当措施,就须赔偿受害者。
如果确定银行履行所有责任,就审查第二层把关的电信公司,若发现有失责就得赔偿。倘若银行和电信公司都没问题,消费者须承担损失。如果不满银行的调查结果,消费者可向金融业争议调解中心(FIDReC)申诉。
当局指出,新加坡目前是全球第一个把电信公司或基础建设供应商纳入诈骗赔偿框架的管辖区。
这个框架阐明业者在降低消费者陷入钓鱼欺骗案的风险时应履行的责任。金融机构须确保激活密码生成器需要至少12个小时才能生效;激活密码生成器和出现高风险交易须发送通知;提供全天候的管道和自助功能,让消费者立即阻断线上转账交易。
电信公司须确保只有授权供应商能够发出挂有发送者身份的短信;阻断来自不授权供应商发送这类短信;实施反诈骗滤镜,阻断含有钓鱼链接的短信。
如果金融机构和电信公司履行了职责,框架不会要求他们赔偿消费者,“因此消费者必须时刻保持警惕,不要点击任何未经请求的可疑链接。”
他们不应随意点击自称是银行发送的短信或电邮中的链接;不应对用来付款的手机取得最高管理员权限,使得手机面对安全风险;如果发现可疑交易或相信户头被盗用,须尽快联系银行或启动银行提供的“紧急关闭开关”(kill switch)冻结户头。
框架不涵盖所有诈骗案
必须注意的是,这个框架并不涵盖所有欺骗案,例如投资或爱情欺骗案,因为受害者是有意识地汇款给骗子。
近期频频发生的涉及恶意软件(malware)的欺骗案也排除在外。虽然这类骗案也导致不授权的户头交易,削弱对数码银行服务的信心,当局认为这类骗案相对新,有关方仍在发展风险缓解措施,现阶段制定相关的具体职责还为时过早。
全球诈骗问题日益恶化。非营利组织全球反诈骗联盟和数据服务提供商ScamAdviser进行的联合研究显示,在2022年8月至2023年8月的一年期间,诈骗团伙在全球估计骗了约1.02万亿美元(约1.4万亿新元),其中,新加坡受害者平均损失4031美元(约5538新元),是全球最多的。
其他国家如英国、欧盟、澳大利亚、美国、加拿大、巴西、韩国和日本,目前也都有条例或指导原则为不授权的支付交易提供赔偿。
