以下是我會會長陳家豪先生以香港數字金融協會聯席會長發表在明報財經的文章。
傳統信用卡甚至一般支付卡系統是在互聯網年代出現前發明及被廣泛應用在現場交易的產物。因為電子商貿普及甚至變成主流,支付服務供應商及銀行也按市場需要發展免實體卡的支付方案。由於線上交易未能以實體卡簽名覈實卡主身份,低金額的異地交易銀行一般不會再發短信甚至以電話向卡主覈實。 渣打銀行信用卡集體被盜用事件,愚公認為是黑客看中這系統缺陷,以短時間、大範圍的小額交易「快、狠、準」地成功入侵。
【事件是一面照妖鏡 凸顯通訊系統與時代脫節】
正如渣打銀行所説,信用卡有「charge back」體制,一旦發現這些也是不明交易,卡主是不需要負責。但基礎是需要卡主主動通知銀行,一來做個記錄、二來銀行可作快速應變對抗入侵。奈何渣打銀行的信用卡中心的對外通訊系統仍然「五十年不變」,只有提供香港本地號碼的 call center ,沒有利用最新的通訊科技,導致信用卡客戶需要被逼和其他銀行用戶爭奪有限資源。以愚公觀察,今次事件是信用卡中心只使用過時訊息系統,導致線上銀行系統「躺著也中招」而癱瘓的嚴重事件。
【前車可鑒 香港需要正視金融系統的根本問題】
簡單的一個信用卡攻擊事件可以發展到癱瘓整家大銀行的正常運作。香港要銳意發展成國際數字資產交易中心,目前政策局之間的分工協作到位嗎? 一家政策局要發出牌照及操作指引,有緊密和其他政策局底下的監管機構有足夠協調嗎?今日是一家銀行因為對外通訊系統落後及自身協調不足做成問題,他日會否是一個監管機構下的服務供應商出了問題而令到整個金融系統的癱瘓? 不要以為什麼也不做,麻煩就可以避免,香港過去就是什麼也不做,到知道要做的時候又不懂做,導致今日的人才、機構甚至信譽全失的局面。簡單的一個全民電子身份認證系統也欠缺的香港,可以在數字金融之路上安全地走多遠?
相關原文和出處請點擊此處。