2005年6月，美国爆出4000万张信用卡资料外泄的特大新闻。消息传来，舆论哗然。尽管我国只有数千个信用卡账户数据资料受波及，但一石激起千层浪，国内金融管理机构、各银行、信用卡持卡人等在采取应急措施避免损失的同时，对于信用卡的安全性、信用卡的反欺诈管理等也给予了高度的关注。
本文将系统地介绍欧美信用卡行业欺诈的概况和种类，介绍其在长期的实践中摸索出来的反欺诈技术手段和经验，为中国信用卡行业的反欺诈管理提供参考。由于美国的信用卡行业的反欺诈历史较悠久，欺诈损失得到了较稳定的控制，而信用卡欺诈在英国正突出地表现出来，而且呈上升态势，与正在迅速发展中的中国信用卡行业具有较多的相似之处，所以本文主要以英国信用卡行业情况为例加以阐述。

一、信用卡欺诈的概况

图1是英国1995年至2004年信用卡行业的欺诈损失情况。我们可以看出，在过去的10年时间里，英国信用卡的欺诈损失额节节上升。这一方面是因为欺诈活动日益猖獗，欺诈作案日益团伙化、技术化；另一方面是发卡量和交易量大幅度增加的结果。2001~2003年欺诈损失得到了稳定控制，这是因为这几年间英国大部分银行推广使用了智能性反欺诈模型。2004年欺诈损失再度大幅度攀升近20%，这是因为有组织的欺诈团伙要在英国于2005年全面普及芯片卡和密码系统之前大肆进行了欺诈活动。
 
数据来源：APACS Card Fraud Facts 2005
图1 英国1995-2004年信用卡行业欺诈损失情况

1.信用卡欺诈的种类
信用卡的欺诈包括身份信息被盗(identity theft，包括欺诈性申请和账户信息被窃取)、伪造(counterfeit)、卡丢失或被盗(lost or stolen)、卡邮寄被盗(mail non-receipt) 、卡不在场欺诈(card not present fraud)等。

（1）卡不在场欺诈(Card-Not-Present fraud, 简称CNP fraud)

又称卡相关信息被盗欺诈(fraudulent possession of card details)，信用卡和持卡人均不在销售终端，只要提供卡的相关信息就可进行欺诈交易，如通过电话、传真、邮件、互联网等渠道使用信用卡。欺诈分子往往是以各种方式(如拾得被持卡人丢弃的信用卡收据、拷贝他人收据、销售终端雇员拷贝或记录他人信用卡信息等) ，盗取了信用卡上的相关信息(如卡号、姓名、地址、过期日等) 。真实的持卡人往往不会知道欺诈的发生，直到收到对账单发现不是由他们作出的交易为止。利用盗取的信用卡信息进行卡不在场欺诈造成的损失成为最突出的类别之一，一个重要的原因是电子商务和电话商务的兴起和盛行以及团伙犯罪。

（2）卡被伪造(Counterfeit)
卡被伪造是英国目前最大的欺诈损失类别之一。伪造的信用卡指的是卡本身不是由发卡银行发行而属于纯粹的伪造或卡本身由发卡银行发行但被欺诈分子盗取机密信息仿冒伪造和使用。
大多数伪造的信用卡是通过一种叫侧录（Skimming）的方式进行的，它通过一定的电子设备读取真实的信用卡磁条上的信息，并以电子方式拷贝到伪造的卡上。
侧录一般发生在零售终端如加油站、餐馆、酒吧等，由犯罪的雇员盗取信用卡磁条上的信息(用来偷读的设备并不难获得) ，然后利用偷来的信息伪造卡或更多是把偷来的信息卖给职业的欺诈犯罪团伙大批量地伪造。
一般来说，真实的持卡人不会知道这种欺诈的发生，直到收到对账单发现了不是由持卡人进行的交易为止，但这时往往为时已晚，欺诈分子往往已经刷爆了该信用卡账户。
英国卡伪造的欺诈损失突出，原因是欺诈犯罪团伙往往在全球范围内活动，而他们一旦发现某个国家的反欺诈环节比较薄弱，会大规模地利用其薄弱环节大肆欺诈。所以在美国的反欺诈措施比较得力的情况下，英国成了欺诈犯罪作案的焦点。而且，欺诈分子越来越多地利用先进的技术手段，使伪造信用卡的成本下降、以假乱真的程度上升。

（3）卡丢失或被盗(Lost or Stolen)
卡丢失和被盗是欺诈损失的严重一环，往往是在真实的持卡人挂失前被大量地欺诈性使用。由于目前刷卡消费只需要签字，往往无需查验身份证，而签字又非常容易假冒，导致这种欺诈操作起来比较容易。

（4）卡邮寄被盗(Mail non-receipt fraud)
由于信用卡通常是邮寄给客户的，如果欺诈分子盗取了邮件，便获得了信用卡。这种欺诈损失虽然占的比例不是特别高，但近年来急剧上升，主要是因为银行在其它方面加强了反欺诈力度，而欺诈分子也不断地探索新的欺诈渠道，盗取邮件便是其中之一。

（5）身份信息被盗(identity theft fraud)

盗取身份信息进行信用卡欺诈包括两种方式：

第一是欺诈性申请(application fraud)，欺诈分子往往通过盗取他人的电话账单、水电费账单、银行对账单等途径获得他人身份信息，然后以盗取的他人身份信息或伪造的他人身份证件，以他人的名义申请信用卡，进行欺诈使用。
第二是窃取信用卡账户(account take-over), 欺诈分子先收集他人的相关信息，然后冒名以持卡人的名义，要求信用卡公司把邮件送到新的通信地址，然后向信用卡公司谎报信用卡丢失了，要求把新的信用卡寄到欺诈分子指定的通信地址，从而获得信用卡进行欺诈性交易。

英国的信用卡行业2004年的欺诈总损失额为5.05亿英镑(约9亿美元)，其中：
v 伪造欺诈损失为1.3亿英镑 (约2.34亿美元)；
v 卡不在场欺诈损失为1.5亿英镑(约2.7亿美元)；
v 卡丢失和被盗欺诈损失为1.14亿英镑(约2亿美元)；
v 卡邮寄被盗欺诈损失为0.73亿英镑(约1.3亿美元)；
v 身份信息被盗(欺诈性申请)损失为0.37亿英镑(约0.67亿美元) 。

从相对比例(见图2)来讲，卡不在场欺诈占最大比例30%，其次是卡被伪造欺诈占26%，这些与有组织的欺诈犯罪团伙行为密切相关；卡丢失或被盗欺诈占23%，再次是卡邮寄被盗，占14%，身份信息被盗，占7% 。

 
数据来源：APACS Card Fraud Facts 2005

图2  英国2004年信用卡欺诈损失种类比例

二、以欺诈侦测模型为基础的智能型反欺诈管理

利用先进的数理统计技术，如神经网络模型，进行深度的数据挖掘，发展申请欺诈风险评分模型和交易欺诈风险评分模型，来预测信用卡申请或交易为欺诈的概率大小，为制定智能型反欺诈策略提供科学的依据。

1.制定以申请欺诈风险评分模型为基础的反欺诈策略
申请欺诈风险评分模型是以信用局保存的欺诈记录或嫌疑性的姓名、地址、身份证号码、以及申请表填写信息与信用局记录信息之间的差异来预测信用卡申请为欺诈的概率。
制定以该模型为基础的反欺诈策略相对直观：对于评分模型预测为欺诈概率特别高的申请予以拒绝；对于评分模型预测为欺诈概率比较高但不算特别高的申请，可以展开额外的调查与核对，如要求核对身份证件、电话调查申请人身份的真假等，然后再做决定；对于评分模型预测为欺诈概率较低的申请予以批准(如果其他条件符合信贷审批策略要求) 。
在决定分数线(欺诈概率) 高低的门槛时，需要考虑到下列因素之间的平衡：
v 拒绝真实的申请人所带来的损失(失去了潜在的好客户)；
v 额外调查给真实的申请人所带来的不便；
v 额外调查的成本；
v 批准欺诈性申请所带来的损失。
上述因素之间的平衡，归根结底依靠的是模型所预测的欺诈概率大小。

2.制定以交易欺诈风险评分模型为基础的反欺诈策略
交易欺诈风险评分模型是以持卡人的交易行为模式为分析基础的、以对比当前交易与历史交易模式的差别为分析焦点的、以精密的数理统计模型(典型的是使用机器学习和神经网络模型) 为分析手段的、以预测当前交易为欺诈的概率为分析目标的模型。它的根本原理是虽然欺诈者可以盗取信用卡相关机密信息，也可以盗取、伪造或假冒信用卡，但是无法模仿真实持卡人的历史行为模式，这种历史行为模式往往体现在以大量的交易的时间、地点、金额、商户类别、交易频率等信息为基础而提炼出来的数百个个性档案(Profiles) 中。
制定针对信用卡交易的反欺诈策略是比较复杂的，这不仅是因为交易欺诈的损失额大、欺诈种类多、欺诈的模糊性强，而且因为交易量非常巨大，每一秒钟可能有成千上万的交易发生，大量的交易的授权决策都需要在几秒钟的时间里完成，对系统的挑战性极大。
在授权系统接到卡交易的授权请求后，会进行欺诈风险的评估和审核，计算交易欺诈风险评分，根据银行制定的反欺诈策略，对于评分较差、欺诈风险高的交易，可以拒绝授权，也可以要求电话核对，然后根据核对的结果拒绝或批准授权。而对于绝大多数欺诈风险较低的交易，则直接批准授权。
反欺诈策略的目标是最大限度地降低欺诈损失额，而预期欺诈损失额等于欺诈概率乘以交易额。由于欺诈风险评分反映了欺诈的概率，所以，欺诈风险评分和交易额是反欺诈策略的主要决策依据，辅之以商户种类、交易国度、刷卡方式等信息。
在制定以评分模型为基础的智能型反交易欺诈策略时，需要考虑到下列因素之间的平衡：
v 欺诈的损失。如果反欺诈策略不力，给欺诈分子可乘之机，可能导致该银行成为交易欺诈的目标，导致大量的欺诈损失。
v 拒绝的交易量。如果拒绝的交易量很少，让很多欺诈性交易得到批准，则银行会承担较多的欺诈损失，反欺诈成果不彰；如果拒绝的交易量过多，让很多真实的交易得到拒绝，则银行一方面会损失了该交易本来可以带来的佣金收入和利息收入，另一方面给持卡人带来了不便，导致客户流失的可能增加。
v 电话核对的交易量。如果电话核对的交易量很少，让很多欺诈性交易得到批准，则银行会承担较多的欺诈损失，反欺诈成果不彰；如果电话核对的交易量过多，让很多真实的交易不得不经历电话核对的过程，则银行不仅承担了大量的电话核对的费用，而且给电话服务中心的资源带来极大压力，在极端情况下可能导致授权系统的崩溃。
v 系统资源和人力资源的配置和容量。授权系统在每一单位时间里能够高效率地进行反欺诈审批的交易量是有限的，所以对实时送入反欺诈审批程序的交易必须进行过滤。电话服务中心的资源也是有限的，所以每一单位时间能够核对或调查的交易量是有限的，制定反欺诈策略时必须考虑到系统和人力资源的限制。
v 客户的反应。如果过多真实的交易被拒绝或电话核对，会给许多客户带来不便，导致客户流失的可能性增加，而且导致许多客户的抱怨，给银行的客户关系和品牌形象带来不利影响；如果过多欺诈性的交易被批准，也会给许多客户带来纠纷和麻烦，打击客户对信用卡产品的信心，给银行的客户关系和品牌形象带来不利影响。