责任转移详解:如何降低线上及线下支付欺诈风险

Radar
Radar

借 Stripe 强大网络之力打击欺诈。

了解更多 
  1. 导言
  2. 什么是银行卡支付场景中的责任转移?
  3. 责任转移何时发生?由谁承担责任?
    1. EMV 芯片卡交易
    2. 线上交易
    3. 非接触式与数字钱包交易
    4. 无身份验证选项的交易
  4. 责任转移对欺诈预防策略的影响?
    1. 帮助判断何时启用身份验证
    2. 改变风险评分的解读方式
    3. 重构欺诈成本

2024 年电商领域全球在线支付欺诈损失预计达 440 亿美元。但当交易被证实为欺诈时该由谁买单?这取决于支付处理方式、采用的安全工具及背后的适用规则。这种责任移交被称为责任转移,它是支付体系的重要环节。遗憾的是,许多商家往往在蒙受损失后才意识到其重要性。

下文我们将详细解释责任转移的运作机制、触发条件以及如何善用该规则。

本文内容

  • 什么是银行卡支付场景中的责任转移?
  • 责任转移何时发生?由谁承担责任?
  • 责任转移对欺诈预防策略的影响?

什么是银行卡支付场景中的责任转移?

责任转移定义了当支付被确认为欺诈时由谁承担责任。这种责任可能根据支付链条中哪一方使用了正确的安全工具而发生转移。归根结底取决于哪一方未能确保交易安全。

如果商家采用了最新的安全协议(如 EMV 芯片读卡器和 3DS 验证]),但欺诈仍然发生,责任通常会转移至发卡行。若商家未启用这些防护措施,则发卡行不再担责。商家(或其收单行)将承担撤单的财务责任。

这种责任变化是人为设计的。卡组织通过该机制推动安全技术的普及。其传递的信息很明确:只要实施强认证措施,就不必承担欺诈损失。

卡组织遵循严格的逻辑来判定责任归属:

  • 商家是否采用了可用的身份验证方式?

  • 交易是否通过正确渠道处理?

若两个问题的答案均为“是”,商家将受到保护。否则将面临风险。

责任转移何时发生?由谁承担责任?

责任转移并不适用于所有交易。仅当特定技术或协议被(或未被)用于欺诈检测与预防时才会触发。若满足条件,欺诈风险将从商家转移至发卡行。反之则由商家担责。

以下详细分析不同交易类型中责任转移的触发条件及原因。

EMV 芯片卡交易

若客户使用 EMV 芯片卡支付,但商家未通过芯片读卡器处理交易,则商家需承担该交易涉及的欺诈责任。这意味着:

  • 若商家不支持 EMV 而卡片带有芯片,损失由商家(或其收单行)承担

  • 若商家通过 EMV 读卡器处理芯片卡交易,责任通常归发卡行

这与“商品损坏”等非卡片欺诈争议无关,此类情况仍由商家负责。

线上交易

线上或移动支付的责任转移通常取决于是否采用 3DS 验证及其结果:

  • 若交易通过 3DS 验证,责任转移至持卡人的发卡行。

  • 若未使用 3DS 验证、验证失败或该服务不可用,则由商家担责。

若持卡人后期主张未授权交易,仅当验证完成时发卡行才需负责。即使因发卡行未参与 3DS 验证或系统错误导致未验证,责任通常也不会转移至发卡行。

非接触式与数字钱包交易

多数数字钱包(如 Apple Pay、Google Pay)因采用令牌化技术和验证机制而适用责任转移。这类交易通常包含加密凭证,证明持卡人通过生物识别或设备凭证完成验证。存在该凭证时,责任一般转移至发卡行。

无身份验证选项的交易

包括邮购/电话订购 (MOTO)在内的某些渠道无法实施验证。此类交易因无法实时验证,责任通常由商家承担。

责任转移对欺诈预防策略的影响?

责任转移是一种决策工具。它决定了您处理风险的方式、在结账环节采取的安全措施,以及如何平衡欺诈预防与用户体验。

帮助判断何时启用身份验证

3DS 验证能提供大多数反欺诈工具不具备的功能:财务责任豁免。这使其成为强有力的备用方案——尤其对高风险交易(如高额订单、国际银行卡支付、新客户首次交易)而言。

部分商家会选择性使用 3DS 验证。例如对高风险交易启用 3DS 验证以转移责任,而对低风险交易则跳过该步骤以减少结账阻力,保障转化率。这种做法并非视所有客户为潜在威胁,而是在关键环节运用责任转移机制。

但在某些地区,法规要求所有线上交易都必须使用 3DS 验证。

改变风险评分的解读方式

当确认某笔交易适用责任转移(因 3DS 验证成功或使用芯片交易)时,即使存在欺诈指标,您仍可能决定批准该交易。反之,若交易不符合责任转移条件,则可能需要加强审核,例如要求额外验证、转人工审核或直接拦截。

重构欺诈成本

成功的责任转移意味着损失将由发卡行而非商家承担。这降低了直接财务风险,但欺诈仍会带来间接成本:

  • 商品损失

  • 处理争议升级

  • 因高欺诈率被卡组织标记

虽然责任转移能减轻欺诈影响,但无法完全消除损害。商家仍需尽可能预防欺诈发生。

具体策略取决于您的商业模式、风险承受能力和业务地域。例如欧盟要求所有线上支付都需满足强客户认证 (SCA)标准,而最新的 3DS 验证即可满足该要求。在美国等其他地区,3DS 验证属于可选功能——这赋予更大灵活性,但也需要更多决策。若开展全球业务,您最终可能需要采用混合策略:在强制地区使用 3DS 验证,在其他地区实施基于风险的方案。

本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Radar

Radar

借 Stripe 强大网络之力打击欺诈。

Radar 文档

用 Stripe Radar 保护您的业务,远离欺诈。