2024年支付欺诈报告

Contents 图表和表格列表3缩写4 图表和表格列表 图表1a：按支付工具类型划分的绝对和相对欺诈水平（按价值计算）....................... 10图表1b：按支付工具类型划分的绝对和相对欺诈水平（按数量计算）........................... 11图表2：按支付工具划分的交易平均值和欺诈交易平均值............................................. 12图表3：非远程发起与远程发起支付交易及欺诈交易的价值份额................................... 13图表4：非远程发起与远程发起支付交易及欺诈交易的数量份额................................... 14图表5：欺诈价值构成的主要欺诈类型................................................................. 15图表6：欺诈数量构成的主要欺诈类型................................................................. 15图表7：卡欺诈按发起渠道和欺诈类型划分的价值和数量构成（2023年上半年）................................. 16图表8：信用转账、卡支付和电子货币支付SCA交易与非SCA交易的价值份额................... 17图表9：信用转账、卡支付和电子货币支付SCA交易与非SCA交易的数量份额................... 18图表10：按支付工具和地区划分的SCA认证交易与非SCA认证交易的欺诈率（按价值计算）........ 19图表11：按支付工具和地区划分的SCA认证交易与非SCA认证交易的欺诈率（按数量计算）........ 19图表12：未应用SCA的电子信用转账按豁免类型划分的数量构成.................................. 21图表13：未应用SCA的信用转账按豁免类型划分的欺诈率（按价值计算）...................... 21图表14：未应用SCA的电子卡支付按未应用SCA原因划分的数量构成................................ 22图表15：未应用SCA的电子货币交易按未应用SCA原因划分的数量构成........................ 22图表16：未应用SCA的卡支付按发起渠道和未应用SCA原因划分的欺诈率（按价值计算）......... 24图表17：未应用SCA的电子货币交易按未应用SCA原因划分的欺诈率（按价值计算）...........24图表18：因欺诈导致的报告损失总额按责任方划分.................................................. 25图表19：按责任方和支付工具划分的损失构成...................................................... 26图表20：按支付工具和地区维度划分的支付交易和欺诈构成I...................................... 27图表21：按支付工具和地区维度划分的支付交易和欺诈构成II..................................... 28 表1：按价值计算的绝对水平和相对水平的支付欺诈（2023年上半年，单位：欧元）………………31表2：按数量计算的绝对水平和相对水平的支付欺诈（2023年上半年）……………………………32 缩写 ATM自动取款机 CA主管当局 CSC通信 EBA 的通用和安全开放标准欧洲银行管理局ECB欧洲中央银行EEA欧洲经济区EU欧洲联盟NCA国家主管当局 NCB国家中央银行 PSD支付服务指令PSP支付服务提供商 PSU支付服务用户 RTS监管技术标准SCA强大的客户身份验证 执行摘要 这份报告由欧洲银行业管理局（EBA）和欧洲中央银行（ECB）联合准备，评估了根据欧盟指令2015/2366（修订后的支付服务指令，PSD2）第96条（6）款向EBA和ECB报告的最新支付数据。报告涵盖了三个参考时期的半年度数据：2022年第一半年（H1 2022）、2022年第二半年（H2 2022）和2023年第一半年（H1 2023），重点关注信用转账、直接借记、卡支付（从欧盟/欧洲经济区发行方的角度）、现金提取和电子货币交易等支付工具。数据覆盖了所有报告完整时间序列的欧盟/欧洲经济区国家，并分析了总支付交易量及其子集的欺诈交易量和价值。此外，报告还对主要欺诈类型以及强客户认证（SCA）的应用进行了更详细的分析，并提供了某些地理和地区层面的分析。 该报告评估了欧洲经济区（EEA）行业内报告的支付欺诈情况，2022年总额为43亿欧元，2023年上半年为20亿欧元。在价值方面，大多数支付欺诈主要涉及信用转账和卡片支付，涵盖了所有三个分析的时间段。具体而言，在2023年上半年，欧盟/EEA地区的支付服务提供商（PSPs）发送的欺诈性信用转账总价值为11.31亿欧元，使用欧盟/EEA地区发行卡片的卡片欺诈价值为6.33亿欧元。在数量方面，2023年上半年使用欧盟/EEA地区发行卡片进行的欺诈性卡片交易总数为731万笔，而欺诈性信用转账、直接借记、现金提取和电子货币交易的数量显著较低。 在相对比例上，银行卡支付的欺诈率最高，2023年上半年，欺诈占总卡支付金额的0.031%，占总卡支付笔数的0.015%；电子货币交易的欺诈率也较高，占总价值的0.022%，占总交易笔数的0.012%。除按体积计算的直接借记欺诈外，其他所有支付工具的欺诈率均较低，其中直接借记欺诈占2023年上半年总直接借记交易笔数的0.014%。 信用卡欺诈主要发生在远程交易中，而绝大多数的整体信用卡支付是非远程进行的。相比之下，无论是整体交易还是欺诈交易，信用转账和电子货币交易大多都是远程发起的。 信用卡支付欺诈主要发生在诈骗者发出的虚假支付指令中，具体原因主要是非远程信用卡欺诈（2023年上半年占比超过50%）中丢失或被盗卡片的使用，以及远程操作的信用卡欺诈（2023年上半年占比64%）中信用卡信息被盗。相比之下，在三个报告期间内，伪造卡欺诈和操控付款人发起支付指令的作用相对较小。操控付款人在此期间的假冒信用转账总价值中占比超过一半。 SCA 在价值层面主要用于大多数电子支付，尤其是信用转账（约占77%）。总体而言，经过SCA认证的交易欺诈率低于未经过SCA认证的交易。 第 5 页共 35 页 交易活动，尤其是信用卡支付。此外，研究发现，当对方位于EEA之外时，信用卡支付的欺诈率显著更高（大约高出十倍），因为在这些地区可能不需要应用SCA（强客户认证）。 技术标准由EBA和ECB开发的SCA提供的豁免在不同的支付工具和发起渠道中存在差异。某些豁免，如低值豁免、受信任的受益人、重复交易或PSD2下SCA要求之外的交易类型，显示出比其他豁免（如涉及安全企业流程和协议的交易）更高的欺诈率。研究结果支持了PSD2下的SCA要求对电子支付安全产生了积极影响，但也强调了进一步调查市场正确应用这些要求的必要性。 由于欺诈导致的损失在责任承担者之间根据支付工具的不同而分布不同。在2023年上半年，使用支付服务的用户（PSUs）分别承担了卡支付和现金提取产生的损失的45%和51%，而电子货币交易中的这一比例低于25%。相比之下，PSUs承担了超过80%的信用转账总欺诈损失。然而，PSUs和支付服务提供商（PSPs）之间欺诈损失责任分配的差异在各国之间显著不同：在特定情况下，对于卡支付，在许多国家中PSUs承担了超过一半的欺诈损失，有时甚至高达所有损失的80%或更多；而在一些其他国家，这一比例低至30%或更低。 关于欺诈的地理维度，呈现的结果表明，尽管大多数支付交易是国内交易，但大多数银行卡欺诈（2023年上半年价值占比71%）和较大比例的信用转账和直接借记欺诈（2023年上半年分别占43%和47%）是跨境发生的。因此，相当一部分欺诈性银行卡支付（2023年上半年占28%）与非EEA地区的跨境交易有关。 展望未来，基于现有分析的整体支付欺诈情况似乎保持稳定。RTS对SCA和CSC的广泛应用已经减少了欺诈性支付，特别是在欧盟经济区内的交易中。此外，行业措施如EMV标准的全球实施也继续限制了欺诈机会，例如在伪造卡的使用方面。然而，行业、监管机构和消费者仍需保持警惕。欧洲银行管理局（EBA）和欧洲中央银行（ECB）将继续密切监控支付欺诈的发展情况，并利用PSD2和欧洲中央银行支付统计条例收集的宝贵数据进行监测。 1. Introduction 欧洲支付管理局（EBA）和欧洲中央银行（ECB），作为支付服务提供商的监管机构和支付系统、工具、方案和安排的监督者，密切监控支付欺诈的发展情况。EBA和ECB因此依赖于欧盟/欧洲经济区（EU/EEA）内支付服务提供商（PSPs）报告的支付交易量和价值以及相应的欺诈统计数据。 根据《支付服务指令2》（PSD2）第96条第6款的规定，支付服务提供商（PSPs）需向其主管当局（NCAs）报告与不同支付手段相关的欺诈统计数据。相应地，主管当局需将这些数据以汇总形式提交给欧洲银行管理局（EBA）和欧洲中央银行（ECB）。为了支持这一规定，《欧洲银行管理局关于PSD2欺诈报告的指南》（EBA/GL/2018/05，以下简称“EBA指南”），自2019年1月1日起生效，详细规定了应报告的PSD2数据内容。此外，《欧洲中央银行关于支付统计的条例》（欧央行2013/43号条例，经修正，以下简称“欧央行支付统计条例”）要求欧元区内的支付服务提供商报告包括支付欺诈在内的详细信息，并且这些国家中央银行有义务将汇总后的数据提供给欧央行。1《 EBA 指南》和《欧洲央行支付统计条例》下的数据每半年报告一次。 这份报告由EBA和ECB联合准备，提供了对最新数据的全面概述，这些数据是在上述框架下收集的。因此，它补充并扩展了之前关于欺诈的出版物，如欧洲系统定期发布的信用卡欺诈报告。2提供更为全面且详细的视角来审视各种支付工具中的欺诈问题。尽管本报告中观察到的趋势和发现似乎与欧洲系统过去关于卡片欺诈的报告中的结果一致，但在比较这些发现时仍需谨慎，因为数据来源、报告方法、收集信息的范围和内容以及地理覆盖范围存在显著差异。 该分析基于三个参考时期的半年数据，即2022年上半期（H1 2022）、2022年下半期（H2 2022）和2023年上半期（H1 2023）。虽然根据EBA指南的数据自2019年起已开始报告，但欧盟/欧洲经济区国家的全面覆盖仅从2022年上半期开始。因此，2022年上半期是本报告基于的第一个时期。结果分别按主要支付工具呈现，即信用转账、直接借记、卡支付、现金提取和电子货币交易。 卡支付的数字通常来自发行而不是获取的角度。3仅在某些情况下从收购角度添加了结果，以便进行特定比较。在这种情况下，视角的变化会明确说明。 除非另有说明 ， 否则所有合计数字均指整个欧盟 / 欧洲经济区 ， 不包括列支敦士登。4本报告中分析的数据聚合是指根据EBA指南定义的数据，无论支付服务提供商（PSPs）最初报告是否符合EBA指南或欧洲央行关于支付统计的条例。 尽管本报告是迄今为止关于欧盟支付欺诈最全面的出版物，但仍存在若干数据限制，如某些不完整的数据提交或报告支付服务提供商（PSP）的方法论误分类，以及其他潜在的数据质量问题，这些问题仍在各自的国家主管当局和/or 国家中央银行进行调查，并可能在后续报告期间的数据提交时导致回顾性数据修正。在识别并认为相关的情况下，因此在整个报告中添加了数据质量声明。此外，由于本报告仅涵盖了三个报告期，在尝试解释时间趋势时应保持