保安編碼漏洞或源於電商

未能傳送回發卡行驗證

本報早前實測，六家銀行信用卡不必輸入正確的保安編碼（卡背三位數CVV），均成功支付內地網購，一名受害人的扣帳卡一夜間被過數二十九次合共四百港元。

有本地銀行家表示，最大可能是平台收集了CVV後，系統出現故障而未有成功傳送回發卡銀行進行驗證。

他稱，由於平台未有選用手機短訊密碼等更高級驗證保安，客戶損失大機會由平台而非銀行承擔，不過用戶無論如何亦應第一時間通知銀行，由銀行進行調查。

用戶應報告未授權交易

根據銀行營運守則，信用卡用戶需於月結單日期起計六十日內，向發卡機構報告月結單內的任何未經授權交易，發卡機構一般應在收到通知後九十日內完成調查，而持卡人有權在調查期間拒絕支付涉及爭議的款額。

網上商戶一般會平衡用戶體驗及保安，自訂付款前驗證方法：最簡單可以是只填信用卡正面的資料，不用填CVV，而香港較常見的是填寫卡面資料加CVV。部分網購公司則採用更多保安元素，例如要求用戶輸入手機短訊密碼、身份證號碼及出生日期等。