在美國等信用卡起源地的多數(shù)西方國家，信用卡不設密碼，兩種交易方法中，交易憑證僅為簽字或驗證碼。

　　而在中國，根據(jù)本土花費習慣，銀行往往鼓勵持卡人給信用卡設置密碼，來保障用卡安全。

　　“這種雙軌制的信用卡系統(tǒng)下，中國花費者幾乎都不知道驗證碼的存在，更沒有相干的風險意識。”一位銀聯(lián)人士表現(xiàn)。

　　信用卡的驗證碼，被稱為CVV碼。它是一串3位數(shù)字，由卡號、有效期和服務束縛代碼，經過發(fā)卡銀行的編碼規(guī)矩和加密算法生成。

　　根據(jù)信用卡卡種和印刷地位的不同，還有CVV2、CVC、CVC2等，一般印于信用卡卡面、卡號后面。

　　陳方在“樂在上海”材料單上填下的，正是其招商銀行信用卡卡號和CVV碼。

　　在招商銀行信用卡中心供給的“信用卡(個人卡)通用申請表”及所附“信用卡(個人卡)通用領用合約”上，都沒有任何介紹性、警示性文字涉及CCV碼。

　　在信用卡用戶與招商銀行簽訂的唯一一張合約，及銀行網站上能找到的“信用卡介紹”中，CVV碼絲毫未被提及。

　　絕大多數(shù)的持卡人對CVV碼的第一次接觸，產生在網絡支付的實際操作中——“請輸入信用卡卡號后三位數(shù)字”。但沒有多少持卡人意識到自己正在應用另一種“密碼”，它也需要保護。

　　招商銀行不是孤例。記者查閱了建設銀行、工商銀行等行供給的信用卡章程，上面均無任何CVV碼的應用保管提示。這似乎是個沒有公開原因的行業(yè)慣例。

　　找不到買單者

　　正是利用這個慣例，“樂在上海”買通了信用卡中“離線支付”和“實體店”——兩個底本并行無交集的支付系統(tǒng)，找到了一條生財之道。

　　根據(jù)其營業(yè)執(zhí)照，“樂在上�！边\營機構為上海鵬楊廣告有限公司，它的經營范疇僅為廣告業(yè)務。實際經營中，鵬楊廣告的主業(yè)則為發(fā)行“會員花費折扣卡”，向商戶收取推廣費并向“會員”收取會員費。

　　身為實體店，“樂在上海”卻向網銀在線的上海分部，申辦了“離線支付”業(yè)務。

　　根據(jù)雙方簽訂的服務協(xié)議，網銀在線在互聯(lián)網建立支付服務平臺，向實體店“樂在上海供給”電子商務利用服務。

　　協(xié)議期，“樂在上海”可登陸網銀在線的服務平臺，在“信用卡遠程支付MOTOPAY(即離線支付)”一欄下，登陸被供給的賬號，輸入客戶的信用卡卡號與CVV碼，便可自行輸入金額，進行劃款。

　　“義務就在這個環(huán)節(jié)，樂在上海的收單銀行，對它沒有進行應有的實體店資質監(jiān)控�！倍≡娔菡J為：“它們亂設收單POS，授權POS�！�

　　但招行自己并不在“亂設POS的收單銀行”之外。

　　據(jù)記者懂得，在網銀在線向“樂在上�！惫┙o的支付服務中，協(xié)議銀行包含招商銀行、中國工商銀行、中國建設銀行、興業(yè)銀行、廣東發(fā)展銀行、中國銀行及VISA、mastercard等多個境外銀行聯(lián)盟。

　　這意味著，幾乎中國所有的銀行，都被網銀在線網羅，會向“樂在上�！眰児┙o收單服務。

　　而拓展這種收單服務中，第三方支付機構網銀在線向市場鋪設各類POS時，銀行與實體店并不產生任何接觸，亦沒有相干資質審核。

　　那么，商戶資質審核是誰的義務？

　　在各類離線支付過程，在發(fā)卡銀行和收單銀行之間，至少1個或2個“中轉商”，或是第三方支付平臺；或者是第三方支付平臺和銀聯(lián)。

　　在這種“離線支付”產業(yè)鏈中，銀聯(lián)作為信息轉接者，的確不涉及商戶的資質管理、風險把持。不過，銀聯(lián)亦有子公司進行第三方支付業(yè)務，并在該行業(yè)市場份額盤踞前三。

　　“資質管理的義務，在商戶備案的收單機構�！闭猩蹄y行信用卡中心項目經理張記洲告訴記者：“誰對接商戶，就應當誰對這個實體店進行資質管理�！�

　　第三方支付之患

　　而這個案例中，商戶對接的是網銀在線。但網銀在線并不認為自己應對此事義務。