央行密集出手 支付寶稱余額寶不受影響

近日，央行繼叫停虛擬信用卡和二維碼支付之后，又向多家第三方機(jī)構(gòu)下發(fā)了 《支付機(jī)構(gòu)網(wǎng)絡(luò)業(yè)務(wù)管理辦法》(以下簡(jiǎn)稱 《管理辦法》)征求意見(jiàn)稿草案，其中有條款對(duì)第三方支付的轉(zhuǎn)賬、消費(fèi)金額等進(jìn)行限制。

昨日(3月18日)，中國(guó)支付清算協(xié)會(huì)常務(wù)副會(huì)長(zhǎng)兼秘書(shū)長(zhǎng)蔡洪波在一個(gè)發(fā)布會(huì)上表示，二維碼支付被叫停的原因主要是目前技術(shù)安全標(biāo)準(zhǔn)的缺失，將來(lái)通過(guò)鑒定，達(dá)標(biāo)后再推廣運(yùn)用也是有可能的。

另外，針對(duì)央行尚未頒布的《管理辦法》征求意見(jiàn)稿，昨日，支付寶在官方微博上表示，支付寶快捷用戶申購(gòu)和贖回余額寶現(xiàn)在和未來(lái)都不會(huì)受到任何影響。

支付寶回應(yīng)央行草案

據(jù)了解，《管理辦法》草案第二十五條規(guī)定，個(gè)人支付賬戶轉(zhuǎn)賬單筆金額不得超過(guò)1000元，同一客戶所有支付賬戶轉(zhuǎn)賬年累計(jì)金額不得超過(guò)1萬(wàn)元。個(gè)人支付賬戶單筆消費(fèi)金額不得超過(guò)5000元，同一個(gè)人客戶所有支付賬戶消費(fèi)月累計(jì)金額不得超過(guò)1萬(wàn)元。超過(guò)限額的，應(yīng)通過(guò)客戶的銀行賬戶辦理。

針對(duì)有用戶關(guān)心未來(lái)購(gòu)買(mǎi)余額寶等理財(cái)產(chǎn)品是否將受到限制的問(wèn)題，昨日，支付寶在官方微博上表示：第一，征求意見(jiàn)稿屬于草案，也就是說(shuō)還處于草擬階段，并未正式頒布，更沒(méi)有實(shí)施。每一個(gè)管理辦法的出臺(tái)會(huì)經(jīng)歷很多版本的草案;第二，公司已經(jīng)將相關(guān)的意見(jiàn)反饋給央行，并且正積極與央行進(jìn)行溝通中;第三，既然并不是正式意見(jiàn)，因此對(duì)余額寶的使用不會(huì)有任何限制。

二維碼背后內(nèi)容不可控

業(yè)內(nèi)人士表示，二維碼實(shí)際上是一個(gè)編碼方式，可以把圖片、文字信息等都可以以二維碼方式呈現(xiàn)，然后通過(guò)攝像頭識(shí)別，作為一種傳遞信息的途徑，二維碼沒(méi)有生成主體的限制，這樣就帶來(lái)了很大的風(fēng)險(xiǎn)隱患。

華南地區(qū)一位支付安全專家告訴《每日經(jīng)濟(jì)新聞》記者，“二維碼是因?yàn)闆](méi)有SE(安全元件)這樣的一個(gè)安全保障，誰(shuí)都可以去網(wǎng)站上生成，所以顯得不安全。”

誰(shuí)都可以在網(wǎng)站上生成二維碼，這給了網(wǎng)絡(luò)犯罪者提供了作案空間，以安裝惡意軟件為例，用戶掃描含有惡意軟件的二維碼后就直接進(jìn)入下載頁(yè)面，如果用戶點(diǎn)擊下載，那么手機(jī)就會(huì)被安裝。

一家大型支付機(jī)構(gòu)人士也向記者表示：“二維碼背后的內(nèi)容不可控，二維碼支付受到連帶影響，通過(guò)掃碼誘導(dǎo)下載，被植入木馬病毒，截取受害人短信，套取手機(jī)校驗(yàn)碼，然后進(jìn)行網(wǎng)絡(luò)欺詐。”

鑒于二維碼支付在安全保障方面存在問(wèn)題，3月13日，央行下發(fā)緊急文件 《關(guān)于暫停支付寶公司線下條碼 (二維碼)支付等業(yè)務(wù)意見(jiàn)的函》，暫停條碼(二維碼)支付等面對(duì)面支付服務(wù)。

一位支付風(fēng)險(xiǎn)專家向 《每日經(jīng)濟(jì)新聞》記者表示：“通過(guò)二維碼這種新興的讀取技術(shù)，將線上的交易轉(zhuǎn)化為線下的無(wú)卡交易，風(fēng)險(xiǎn)程度由低風(fēng)險(xiǎn)轉(zhuǎn)化為高風(fēng)險(xiǎn)，在系統(tǒng)不成熟的條件下，如果大規(guī)模應(yīng)用會(huì)引發(fā)系統(tǒng)性風(fēng)險(xiǎn)，而且風(fēng)險(xiǎn)出現(xiàn)，很難追查犯罪的源頭。”

二維碼支付尚需多方面完善

央行的擔(dān)憂不是沒(méi)有原因，目前在其他國(guó)家也沒(méi)有一個(gè)條碼支付的安全認(rèn)證體系，在保護(hù)交易賬戶安全性和交易信息的真實(shí)性方面同樣存在疑問(wèn)。

蔡洪波稱，二維碼支付在安全性、交易不可抵賴性等方面還有待探討，但是否達(dá)到金融支付體系的安全標(biāo)準(zhǔn)還不確定，將來(lái)通過(guò)鑒定，達(dá)標(biāo)后再推廣運(yùn)用也是有可能的。

對(duì)于支付機(jī)構(gòu)和二維碼使用者來(lái)說(shuō)，目前迫切需要知道二維碼安全支付標(biāo)準(zhǔn)何時(shí)能建立。

上述支付風(fēng)險(xiǎn)專家表示：“二維碼支付從原理上來(lái)說(shuō)是信息傳遞方式，與金融支付信息傳遞上有一定差別，在終端環(huán)境，有沒(méi)有可能在發(fā)起端信息就被竊取，傳輸過(guò)程中會(huì)不會(huì)面臨中間的截取，應(yīng)該完善的方面是很多的”。

他表示，改進(jìn)的方向需要實(shí)現(xiàn)以下幾個(gè)方面：首先，保證二維碼真實(shí)性合法性和不可復(fù)制性;其次，在傳輸過(guò)程中，外部設(shè)備，比如手機(jī)需要一套安全識(shí)別標(biāo)準(zhǔn)的軟件，確保所掃描的二維碼的安全性;最后，在傳遞過(guò)程中，支付機(jī)構(gòu)通過(guò)相關(guān)的系統(tǒng)傳遞到刷卡行進(jìn)行授權(quán)的過(guò)程，需要保障信息的安全性。

“二維碼需要在金融支付環(huán)節(jié)進(jìn)一步證明能夠保障持卡人用卡安全，通過(guò)攻防技術(shù)的提升完善這些方面，同時(shí)金融支付安全標(biāo)準(zhǔn)是一套逐步完善的標(biāo)準(zhǔn)，很難一蹴而就。”上述支付風(fēng)險(xiǎn)專家表示。

來(lái)誼電子CEO徐海光也向《每日經(jīng)濟(jì)新聞》記者表示，銀行與支付機(jī)構(gòu)傳輸支付指令和驗(yàn)證指令只有一條信道，單一信道容易被黑客通過(guò)信息和瀏覽器攔截，金融機(jī)構(gòu)難以確認(rèn)客戶端操作者的身份，無(wú)法識(shí)別網(wǎng)絡(luò)中間人 (如黑客)對(duì)支付指令的篡改。如果能夠?qū)崿F(xiàn)雙通道驗(yàn)證就能很好的防范這個(gè)問(wèn)題。