随着二维码支付逐步渗透到日常生活消费的各个场景,套现、资金盗用等收单乱象也花样迭出。2018年4月1日起,诸如这样的支付风险将被置于央行的监管之下。
12月27日,央行发布《中国人民银行关于印发〈条码支付业务规范(试行)〉的通知》,配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,对条码支付实行分级限额,其中,静态二维码支付单日累计交易金额不超500元。
据央行相关负责人介绍,不管是商家扫消费者手机上的付款条码,还是消费者用手机扫商家贴在柜台上的收款条码,只要是通过扫条码完成的支付都在条码支付的范畴内。
值得注意的是,条码还分为静态条码和动态条码,前者是长期有效,商家贴在柜台上收款用的,安全系数较低,会有不法分子“调包”换成自己的收款码;后者是单次收付款时,在手机电子屏幕上动态更新的,不易被替换和盗用。
“条码支付存在一定的技术风险。比如条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息。”上述负责人坦言。
与此同时,扫码设备安全度低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
针对上述种种安全隐患,央行此次出台规范明确,银行、支付机构应对个人客户的条码支付业务进行限额管理。风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额;风险防范能力达到B级,即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元;风险防范能力达到C级,即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元;风险防范能力D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
值得关注的是,银行、支付机构提供收款扫码服务的,应使用动态条码,设置条码有效期、使用次数等方式,防止条码被重复使用导致重复扣款,确保条码真实有效。