近日,央行继叫停虚拟信用卡和二维码支付之后,又向多家第三方机构下发了 《支付机构网络业务管理办法》(以下简称 《管理办法》)征求意见稿草案,其中有条款对第三方支付的转账、消费金额等进行限制。
昨日(3月18日),中国支付清算协会常务副会长兼秘书长蔡洪波在一个发布会上表示,二维码支付被叫停的原因主要是目前技术安全标准的缺失,将来通过鉴定,达标后再推广运用也是有可能的。
另外,针对央行尚未颁布的《管理办法》征求意见稿,昨日,支付宝在官方微博上表示,支付宝快捷用户申购和赎回余额宝现在和未来都不会受到任何影响。
支付宝回应央行草案
据了解,《管理办法》草案第二十五条规定,个人支付账户转账单笔金额不得超过1000元,同一客户所有支付账户转账年累计金额不得超过1万元。个人支付账户单笔消费金额不得超过5000元,同一个人客户所有支付账户消费月累计金额不得超过1万元。超过限额的,应通过客户的银行账户办理。
针对有用户关心未来购买余额宝等理财产品是否将受到限制的问题,昨日,支付宝在官方微博上表示:第一,征求意见稿属于草案,也就是说还处于草拟阶段,并未正式颁布,更没有实施。每一个管理办法的出台会经历很多版本的草案;第二,公司已经将相关的意见反馈给央行,并且正积极与央行进行沟通中;第三,既然并不是正式意见,因此对余额宝的使用不会有任何限制。
二维码背后内容不可控
业内人士表示,二维码实际上是一个编码方式,可以把图片、文字信息等都可以以二维码方式呈现,然后通过摄像头识别,作为一种传递信息的途径,二维码没有生成主体的限制,这样就带来了很大的风险隐患。
华南地区一位支付安全专家告诉《每日经济新闻》记者,“二维码是因为没有SE(安全元件)这样的一个安全保障,谁都可以去网站上生成,所以显得不安全。”
谁都可以在网站上生成二维码,这给了网络犯罪者提供了作案空间,以安装恶意软件为例,用户扫描含有恶意软件的二维码后就直接进入下载页面,如果用户点击下载,那么手机就会被安装。
一家大型支付机构人士也向记者表示:“二维码背后的内容不可控,二维码支付受到连带影响,通过扫码诱导下载,被植入木马病毒,截取受害人短信,套取手机校验码,然后进行网络欺诈。”
鉴于二维码支付在安全保障方面存在问题,3月13日,央行下发紧急文件 《关于暂停支付宝公司线下条码 (二维码)支付等业务意见的函》,暂停条码(二维码)支付等面对面支付服务。
一位支付风险专家向 《每日经济新闻》记者表示:“通过二维码这种新兴的读取技术,将线上的交易转化为线下的无卡交易,风险程度由低风险转化为高风险,在系统不成熟的条件下,如果大规模应用会引发系统性风险,而且风险出现,很难追查犯罪的源头。”
二维码支付尚需多方面完善
央行的担忧不是没有原因,目前在其他国家也没有一个条码支付的安全认证体系,在保护交易账户安全性和交易信息的真实性方面同样存在疑问。
蔡洪波称,二维码支付在安全性、交易不可抵赖性等方面还有待探讨,但是否达到金融支付体系的安全标准还不确定,将来通过鉴定,达标后再推广运用也是有可能的。
对于支付机构和二维码使用者来说,目前迫切需要知道二维码安全支付标准何时能建立。
上述支付风险专家表示:“二维码支付从原理上来说是信息传递方式,与金融支付信息传递上有一定差别,在终端环境,有没有可能在发起端信息就被窃取,传输过程中会不会面临中间的截取,应该完善的方面是很多的”。
他表示,改进的方向需要实现以下几个方面:首先,保证二维码真实性合法性和不可复制性;其次,在传输过程中,外部设备,比如手机需要一套安全识别标准的软件,确保所扫描的二维码的安全性;最后,在传递过程中,支付机构通过相关的系统传递到刷卡行进行授权的过程,需要保障信息的安全性。
“二维码需要在金融支付环节进一步证明能够保障持卡人用卡安全,通过攻防技术的提升完善这些方面,同时金融支付安全标准是一套逐步完善的标准,很难一蹴而就。”上述支付风险专家表示。
来谊电子CEO徐海光也向《每日经济新闻》记者表示,银行与支付机构传输支付指令和验证指令只有一条信道,单一信道容易被黑客通过信息和浏览器拦截,金融机构难以确认客户端操作者的身份,无法识别网络中间人 (如黑客)对支付指令的篡改。如果能够实现双通道验证就能很好的防范这个问题。
