每經(jīng)編輯 每經(jīng)實習(xí)記者 史青偉 發(fā)自上海
每經(jīng)實習(xí)記者 史青偉 發(fā)自上海
近日��,央行繼叫停虛擬信用卡和二維碼支付之后����,又向多家第三方機構(gòu)下發(fā)了 《支付機構(gòu)網(wǎng)絡(luò)業(yè)務(wù)管理辦法》(以下簡稱 《管理辦法》)征求意見稿草案����,其中有條款對第三方支付的轉(zhuǎn)賬、消費金額等進行限制�。
昨日(3月18日),中國支付清算協(xié)會常務(wù)副會長兼秘書長蔡洪波在一個發(fā)布會上表示��,二維碼支付被叫停的原因主要是目前技術(shù)安全標準的缺失�����,將來通過鑒定�����,達標后再推廣運用也是有可能的。
另外��,針對央行尚未頒布的《管理辦法》征求意見稿���,昨日����,支付寶在官方微博上表示����,支付寶快捷用戶申購和贖回余額寶現(xiàn)在和未來都不會受到任何影響�����。
支付寶回應(yīng)央行草案
據(jù)了解�����,《管理辦法》草案第二十五條規(guī)定���,個人支付賬戶轉(zhuǎn)賬單筆金額不得超過1000元��,同一客戶所有支付賬戶轉(zhuǎn)賬年累計金額不得超過1萬元�。個人支付賬戶單筆消費金額不得超過5000元,同一個人客戶所有支付賬戶消費月累計金額不得超過1萬元���。超過限額的����,應(yīng)通過客戶的銀行賬戶辦理�。
針對有用戶關(guān)心未來購買余額寶等理財產(chǎn)品是否將受到限制的問題,昨日����,支付寶在官方微博上表示:第一,征求意見稿屬于草案�����,也就是說還處于草擬階段����,并未正式頒布,更沒有實施��。每一個管理辦法的出臺會經(jīng)歷很多版本的草案����;第二�,公司已經(jīng)將相關(guān)的意見反饋給央行��,并且正積極與央行進行溝通中�����;第三�,既然并不是正式意見,因此對余額寶的使用不會有任何限制��。
二維碼背后內(nèi)容不可控
業(yè)內(nèi)人士表示���,二維碼實際上是一個編碼方式����,可以把圖片�、文字信息等都可以以二維碼方式呈現(xiàn)����,然后通過攝像頭識別,作為一種傳遞信息的途徑�,二維碼沒有生成主體的限制,這樣就帶來了很大的風(fēng)險隱患���。
華南地區(qū)一位支付安全專家告訴《每日經(jīng)濟新聞》記者�,“二維碼是因為沒有SE(安全元件)這樣的一個安全保障,誰都可以去網(wǎng)站上生成����,所以顯得不安全?��!?/p>
誰都可以在網(wǎng)站上生成二維碼�����,這給了網(wǎng)絡(luò)犯罪者提供了作案空間�,以安裝惡意軟件為例����,用戶掃描含有惡意軟件的二維碼后就直接進入下載頁面,如果用戶點擊下載���,那么手機就會被安裝�。
一家大型支付機構(gòu)人士也向記者表示:“二維碼背后的內(nèi)容不可控����,二維碼支付受到連帶影響�,通過掃碼誘導(dǎo)下載��,被植入木馬病毒�����,截取受害人短信���,套取手機校驗碼���,然后進行網(wǎng)絡(luò)欺詐?����!?/p>
鑒于二維碼支付在安全保障方面存在問題��,3月13日����,央行下發(fā)緊急文件 《關(guān)于暫停支付寶公司線下條碼 (二維碼)支付等業(yè)務(wù)意見的函》�����,暫停條碼(二維碼)支付等面對面支付服務(wù)。
一位支付風(fēng)險專家向 《每日經(jīng)濟新聞》記者表示:“通過二維碼這種新興的讀取技術(shù)����,將線上的交易轉(zhuǎn)化為線下的無卡交易,風(fēng)險程度由低風(fēng)險轉(zhuǎn)化為高風(fēng)險��,在系統(tǒng)不成熟的條件下���,如果大規(guī)模應(yīng)用會引發(fā)系統(tǒng)性風(fēng)險����,而且風(fēng)險出現(xiàn)�����,很難追查犯罪的源頭����。”
二維碼支付尚需多方面完善
央行的擔憂不是沒有原因����,目前在其他國家也沒有一個條碼支付的安全認證體系,在保護交易賬戶安全性和交易信息的真實性方面同樣存在疑問�����。
蔡洪波稱,二維碼支付在安全性����、交易不可抵賴性等方面還有待探討,但是否達到金融支付體系的安全標準還不確定���,將來通過鑒定��,達標后再推廣運用也是有可能的���。
對于支付機構(gòu)和二維碼使用者來說,目前迫切需要知道二維碼安全支付標準何時能建立�����。
上述支付風(fēng)險專家表示:“二維碼支付從原理上來說是信息傳遞方式��,與金融支付信息傳遞上有一定差別���,在終端環(huán)境,有沒有可能在發(fā)起端信息就被竊取�,傳輸過程中會不會面臨中間的截取�,應(yīng)該完善的方面是很多的”�。
他表示,改進的方向需要實現(xiàn)以下幾個方面:首先���,保證二維碼真實性合法性和不可復(fù)制性��;其次�,在傳輸過程中���,外部設(shè)備����,比如手機需要一套安全識別標準的軟件��,確保所掃描的二維碼的安全性����;最后,在傳遞過程中����,支付機構(gòu)通過相關(guān)的系統(tǒng)傳遞到刷卡行進行授權(quán)的過程,需要保障信息的安全性。
“二維碼需要在金融支付環(huán)節(jié)進一步證明能夠保障持卡人用卡安全���,通過攻防技術(shù)的提升完善這些方面�,同時金融支付安全標準是一套逐步完善的標準��,很難一蹴而就�����?����!鄙鲜鲋Ц讹L(fēng)險專家表示��。
來誼電子CEO徐海光也向《每日經(jīng)濟新聞》記者表示�,銀行與支付機構(gòu)傳輸支付指令和驗證指令只有一條信道,單一信道容易被黑客通過信息和瀏覽器攔截�����,金融機構(gòu)難以確認客戶端操作者的身份��,無法識別網(wǎng)絡(luò)中間人 (如黑客)對支付指令的篡改。如果能夠?qū)崿F(xiàn)雙通道驗證就能很好的防范這個問題。
