央行:掃二維碼單日支付設最高限額

范曉

2017年12月28日07:58  來源:北京日報
 

  本報訊(記者 范曉)隨著二維碼支付逐步滲透到日常生活消費的各個場景,套現、資金盜用等收單亂象也花樣迭出。2018年4月1日起,諸如這樣的支付風險將被置於央行的監管之下。

  昨日,央行發布《中國人民銀行關於印發〈條碼支付業務規范(試行)〉的通知》,配套印發了《條碼支付安全技術規范(試行)》和《條碼支付受理終端技術規范(試行)》,對條碼支付實行分級限額,其中,靜態二維碼支付單日累計交易金額不超500元。

  據央行相關負責人介紹,不管是商家掃消費者手機上的付款條碼,還是消費者用手機掃商家貼在櫃台上的收款條碼,隻要是通過掃條碼完成的支付都在條碼支付的范疇內。

  值得注意的是,條碼還分為靜態條碼和動態條碼,前者是長期有效,商家貼在櫃台上收款用的,安全系數較低,會有不法分子“調包”換成自己的收款碼﹔后者是單次收付款時,在手機電子屏幕上動態更新的,不易被替換和盜用。

  “條碼支付存在一定的技術風險。比如條碼在開放互聯網環境下以圖形化方式進行展示,不法分子可通過截屏、偷拍等手段盜取支付憑証,在支付憑証有效期內盜用資金﹔條碼不僅可存儲支付要素,也可攜帶非法鏈接或程序代碼,不法分子可將木馬病毒、釣魚網站鏈接制成條碼,誘導客戶掃描,竊取支付敏感信息。”上述負責人坦言。

  與此同時,掃碼設備安全度低,普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼,易被不法分子非法改裝使用。

  針對上述種種安全隱患,央行此次出台規范明確,銀行、支付機構應對個人客戶的條碼支付業務進行限額管理。風險防范能力達到A級,即採用包括數字証書或電子簽名在內的兩類(含)以上有效要素對交易進行驗証的,可與客戶通過協議自主約定單日累計限額﹔風險防范能力達到B級,即採用不包括數字証書、電子簽名在內的兩類(含)以上有效要素對交易進行驗証的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過5000元﹔風險防范能力達到C級,即採用不足兩類要素對交易進行驗証的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過1000元﹔風險防范能力D級,即使用靜態條碼的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。

  值得關注的是,銀行、支付機構提供收款掃碼服務的,應使用動態條碼,設置條碼有效期、使用次數等方式,防止條碼被重復使用導致重復扣款,確保條碼真實有效。

(責編:李棟、趙爽)

推薦閱讀