正因为条码支付越来越普及,对其“立规”就十分必要。中国人民银行出台的《条码支付业务规范(试行)》将于4月1日起施行,同时还配套制定了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》。根据新规定,目前普遍存在的店面张贴二维码,由消费者使用微信、支付宝等进行扫码支付的情况,被称为“静态扫码支付”。采用这种支付方式,同一客户银行或支付机构单日累计交易金额不超过500元。
“扫码”虽方便安全存隐患
条码支付,是指银行或支付机构应用条码技术,实现收款人、付款人之间货币资金转移的业务活动,包括付款扫码和收款扫码两种方式。
条码作为一种完全暴露的图形载体,通常显示在各种媒介上,包括印刷材料或网页界面。它比普通条形码具有更多的优势,如数据存储量大、纠错能力强、反应更敏捷等。近年来随着智能手机不断普及,以二维码为代表的条码与智能手机结合,发展成为一种新的承载和转换数据方式。这种方式被银行业金融机构或非银行支付机构使用后,探索出一种新的支付模式,可将业务从线上扩展到线下支付。
条码支付业务快速发展,尤其是在小额、便民支付领域显现出门槛低、使用便捷的优势,市场份额持续增长,成为移动支付发展的重要体现形式。然而条码支付虽然便民,也存在着不少隐患。
随着扫码支付的迅速普及,与之相关的欺诈案例也越来越多。最常见的是,商户设置在收银台边的静态码被不法分子悄悄更换。因为二维码图案复杂,难以仔细辨别,连店主都没有发现,结果货款就这样轻而易举地进了别人腰包。
央行有关负责人指出,条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。比如可视化风险问题,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金。另外,条码不仅可以存储支付要素,也可能携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息。还有,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
“条码支付的技术实现方式和业务风险相对传统银行卡支付具有其特殊性,部分市场机构在业务开展中也存在扰乱公平竞争秩序、支付风险防范不到位等问题。 ”央行有关负责人表示。
分级促规范 系上“安全带”
央行出台的条码支付新规,对各类条码支付的风险进行了A、B、C、D四类分级,并指明了交易限额。
根据规定,使用静态条码支付,风险最高,风险防范能力最低,在央行的风险等级体系中为D级,限额也最低。因此,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
而那种由商家利用扫码枪等设备来扫描顾客付款码的方式,被称为“动态条码支付”。其风险防范能力则由高到低分为A、B、C三级,不同等级对应的交易验证方式条码和支付限额也各不相同。越安全的动态码支付,交易限额就越高。
具体来说,采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的动态码,风险防范能力为A级,可以由银行、支付机构与客户通过协议自主约定单日累计额度。采用不包括数字证书、电子签名在内的两类(含)以上有效要素(注:如指纹、密码等)进行验证的,风险防范能力为B级,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额最高为5000元。采用不足两类有效要素进行验证的动态码支付,风险防范能力为C级,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额最高为1000元。
同时,新规要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码;展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查;静态条码应采用防护罩等物理防护手段避免被覆盖或替换;在静态条码介质显著位置明显展示收款方信息,便于用户核对。
央行有关负责人解释称,为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。
基于防替换、防盗刷等安全因素角度考虑,新规要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。
买家仍方便 卖家须适应
对于即将执行的新规,部分消费者担心额度不够用。这种担心没有必要,目前来看,一般街边的摊贩可能用的是静态码,大部分有固定店面的商户多会选择用动态码。根据现有的扫码消费数据,目前95%以上的消费者每天静态码支付额度在 500元以下,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求,因此绝大多数用户不会受到影响。
“一般用静态码,也就是在街边买个煎饼果子,买点儿水果蔬菜,500元肯定够了。 ”中国支付清算协会副秘书长亢林此前曾指出,退一万步说,就算遇到欺诈,损失也比较有限。 “这一限额保护的是对二维码消费使用不太熟练、无法清晰辨认欺骗行为的用户,这批用户在中国占很大量级。 ”
新规实施后,或许会对街头的小商家产生一些影响。比如对于卖煎饼的老板来说,一天收入超过500元后,就需要单独扫每位顾客的二维码,如果遇到赶时间的上班族,则会带来一些不便。除此之外,如果每天收入超过500元,这些店家还需要自己准备扫码枪一类的设备,可能会给小商家增加成本投入。
如何正确使用条码支付
1、要使用官方渠道APP扫码软件,不扫不明二维码。
2、仔细辨别真伪,核对信息,确认二维码安全有效。
3、对常见的二维码也应保持适度警惕,保管好自己的付款二维码。
4、手机上最好安装一些正规安全软件,增加手机安全系数,防止不法分子将病毒镶嵌在二维码里,盗取个人重要信息。
