“扫一扫”已经成为大家生活的一部分
无论逛街还是买菜
还是吃个路边摊
只需要扫一扫商家提供的二维码
扫完便可走人
殊不知,这对商户而言
存在着较大风险
二维码调包、隐藏木马资金被盗刷……导致商户损失巨大为了规避这些风险
央行出手治理“扫一扫”
其中规定静态扫码单日限额500元
日前,人民银行发布《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(下简称《通知》),配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,自2018年4月1日起实施。
何为条码支付?
条码包括我们常用的二维码,作为一种可以完全暴露的图形载体,通常显示在各种媒介上,包括印刷材料或者是网页界面。它比普通条形码具有更多的优势,如数据存储量大、纠错能力强、反应更敏捷等。
所谓的条码支付,是指银行或支付机构应用条码技术,实现收款人、付款人之间货币资金转移的业务活动,包括付款扫码和收款扫码两种方式。
在我国,近年来随着智能手机不断普及,以二维码为代表的条码与智能手机结合,发展成为一种新的承载和转换数据方式。这种方式被银行业金融机构或非银行支付机构使用后,探索出一种新的支付模式,可将业务从线上扩展到线下支付。
出门打车,掏出手机扫一扫车上的二维码,轻松支付车费;下馆子吃饭,手机上的二维码被收银员扫码枪扫了后,立马埋单走人……扫码支付手段,已经飞入寻常百姓家。
条码支付便民,但问题不少
近年来条码支付业务快速发展,在小额、便民支付领域显现出门槛低、使用便捷的优势,市场份额持续增长,成为移动支付发展的重要体现形式。
同时,条码支付的技术实现方式和业务风险相对传统银行卡支付具有其特殊性,部分市场机构在业务开展中也存在扰乱公平竞争秩序、支付风险防范不到位等问题。
支付机构应取得相应资质
在业务规范方面,银行业金融机构、非银行支付机构开展条码支付业务涉及跨行交易时,必须通过人民银行清算系统或者合法清算机构处理,支付机构还应符合相应的业务资质要求。
通知要求,非银行支付机构(以下简称支付机构)向客户提供基于条码技术的付款服务的,应当取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
银行业金融机构(以下简称银行)、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。
自通知发布之日起,银行、支付机构不得新增不同法人机构间直连处理条码支付业务;存量业务应按照人民银行有关规定加快迁移到合法清算机构处理。
对条码支付额度进行分级管理
为消费者提供条码支付付款服务的,应当立足于小额、便民市场定位,按照风险防范能力等级,对条码支付额度进行分级管理,在风险防范和支付便捷中取得有效平衡。
为特约商户提供条码支付收单服务的,应执行银行卡收单业务管理相关要求,切实履行商户管理、交易风险监测等收单主体责任,强化对收单外包机构管理。
加强条码支付技术风险防控
在技术规范方面,银行业金融机构、非银行支付机构和清算机构要加强条码支付技术风险防控,合理运用支付标记化、可信执行环境、条码防伪识别等手段,提升条码支付客户端软件安全防护能力,规范条码支付交易报文管理,保障交易信息的真实性、完整性、一致性、可追溯性,构建以受理终端注册、大数据分析为基础的条码支付创新风险管理机制。
要加强标准落地实施,强化条码支付产品质量和安全管理,提升条码支付产品的技术标准符合性和安全性,切实保障金融消费者的财产安全和合法权益。
微信钱包扫描静态条码支付
单日支付上限不超过500元
由于静态条码(如事先贴在墙上的二维码)易被篡改或变造,易携带木马或病毒,央行规定,使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户银行或支付机构单日累计交易金额应不超过500元。例如,消费者在使用微信钱包扫描静态条码支付时,单日使用零钱包支付的上限不超过500元,同时微信关联的所有银行卡还可以再独立获得500元的支付上限。
对于使用动态条码(如手机上实时生成的条码)进行支付的,风险防范能力根据交易验证方式不同分为A、B、C三级,同一客户单日累计交易限额分别为自主约定、5000元、1000元。
静态条码该如何防范风险
静态条码易被篡改或变造,易携带木马或病毒,真伪难辨,导致支付风险较高。那么,如何防范风险呢?
一是静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征。
二是展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查。
三是静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记。
四是在静态条码介质显著位置明显展示收款方信息,便于用户核对。
五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。
动态条码风险分ABC三级
静态条码为D级
条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。
使用动态条码进行支付的,风险防范能力分级见下表。
使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。
专家:消费者街头扫码小额支付不受影响
条码支付规范自2018年4月1日起实施。
中国人民大学重阳金融研究院高级研究员董希淼举例说,新要求实施后,消费者在街头扫商贩的静态条码小额支付不受影响,也不影响商贩收款。如果在饭店里吃了顿600元大餐,扫静态条码付款就有点困难了,不过可以让收银员扫消费者手机上生成的动态条码,这样其实更安全。
单日限额500,你够用吗?
来源:新华社 央行官网
