北京青年報 3 月 16 日報道,根據央行規定,使用靜態條碼支付,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額應不超過 500 元。看到這一規定,有些消費者第一反應就是抱怨額度太低:" 以後每天掃碼支付不能超過 500 元瞭,真不夠用啊?" 事實上,這是大傢的誤解。業內人士指出,受 500 元額度限制的主要是使用靜態二維碼的街邊小商小販,大部分的掃碼支付特別是額度較大的消費還是用動態碼多,也就是商傢用掃碼槍來掃消費者手機上的動態二維碼。從以往消費數據來看,500 元的限額也完全滿足絕大部分消費者的需求。
掃碼支付從 4 月 1 日起將有章可循。去年年底,央行發佈《中國人民銀行關於印發〈條碼支付業務規范(試行)〉的通知》,配套印發瞭《條碼支付安全技術規范(試行)》和《條碼支付受理終端技術規范(試行)》,自 2018 年 4 月 1 日起實施。
關註
靜態碼支付每天限額 500 元
對於即將執行的新規,部分消費者擔心額度不夠用。業內人士指出,一些消費者之所以產生誤解,主要是因為動態碼和靜態碼沒有區分。最簡單的判斷方法,如果消費者用自己的手機掃商戶提供的印在紙上的二維碼,就是靜態碼支付;如果消費者調出自己手機上的付款碼,商戶用掃碼槍掃這個碼,就是動態碼支付。一般街邊的小攤販可能用的是靜態碼,大部分有固定店面的商戶多會選擇用動態碼。
根據央行規定,使用靜態條碼進行支付的,風險最高,風險防范能力最低,在央行的風險等級體系中為 D 級,限額也最低。使用靜態條碼支付,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額應不超過 500 元。
動態條碼的風險防范能力由高到低分為 A、B、C 三級,不同等級對應的交易驗證方式條碼和支付限額也各不相同。越安全的動態碼支付,交易限額就越高。
具體來說,采用包括數字證書或電子簽名在內的兩類(含)以上有效要素進行驗證的動態碼,風險防范能力為 A 級,可以由銀行、支付機構與客戶通過協議自主約定單日累計額度。
采用不包括數字證書、電子簽名在內的兩類(含)以上有效要素(註:如指紋、密碼等)進行驗證的,風險防范能力為 B 級,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額最高為 5000 元。
采用不足兩類有效要素進行驗證的動態碼支付,風險防范能力為 C 級,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額最高為 1000 元。
因此,籠統說掃碼支付 4 月 1 日以後每日限額 500 元是不準確的。因為在央行新規中,每天限額 500 元,僅僅針對靜態條碼。如果是消費超過 500 元以上,可以請商傢用掃碼槍掃顧客的支付寶或者微信的動態付款碼。這樣就不會受到 500 元的限制。
聚焦
掃碼支付設限主要是為安全
隨著掃碼支付的迅速普及,與之相關的欺詐案例也越來越多。最常見的是,商戶設置在收銀臺邊的靜態碼被不法分子悄悄更換。因為二維碼圖案復雜,難以仔細辨別,連店主都沒有發現,結果貨款就這樣輕而易舉地進瞭別人腰包。
央行有關負責人表示,條碼支付借助開放互聯網和非專業設備進行交易處理,帶來一定的技術風險。包括:可視化風險,條碼在開放互聯網環境下以圖形化方式進行展示,不法分子可通過截屏、偷拍等手段盜取支付憑證,在支付憑證有效期內盜用資金;易攜帶惡意代碼的風險,條碼不僅可存儲支付要素,也可攜帶非法鏈接或程序代碼,不法分子可將木馬病毒、釣魚網站鏈接制成條碼,誘導客戶掃描,竊取支付敏感信息;信息單向交互風險,條碼支付隻能實現發起方或接收方的單向信息交互,不法分子可利用該弱點實施 " 中間人攻擊 ",繞過身份認證機制,造成用戶資金損失;掃碼設備安全強度低的風險,條碼支付對設備要求低,普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼,易被不法分子非法改裝使用。
該負責人解釋稱,為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於風險防范能力高、交易驗證方式更為安全的,不設定額度上限,市場主體可與客戶自行約定交易限額。
基於防替換、防盜刷等安全因素角度考慮,要求銀行、支付機構使用靜態條碼支付時要執行更加嚴格的限額管理措施,以鼓勵市場主體采用更為安全的動態條碼提供支付服務。依據主要市場機構條碼支付交易數據顯示,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。
釋疑
為什麼靜態碼限額設為 500 元
在央行劃分的等級體系中,靜態碼安全性最低,限額也最低,隻有 500 元。這個 500 元的限額是如何制定的呢?
支付行業內部人士表示,根據現有的掃碼消費數據,目前 95% 以上的消費者每天靜態碼支付在 500 元以下,因此絕大多數用戶不會受到影響。" 一般用靜態碼,也就是在街邊買個煎餅果子,買點兒水果蔬菜,500 元肯定夠瞭。" 退一萬步說,就算遇到欺詐,損失也比較有限。這一限額保護的是對二維碼消費使用不太熟練,無法清晰辨認欺騙行為的用戶,這批用戶在中國占很大量級。
靜態二維碼的安全性,遠遠低於實時生成的動態二維碼。動態碼每分鐘會更新一次,安全性很高。專傢建議,使用條碼支付時,盡量不要拿手機掃別人的靜態條碼,而是讓別人掃你的手機。
(原題為《央行掃碼支付新規 4 月 1 日起執行,靜態掃碼每日限額為何是 500 元》)
(程婕 / 北京青年報)
