央行密集出手 支付宝称余额宝不受影响

　　近日，央行继叫停虚拟信用卡和二维码支付之后，又向多家第三方机构下发了 《支付机构网络业务管理办法》（以下简称 《管理办法》）征求意见稿草案，其中有条款对第三方支付的转账、消费金额等进行限制。

　　昨日（3月18日），中国支付清算协会常务副会长兼秘书长蔡洪波在一个发布会上表示，二维码支付被叫停的原因主要是目前技术安全标准的缺失，将来通过鉴定，达标后再推广运用也是有可能的。

　　另外，针对央行尚未颁布的《管理办法》征求意见稿，昨日，支付宝在官方微博上表示，支付宝快捷用户申购和赎回余额宝现在和未来都不会受到任何影响。

　　支付宝回应央行草案

　　据了解，《管理办法》草案第二十五条规定，个人支付账户转账单笔金额不得超过1000元，同一客户所有支付账户转账年累计金额不得超过1万元。个人支付账户单笔消费金额不得超过5000元，同一个人客户所有支付账户消费月累计金额不得超过1万元。超过限额的，应通过客户的银行账户办理。

　　针对有用户关心未来购买余额宝等理财产品是否将受到限制的问题，昨日，支付宝在官方微博上表示：第一，征求意见稿属于草案，也就是说还处于草拟阶段，并未正式颁布，更没有实施。每一个管理办法的出台会经历很多版本的草案；第二，公司已经将相关的意见反馈给央行，并且正积极与央行进行沟通中；第三，既然并不是正式意见，因此对余额宝的使用不会有任何限制。

　　二维码背后内容不可控

　　业内人士表示，二维码实际上是一个编码方式，可以把图片、文字信息等都可以以二维码方式呈现，然后通过摄像头识别，作为一种传递信息的途径，二维码没有生成主体的限制，这样就带来了很大的风险隐患。

　　华南地区一位支付安全专家告诉《每日经济新闻》记者，“二维码是因为没有SE（安全元件）这样的一个安全保障，谁都可以去网站上生成，所以显得不安全。”

　　谁都可以在网站上生成二维码，这给了网络犯罪者提供了作案空间，以安装恶意软件为例，用户扫描含有恶意软件的二维码后就直接进入下载页面，如果用户点击下载，那么手机就会被安装。

　　一家大型支付机构人士也向记者表示：“二维码背后的内容不可控，二维码支付受到连带影响，通过扫码诱导下载，被植入木马病毒，截取受害人短信，套取手机校验码，然后进行网络欺诈。”

　　鉴于二维码支付在安全保障方面存在问题，3月13日，央行下发紧急文件 《关于暂停支付宝公司线下条码 （二维码）支付等业务意见的函》，暂停条码（二维码）支付等面对面支付服务。

　　一位支付风险专家向 《每日经济新闻》记者表示：“通过二维码这种新兴的读取技术，将线上的交易转化为线下的无卡交易，风险程度由低风险转化为高风险，在系统不成熟的条件下，如果大规模应用会引发系统性风险，而且风险出现，很难追查犯罪的源头。”

　　二维码支付尚需多方面完善

　　央行的担忧不是没有原因，目前在其他国家也没有一个条码支付的安全认证体系，在保护交易账户安全性和交易信息的真实性方面同样存在疑问。

　　蔡洪波称，二维码支付在安全性、交易不可抵赖性等方面还有待探讨，但是否达到金融支付体系的安全标准还不确定，将来通过鉴定，达标后再推广运用也是有可能的。

　　对于支付机构和二维码使用者来说，目前迫切需要知道二维码安全支付标准何时能建立。

　　上述支付风险专家表示：“二维码支付从原理上来说是信息传递方式，与金融支付信息传递上有一定差别，在终端环境，有没有可能在发起端信息就被窃取，传输过程中会不会面临中间的截取，应该完善的方面是很多的”。

　　他表示，改进的方向需要实现以下几个方面：首先，保证二维码真实性合法性和不可复制性；其次，在传输过程中，外部设备，比如手机需要一套安全识别标准的软件，确保所扫描的二维码的安全性；最后，在传递过程中，支付机构通过相关的系统传递到刷卡行进行授权的过程，需要保障信息的安全性。

　　“二维码需要在金融支付环节进一步证明能够保障持卡人用卡安全，通过攻防技术的提升完善这些方面，同时金融支付安全标准是一套逐步完善的标准，很难一蹴而就。”上述支付风险专家表示。

　　来谊电子CEO徐海光也向《每日经济新闻》记者表示，银行与支付机构传输支付指令和验证指令只有一条信道，单一信道容易被黑客通过信息和浏览器拦截，金融机构难以确认客户端操作者的身份，无法识别网络中间人 （如黑客）对支付指令的篡改。如果能够实现双通道验证就能很好的防范这个问题。