关于银行二维码聚合支付业务风险的思考与对策
2021/5/25 21:39:05

近日,安徽省“断卡”行动第一批联合惩戒名单公布,惩戒单位和人员共计719个,同时公布了两个真实案例:滁州的夏某和蚌埠的倪某被诈骗案,两位受害人被骗后均通过扫码方式付款,犯罪嫌疑人收款获利。可见,二维码支付已成为电信诈骗等违法犯罪的重要一环。

随着移动支付的发展,“扫码支付”已经在人们日常生活领域得到了广泛深入使用,商业银行也相继推出了兼容多种通道、为客户提供统一的后台管理系统以及支持多种支付方式的二维码聚合支付产品,近年来随着营销力度的不断加大,也逐渐被客户认可,取得了一定的市场地位,但蓬勃发展背后存在的风险同样值得关注,尤其是在经济全球化、资本流动国际化的新形势下,不法分子利用二维码进行洗钱,对国家金融体系的安全、对政治经济秩序的危害极大。

一、存在的潜在风险

(一)资金套现风险

依目前的科技手段,银行对于二维码交易背景的真实性无法准确判断,二维码很容易成为资金套现的工具,由此会带来一定的金融风险。比如商户和顾客通过虚构一笔交易,扫描二维码进行支付后,钱会直接进入银行账户,取现便能完成资金套现。这种方式为信用卡客户提供了便利的套现途径,也因为过于便利造成了部分持卡人因过度依赖信用卡透支消费,极易引起信用风险。为此,6月29日,中国银保监会消费者权益保护局发布了风险提示,提醒广大消费者合理、正确认识并使用信用卡。

(二)洗钱风险

不法分子在没有有效监管的情况下,很容易通过虚构交易行为而轻易的将自己的非法财产合法化,外加这种虚拟的交易行为具有很强的隐蔽性,二维码很容易成为赌博、电诈等违法活动的支付渠道,演变成洗钱的重灾区。2019年8月,警方在网上巡查中发现,有不法分子在QQ群、微信群大量贩卖ETC信用卡“四件套”信息(包括姓名、身份证号码、信用卡号码、预留手机号码),经深入侦查发现,该灰黑产业犯罪链条主要由“料商”、“卡商”、“信用卡注册商”和“号商”四个环节组成,“料商”负责窃取公民基本信息(姓名、身份证号等),并贩卖给“注册商”;“卡商”负责提供手机号码和短信验证码给“注册商”;“注册商”到某银行ETC信用卡网上快速办理平台通过窃取到的信息大批量注册ETC信用卡,并将信用卡“四件套”信息贩卖给“号商”;号商利用这些信息完成支付宝、微信支付等第三方支付账号实名认证,并开通支付转账渠道,为犯罪团伙提供资金渠道,将犯罪所得进行漂白。在支付宝、微信支付等支付渠道被重点监管后,商业银行的二维码聚合业务很容易成为不法分子瞄准的“洼地”,极易引发洗钱风险。

(三)财产盗窃风险

目前使用二维码的技术门槛较低,编译和发布相对简单,想掌握并加以利用并非难事。此外,大部分扫码工具欠缺对欺诈性二维码的有效识别以至于很容易给犯罪分子以可乘之机,通过植入钓鱼链接和木马病毒来窃取用户的账号信息和密码进而进行资金转移,或者进行盗窃、欺诈行为,导致用户的财产遭受损失。今年5月,山西省警方向社会通报,犯罪嫌疑人冯某趁夜间将自己的微信收款码覆盖在菜摊收款码上,摊主因交易量大未及时发现,冯某坐享其成“截留”销售款,共作案35起,涉案金额近3万元。此类案件中,由于二维码的外观特性,用户在扫码时并不能区分二维码实际所有者,商家因此遭受财产损失的情况也屡见不鲜,据笔者观察,商业银行的二维码聚合支付业务也存在同样的风险。

(四)泄露客户隐私风险

二维码支付致损案件中,有很多的消费者由于扫描了植入病毒的二维码或者进入钓鱼网站而导致个人的账户、密码被窃取,不法分子利用二维码技术的漏洞攻击消费者的账户信息,消费者的隐私一览无余。在这个过程中,虽然第三方支付平台也在不断更新安全验证措施,但消费者处境依然被动,个人账户信息和隐私保护仍然遭受威胁。目前第三方支付注册用户规模庞大,且每个账户都或多或少关联了个人信息,如身份证号、手机号、银行卡等,更有包括指纹、声音、面容等生物信息。个人信息在互联网大数据时代是一种宝贵的资源,一旦信息泄露,后续再进行非法交易,对个人的人身和财产安全将产生极大威胁。

二、风险成因

(一)市场准入门槛低

为了抢占有限的市场份额,目前各大商业银行对办理的二维码支付商家资料没有统一的审核标准。某些商业银行为了加快办理速度,甚至简化申请流程,开通了线上自助申请功能,商家申请时只须上传身份证照片、营业执照照片、商户经营门店照片并输入银行卡信息等即可顺利注册成为收单商户,申请到专属支付二维码。商业银行在商家线上自主申请的整个过程中并未遵循“三亲见”原则,没有核实商家是否依法设立并从事合法经营活动、有无可疑交易,也未通过人民银行征信系统、联网核查公民信息系统等方式核查申请信息,难以真实有效地落实商家实名制。

(二)后续管理不到位

由于二维码支付对本地化服务的依赖程度极低无需实体机具、免人工安装、免后续维护,导致商业银行普遍疏于对二维码支付商家进行二次回访检查,缺乏对商家开展定期技术培训和安全风险教育。商业银行难以对商家的实际经营状况和业务风险情况等进行全面了解与评估,不能及时发现商家利用二维码支付漏洞进行洗钱、套现等违规交易行为,致使不法分子的违规行为日益猖獗。

(三)交易资金监测难

二维码聚合支付改变了银行对交易双方资金划拨点对点的线性模式的传统做法,交易被切割为两部分:当用户发出支付指令后,第三方支付机构将其传递给银行,银行接收指令后先将用户账户的资金划入第三方支付平台账户中,然后再从支付平台账户转移至目标账户。这样一来,交易双方的直接联系被第三方支付平台割断,银行及监管部门无法得知资金的来龙去脉,进而无法确定交易的因果关系和真实背景,为犯罪分子通过虚假交易进行洗钱而不易被发现创造了机会。

(四)公众意识不强

二维码支付属于新兴的支付方式,很多的用户对于这种支付方式存在的安全隐患不是非常地了解,即使社会上出现了一些相关的案例,但是用户为了方便依然毫无顾忌地使用这种支付方式。在没有良好的防范措施的情况下,二维码支付方式的安全风险发生的概率在不断地上升,支付过程中容易遭受网络黑客的攻击。

三、对策与建议

(一)加强行业监管力度,形成统一监管链条

二维码聚合支付具有网络和金融的双重属性,因此,想要对二维码聚合支付行业进行有效的监管,单纯依靠某个独立的部门基本是不现实的。建议建立由中国人民银行进行主导,银联、工商、税务、公安等多部门协同配合的全方位监管机制,形成完整统一的监管链条。首先,积极推行第三方支付实名制,加强对线下扫码支付的审核,防止套现、洗钱等不法行为,发现洗钱等违法犯罪行为时,应联合公安机关进行严厉打击。对第三方支付机构应加强监管,定时评估风险等级,对于第三方支付的每一笔交易信息都要及时向扣款银行进行反馈,确保交易的真实性和合法性。对滥用市场支配地位的第三方支付平台,监管部门要及时进行查处,尽快明确反垄断规则,不断增加企业的违规成本,最终约束垄断行为,确保第三方支付市场公平、有序的竞争环境。

(二)强化准入管理,注重日常维护

商业银行要严格加强二维码支付市场准入管理,严格落实申请商家实名制,对于线上自主申请的商家,一方面要专门建档保留营业执照以及法定代表人身份证件复印件,同时强化身份证核查环节的技术应用,通过人脸识别等手段提高商家身份识别的准确度;另一方面,通过上门核实相关证照原件真伪和定期、不定期现场考察商家实际经营情况,确保线上申请的商家依法设立并从事合法经营活动,杜绝虚假交易,减少洗钱、套现等违法犯罪事件的发生。

(三)提升人防技防水平,做好日常交易检测预警

人行于2017年8月4日宣布,第三方支付服务必须通过“非银行支付机构网络支付清算平台”(以下简称“网联平台”)处理。商业银行应以此为契机,建立对二维码支付的“穿透式”监测体系,以网联平台的海量交易信息数据库为基础,充分利用大数据等金融科技从海量交易数据中及时发现可疑交易,达到对每笔交易资金的来源和去向了如指掌的目的,进而通过更为积极的事中处置和事前预警打破目前事后追查的现状。其次,商业银行内部应当针对二维码支付设立可疑交易反洗钱监测分析体系,可以考虑采取“系统筛选+人工甄别”的模式,设定相应的可疑交易参数和模型,通过嵌入反洗钱系统的可疑交易监测指标对全部二维码交易进行监测筛选,然后由反洗钱工作人员对系统筛选的异常交易进行人工分析,确定符合可疑交易情形的即按要求报送,排除可疑的要备注排除理由。

(四)采取限制措施,落实监管要求

根据央行、银监会发布的《关于防范信用卡风险有关问题的通知》,在银行卡收单领域,特约商户不得协助持卡人进行信用卡套现。二维码支付虽暂无具体监管规定,然而在信用卡套现中,无论商户还是用户均违背了各自与银行签订的合约,违反了合同法的诚实信用原则,这就构成了银行追究商户违约责任的理论基础。商业银行可比照同类业务的现行监管规定,协议约定商户不得以虚构交易、虚开价格、现金退货等方式协助用户进行信用卡套现,否则银行有权中止服务、解除合同、依职责上报有关机构。另外,为做好套现和洗钱的防范工作,商业银行可从交易额度方面加强控制,制定与商户经营能力相匹配的交易限额。该限额可结合商户风险评估情况、商户历史交易情况合理确定,包括单笔支付限额和日累计支付限额。同时为满足商户临时性的资金需求,可根据实际情况向商户提供临时调整支付限额的服务。根据公安局“断卡”行动及四部门《关于联合开展为跨境赌博、电信网络诈骗等违法违规活动提供支付结算服务风险排查与整治工作的通知》要求,对确属于利用二维码聚合支付的洗钱、涉赌、涉毒、涉诈资金,应及时对相关账户进行控制。

(五)强化公众宣传,提升公众防范意识

针对二维码支付的风险问题,除了需要平台、政府的努力外,也应积极向用户进行风险防范意识的宣传,可以结合具体案例加强用户对扫码支付的深入了解,明白常见的作案手法,从而更好的规避风险,维护自身利益。用户自身也应提高风险防范意识,从正规渠道购买手机的支付终端设备,从源头上杜绝手机被事先植入病毒的风险,若手机出现病毒应第一时间联系官方售后,请专业人员维护,养成良好的支付习惯,在进行扫码支付时,尤其是大额支付时,尽量使用额度不高的信用卡或者余额不多的借记卡绑定,在公共场所输入密码时也要采取一些遮挡措施、尽量使用数据信号减少使用公共网络等。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消