近日,安徽省“斷卡”行動第一批聯合懲戒名單公布���,懲戒單位和人員共計719個,同時公布了兩個真實案例:滁州的夏某和蚌埠的倪某被詐騙案�����,兩位受害人被騙后均通過掃碼方式付款���,犯罪嫌疑人收款獲利��?�?梢姡S碼支付已成為電信詐騙等違法犯罪的重要一環。
隨著移動支付的發展�����,“掃碼支付”已經在人們日常生活領域得到了廣泛深入使用�,商業銀行也相繼推出了兼容多種通道、為客戶提供統一的后臺管理系統以及支持多種支付方式的二維碼聚合支付產品�,近年來隨著營銷力度的不斷加大��,也逐漸被客戶認可,取得了一定的市場地位�,但蓬勃發展背后存在的風險同樣值得關注���,尤其是在經濟全球化����、資本流動國際化的新形勢下����,不法分子利用二維碼進行洗錢�����,對國家金融體系的安全��、對政治經濟秩序的危害極大。
一�����、存在的潛在風險
(一)資金套現風險
依目前的科技手段,銀行對于二維碼交易背景的真實性無法準確判斷,二維碼很容易成為資金套現的工具���,由此會帶來一定的金融風險。比如商戶和顧客通過虛構一筆交易,掃描二維碼進行支付后,錢會直接進入銀行賬戶,取現便能完成資金套現��。這種方式為信用卡客戶提供了便利的套現途徑���,也因為過于便利造成了部分持卡人因過度依賴信用卡透支消費���,極易引起信用風險��。為此���,6月29日�����,中國銀保監會消費者權益保護局發布了風險提示��,提醒廣大消費者合理���、正確認識并使用信用卡�。
(二)洗錢風險
不法分子在沒有有效監管的情況下�����,很容易通過虛構交易行為而輕易的將自己的非法財產合法化�,外加這種虛擬的交易行為具有很強的隱蔽性�,二維碼很容易成為賭博、電詐等違法活動的支付渠道�,演變成洗錢的重災區�����。2019年8月,警方在網上巡查中發現���,有不法分子在QQ群、微信群大量販賣ETC信用卡“四件套”信息(包括姓名、身份證號碼���、信用卡號碼、預留手機號碼),經深入偵查發現��,該灰黑產業犯罪鏈條主要由“料商”����、“卡商”、“信用卡注冊商”和“號商”四個環節組成��,“料商”負責竊取公民基本信息(姓名�����、身份證號等),并販賣給“注冊商”����;“卡商”負責提供手機號碼和短信驗證碼給“注冊商”�����;“注冊商”到某銀行ETC信用卡網上快速辦理平臺通過竊取到的信息大批量注冊ETC信用卡,并將信用卡“四件套”信息販賣給“號商”����;號商利用這些信息完成支付寶��、微信支付等第三方支付賬號實名認證,并開通支付轉賬渠道���,為犯罪團伙提供資金渠道,將犯罪所得進行漂白����。在支付寶���、微信支付等支付渠道被重點監管后�,商業銀行的二維碼聚合業務很容易成為不法分子瞄準的“洼地”,極易引發洗錢風險�����。
(三)財產盜竊風險
目前使用二維碼的技術門檻較低����,編譯和發布相對簡單,想掌握并加以利用并非難事�。此外���,大部分掃碼工具欠缺對欺詐性二維碼的有效識別以至于很容易給犯罪分子以可乘之機,通過植入釣魚鏈接和木馬病毒來竊取用戶的賬號信息和密碼進而進行資金轉移�����,或者進行盜竊�����、欺詐行為�,導致用戶的財產遭受損失�。今年5月,山西省警方向社會通報,犯罪嫌疑人馮某趁夜間將自己的微信收款碼覆蓋在菜攤收款碼上���,攤主因交易量大未及時發現,馮某坐享其成“截留”銷售款��,共作案35起�����,涉案金額近3萬元��。此類案件中,由于二維碼的外觀特性����,用戶在掃碼時并不能區分二維碼實際所有者�����,商家因此遭受財產損失的情況也屢見不鮮,據筆者觀察����,商業銀行的二維碼聚合支付業務也存在同樣的風險���。
(四)泄露客戶隱私風險
二維碼支付致損案件中,有很多的消費者由于掃描了植入病毒的二維碼或者進入釣魚網站而導致個人的賬戶�、密碼被竊取�,不法分子利用二維碼技術的漏洞攻擊消費者的賬戶信息����,消費者的隱私一覽無余。在這個過程中����,雖然第三方支付平臺也在不斷更新安全驗證措施���,但消費者處境依然被動����,個人賬戶信息和隱私保護仍然遭受威脅��。目前第三方支付注冊用戶規模龐大�,且每個賬戶都或多或少關聯了個人信息�����,如身份證號�、手機號�����、銀行卡等�����,更有包括指紋���、聲音、面容等生物信息�����。個人信息在互聯網大數據時代是一種寶貴的資源�����,一旦信息泄露��,后續再進行非法交易,對個人的人身和財產安全將產生極大威脅。
二����、風險成因
(一)市場準入門檻低
為了搶占有限的市場份額����,目前各大商業銀行對辦理的二維碼支付商家資料沒有統一的審核標準����。某些商業銀行為了加快辦理速度,甚至簡化申請流程�����,開通了線上自助申請功能�,商家申請時只須上傳身份證照片、營業執照照片�、商戶經營門店照片并輸入銀行卡信息等即可順利注冊成為收單商戶�,申請到專屬支付二維碼��。商業銀行在商家線上自主申請的整個過程中并未遵循“三親見”原則�����,沒有核實商家是否依法設立并從事合法經營活動��、有無可疑交易�����,也未通過人民銀行征信系統、聯網核查公民信息系統等方式核查申請信息�����,難以真實有效地落實商家實名制���。
(二)后續管理不到位
由于二維碼支付對本地化服務的依賴程度極低無需實體機具���、免人工安裝����、免后續維護,導致商業銀行普遍疏于對二維碼支付商家進行二次回訪檢查���,缺乏對商家開展定期技術培訓和安全風險教育。商業銀行難以對商家的實際經營狀況和業務風險情況等進行全面了解與評估�,不能及時發現商家利用二維碼支付漏洞進行洗錢�����、套現等違規交易行為,致使不法分子的違規行為日益猖獗�����。
(三)交易資金監測難
二維碼聚合支付改變了銀行對交易雙方資金劃撥點對點的線性模式的傳統做法,交易被切割為兩部分:當用戶發出支付指令后��,第三方支付機構將其傳遞給銀行����,銀行接收指令后先將用戶賬戶的資金劃入第三方支付平臺賬戶中��,然后再從支付平臺賬戶轉移至目標賬戶�����。這樣一來,交易雙方的直接聯系被第三方支付平臺割斷��,銀行及監管部門無法得知資金的來龍去脈�,進而無法確定交易的因果關系和真實背景,為犯罪分子通過虛假交易進行洗錢而不易被發現創造了機會����。
(四)公眾意識不強
二維碼支付屬于新興的支付方式���,很多的用戶對于這種支付方式存在的安全隱患不是非常地了解��,即使社會上出現了一些相關的案例,但是用戶為了方便依然毫無顧忌地使用這種支付方式���。在沒有良好的防范措施的情況下,二維碼支付方式的安全風險發生的概率在不斷地上升,支付過程中容易遭受網絡黑客的攻擊。
三、對策與建議
(一)加強行業監管力度����,形成統一監管鏈條
二維碼聚合支付具有網絡和金融的雙重屬性����,因此��,想要對二維碼聚合支付行業進行有效的監管�����,單純依靠某個獨立的部門基本是不現實的��。建議建立由中國人民銀行進行主導���,銀聯�����、工商、稅務、公安等多部門協同配合的全方位監管機制����,形成完整統一的監管鏈條���。首先���,積極推行第三方支付實名制���,加強對線下掃碼支付的審核�,防止套現���、洗錢等不法行為�,發現洗錢等違法犯罪行為時,應聯合公安機關進行嚴厲打擊�。對第三方支付機構應加強監管����,定時評估風險等級�����,對于第三方支付的每一筆交易信息都要及時向扣款銀行進行反饋,確保交易的真實性和合法性�����。對濫用市場支配地位的第三方支付平臺,監管部門要及時進行查處�����,盡快明確反壟斷規則���,不斷增加企業的違規成本��,最終約束壟斷行為�����,確保第三方支付市場公平、有序的競爭環境��。
(二)強化準入管理����,注重日常維護
商業銀行要嚴格加強二維碼支付市場準入管理,嚴格落實申請商家實名制��,對于線上自主申請的商家���,一方面要專門建檔保留營業執照以及法定代表人身份證件復印件�,同時強化身份證核查環節的技術應用,通過人臉識別等手段提高商家身份識別的準確度;另一方面��,通過上門核實相關證照原件真偽和定期�����、不定期現場考察商家實際經營情況�,確保線上申請的商家依法設立并從事合法經營活動�����,杜絕虛假交易,減少洗錢����、套現等違法犯罪事件的發生�。
(三)提升人防技防水平�����,做好日常交易檢測預警
人行于2017年8月4日宣布���,第三方支付服務必須通過“非銀行支付機構網絡支付清算平臺”(以下簡稱“網聯平臺”)處理��。商業銀行應以此為契機,建立對二維碼支付的“穿透式”監測體系,以網聯平臺的海量交易信息數據庫為基礎����,充分利用大數據等金融科技從海量交易數據中及時發現可疑交易����,達到對每筆交易資金的來源和去向了如指掌的目的�����,進而通過更為積極的事中處置和事前預警打破目前事后追查的現狀��。其次,商業銀行內部應當針對二維碼支付設立可疑交易反洗錢監測分析體系���,可以考慮采取“系統篩選+人工甄別”的模式,設定相應的可疑交易參數和模型���,通過嵌入反洗錢系統的可疑交易監測指標對全部二維碼交易進行監測篩選�,然后由反洗錢工作人員對系統篩選的異常交易進行人工分析,確定符合可疑交易情形的即按要求報送,排除可疑的要備注排除理由�����。
(四)采取限制措施���,落實監管要求
根據央行、銀監會發布的《關于防范信用卡風險有關問題的通知》,在銀行卡收單領域�,特約商戶不得協助持卡人進行信用卡套現����。二維碼支付雖暫無具體監管規定�����,然而在信用卡套現中�����,無論商戶還是用戶均違背了各自與銀行簽訂的合約,違反了合同法的誠實信用原則�����,這就構成了銀行追究商戶違約責任的理論基礎�。商業銀行可比照同類業務的現行監管規定,協議約定商戶不得以虛構交易�����、虛開價格���、現金退貨等方式協助用戶進行信用卡套現����,否則銀行有權中止服務���、解除合同��、依職責上報有關機構��。另外,為做好套現和洗錢的防范工作�,商業銀行可從交易額度方面加強控制��,制定與商戶經營能力相匹配的交易限額。該限額可結合商戶風險評估情況��、商戶歷史交易情況合理確定���,包括單筆支付限額和日累計支付限額����。同時為滿足商戶臨時性的資金需求,可根據實際情況向商戶提供臨時調整支付限額的服務。根據公安局“斷卡”行動及四部門《關于聯合開展為跨境賭博、電信網絡詐騙等違法違規活動提供支付結算服務風險排查與整治工作的通知》要求�����,對確屬于利用二維碼聚合支付的洗錢�、涉賭、涉毒����、涉詐資金�����,應及時對相關賬戶進行控制�����。
(五)強化公眾宣傳�,提升公眾防范意識
針對二維碼支付的風險問題�,除了需要平臺、政府的努力外���,也應積極向用戶進行風險防范意識的宣傳,可以結合具體案例加強用戶對掃碼支付的深入了解���,明白常見的作案手法,從而更好的規避風險����,維護自身利益���。用戶自身也應提高風險防范意識�,從正規渠道購買手機的支付終端設備,從源頭上杜絕手機被事先植入病毒的風險����,若手機出現病毒應第一時間聯系官方售后����,請專業人員維護��,養成良好的支付習慣�����,在進行掃碼支付時,尤其是大額支付時�����,盡量使用額度不高的信用卡或者余額不多的借記卡綁定����,在公共場所輸入密碼時也要采取一些遮擋措施�����、盡量使用數據信號減少使用公共網絡等����。
(來源:運營管理部 趙秋香 陵陽支行 曹志偉 責任編輯:綜合管理部)
