明年4月起扫码付款采取限额 最低单日限额500元
二维码支付业务问世以来,终于要迎来首份监管细则了,在通知中,央行要求扫码支付根据交易验证方式强弱确定是否限额以及限额多少。该规范适用于包括支付宝、微信以及银联在内的所有二维码支付。
在经历了起步、被监管暂停、持续摸索、重启等多个发展阶段之后,二维码支付再迎来行业重磅规范政策。
27日晚间,央行印发《条码支付业务规范(试行)》的通知,要求扫码支付根据交易验证方式强弱确定是否限额以及限额多少。该规范适用于包括支付宝、微信以及银联在内的所有二维码支付,这意味着二维码支付业务问世以来,首份监管规范细则出台。
通知指出,银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级,对个人客户的条码支付业务进行限额管理。
使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
静态码主要是日常小商户贴出的收款码,市场主要以用户扫商户收款码为主。中国社科院金融研究所支付清算研究中心特约研究员赵鹞向《财经》记者表示,静态码由于不是动态加密生成,很容易被替换,曾经就出现个别码被换掉,钱进入其他人账户的情况,安全性比较差,所以最高限额低一些,未来需要支付机构对商户限额进行后台风险控制。
除了静态码,大多数正规商铺、超市的扫码支付则以动态码被扫为主,动态码相对静态码安全性高,一次有效。其中采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元。
此外,采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。
赵鹞表示,交易认证方式主要包括:客户本人知道的验证要素如支付密码,经过安全认证的数字证书以及电子签名,以及通过安全渠道生成和传输的一次性密码,根据客户本人生物特征要素如指纹认证等。
据《财经》记者了解,监管针对扫码规范细则前期进行了大量的调研,根据市场实际的统计数据决定限额多少,现有的限额至少可以满足市场98%的业务需求,对现有的业务并不会构成太大实质性影响。
从扫码业务发展来看,2014年3月被暂停,去年8月,支付清算协会向会员单位下发《二维码支付业务规范》(征求意见稿),被市场解读为二维码支付地位重获承认。扫码规范细则出台,一定程度上清晰界定了扫码支付的小额便捷支付定位,以及与银行卡、手机银行等多元化支付的互补角色。
此外,监管并非对扫码支付完全限额,对于风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额,这也为未来安全度高的扫码大额支付留有一定空间。
某银行电子银行部副总经理向《财经》记者表示,电子签名表示技术的合法,数字证书表示技术的安全。单纯从扫码安全与否,本身的技术是安全的,这个技术已经被普遍应用,所谓安全更多指的是后端的应用背景是否安全,是否是真实的交易。
此前网络也有关于二维码诈骗导致数万金额损失的案例报道。上述业内人士表示,现有的团体套现、欺诈扫码对银行风险较大,数字证书和电子签名认证要求对扫码套现等风险,也可一定程度防患于未然。
当下,微信月活跃用户超过9亿,支付宝活跃用户超过4.5亿。《2017年中国第三方支付市场监测报告》显示,2017年一季度我国扫码支付市场规模预计超过5800亿元,同比增长606.8%。
今年12月11日,中国银联携手各大商业银行发布银行业统一APP“云闪付”,此举意在对标支付宝和微信财付通,有支付人士认为,在扫码客户群粘度饱和,扫码规模增量或将从人群带动转向支付额度带动。
据银联方面提供的数据,银联二维码支付自今年5月推出以来,月均交易笔数增幅达45%,日均交易量超200万笔。与之相比,腾讯2016年财报披露,去年其移动支付的月活跃账户及日均支付交易笔数均超过6亿。
从监管角度不难看出,上述规范主要还是引导扫码支付朝着更为安全的验证交易方式发展。事物的业态是不断向前发展的,如果不及时出台相关规定,那么,风险防范能力低的支付机构也会朝着大额支付方向发展,所以,监管也是提前预知、引导,在安全和效率中取一个平衡。
事实上,扫码业务经过几年的快速发展,除了监管引导,市场机构也要能够发挥重要的自主能动性,有能够配套的风险措施。从现有的市场情况来看,支付机构和银行也已经逐渐形成了行之有效的风险管理措施。
随着银联发布银行业统一APP“云闪付”,扫码支付争夺战硝烟不断,似乎已经进入一个新的“三足鼎立”局面,很多传统金融机构对银联的这次反扑很有信心。分析认为,在新的规范出台后,谁的扫码交易安全认证级别更高,或将是扫码支付的下一个硬实力。
附:条码支付业务规范白话解读(来源:央行微博)(点击图片放大)