央行：掃二維碼單日支付設最高限額

 本報訊（記者 范曉）隨著二維碼支付逐步滲透到日常生活消費的各個場景，套現、資金盜用等收單亂象也花樣迭出。2018年4月1日起，諸如這樣的支付風險將被置于央行的監管之下。

昨日，央行發布《中國人民銀行關于印發〈條碼支付業務規范（試行）〉的通知》，配套印發了《條碼支付安全技術規范（試行）》和《條碼支付受理終端技術規范（試行）》，對條碼支付實行分級限額，其中，靜態二維碼支付單日累計交易金額不超500元。

據央行相關負責人介紹，不管是商家掃消費者手機上的付款條碼，還是消費者用手機掃商家貼在柜臺上的收款條碼，只要是通過掃條碼完成的支付都在條碼支付的范疇內。

值得注意的是，條碼還分為靜態條碼和動態條碼，前者是長期有效，商家貼在柜臺上收款用的，安全系數較低，會有不法分子“調包”換成自己的收款碼；后者是單次收付款時，在手機電子屏幕上動態更新的，不易被替換和盜用。

“條碼支付存在一定的技術風險。比如條碼在開放互聯網環境下以圖形化方式進行展示，不法分子可通過截屏、偷拍等手段盜取支付憑證，在支付憑證有效期內盜用資金；條碼不僅可存儲支付要素，也可攜帶非法鏈接或程序代碼，不法分子可將木馬病毒、釣魚網站鏈接制成條碼，誘導客戶掃描，竊取支付敏感信息。”上述負責人坦言。

與此同時，掃碼設備安全度低，普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼，易被不法分子非法改裝使用。

針對上述種種安全隱患，央行此次出臺規范明確，銀行、支付機構應對個人客戶的條碼支付業務進行限額管理。風險防范能力達到A級，即采用包括數字證書或電子簽名在內的兩類（含）以上有效要素對交易進行驗證的，可與客戶通過協議自主約定單日累計限額；風險防范能力達到B級，即采用不包括數字證書、電子簽名在內的兩類（含）以上有效要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過5000元；風險防范能力達到C級，即采用不足兩類要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過1000元；風險防范能力D級，即使用靜態條碼的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。

值得關注的是，銀行、支付機構提供收款掃碼服務的，應使用動態條碼，設置條碼有效期、使用次數等方式，防止條碼被重復使用導致重復扣款，確保條碼真實有效。