4月1日起央行扫码支付新规执行,静态扫码为何限500元
央行扫码支付新规4月1日起执行
静态扫码每日限额为何是500元
依据央行发布的规范,顾客在使用静态二维码进行支付时,单个银行账户或所有支付账户,以及快捷支付方式,在一天之内的总交易额不得超过500元。不少消费者在了解这一规定后,最初的反应便是抱怨额度限制过低:“今后每日通过扫码支付的最高金额将受限至500元,这显然是不够的。”然而,这种看法实际上是一种误解。业内专家表示,受限于500元支付额度的主要是那些依赖静态二维码的街头小商贩,而大额消费以及多数扫码支付活动更倾向于使用动态二维码,即商家通过扫码枪扫描消费者手机上的动态码。根据过往的消费数据,500元的支付限额已足以满足绝大多数消费者的支付需求。
自4月1日起,扫码支付将有明确的规范。在去年年底,中国人民银行颁布了《关于印发〈条码支付业务规范(试行)〉的通知》,并同步发布了《条码支付安全技术规范(试行)》以及《条码支付受理终端技术规范(试行)》,这些规范自2018年4月1日起正式施行。
关注
静态码支付每天限额500元
新规即将实施,一些消费者对于额度是否充足表示担忧。业内专家分析,部分消费者对这一新规产生误解,主要源于对动态码与静态码的混淆。一个简单的辨别方法是,若消费者用手机扫描商家提供的纸质二维码进行支付,则属于静态码支付;反之,若消费者展示手机上的付款码,商家使用扫码枪进行扫描,则属于动态码支付。通常,街头巷尾的小摊小贩倾向于使用静态的二维码,而拥有固定店铺的商家则更倾向于采用动态的二维码。
依据中国人民银行的规定,采用静态条码进行交易存在极高的风险,其风险控制能力相对较弱,在央行设定的风险等级中被评为D级,且交易额度也设定得最低。具体来说,对于使用静态条码支付的客户,无论是单个银行账户还是所有支付账户,以及快捷支付,其单日累计的交易金额均不得超过500元。
动态条码的风险控制水平被划分为A、B、C三个等级,这三个等级分别对应着不同的交易验证方式、条码以及支付额度。通常情况下,安全性越高的动态条码,其交易额度也会相应提高。
具体而言,运用数字证书、电子签名等两种或两种以上有效验证手段的动态码,其风险控制等级达到A级,银行、支付机构及客户可依据协议自行商定每日累计交易限额。
使用不含数字证书、电子签名等在内的两种或两种以上有效验证方式,其风险控制级别为B级;对于同一客户而言,无论是单个银行账户还是所有支付账户,以及快捷支付,其单日累计交易金额上限均为5000元。
动态码支付若仅依赖两类以下有效要素进行验证,其风险控制等级为C级;同时,对于每位客户而言,无论是单个银行账户还是所有支付账户,亦或是快捷支付,其单日累计的交易金额上限均为1000元。
因此,若笼统地提及自4月1日起扫码支付每日最高限额为500元,这并不准确。按照央行的新规定,此限额仅适用于静态条码支付。若消费金额超过500元,顾客可请求商家使用扫码枪扫描其支付宝或微信的动态付款码,以此规避500元的限额限制。
聚焦
扫码支付设限主要是为安全
扫码支付技术的广泛应用导致与之相关的欺诈事件日益增多。其中,最频繁发生的情况是,不法分子会暗中替换收银台旁的静态二维码。由于二维码图案复杂,难以细致辨认,以至于店主都未能察觉,最终导致货款轻易落入他人手中。
中国人民银行的相关负责人指出,通过开放互联网以及非专业设备进行条码支付交易处理,存在一定的技术安全隐患。涵盖可视化风险,即条码在公开互联网上以图像形式呈现,犯罪分子能够通过截取屏幕、偷拍等非法手段窃取支付凭证,并在凭证有效期内盗用资金;存在携带恶意代码的风险,条码不仅能够存储支付信息,还可能携带非法链接或程序代码,犯罪分子可能将木马病毒或钓鱼网站链接嵌入条码中,诱使客户扫描,进而窃取敏感支付信息;存在信息单向交互的风险,条码支付仅支持发起方与接收方之间的单向信息交流,犯罪分子可能利用这一缺陷实施“中间人攻击”,绕过身份验证,导致用户资金受损;还有扫码设备安全性能不足的风险,条码支付对设备的要求不高,普通的手机摄像头、超市简易的收银机扫描枪等缺乏加密、防拆卸等安全功能的设备也能识别条码,容易被犯罪分子非法改装并用于非法活动。
负责人表示,旨在促使银行及支付机构提升交易验证的安全性,并强化客户资金的安全防护,对于那些风险防控能力强、交易验证方式更为可靠的机构,将不设定交易额度的最高限制,允许市场主体与客户自主商定交易金额的上限。
考虑到防止替换和防止盗刷等安全要素,银行和支付机构在实施静态条码支付时,必须采取更为严格的金额限制措施。这样做旨在激励市场参与者选用更安全的动态条码支付服务。根据主要市场机构提供的条码支付交易数据,目前这些限额已满足绝大多数采用条码支付方式进行付款的客户和商户的需求。
释疑
为什么静态码限额设为500元
在央行设定的等级分类中,静态码的安全性处于较低水平,其对应的交易额度同样是最小的,仅为500元。那么,这500元的交易额度是如何确定的呢?
支付领域的专家指出,依据当前扫码支付的数据统计,超过95%的消费者每日使用静态码支付金额不足500元,故而绝大部分用户无需担忧这一变化。“通常静态码的使用场景,比如在街头购买煎饼果子、水果蔬菜等,500元已是绰绰有余。”即便遭遇欺诈行为,损失也相对较小。该限额旨在保障那些对二维码消费操作不够熟练、难以辨识欺诈行为的用户,这类用户在中国数量极为庞大。
静态二维码的安全性相较于实时生成的动态二维码要低得多。动态二维码每分钟都会进行更新,因此其安全性相当高。专家们建议,在进行条码支付时,应尽量避免使用手机扫描他人的静态条码,相反,应让对方扫描你的手机。文/本报记者 程婕