支付寶盜刷 拷問互聯網金融

袁覺

去年12月中旬的一個下午，身在廣州的劉洋（化名）發現手機突然失去了信號，咨詢運營商后的答案令他大吃一驚：他的手機已經在杭州被掛失重新補辦了號碼。此后發生的事情讓他更是倒抽了一口冷氣——自己的銀行賬戶已經被轉走了共計6萬多元。思來想去他也摸不著頭腦，問題究竟出在了哪里。

這是一起典型的盜刷案件，犯罪嫌疑人是在獲取了劉洋的身份和銀行卡信息后，通過偽造他的身份證然后在杭州補辦了劉洋的手機卡號，再通過注冊一個支付寶賬號，與劉洋的銀行卡綁定發生了關聯，從而達到了資金盜轉的目的。據杭州公安經偵部門披露，這早已經不是支付寶“快捷支付”第一次爆出的盜刷事件了。

支付寶如此回應

所謂“快捷支付”，就是把銀行卡賬戶與“支付寶”等第三方支付平臺的賬戶互相連接起來，在網購時直接輸入“支付寶”的密碼就可以進行的交易。“快捷支付”和網銀支付最大的區別就是不需要像銀行網上銀行支付一樣，要跳轉到銀行的網關之后才能實現支付。

支付寶公司相關負責人回應盜刷事件稱，事件的起因在于有人使用假身份證在營業廳補辦SIM卡，這本身是支付寶不可控的。對于任何起因的快捷支付被盜問題，支付寶用戶將獲得平安保險100%的賠償，所以客戶本身不會有任何損失。三年前支付寶就明確表示，用戶使用快捷支付如果遭遇資金損失支付寶將全額給予賠付。去年10月支付寶宣布向所有“快捷支付”用戶免費贈送一份資金保障險，該保險由中國平安財產保險股份有限公司承保。

“使用支付寶快捷支付不用輸入銀行卡密碼，是不是降低了資金的安全性？”支付寶公司人士回答，按照互聯網支付的國際慣例一般不會直接輸入銀行卡的取款密碼。原因在于銀行卡的6位數字密碼用在互聯網上安全強度不夠，如果遭遇釣魚網站或黑客攻擊，銀行卡密碼泄露的風險更大。

事件發生后盡管支付寶（中國）網絡技術有限公司仍然強調：“快捷支付”的安全保障，除了“快捷支付”密碼、手機校驗碼等，支付寶還有用戶看不見的后臺風控系統。但也不得不承認前述事件中用戶信息的泄露，會造成其賬戶的風險。尤其被人關注的是事過一月劉洋還沒有拿到自己的賠償。

快捷不能無底線

自2011年支付寶推出“快捷支付”以來，通過該支付平臺的用戶就無須開通網銀，直接通過輸入卡面信息就可以快速地完成支付。換言之就是只需通過一個賬號就完成支付。這意味著支付可以繞開銀行，即使是首次關聯也無須輸入銀行卡的取款密碼。筆者在支付寶上嘗試快捷關聯銀行卡，發現確實只需要通過輸入手機收到的驗證碼就可以完成支付。也就是說欺詐者只需要掌握了用戶的身份信息和銀行卡號，就可以盜取銀行卡中的錢款。這就是不法分子可以用劉洋的假身份證去補辦SIM卡的重要原因。

支付寶快捷支付存在的安全隱患，最主要的就是首次驗證不需要輸入銀行密碼。筆者致電國有銀行的工商銀行和股份制銀行的招商銀行，客服人員均表示客戶在使用“快捷支付”時，因為不用通過銀行網銀，所以交易過程就完全不受銀行的保護。由于支付平臺的風險關鍵存在于快捷“支付密碼”的設置上；當手機和銀行卡綁定后，撿到手機的人不需要輸入卡號可以使用手機。支付平臺的這個隱患就會越來越嚴重。相對來說使用銀行支付在身份驗證方面就要嚴格許多，其安全性就大大地提高了。

可以說是追求便捷才讓安全的“邊界”模糊起來了。對身份證信息驗證不足，輸入密碼時缺少多重認證，正是支付寶快捷支付最大的漏洞。快捷支付是一種創新，但身份證驗證是底線，如果沒有足夠的風控能力，只是將省略程序當做創新，這會對整個行業造成傷害。

為安全VS快捷時

中國電子商務投訴與維權公共服務平臺監測數據顯示，在2012年度全國第三方支付領域投訴中，財付通占比為23.50%，國付寶占比為19.83%，支付寶占比為16.70%，易寶支付占比為9.35%，百付寶占比為4.90%。

第三方支付平臺提供增值服務簡化交易流程，促進了對整個支付模式的改變。安全問題是該模式內可控的問題，需要找到改進和完善的有效方法。支付寶等第三方支付應當有多種認證方式，如實名身份認證、手機、郵箱等。

銀行的信用之所以安全，主要是對個人身份證的認證。相較于銀行對個人身份證所有信息進行認證的物理性，第三方支付平臺只是使用手機、郵箱等虛擬信息進行認證。現在的問題出在第三方支付平臺改變了傳統的身份證信息認證的唯一性，用戶直接感覺的復雜度降低了，增強了便捷性的興趣。

這種只重視追求用戶體驗，輕視安全防范的做法引起了業內人士的質疑。在第三方支付平臺用戶體驗和安全性的平衡點在于：是選擇虛擬信息認證還是實物認證。頗為微妙的是這個選擇權既在第三方支付平臺手中，也在每個用戶自己的手中。用戶一旦選擇了便捷，就必須承擔起安全的責任。

在互聯網金融日益深入的今天，支付寶面臨的“快捷隱憂”是整個第三方移動支付行業面臨的安全課題——用戶雖然享受到了支付便捷，卻為追求“爽”的體驗埋下了風險的隱患。

找到監管的均衡點

快捷和安全之間需要找到一個均衡點，不能為了快而降低安全水平。網銀支付之所以麻煩是因為要輸入所有信息，快捷支付的安全問題解決手段可以考慮輸入賬號的后4位數或設置消費額度等來解決。在確保安全性的前提下，再考慮縮短流程、改進用戶體驗。

安全性越高可能用戶使用時會更加復雜；其內部將不斷提高智能風控精準度，同時提示用戶注意自己的信息保護。僅從技術角度目前互聯網金融的快捷支付暴露出安全問題并非全是壞事，想要兼顧便捷與安全，必然推動新技術的問世，比如指紋識別、虹膜識別等體感技術，只有運用到支付環節才能解決安全問題。

互聯網金融向消費權益保護發出了挑戰，互聯網金融歸誰管？是銀監會、證監會還是保監會？誰也搞不清楚。出了問題怎么辦？老賴拿著錢跑了怎么辦？誰來承擔這個責任？互聯網金融已引起監管層重視，央行已經成立了專門研究小組，對全國互聯網金融狀況進行了分析調研。

第三方支付行業再也不能發了牌照就完事，行業準入門檻要提高，支付寶平臺運行時要盡快形成行業的安全標準，切實做好創新中的有效監管。