因為支付的快捷，才有移動支付的今天，但也是因為快捷支付的快捷，安全漏洞隱患頻繁發生。

　　7月5日，中信銀行武漢分行專家表示，消費者在使用快捷支付時，一定要保護好個人賬戶信息，不輕易點擊陌生鏈接以及泄露個人信息，尤其是短信驗證碼的內容，避免因對快捷支付的不了解而造成資金損失。

　　在安全與便捷話題不斷升級的今天，有必要談談快捷支付的原罪了。

　　快捷支付成銀行卡盜刷重災區，97%通過第三方支付

　　根據央行今年3月15日公布的數據顯示，截至2016年年末，全國銀行卡在用發卡數量61.25億張，同比增長12.54%，增速上升2.28個百分點。其中，借記卡在用發卡數量56.60億張，同比增長12.96%；信用卡和借貸合一卡在用發卡數量共計4.65億張，同比增長7.60%。

　　在全國銀行卡發卡數量迅猛增長的同時，銀行卡被盜刷的案例卻也層出不窮，而所涉及的盜刷金額更是一例高過一例。

　　今年“3·15”期間，21CN聚投訴發布了《2016年國內銀行卡盜刷大數據報告》(以下簡稱報告)。該報告指出，2016年，全網統計銀行卡盜刷共7095次，累計造成客戶損失1.83億元。特別是在線上支付風靡的當下，快捷支付取代傳統的偽卡成為盜刷重災區，而消費者依然普遍面臨著遭遇盜刷后理賠困難的現狀。

　　據了解，該報告匯集了2016年全年來自新浪微博、聚投訴網站、新聞網站、論壇及其他投訴網站共7000余條投訴信息。

　　其中，來自新浪微博的投訴最多，全年共計3341次，占全網總量的47%；投訴量第二大來自于21CN聚投訴，全年接到銀行卡盜刷有效投訴1705次，占比24%；來自媒體的新聞報道，全年1566次，占比22%；主流網絡論壇全年發布銀行卡盜刷投訴469次，占比7%；其他投訴網站可獲取的公開投訴量較少，僅采集到14次盜刷投訴，其中9例來自深圳市消費者委員會受理的投訴。

　　在快捷支付盜刷的投訴中，97%通過第三方支付盜刷。其中，支付寶涉及的銀行卡盜刷投訴最多，全年共562次，位列行業第一；京東錢包次之，278次；財付通(含微信支付)245次，位列第三。

　　據報告統計，2016年聚投訴全網共產生銀行卡盜刷投訴負面評價563次。四大行中，工商銀行、建設銀行、農業銀行位列前三。招商銀行負面評價超過中國銀行、與農業銀行并列第三。上述五家銀行負面評價量占總量的74%。工商銀行被負面評價次數最多，為173次，占行業負面評價總量的30.7%。

　　報告指出，2016年央行出臺的《銀行支付機構網絡支付業務管理辦法》，對第三方支付機構的監管有了長足的進步，但對銀行業的相關監管細則，尚未明確，各大銀行在銀行卡盜刷方面的防范、處理、理賠工作，目前還沒有足夠的硬約束，甚至落后于第三方支付機構，導致被盜刷客戶往往要百般投訴后才可能獲得重視。

　　快捷支付的缺口

　　快捷支付被銀行詬病已久，從開通到每次支付，都與銀行傳統的風控理念相去甚遠。目前快捷支付的開通方式是由第三方支付向銀行發送客戶輸入的銀行所預留相關信息和手機號碼來核對客戶身份進行開通，并不驗證銀行卡密碼。但從銀行角度來看，個人客戶資金的安全措施最重要的是密碼以及本人現場驗證，其他信息和方式都僅僅是輔助。而快捷支付所驗證的身份資料、預留手機號等都不是銀行眼中的關鍵性安全因素，在實際上打破了銀行原有的支付安全體系。即使銀行后來為競爭而推出了類快捷支付產品，但開通驗證內容中必須有卡密碼，這也從一個側面驗證了銀行和第三方支付對關鍵性安全因素的認識差異。

　　快捷支付實質上是第三方支付在銀行以密碼為安全核心的“防彈衣”上破壞出的一個缺口，雖然有安全措施，但“殺手”只要被漏過來，資金被盜就是必然的結局。因此，目前通過快捷支付被盜的資金由第三方支付而不是銀行進行賠付也是有其道理所在，并不是像某些媒體所說銀行店大欺客只有第三方支付才為客戶考慮之類。

　　快捷支付隱私的泄露與黑色產業鏈

　　如果僅僅是防彈衣上存在缺口但無人利用，并不會有目前如此猖獗的盜刷行為。然而目前個人隱私泄露的情況可以說是觸目驚心，快捷支付與銀行方核對的客戶相關信息早已經不能作為識別客戶身份的完善依據，更不足以成為防范風險的屏障。

　　4月10日，中央電視臺新聞三十分節目中播出了銀行卡盜刷的來龍去脈。大概內容說的是犯罪分子通過偽基站發送釣魚短信、架設免費WIFI、改裝POS等方式盜取個人信息、短信驗證碼和銀行卡信息，再通過復雜的黑色產業鏈最終將資金竊取。

　　事實上，包括你我在內的絕大多數普通人的隱私早已經在某一群人手中流傳。任何一個存儲海量個人信息的網站被“拖庫”或被內部人賣出后，這群人的饕餮盛宴便隨之開始，而依靠這些個人信息和密碼來進行客戶身份驗證的網站自然成為下一輪攻陷的目標，最終他們的數據庫將會成為比你我更了解自己的存在。例如某些人仍在津津樂道的“社工庫”，暴露在大眾面前的不過是冰山一角，多個不同渠道拿到的數據庫根據身份證和手機號等關鍵鍵值就可以將信息匹配在一起，對每個人的隱私信息都有了完美的畫像，在黑色產業鏈中形成了另外一個意義上的“千人千面”。

　　除了非法手段之外，很多企業對客戶的隱私的漠視也是隱私泄露的重要原因。比如目前移動要求客戶更換4G卡時將客戶常去的地址提供給電話營銷人員、之前爆出的螞蟻花唄催收通過聯系關系人來提醒借款人進行還款的方式等，都是將客戶隱私交給組織內權限較低的人員甚至外包人員，大大增加了泄漏的可能和日后追責的難度。

　　至此，快捷支付與銀行所核對的信息已經失去了驗證客戶本人身份和意愿的能力，只有手機驗證碼在苦苦抵擋。

　　躺著也中槍的電信運營商

　　短信驗證碼是快捷支付核對用戶身份的重要環節。然而手機通訊技術經過了多年的發展，從模擬信號到GSM，再到現在的4G LTE以至未來的5G，技術一直在不斷的進步，網速越來越快，通話質量越來越好。但各代技術卻有一個共同點：手機號碼及短信不作為重要安保措施。即使體量大如移動，也一直是在NFC這條路上前行。

　　這其實是很正常的思路。對電信運營商來說，主營的電信業務實際上所涉及的客戶資金只有話費，而話費提現要經過很復雜的流程且金額并不大，因此沒有多少對卡及手機號安全方面保護的想法，若不是國家要求恐怕連實名制的想法也沒有。畢竟即使卡丟失或補辦，對電信運營商及其客戶也不會有什么直接性的損失。直到有一天，他們被綁架到了快捷支付的戰車上，才發現自己雖沒有從中獲得多少利益，卻已被千夫所指。

　　目前，除了常見的偽基站偽造號碼以及批量發送釣魚短信之外，電信運營商所提供的一些服務也成為犯罪分子利用的工具。比如之前的短信保管箱保存短信驗證碼、最近爆出的通過郵箱發送詐騙短信等等。而虛擬運營商的170號段更是成為了釣魚短信發送的重災區。這些問題都在實際上將快捷支付所撕開的缺口越扯越大。然而換個角度看，第三方支付這種“沒打招呼就從隔壁鄰居家拿根油條當門栓”的方式又有什么立場來指責“油條”不夠堅固呢?

　　監管與未來發展

　　前面的分析里，銀行、第三方支付公司、電信運營商看起來各自有各自的原因和委屈，然而即使誰都沒錯，用戶的錢被盜了也是事實。因此整個鏈條上的企業都應該主動承擔更多的社會責任，畢竟資金的風險問題還是遵循著木桶理論的。目前，銀行及電信運營商已在電話號碼用戶識別、換卡二次驗證、偽基站自動排查、釣魚網站攔截等方面做了大量的工作，但對于快速擴散的網上盜刷案件來說，仍有很長的路要走。

　　同時，監管方面并沒有選擇繼續等待。

　　2015年12月底，央行出爐了《非銀行支付機構網絡支付業務管理辦法》。在這個文件中，央行強調了銀行是客戶資金安全的管理責任主體，應在首筆交易時自主識別客戶身份并與客戶直接簽訂授權協議，承諾無條件全額承擔此類交易的風險損失先行賠付責任，這其實是對銀行提出了對快捷支付特別是開通方面的管理要求，與11年銀監會的文件在本質上一脈相承。

　　另外，《辦法》中也規定了支付機構對不能有效證明因客戶原因導致的資金損失及時先行全額賠付，并對支付機構進行了風險分類，風控能力較弱的第三方支付每筆200元以上非定期的快捷支付都必須由銀行方進行驗證，風控能力較好的第三方支付可以與銀行通過協議自主約定由支付機構代替進行交易驗證，但必須將支付相關信息告知銀行。

　　2016年4月，《非銀行支付機構分類評級管理辦法》正式出臺。結合前面提到的《非銀行支付機構網絡支付業務管理辦法》來看，一些技術能力不足，業務水平有限，風控能力較差的中小型第三方支付公司將逐漸弱化，直至退出舞臺；而技術能力較強、業務水平較高、風控能力較強的大型第三方公司將獲得優待。

　　同月，中央十四部委聯合印發了《非銀行支付機構風險專項整治工作實施方案》，第三方支付包括快捷支付在內的直連銀行模式可能將在一段時間后走到終點，取而代之的可能是一個新的網絡支付結算平臺。

　　當這些監管文件落實到位的時候，我們可能需要告別原有模式的快捷支付；而迎接我們的，則是一個依然便捷但更加安全的未來。

　　文章綜合自：長江日報、法治周末、虎嗅網，略有刪減。

責任編輯：方杰