央行：扫二维码单日支付设最高限额

 本报讯（记者 范晓）随着二维码支付逐步渗透到日常生活消费的各个场景，套现、资金盗用等收单乱象也花样迭出。2018年4月1日起，诸如这样的支付风险将被置于央行的监管之下。

昨日，央行发布《中国人民银行关于印发〈条码支付业务规范（试行）〉的通知》，配套印发了《条码支付安全技术规范（试行）》和《条码支付受理终端技术规范（试行）》，对条码支付实行分级限额，其中，静态二维码支付单日累计交易金额不超500元。

据央行相关负责人介绍，不管是商家扫消费者手机上的付款条码，还是消费者用手机扫商家贴在柜台上的收款条码，只要是通过扫条码完成的支付都在条码支付的范畴内。

值得注意的是，条码还分为静态条码和动态条码，前者是长期有效，商家贴在柜台上收款用的，安全系数较低，会有不法分子“调包”换成自己的收款码；后者是单次收付款时，在手机电子屏幕上动态更新的，不易被替换和盗用。

“条码支付存在一定的技术风险。比如条码在开放互联网环境下以图形化方式进行展示，不法分子可通过截屏、偷拍等手段盗取支付凭证，在支付凭证有效期内盗用资金；条码不仅可存储支付要素，也可携带非法链接或程序代码，不法分子可将木马病毒、钓鱼网站链接制成条码，诱导客户扫描，窃取支付敏感信息。”上述负责人坦言。

与此同时，扫码设备安全度低，普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码，易被不法分子非法改装使用。

针对上述种种安全隐患，央行此次出台规范明确，银行、支付机构应对个人客户的条码支付业务进行限额管理。风险防范能力达到A级，即采用包括数字证书或电子签名在内的两类（含）以上有效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额；风险防范能力达到B级，即采用不包括数字证书、电子签名在内的两类（含）以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元；风险防范能力达到C级，即采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元；风险防范能力D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

值得关注的是，银行、支付机构提供收款扫码服务的，应使用动态条码，设置条码有效期、使用次数等方式，防止条码被重复使用导致重复扣款，确保条码真实有效。