刚过去的一段时间里,银行卡被网上盗刷的各种新闻屡屡见诸报端。
在正文开始前,先普及下“网上盗刷”的基本知识:
除电话诈骗外,目前银行卡主要通过技术手段的盗刷犯罪手段主要分为线上和线下两种。线下盗刷从复制磁条盗窃密码到改造POS复制付款令牌等等不一而足,随着金融IC卡的逐渐普及以及降级交易的逐渐关闭,此类风险事件的发生概率在逐渐减少;而网上盗刷这个新的犯罪手法,则在短短的五六年内急速发展。由于网上盗刷具有批量化、无需接触受害者实体介质等特点,总量已反超线下盗刷。
而在很多报道中,以分析技术问题为主要内容,以痛斥银行不给赔付最终第三方支付解决问题以及电信运营商管理不力导致验证码泄露结尾,却只字不提网上盗刷的渠道所存在的问题,仿佛“它”就应该摆在那里不做改变一样。然而要想解决网上盗刷问题,渠道绝不应该是被忽视的地方。
快捷支付的前世今生
前面提到的网上盗刷的渠道,大部分都是通过一个名为“快捷支付”的业务进行的。而这个业务本质上是第三方支付所提供,由支付宝首创,在发展一定时间后各家第三方支付开始跟进。
支付宝在当时发展快捷支付是有其客观需求的。在淘宝发展的早期,网上支付量快速增长,特别是“双11”这类人造购物节日更是集中了很长一段时间的流量在一天内爆发。而大部分银行的网关支付相关建设并没有为这种爆发性的交易需求做好准备,导致实际支付成功率与支付宝所期望的有一定差距。
因此,支付宝便要求银行为其提供类似于代扣水电费保费之类的代扣功能,绕开了银行本身的网关支付,减少了双方核心系统之间的通讯环节,提高了支付宝实际付款的成功率。鉴权/核身+代扣,这就是快捷支付的早期形态。
在那个时候,从银行角度看快捷支付并不是一个太大的问题。在收益方面有支付宝沉淀的存款和个人客户新开卡,还可以降低网关支付的压力;在风险方面支付宝当时已经发展到一定规模因此卷款跑路的可能性很小,如果出现小范围风险问题也可以将接口关闭,完美。至于互联网金融,那是什么?
2011年4月,支付宝的快捷支付正式推出,风险问题也随之而来。同年8月银监会下发《关于加强电子银行信息管理工作的通知》,要求快捷支付类产品首笔业务前必须经由银行方进行身份验证。而快捷支付实际上只是由第三方支付向银行发送客户在银行所预留相关信息和手机号码来核对客户身份进行开通,并不是由银行在其自身的物理或电子渠道进行客户身份验证,自然更谈不上确认客户自行开通的意愿。银行据此向支付宝提出修改意见,但有传言称支付宝以影响客户体验为由拒绝了,这也是之后2014年工行支付宝之争中工行方指责支付宝“快捷支付违法”、“拒不改正”的原因。
在现在看来,银监会在2011年所下发的管理文件从风控角度讲其实已经看到了快捷支付的风险点所在,在执行方面却出现了问题。在之后的几年中,各类隐私泄露日趋严重,通过快捷支付渠道的网上盗刷案件急速增加,而包括支付宝在内的第三方支付早已经发展到一个很大的规模,快捷支付为很多客户所接受,接口已经不能随意关闭,如不寻找其他方式进一步收紧限制,银行原本的风控设计将沦为空谈。
2014年3月前后,四大行分别下调包括支付宝在内的所有第三方支付快捷支付渠道限额,以此来降低被盗客户在盗刷案件中的损失金额。但四大行安全程度较高的网关支付限额并未同步调整,因此在部分业内人士看来,此举应是监管层非公开指导下的风险防控行为。
然而当时恰逢余额宝发布不足一年,银行间市场资金荒仍未退去,高企的货币基金利率所引发的投资狂热使得余额宝在某个层面上成为了支付宝的护身符,“谁敢动支付宝就是要动余额宝,而谁敢动余额宝就是与人民为敌”俨然成了那个时间段网络上的政治正确,四大行的限额调整自然被骂的狗血淋头,即使再三强调通过网关支付仍可投资余额宝也收效甚微。
最终,事情以支付宝指责工行“知法犯法”后将备付金存管账户转至建行,四大行逐步将原来由各省分行分头接入的各家第三方支付快捷支付接口统一上收至总行管理,监管当局再次发文强调对银行和第三方支付公司的合作要加强管理而结束。至于四大行到底是为了风险控制还是如阿里所指责的那样为了限制余额宝发展,已成为一场罗生门。
防弹衣的缺口
事实上,快捷支付被银行诟病已久,从开通到每次支付,都与银行传统的风控理念相去甚远。目前快捷支付的开通方式是由第三方支付向银行发送客户输入的银行所预留相关信息和手机号码来核对客户身份进行开通,并不验证银行卡密码。但从银行角度来看,个人客户资金的安全措施最重要的是密码以及本人现场验证,其他信息和方式都仅仅是辅助。而快捷支付所验证的身份资料、预留手机号等都不是银行眼中的关键性安全因素,在实际上打破了银行原有的支付安全体系。即使银行后来为竞争而推出了类快捷支付产品,但开通验证内容中必须有卡密码,这也从一个侧面验证了银行和第三方支付对关键性安全因素的认识差异。
2015年底,马云对传统金融和互联网企业的风控区别是这么评价的:“传统金融可能做的风险是把防弹衣做得越来越厚,越来越好,而我们的创新是让杀手根本不可能靠拢你。”从这个角度看,快捷支付实质上是第三方支付在银行以密码为安全核心的“防弹衣”上破坏出的一个缺口,虽然有安全措施,但“杀手”只要被漏过来,资金被盗就是必然的结局。因此,目前通过快捷支付被盗的资金由第三方支付而不是银行进行赔付也是有其道理所在,并不是像某些媒体所说银行店大欺客只有第三方支付才为客户考虑之类。
