职工之窗
中国首届国家最高科学技术奖得主-杂交水稻之父 湖南杂交水稻研究中心论文论著 区划所出版书籍 茶叶所出版书籍
央行新规呼之欲出,乱象源头“裸扣”何时休不送不校验”以及“上送但不校验”
作者:湖南省水稻研究所来源:湖南省水稻研究所时间:2020-04-03 13:05:00

犯罪分子通过注册公司,在第三方支付机构开通“代扣通道”,在持卡人不知情的情况下,悄悄盗扣受害人银行卡内钱款,近两年,全王法院讯断的类似刑案至少已10起。克日,汹涌新闻(www.thepaper.cn)对这些案件举行剖析,并披露了代扣业务中存在的乱象。

第三方支付机构的支付接口,为何会沦为网络黑灰产非法分子的作案通道,而持卡人的账户余额,为何会被如此轻易且悄无声息地扣走?

汹涌新闻(www.thepaper.cn)克日深入观察发现,种种乱象的源头之一,是第三方支付领域恒久存在的“裸扣”。

所谓“裸扣”,也称“裸代扣”,就是不经由用户验证或绑卡,第三方支付机构直接通过用户的“四要素”(姓名、身份证号、银行卡号、银行预留手机号)甚至是“三要素”、“二要素”信息,将用户银行卡中的钱划走。在小我私家信息泄漏频发、风控不严的配景下,“裸扣”沦为了某些网络黑灰产团伙作案的工具。

至今百度搜索关键词“裸扣”、“四要素扣款”等,仍可检索出相关代扣通道广告,宣称可以举行“四要素无短验裸扣”(即无短信验证)。

针对第三方支付机构存在的问题,央行出台种种举措防范,近年累计开出数亿罚单,并于2019年12月2日公布了《关于规范代收业务的通知(征求意见稿)》,强调代扣时的“首笔”授权和“逐笔”验证,这被业内人士认为或将终结“无短验裸扣”。此外,征求意见稿还列明,不得为p2p网贷等行业管理支付业务。

网上仍可以搜到提供“裸扣”服务的广告。网页截图

“四要素验证”下的“无短验裸扣”

“首先,我们要认识到,代扣自己是一种正当合规的金融业务。”苏宁金融研究院互联网金融研究中心高级研究员黄大智告诉汹涌新闻。

最早的代扣,源于银行代扣电话费、水电费。这类代扣业务的特点是,“小额、高频”。对消费者而言,很是快捷便利,因为频繁举行的生意业务只需一次授权,无需每次都验证或者输密码完成。

正因在促进经济生长、利便黎民生活、降低生意业务成本方面成效显著,支付工业近年来生长迅猛。自2011年支付宝获得首张第三方支付牌照至今,陆续有二百多家支付机构获得央行发表的非银行机构支付许可。

为规范网络支付业务、防范风险和掩护当事人正当权益,央行于2015年12月出台《非银行支付机构网络支付业务治理措施》(以下简称《措施》)。

汹涌新闻注意到,《措施》清晰界定支付机构定位,“坚持小额便民、服务于电子商务的原则”,且将小我私家支付账户分为三类,凭据功效和付款限额,对应差别水平的身份核验方式。《措施》明确指出,支付机构应当遵循“相识你的客户”原则,建设健全客户身份识别机制。支付机构在与客户业务关系存续期间接纳连续的身份识别措施,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。

《措施》还强调了扣划资金时的“协议授权”。即,支付机构向客户开户银行发送支付指令,扣划客户银行账户资金,应当事先或者在首笔生意业务时自主识别客户身份并划分取得客户和银行的协议授权,同意其向客户的银行账户提倡支付指令扣划资金。

黄大智先容,虽然在相关治理划定中,均强调支付机构应当“识别客户身份和获得扣款授权”,“但这些都是模糊的观点。执法并未明文划定,支付机构必须通过发送验证码或输入支付密码等方式举行验证或授权。”

黄大智说,实践中,支付机构普遍接纳的是凭据商户传送过来的付款人开户名、银行卡、身份证及手机号“四要素”,甚至“三要素”直接举行代扣。因为,“对于非面临面的远程支付而言,四要素扣款自己就是验证客户身份的一种方式。”

“正常情况下,没有人会全部掌握你的四要素或三要素信息。且在水电气费、保险这些正当合规的代收场景中,提倡收款的商户信誉度极高。同时由于是小额,所以生意业务自己风险很低。” 黄大智分析。

此外,尤其值得注意到的是,支付机构能举行四要素扣款的一个前提是,此前已经获得客户的扣款授权。

“理论上讲,支付机构肯定是在获得授权之后,才气四要素扣款。”黄大智说,“消费者在和商家订立买卖或者服务条约并约定代扣时,其实是一种三方关系。即除了消费者和商家之间,消费者和第三方支付机构之间也有同意代扣的约定。”

不外,聚投诉、黑猫投诉等投诉平台中大量的投诉者表现,对一些第三方支付机构的代扣并未授权,亦未有协议。

汹涌新闻核实多起投诉及梳理相关案件发现,卡主对代扣协议不知情的情形,大致可分四类。一是未细看就同意。“人们的消费习惯是快节奏,对一些电子条款看都没看就直接打勾,或者直接跳过点‘确认、同意’”。一持牌第三方支付机构从业人士说。

二是一些消费或服务条约中,收款方将“代扣”还款方式作为花样条约条款,且未指明详细的代扣机构,消费者最后被多家支付机构轮流代扣。三是虚假协议。如汹涌新闻此前报道的代扣诈骗案中,犯罪分子制作了虚假的代扣授权协议,便通过支付机构扣款乐成。四是一些无牌支付机构到场的无任何授权盗扣。

有业内人士称,为确认“付款人真实意愿”,一些风控较严的支付机构或银行,会在对消费者举行扣款时,发送短信验证码或者要求输入支付密码。可是,无验证码短信验证或无需输入支付密码,上传四要素直接扣款的“无短验裸扣”,仍普遍盛行,甚至使代扣这种支付方式,成为“不必征求用户许可扣款”的代名词。

汹涌新闻此前报道的代扣式诈骗判例显示,有持牌第三方支付机构为“商户”提供代收业务时,对商户提供的虚假资质质料只举行“形式审查”,对于线上“商户”身份的真实性、商户的详细业务流程,并不知悉;对于付款人的真实意愿,亦未确认。

汹涌新闻梳理多份产业损失受害者起诉第三方支付机构的裁判文书发现,一些案件中,原告表现从未授权第三方支付机构代扣其理财投资,第三方支付机构仅以“已获得商户授权”为由举行抗辩,而不认为自己单独对消费者有确认义务。

3月15日,汹涌新闻在百度上搜索“代扣”,一些公司在其首页宣传“持牌机构代扣/代付业务”时,还重点标明可“四要素无短验裸扣”。面临前来咨询者,其客服表现仍可举行裸扣。

谁给黑灰产“递刀”

在授权“失守”、对商户过分信任、对消费者无确认和提示的情况下,“无短验裸扣”沦为了某些网络黑灰产团伙作案的工具。

“最开始是一些安装了pos机的商户,他们掌握了客户的四要素,很轻易就找到扣款通道举行恶意盗刷。”黄大智说。汹涌新闻此前报道的代扣式诈骗判例也显示,用户的“四要素”或“三要素”信息,有专门的“料商”举行挖取和供应。

“接着,是代收场景的无序展业。如代收扩展到博彩业,期货外汇、投资理财等领域。最典型的例子,就是第三方支付和网贷联合。网贷可能高频但未必小额,网贷的资金量大,商户信誉低,所以最后破坏力很大。更要命的是,一些网贷机构在接入支付通道后,还将接口转卖,造成更杂乱的局势。”黄大智分析。

2019年11月,公安部在的“净网2019”新闻公布会上明确表现,有第三方支付机构为“套路贷”提供支付服务,获取高额利润。

聚投诉、黑猫投诉等投诉平台中的支付投诉数据显示,多家支付机构和印子钱、套路贷、“7天高炮”等组织一起,成为不停被投诉的工具。

央行副行长范一飞于2019年11月28日召开的第八届中国支付清算论坛上尽数了支付领域恒久存在的问题:无证谋划屡禁不止,严重扰乱市场秩序;部门商户审核不严,伪造、编造生意业务问题仍存;受理终端治理不严密,一机多码现象频发;账户实名制落实不到位,虚假商户和终端为网络赌钱、黑灰工业等非法运动提供支付渠道……

而早在2016年11月出席一场电信网络欺诈研讨会时,范一飞就指出,信息泄露已成为支付宁静问题的风险源头,非法分子使用泄露数据实施精准诈骗;电信网络欺诈已成为当前造成支付宁静问题的重要渠道,其实施成本低廉,隐蔽性与乐成率较高,给支付体系前中后台的风险防控都带来了庞大挑战。

不外,在北京市中闻状师事务所合资人李亚状师看来,“裸扣”的盛行,显然是支付机构风控措施落实不严的体现,但同时又不仅仅是风控的问题。

“在第三方支付业务被支付宝、财付通等占绝对主导职位的情况下,小的支付公司需要拓展生存空间,需要足够的业务量来维系运营,还需要做大生意业务规模获得竞争优势,最终,有的为违规甚至非法平台提供支付服务,或者转卖支付接口赢利。” 李亚说。

易观智库公布的《中国第三方支付移动支付市场季度监测陈诉2019年第3季度》数据显示,三季度支付宝和腾讯金融二者的市场份额到达了93.11%;其余230多家支付公司,占市场份额不足7%。

宝付支付母公司的招股书显示,其主要客户为互联网金融相关公司,代扣占其业务收入比例92.4%。而在2018年11月,因主要客户涉集资诈骗、走私珍贵金属等频繁暴雷,宝付母公司被中止IPO审核。

汹涌新闻注意到,除诈骗犯罪外,中国裁判文书网宣布的多起非法吸收民众存款,侵犯公民小我私家信息,以及偷窃、掩饰、隐瞒犯罪所得、犯罪所得收益等刑事案件中,均有第三方支付机构的身影。甚至有的案件中,第三方支付机构的事情人员直接到场,并最终被治罪判刑。

其中,中金、宝付、连连支付、网银在线、富友、银生宝、通联品级三方支付公司在多起刑案中交织泛起。

“主观上,很难说第三方支付机构有为犯罪分子服务的直接居心,究竟作为支付机构他们的目的只是为了获得生意业务量,因为他们从每笔生意业务中获得的利润是很微薄的。这就好比商店把刀递给买家时,并不知道他要去杀人,商店只是想卖更多的刀而已。”黄大智说,“客观上,小的支付机构是否具备人力物力和科技实力,来对天天上亿笔生意业务举行真实性、正当性审查,也是要考量的。”

黄大智先容,“好比支付宝,他们的风控很是严,发现异常业务判断为有风险后,该生意业务自动停止。或者泛起一些风险时,原来只需要指纹识此外,需要密码,验证码,还不行,就直接冻结该笔业务。在做不到百分百万无一失的情况下,还通过保险赔偿损失。但这些高科技手段,是建设在雄厚的资金实力基础上的。”

然而不行否认的是,一些第三方支付机构与非法平台之间,在某些场景体现出“共生”关系。

知情人士告诉汹涌新闻,有的第三方支付在为非法网贷提供服务后,遭到消费者大量集中投诉。“前两年,每到节沐日,人民银行门口会泛起许多支付机构的人。他们在那‘挡人’,阻止消费者上访。”

屡现“天价”罚单

实际上,对于第三方支付机构在代收业务中存在的种种乱象,作为羁系机构,央行也屡亮大招。

“这些年央行的羁系还是挺严的,动不动就航行检查,直接检察后台数据,开出天价罚单,有的直接不续展。”黄大智先容。

汹涌新闻据官方公然披露的数据及权威媒体不完全统计,自2011年发放首张支付牌照以来,央行针对第三方支付机构罚单凌驾380余张,罚款金额凌驾5亿元,且多家支付机构被罚款凌驾十次。

2016年,易宝支付因违反相关清算治理划定,被处以警告并罚没金额5295万元。这是其时央行对第三方支付机构开出的最大罚单。

新华网报道,2017年全年央行针对第三方支付共开出109张罚单,是2016年罚单总数的三倍,累计罚款金额约2800万元。证券时报新媒体券商中国不完全统计,2018年央行及各地羁系机构敷衍出机构全年罚单127张,涉罚金的105张,累计罚没总额2.064亿元。

经济参考报道,2019年第三方支付行业收到羁系罚单105张,其中千万级罚单两张,百万级罚单近10张,罚没金额合计近1.5亿元。

据自媒体金融视察团自2020年1月1日至3月12日的不完全统计,已经有11家支付公司合计被罚超6700万元。除腾讯旗下财付通外,其余被罚机构均为中小型支付公司,其中开联通以被罚2372万元居首。汹涌新闻核实发现,其中罚款金额最大的两家第三方支付机构,与腾讯旗下财付通一起,被判断的违规行为均为:未根据划定推行客户身份识别义务。

其中开联通被罚原因还包罗:未按划定推行客户身份资料和生意业务记载生存义务、为身份不明的客户提供服务或与其举行生意业务、未按划定报送可疑生意业务陈诉,违反清算治理划定等。

据汹涌新闻重点梳理的2016年至今的146张罚单,“未推行客户身份识别义务”及“为非法生意业务和虚假生意业务提供网络支付服务”,是多家支付机构被重罚的重要原因。

如2018年划分被开出2377万、2641万、4646万罚单的银盛支付、智付支付、国付宝,存在为非法生意业务、虚假生意业务、为不明身份客户提供网络支付服务的情况。

对于有些支付机构,罚款是“屡见不鲜”。

据中国经济网2020年3月17日报道,银盛支付一年内收央行6张罚单,2017年至今累计收到13张处罚单。盛付通、乐刷科技、富友支付、通联支付、现代支付、易宝支付、中汇电子支付等多家支付公司,也多次接受处罚。

此外,“摘牌”或敷衍出牌照“不续展”,是央行对第三方支付机构亮出的终极“杀手锏”。如据证券时报2016年8月12日报道,央行在就《支付业务许可证》续展事情答记者问时明确表现,一段时期内原则上不再批设新支付机构,重点做好对现有机构的规范引导和风险化解事情。2017年7月,央行表现有8家支付机构不予续展。2018年7月有4家支付机构不予续展。

据中原时报报道,停止2019年5月,已有33家支付公司被注销《支付业务许可证》,并有凌驾100家支付公司遭央行处罚。

范一飞于2019年11月28日公然表现,我国存量支付机构已经淘汰至236家,其中有18家支付机构被调整了业务规模。

“作为行政机关,对于支付机构的违法违规,央行能接纳的羁系手段也主要就是罚款、摘牌等行政处罚措施。”黄大智先容。

“断直连”与避险新规

近年来,央行对于第三方支付机构举行的一次重塑式“大整顿”,是“并网联”。

2017年8月4日,央行下发《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处置惩罚的通知》要求,从2018年6月30日起,支付机构受理的涉及银行账户的网络支付业务全部通过“网联支付平台”处置惩罚。

3月17日,一位第三方支付机构人士告诉汹涌新闻,“断直连、并网联之后,代扣机构必须通过网联支付,第三方支付的资金生意业务被有效羁系,备付金上交,没措施再通过自己的账户做加减操作,躺着赚钱的时代竣事了。”

有媒体报道,“6.30”政策给“不必征求用户许可”的代扣行业带来震动。投融资、消费金融、分期贷等行业将由代扣还款转变为主动还款,给第三方支付的业务带来压力。有自媒体分析,并网联将意味着四要素裸扣的终结。

不外,这并没有完全阻止违法行为的发生。

在熟悉互联网金融法务的李亚看来,“断直连”后,有些第三方支付机构以“协议扣款”取代此前的“四要素扣款“,本质上区别不大,“都是强调要授权,关键仍然是支付机构是否做到‘有效核实客户身份及其真实意愿’”。

湖南泸溪法院审理亿元代扣诈骗大案的徐开国法官告诉汹涌新闻,被告人供述,他们曾得知央行出台政策,要求所有第三方支付机构与银行直连的扣款通道于2018年6月30日前关闭,他们一度以为诈骗不能再继续,然而,“有的支付公司是看准了上面的执行力度来决议关不关闭通道,关一下开一下,并没有一次性关完。”

徐开国同时提到,亿元代扣诈骗案审理中,“人民银行也到我们这里来相识情况。作为支付机构的治理单元,央行相关部门已认识到问题和毛病。”

汹涌新闻注意到,2019年12月2日,央行公布了《关于规范代收业务的通知(征求意见稿)》(以下简称《征求意见稿》)。人民银行自2018年5月启动规范代收业务相关事情,全面梳理代收业务风险问题,并研究起草了该文件。

《征求意见稿》直面代收业务中的三大“痛点”。一是付款人开户机构敷衍款人的权益掩护问题。例如,在未取得客户授权、未有效审核客户真实意愿情况下为客户开通了代收服务,或者未向客户充实披露代收业务风险、授权及生意业务信息查询服务渠道不健全等,造成付款人资金盗用隐患。

二是代收服务机构对代收业务的风险监测问题。例如,对收款人的真实性审核不严,使黑灰工业得以通过代收业务便捷偷取客户资金;有关代收业务信息通报不透明,存在信息“黑箱”,甚至与收款人违规出售、转让系统接口,将代收业务应用于高风险场景或非法生意业务等。

三是代收业务的适用场景问题。主要体现为混淆代收业务与其他需要逐笔举行生意业务确认的生意业务,影响了代收业务的康健生长。

汹涌新闻注意到,《征求意见稿》划定,“付款人开户机构应当事先或者在为付款人管理首笔代收业务时取得付款人的授权。授权应当明确收款人名称、付款用途、付款账号、付款周期或条件、授权期限等事项。”

“付款人开户机构应当在生意业务历程中对授权事项举行逐笔验证。未建设代收业务授权关系或与授权事项不符的,付款人开户机构应当拒绝管理,并向付款人提示风险。”

所谓“付款人开户机构”,是指为付款人开立银行结算账户或支付账户的机构,包罗银行和取得互联网支付业务许可的支付机构。

“‘首笔’授权、‘逐笔’验证、授权需明确五概略素,这是此前从未有过的提法。从这个意义上,此次《征求意见稿》一旦公布,或将彻底改变四要素无短验裸扣的局势。”黄大智说。

此外,《征求意见稿》明确代收业务仅适用于12类适用场景,各种投融资生意业务、外汇生意业务、股权众筹、P2P、各种生意业务场所和电子商务平台等不得管理代收业务。这被多位业内人士认为,将有效制止消费者的资金损失风险。“此前的羁系难点就在于,没有划定说哪些业务,支付机构不能做。”黄大智说。

《征求意见稿》出台当月,人民日报揭晓文章称,“此次公布的征求意见稿,明晰了代收业务与小额免密业务的界限,进一步规范代收业务到场各方行为,防范业务风险,保障消费者的正当权益。”

2019年11月28日,中国人民银行副行长范一飞表现,我国支付领域“严羁系”常态化事情机制已基本确立,并将保障支付工业的高质量生长。通过支付机构备付金全额缴存人民银行、实施网联平台集中清算、加大违规机构整改力度等措施,持牌机构不敢违规、不想违规的意识显着增强,支付市场乱象获得有效整治,防范化解风险取得重大希望。

央行官网2020年3月17日宣布的《2019年支付体系运行总体情况》显示,网联清算平台运行平稳。停止2019年尾,共有534家商业银行和115家支付机构接入网联平台。

不外,汹涌新闻注意到,至今在百度贴吧和论坛中,仍有2019年年底或2020年年头公布的种种“寻找四要素、三要素扣款通道”的帖子,而且能获得“我有你需要的资源,能互助”的热烈回应。

在百度贴吧,对于一个楼主于2018年12月公布的“现在另有哪几家公司是裸扣?”的讨论连续到2020年3月。有人总结了一个“四要素扣款表格”,枚举了包罗工商、农业、建设、交通等在内的13家银行扣款情况,并指明哪些是“送则校验,不送不校验”以及“上送但不校验”。

但在聚投诉等投诉平台,不少认为自己被莫名扣款的消费者,将央行的上述《征求意见稿》内容贴了出来,要求扣款机构给出回复。

联系电话
0731-84691284