http://money.sohu.com/20140324/n397081497.shtml 一些习惯用第三方支付“快捷支付”功能的用户发现,近期工、农、中、建四大行纷纷下调了快捷支付限额,部分银行的储蓄卡快捷支付限额下调至单笔5千元、每月5万元。而针对这一事,昨日,阿里巴巴集团董事局主席马云表示,这是支付宝“最艰难的时刻,也是最光荣的时刻” ,“四大天王封杀,支付宝虽败犹荣,虽死犹生,但决定市场胜负的不应该是垄断和权力,而是用户!” 现象 “快捷支付”额度被下调 记者随后通过银行客服热线了解到,工行、农行、中行、建行近期确实对第三方支付的储蓄卡快捷支付额度进行了调整。中国建设银行的电话客服向记者表示,建行在3月22日刚刚下调了储蓄卡快捷支付限额,调整后的额度为单笔5千元、每月5万元。中国工商银行的电话客服表示,工行在2月份已经将储蓄卡快捷支付限额调整至单笔5千元、每月5万元。 据了解,中国银行、中国农业银行的储蓄卡第三方快捷支付额度,近期已调整至单笔最高1万元。中国银行的电话客服表示,下调额度主要是考虑到防控支付风险。 影响 “宝宝类”产品购买额度受限 值得注意的是,四大行均是通过下调快捷支付额度的方式来限制“宝宝类”产品的购买额度,因此,与快捷支付相关的其他服务也可能受到影响。以信用卡还款为例,额度下调后,意味着用户如果想通过快捷支付从储蓄卡还款到信用卡,单笔只能操作5千元。如果要给信用卡还款两万,必须操作4次才可完成。 而工商银行和农业银行方面表示,下调余额宝、理财通等互联网“宝宝类”理财产品额度,目的是出于对用户资金安全的考虑。 业内人士认为,央行此前已明确表态限制第三方消费金额的《支付机构网络支付业务管理办法》征求意见稿短期内不会实施,而此时四大行纷纷下调“宝宝类”产品购买额度,根本原因或是因为“宝宝类”理财产品对于银行存款造成的冲击。同时,也有用户表示未来的使用体验或将受到一定程度的限制。 马云回应:支付宝, 请扛住! 马云表示,“也不知道谁给银行们权力,可以伤害储户支配自己资金的权力。更不知道谁来监管四大"国手"联合封杀的合法性?有国际友人说:举世未闻,匪夷所思。” “虽千万人吾往矣。支付宝,生逢其时?死得其所?”,对于这一事件,马云的表态颇显悲情。而在强势的银行面前打悲情牌也被认为是互联网企业一贯的手法。 随着监管层对互联网金融监管的加强,市场上关于互联网金融监管的方式一直存在争论,各个利益相关方都想在最终的监管方案出台前为自身谋取更大的空间,而如何平衡监管与创新的边界,也考验着监管部门。
支付宝的“快捷支付”的和银行间的实现技术是什么不是很确定,很有可能使用的是银行“资金归集”的功能接口?!四大行为了自身客户的安全性和自身可能面临的因为第3方安全性问题导致自身客户对其的诉讼风险的防范,调低“快捷支付”的额度是很正常和合理的!而马云及支持者对四大行合理正常的措施的指责,如果不是偷换概念就是误导不明真相的公众! 四大行限制的是通过“快捷支付”的额度,并没有调整客户通过四大行自身“网上银行”在支付宝(淘宝)的交易额度。“快捷支付”和“网银支付”是2个不同的概念,其安全性承担者是完全不同的!马云之流就是偷换“快捷支付”和“网银支付”2者不同的概念来误导公众! “网银支付”的安全性实现和承担者是客户银行账户的所在银行,而“快捷支付”(包括银行的“资金归集”)的安全性实现和承担者是第3方支付平台(如支付宝,银行的“资金归集”业务是“归入方”银行),“快捷支付”的便利就在于客户不需要通过原银行账户的银行认证(如原银行网银的动态验证码验证,U盾认证等安全措施),只需要支付宝(第3方支付平台)的安全认证就可以将原银行账户的资金划转到支付宝平台(第3方支付平台),“快捷支付”用起来是便捷,没有被“盗用”时会觉得很“惬意”,而一旦被“盗用”导致你原来银行账户的资金损失时,你对原银行是否会免除“追究”?!还是你会怪罪原银行没有保护你的银行资金?!这时你有没有想过,当你签署“快捷支付”(包括银行的“资金归集”)时,你就法律上授权第3方(第3方支付平台,“资金归集”的归入方)有合法权利从你的原银行账户中划转资金,就象你签署授权文件授权别人代办你银行账户业务一样,其代办的可信任性和安全性只能依赖获得你授权的人和机构了。
http://business.sohu.com/20140325/n397151029.shtml 工行:快捷支付3年来一直“违法” 并非打压余额宝 3月23日,阿里巴巴董事局主席马云一篇《支付宝,请扛住!》的檄文,将四大国有银行摆在了对立面。这回四大行不仅是马云眼中垄断与权力的代言人,还是联手封杀支付宝的“四大天王”。 2月28日开始不到一个月,工、农、中、建四大行陆续对快捷业务调整了限额。这是马 相关公司股票走势 建设银行3.87-0.02-0.51% 工商银行3.36-0.02-0.59% 中国银行2.52-0.02-0.79% 云所说的“一致行动”,还是市场主体的自主行为选择? 3月24日,工行结算与现金管理部处长王鈜接受了21世纪经济报道的采访,还原了银行与支付宝就快捷支付限额管理的业务沟通过程,并澄清了市场关于银行调整快捷支付限额的几大误区。 “我们一直在跟支付宝之类的支付机构沟通,直到去年才形成相对成熟的限额管理方案。”王鈜坦言。 最早的沟通始于2011年。当年8月银监会《关于加强电子银行信息管理工作的通知》(银监发【2011】86号文)出台,明确规定,对于由第三方机构完成安全认证的电子资金转移与支付业务,应至少在首笔业务前由账户所在银行通过物理网点、电子渠道或其他有效方式直接验证客户身份,并与客户约定双方相关权利与义务。 “从监管部门有要求开始,银行就一直在跟支付机构沟通,希望他们能接受这一要求。”王鈜说,但支付机构在这一点上非常坚决,他们认为客户体验是第一位的,因此,坚决不同意客户开通快捷支付首笔业务时到银行签约的这种安排。 这恰是问题的关键所在。这意味着,2011年开始长达3年,快捷支付一直处于“违法”状态,而银行为此承担了相当法律风险。 短期内,限额政策可能招致部分支付机构反弹。王鈜说,但工行会一直坚持我们的意见,因为这个事关客户安全。 银行为何要设置限额 银行为何要限制快捷支付限额? 这首先要回到快捷支付本身。所谓快捷支付,其产生初衷是为了满足网购客户小额快捷支付资金的便利性,客户在注册快捷支付时仅需要提供姓名、身份证号、银行卡号、手机号四项要素信息,通过手机发送的验证码进行身份认证,就可以把支付机构账户同银行卡进行绑定。客户在绑定银行卡之后的每次支付或划款,只需要通过手机发送的支付机构的动态验证码,就可以从银行账户划转资金进行支付。 “快捷支付本来是为小额支付开通道,风险也应在可控范围,现在完全异化了。”一位监管机构的资深人士说。 “这种方式确实为客户提供了资金划转的便利,使客户体验很好,但和银行普遍采用的账户密码和硬件(如U盾、电子密码器)相结合的认证方式相比,安全性存在明显隐患。”王鈜说。 2011年86号文出台后,商业银行为何反复要找支付机构沟通,背后掌握的情况是,2011年来,已发生多起客户银行账户资金通过快捷支付被盗案件,且案发数量、涉案人数与金额逐年增加。 王鈜认为,快捷支付至少存在两个环节的安全隐患:首先在开通环节,没有客户到银行渠道(柜面或者在线)签约环节;其次,开通后,每笔支付银行端也缺乏相应验证方式,银行只是根据支付机构统一批量提交的指令来完成扣款。 “这样做的好处就是支付效率大大提升,便利性提高了;但同时,由于没有相关认证的手段、环节,完全凭借支付机构的指令(当然支付机构的也有一些安全措施,比如给客户的手机发送验证码),问题就产生了。”王鈜分析。 交易对手机的依赖性提高了,一旦手机丢失、注册时信息泄露或者手机被植入木马病毒,绑定快捷支付手机号便容易被篡改,这么一来,资金交易的大门是敞开的。 商业银行更深层的担忧在于,一旦快捷支付被盗案件发生,自身在法律上处于不利地位。 “一些支付机构做出了你敢付我敢赔的承诺,但实际上,从处理的结果来看,很多支付机构并没有做到百分之百的赔付……很多客户就会找银行投诉、诉讼。”在王鈜看来,这一来,银行不明不白成了被告。 如此背景下,随着2011年86号文出炉,银行便开始着手推动支付机构按照监管要求,完善客户身份识别管理,正如王鈜所言,根据国内相关法律,如果没有经过客户授权,客户出现什么问题的话,银行将处于非常被动的地位。 “我们一直在跟支付宝之类的支付机构沟通,直到去年才形成相对成熟的限额管理方案。”王鈜说,但支付机构态度坚决。 网银向支付宝转账并未做调整 正如前文所言,快捷支付模式下,一旦客户信息被泄露,客户大额资金有可能被盗划。在王鈜看来,这是银行有必要对快捷支付进行限额管理的逻辑所在。 2月底开始,工行、农行、中行已经下调了用户使用支付宝快捷支付的额度。其中,工行的额度由原先的单笔5万元下调为5000元,每月限额则从20万元降为5万元。中行、农行则将额度从原先的单笔5万元降为单笔1万元。 “从产品设计初衷看,快捷支付定位在小额支付,因此,除一些理财类的需求,单笔5000元的限额,客户是足够的。”王鈜解释道,如果客户在限额以上支付资金,可以选择支付机构提供的网上银行通道,跳转到网上银行界面,使用银行U盾、电子密码器等进行安全认证,即可完成大额资金的支付。 “通过网银渠道向支付机构转账,没有任何限制。”王鈜说道,银行仅仅对快捷支付业务调整了限额,并非对储户向第三方支付机构所有转账都设置限额。 如此一来,马云“檄文”开篇剑指四大国有银行一致行动,“强令限制储户转向支付宝的资金额度”,这句话本身即存在相当大的误区。 至于快捷支付限额管理后,支付宝等第三方支付机构将如何应对,这仍有待观察。 一位银行业资深人士介绍,按惯例,快捷支付模式下,银行与支付机构利益分成模式主要三种。 第一种模式,将快捷支付业务作为普通电子商务业务来看待,银行按照业务量的一定比例来收取一定的费用,这一比例大概在千分之一以下。但是目前这种直接交费的模式亦越来越少。第二种模式,支付机构以一定期限(一般为一年)为单位,跟银行谈一个打包价,银行议价能力更低。第三种模式,支付机构不付费,而以一定额度的存款承诺作为交换条件。 “从现在支付机构的态度来看,短期内支付机构会有一些针对限额政策的反弹性措施,包括费用问题,比如采取不付费,转走存款等。”王鈜分析。 误区:限额快捷支付旨在打击余额宝 “现在舆论有一个误区,认为银行限制快捷支付是为了限制大家购买余额宝类产品。”3月24日,王鈜向21世纪经济报道记者指出,快捷支付限额管理与余额宝之间没有任何直接的因果联系。 3月22日,建行下调了其用户通过支付宝快捷支付网上消费及购买余额宝的额度,幅度从原先的单笔5万元降为5000元,每月不超过5万元。 “客户购买余额宝类产品,无非是用的是支付宝账户里的余额,只要充值就可以无障碍购买,这跟快捷支付没有关系,对快捷支付进行限额管理,也无法限制大家通过网银充值等方式去购买余额宝。”王鈜分析。 3月中旬,《支付机构网络支付业务管理办法》第三轮征求意见曝光,央行拟对支付账户充值、转账和消费采取更为严厉的限额管理;随后,支付宝官方表示,“基于我们对政策的理解和跟监管部门的沟通,支付宝快捷支付用户申购和赎回余额宝,现在和未来都不会受到任何影响,请大家放心。” 不过,这其中或许存在一定误解。 正如一位电子银行从业人士介绍,央行规范的是支付机构整个虚拟账户相关的支付行为,包括充值、转账、消费。购买余额宝的行为,实际上是一种消费行为,与资金来源实现的技术渠道没有关系,快捷支付最终还是通过支付宝账户来购买天弘基金货币基金产品的,因此,一旦政策成行,快捷支付并不足以成为支付宝们规避监管的一种手段。
并非完全同意文中说法,但至少表达明白“快捷支付”的情况,过去大行对和公众的交流不重视,所以他们也有责任的。 “支付宝”快捷支付里还存在一个可能影响“责任”的情况,“支付宝快捷支付”在开通时会有一个“协议”让客户同意的并获得客户银行卡银行发来的短信动态验证码(因为我是银行短信验证客户,u盾客户是否一样不清楚),但此协议是和支付宝签署的,而不是在银行系统中签署的,同时当客户后来取消支付宝快捷支付后再次开通时首次还是会收到银行动态验证码,但支付宝快捷支付保留开通信息里存在“争议”的地方,因为客户在支付宝信息里看到的“快捷支付”开通时间是客户首次开通日期,而不是客户再次开通的日期?!这就给客户在2次开通日期(前次关闭和后次再开通)之间的法律责任问题带来很大麻烦(不确定性)!!
网银本身漏洞很多 http://finance.chinanews.com/fortune/z/chaojiwangyin/index.shtml 超级网银突陷安全质疑漩涡 http://www.zcom.com/article/112400/ 超级网银现“授权支付”诈骗_电脑爱好者_ZCOM.COM杂志门户
你说的这个是“超级网银”(央行的一项服务),也就是各银行“资金归集”服务的基础平台,因为采用了“授权”支付模式(也就是授权第3方——客户、客户账户所在银行之外的第3方可以划转查询客户在其他银行的资金),所以安全责任会“混乱”,法律责任也会“不明确”。
央行的《支付机构网络支付业务管理办法》第三轮征求意见原文没看到,也可能是媒体误读?因为现在第3方支付机构内的账户之间的转账(比如支付宝的2个支付宝账户之间内部转账)是没有纳入金融体系监管的,也就存在“反洗钱”的监管漏洞!如果央行征求意见对转账限额的限制性规定是针对第3方支付机构内部账户之间的“转账”行为,那是正确的,也很及时的规范行为!
http://money.sohu.com/20140411/n398012869.shtml 手机支付危险 扫了二维码支付宝银行卡钱都没了-搜狐理财 http://money.sohu.com/20140411/n398036335.shtml 搬钱日记:为了转15万 网银差点要了我的老命-搜狐理财
木有体会到这么麻烦,余额宝跟网银间是基金账户关系,受限小,而余额宝和支付宝可以实时转,实际上是支付宝提供了相关的资金。至于时间方面,基本都可以实时到帐,四大行2小时以内。基本上跟个人用户单日超10万提前预约银行感觉差不多。余额宝有100万限制的。
之前没怎么深入研究那个“超级网银”业务,今天没事查了些资料,发现“超级网银”的设计留有的安全缺陷或“漏洞”不少,而且很大!尤其是采用“开通超级网银功能时,需要实时从他行获取在线开通功能的网页地址”的方式,给钓鱼者(诈骗人)提供了非常方便的途径,而且还不容易防范(不是你简单的不自己主动开通“超级网银”就能避免危害的,还需要自己注意不被别人被动的开通“超级网银”授权),真不知道当初央行怎么设计这个“超级网银”的安全业务流程的! 大家还真的需要防范下现阶段的“超级网银”可能带来的安全风险!需要等待央行对“超级网银”安全业务流程的更新。
超级网银开通前需要双验证的。 例如我 交行和招行。 1, 交行发起超级网银 2, 招行接受到,登陆交行专业版,授权 3,交行网银确认。 授权后自然是随意支取了。。。可见最重要是第一次授权。 一般第一次授权都不会弄错吧。 解除也麻烦, 需要交行发起解除, 招行确认,在交行确认。
不说授权后的安全问题,但第1次授权过程就操作可能被利用的缺陷或漏洞的,比如别人(诈骗者)获悉别人的账户号和账户名,然后在自己的银行账户里申请“超级网银”授权,然后将上面第2步弹出的对方行网银的授权URL复制下来发给“被欺骗人”,如果“被欺骗人”不懂或不注意,按“诈骗人”发来的授权URL地址去操作了,那就出大问题了。象央行设计的产品应该对安全性考虑的很全面,尤其要考虑注意普通的用户的安全意识。