4月21日至5月4日之間,四名消費者手持微信二維碼在超市等待付款,在排隊的幾分鐘裡,被人從背後通過手機掃碼,盜刷500元到900元不等的資金,扣款方都是名為“一站式24小時便利店”的账戶,根本不是超市收款。
近日,重慶江北警察分局破獲上述在超市收銀處專門盜刷微信資金案件。重慶警方告訴新京報記者,重慶發生的消費者使用二維碼支付時資金被盜案件,作案者就是利用了聚合支付APP“錢方好近”,在顧客背後通過APP掃描付款碼後,輸入收款金額,實現盜刷資金。
當下,無論是在大型超市還是街邊小店,人們都可以不用現金,通過手機支付來實現購物、消費。簡單來說,單一的收款方式已經很難滿足顧客的需求了,商家準備不齊全就有可能丟了一筆生意。因此,融合了微信、支付寶等多種支付渠道的聚合支付成為商家更好的選擇。
新京報記者調查發現,通過聚合支付相關APP,有些手機也可以變成掃碼槍,所以就出現了有人拿著手機偷偷掃碼從而實現盜刷的事件。據調查,原本由第三方支付機構負責商戶的審核,在實際操作中這部分審核權也有可能違規外包給聚合支付機構。但是,一些可全程在線上進行審核的聚合支付,則給了部分“商戶”弄虛作假的空間。
那麽,誰來保證商戶的真實性?
錢方好近可全程線上審核
收錢吧號稱“10分鐘辦理”
重慶警方對新京報記者表示,不久前重慶發生的消費者使用二維碼支付時資金被盜案件,作案者就是利用了聚合支付APP“錢方好近”,通過APP掃描顧客的付款碼後,輸入收款金額,即實現盜刷資金。
一般來說,掃碼需要通過掃碼槍等硬體設備進行,消費者展示微信或支付寶付款碼,商家通過硬體設備來完成掃碼收款。根據錢方好近官網介紹,其為商戶提供好近快盒、掃碼槍等硬體設備。除此之外,錢方好近APP上還有掃碼入口,通過這一功能可以將手機變成掃碼槍,直接用手機掃碼也可以實現收款。
在上述案件中,一個關鍵性的步驟是,作案者偽裝成商家,在錢方好近上通過了審核,從而以商家身份進行收款。重慶警方告訴新京報記者,該案嫌疑人在他人店鋪中,趁店主不注意拿著身份證拍了照片,假裝自己是店主,然後用這些照片在軟體上進行注冊。
那麽,錢方好近對於商戶資質的審核步驟到底是怎樣的?記者以需要申請小白盒收款設備的名義谘詢錢方好近客服,客服表示,商戶申請注冊過程需要錢方好近的業務員到店辦理。在錢方好近客服的描述中,大部分審核工作均由業務員來完成。
但是,隨後聯繫記者的錢方好近業務員告訴記者,身份證、銀行卡等證件信息,可以直接在線上發送照片給他。至於店鋪門頭照和店內環境照,該業務員表示,“如果你這邊能提供我也可以不過去。”收到相關照片後,他即可發放“小白盒”。
上述業務員還表示,錢方好近APP也可以實現手機收款功能,與在APP上注冊商戶需要審核的信息類似,“需要來店裡拍照片,你這邊能提供給我也可以的”。
另一個聚合支付類產品“收錢吧”同樣可以實現全程線上審核。除獲得專用收款設備外,“收錢吧”員工告訴新京報記者,“手機APP也可以掃客人”。這意味著,使用“收錢吧”的商戶只要下載其APP,也可以將手機變為掃碼槍。“收錢吧”官網中的“收錢吧APP”介紹圖顯示,該APP首頁確有一個收款入口,配文稱“APP直掃收款或搭配收款工具收款”。記者嘗試在APP上操作時發現,必須要先通過商戶審核才可進首頁。
6月2日,記者在“收錢吧”官網填寫了商戶開通申請並谘詢客服人員後,一位員工提出加記者微信溝通。該員工告訴記者,開通需要五份材料:申請人身份證正、反面照片,申請人與店鋪門頭合照一張,店鋪內景照一張,申請人在店裡手持身份證拍一張照,以及收款銀行卡的正面照片。
“照片通過微信發給我,立刻就能辦理,當天設備就能從上海寄出來。”上述員工表示。記者注意到,他在自己的一條朋友圈中稱,“10分鐘辦理,半小時可用,支持花唄、信用卡、微信、支付寶等多種支付方式。”
央行嚴禁商戶資質審核外包
仍有服務商稱可完成審核
為什麽錢方好近與收錢吧的客戶能迅速通過審核,這一步驟到底由誰來執行?重慶二維碼被盜刷案件背後,風險到底源於何處?
從記者調查過程來看,風險源頭出在聚合支付機構對商戶資質審核不嚴方面。然而,實際上,商戶資質審核本就不屬於聚合支付機構的工作,應是其背後的持牌支付機構的工作。
據了解,所謂審核,即聚合支付機構實時將商戶資料傳到收單機構後台,合規人員在後台即時審核。如果審核權力下放到聚合方(外包機構),屬於違規。而此前公開報導顯示,市場也存在這種情況。
記者隨機調查了一些聚合支付機構的審核情況,其中“碼大大”客服明確表示,審核工作由他們公司來做。
一家第三方支付機構人士告訴記者,聚合支付不屬於支付機構,沒有牌照,商戶資質審核也不在聚合支付,如果在,就涉嫌核心業務外包。“應該看聚合支付的支付通道是哪家。”另一家機構人士也明確,聚合支付是服務商,只有持牌機構才有審核資質。
目前,聚合支付機構並不需要獲得支付牌照,央行曾在相關文件中將聚合支付服務商定位為“收單外包機構”。也就是說,聚合支付服務商適用於對外包服務機構的管理辦法。《中國人民銀行關於加強銀行卡收單業務外包管理的通知》中明確提出,收單機構不得將特約商戶資質審核交由外包服務機構辦理。此後央行發布的多個文件都反覆重申商戶資質審核不得外包的原則。
央行在2017年1月下發的《關於開展違規“聚合支付”服務清理整治工作的通知》(下稱《通知》)指出,在相關業務開展過程中,部分聚合技術服務商以大商戶模式接入收單機構,違規開立支付账戶,或實質性從事特約商戶資質審核、受理協議簽訂、資金結算、收單業務交易處理等業務。
蘇寧金融研究院研究員黃大智對記者表示,從合規角度講,聚合支付是收單機構的外包商,央行明確過三點,除了聚合支付作為收單機構的外包商,不負責商戶的證件審核外,聚合支付也不能碰資金結算,涉及二清和無證經營支付業務,同時不能碰核心交易數據,正常來講只有銀行和支付機構才能碰。
審核導致損失
聚合支付機構或被追責
手機在顧客背後掃碼就能盜刷,暴露了聚合支付機構對商戶審核不嚴的問題。對此,黃大智分析稱,手機可作為掃碼槍是隨著技術進步出現的問題,興起的時間並不長,就像現在很多手機自帶NFC(近場支付),是以前手機做不到的,“也是一個安全和風險博弈的過程。”
據黃大智介紹,有持牌的大型支付機構也在開發把程序內置到手機,但更多或是出於降低成本的考慮,因為以前做一個掃碼槍需要付出成本,內置軟體的成本相對更低。更重要的是,大型的支付機構對自己的品牌和合規程度非常重視,只有一些小的聚合支付廠商為追逐利潤時對合規會有點輕視。
聚合支付機構發展的商戶,理論上仍需經過第三方支付機構的審核,但這一步審核在實際操作過程中被弱化。正如前述業內人士透露,實際操作中,很多第三方支付機構把審核的步驟也外包給了第四方(聚合支付也被稱為第四方支付)。
以微信支付為例,如果商戶自己直接申請接入微信支付,需要在微信支付商戶平台頁面提交營業執照、組織機構代碼證、法人代表身份證、對公銀行账戶等資料,等待微信支付團隊的審核。如果商戶通過聚合支付機構接入微信支付,按照目前業內較為普遍的審核模式,只需要身份證、銀行卡等信息。也就是說,通過聚合支付接入的商戶,即使下一步聚合支付將商戶資料提交給微信支付進行審核,也並沒有審核營業執照等核心資料。
此外,審查的一個難點在於高成本。易觀分析師王蓬博表示,商戶涉及的行業很多,線下人力和拓展成本、維護成本等都很高,加上聚合支付機構間都在爭奪商戶,所以審查有漏洞。
行業的激烈競爭在記者接觸的“收錢吧”員工身上也有所反映。記者谘詢開戶事宜後,該員工多次催促記者籌備材料提交。其朋友圈內發布的狀態,也幾乎都與銷售產品有關,例如“物料整裝待發,各位資料準備得怎麽樣了!”“周六正常上班,需要辦理的商戶聯繫我發資料即可”等。
如果在審核這一步出現問題,導致風險或損失,應該向誰追責?業內人士表示,如果監管部門追責,必然是處罰持牌支付機構,但收單機構與聚合支付機構之間還會有內部責任劃分,可能收單機構會向聚合支付機構追責。
中聞律師事務所合夥人李亞認為,聚合支付公司本身並不具有第三方支付公司的職能,只能使用第三方支付公司的通道來開展支付業務。而第三方支付公司具有對商戶的審核義務。因此出現問題可以通過其商戶使用的支付通道,也就是商戶編碼中的一個資料欄(用於區分使用的不同第三方支付公司)來追責。
黃大智認為,如果遇到違法違規,要具體分析。他分析稱,這涉及行業監管難題。這個鏈條上有三個角色:聚合支付、支付機構和銀行。其中,聚合支付廠商把這個流程接下來之後,第三方支付機構結算時要走收單行,這就涉及收單業務是誰做的,是支付機構還是銀行。聚合支付機構有配合調查的責任,找到商戶的資質、開戶時提交的資料、日常交易等。
拉卡拉、京東金融、富友等持股聚合支付機構
為什麽在實際操作中,聚合支付機構“承擔”起了商戶審核的工作?第三方支付機構與聚合支付機構之間是否存在利潤分成,這是否是促進它們積極介入這一環節的原因?
新京報記者通過“錢方好近”的客服了解到,目前掃碼的費率是0.38%,也就是說,一筆100元的交易,錢方好近就有0.38元的費率。
一位支付機構內部人士表示,(第三方支付機構與聚合支付機構之間)的確存在(利潤分成),業內稱之為“分潤”,但行業沒有一個大致比例範圍,都是雙方自己談的。黃大智介紹,比如,正常情況下,收單機構給商戶的費率是千分之六、千分之七,那麽可能中間會有一部分給到聚合支付廠商,一般就是萬分之五到萬分之十,可能比這個還要低,後者可獲得的就是這部分價差,相對利潤很少。不過,隨著收款金額的增加,利潤也是相應增加的。
上述人士還提醒,需要警惕聚合支付機構二清和跑路的問題。“近年出現過一批聚合支付廠商跑路問題,有的聚合支付廠商違規二清,截留了資金,帶著這筆錢跑路了。”
除了費率、分潤的“誘惑”所在,第三方支付機構與聚合支付合作有深層的原因。上述第三方支付機構人士給記者提供的一份資料顯示,雙方的投融資背後有著重要補缺邏輯:對第四方機構而言,第三方機構能夠帶來穩定的支付通道。而對第三方機構而言,2018年以前,支付機構之間的直連沒有合規背書,要想通過服務支付寶、微信支付兩大巨頭來分羹移動支付的紅利,投資聚合服務商是布局聚合業態最為直接有效的手段。
與此同時,新京報記者調查發現,一些聚合支付方與第三方支付機構有著股權關係。據企查查顯示,推出“收錢吧”的上海喔噻互聯網科技有限公司,第三大股東是北京拉卡拉互聯網產業投資基金(有限合夥),持股6.81%;該基金的第一大股東是拉卡拉,持股37.9%。而上海富友支付服務股份有限公司持有武漢利楚商務服務有限公司(產品為“掃吧”)9%的股份。
近期另一家巨頭的入局也引得市場關注。根據企查查,今年6月3日,另一家聚合支付公司哆啦寶(北京)科技有限公司發生投資人變更,京東旗下的京東匯正(天津)信息科技有限公司成為其唯一股東,而北京京東金融科技控股有限公司持有後者100%的股份。
亂象
聚合支付越界審核商戶,接入賭博類通道
雖然在生活中我們可以常常享受到聚合支付帶來的便利,但是大部分人對“聚合支付”一詞感到陌生。
聚合支付的作用就在於,它同時涵蓋了兩種及多種支付渠道,消費者隻管消費而無需關注店鋪到底需要哪種收款方式。同時,聚合支付還能幫助店鋪記錄資金是通過哪種收款渠道進來的。
業內人士分析稱,聚合支付相對於支付寶、微信支付等第三方支付平台而言,相當於在第三方支付的基礎上進行了技術融合,屬於“第四方支付”。對於消費者和商家來說,聚合支付確實有一定的便利性。
聚合支付的模式,實際上是第三方支付機構將線下市場拓展、收款機具布放等工作,外包給了聚合支付機構,即“第四方支付機構”。新京報記者注意到,2017年發布的《中國人民銀行關於持續提升收單服務水準 規範和促進收單服務市場發展的指導意見》(簡稱《指導意見》)指出,部分收單機構或聚合技術服務商創新開展“聚合支付”服務,為特約商戶提供了融合多個支付渠道、一站式資金結算和對账的技術解決方案,滿足了特約商戶對降低系統投入和運營成本、提高資金結算和財務對账效率的實際需求。
不過,《指導意見》同時畫出多道紅線,包括嚴禁收單機構將特約商戶資質審核、受理協議簽訂、資金結算、收單業務交易處理、風險監測、受理終端(網絡支付接口)主密鑰生成和管理、差錯和爭議處理工作交由聚合技術服務商辦理。嚴禁聚合技術服務商以任何形式截留特約商戶結算資金,從事或者變相從事特約商戶資金結算。
在實際的操作中,聚合支付突破紅線的行為時有發生。新京報記者在調查中發現,有的聚合支付機構存在越界審核商戶的情況。有業內人士表示,近兩年聚合支付發展時出現了一些有爭議的地方。比如,有一些聚合支付公司接入一些賭博類的通道,以此賺取灰色收入,還有的涉及信用卡套現等領域。
這些大多是監管重點打擊的領域。據“溫州網警巡查執法”公號披露,近日,成功摧毀一個為賭博網站提供充值、提現等服務的“第四方支付”平台,共抓獲犯罪嫌疑人31名,短短7個月時間流入資金達數十億元。該賭博網站採用易某科技工作室、易某某聚合支付平台和T某支付等第四方支付平台與賭博人員進行結算,然後這些第四方支付平台再同賭博網站結算。短短7個月,僅一家公司的資金流水就達7億元,幾家公司加在一起高達數十億元。
據披露,在犯罪現場,犯罪嫌疑人購買大量手機架設“手機牆”,這些手機螢幕上不斷地更換著新的收款二維碼,接受全國各地賭客的賭資。
新京報記者 顧志娟 宓迪 程維妙 編輯 王宇 校對 楊許麗
香港九龍灣馬來街興發大廈15樓D室