犯罪分子通過註冊公司,在第三方支付機構開通“代扣通道”,在持卡人不知情的情況下,悄悄盜扣受害人銀行卡內錢款,近兩年,全國法院判決的類似刑案至少已10起。近日,澎湃新聞對這些案件進行剖析,並披露了代扣業務中存在的亂象。
第三方支付機構的支付接口,為何會淪為網絡黑灰產不法分子的作案通道,而持卡人的賬戶餘額,為何會被如此輕易且悄無聲息地扣走?
澎湃新聞(www.thepaper.cn)近日深入調查發現,種種亂象的源頭之一,是第三方支付領域長期存在的“裸扣”。
所謂“裸扣”,也稱“裸代扣”,就是不經過用戶驗證或綁卡,第三方支付機構直接通過用戶的“四要素”(姓名、身份證號、銀行卡號、銀行預留手機號)甚至是“三要素”、“二要素”信息,將用戶銀行卡中的錢划走。在個人信息洩漏頻發、風控不嚴的背景下,“裸扣”淪為了某些網絡黑灰產團伙作案的工具。
至今百度搜索關鍵詞“裸扣”、“四要素扣款”等,仍可檢索出相關代扣通道廣告,宣稱可以進行“四要素無短驗裸扣”(即無短信驗證)。
針對第三方支付機構存在的問題,央行出臺各種舉措防範,近年累計開出數億罰單,並於2019年12月2日發佈了《關於規範代收業務的通知(徵求意見稿)》,強調代扣時的“首筆”授權和“逐筆”驗證,這被業內人士認為或將終結“無短驗裸扣”。此外,徵求意見稿還列明,不得為p2p網貸等行業辦理支付業務。
網上仍可以搜到提供“裸扣”服務的廣告。網頁截圖
“四要素驗證”下的“無短驗裸扣”
“首先,我們要認識到,代扣本身是一種合法合規的金融業務。”蘇寧金融研究院互聯網金融研究中心高級研究員黃大智告訴澎湃新聞。
最早的代扣,源於銀行代扣電話費、水電費。這類代扣業務的特點是,“小額、高頻”。對消費者而言,非常快捷便利,因為頻繁進行的交易只需一次授權,無需每次都驗證或者輸密碼完成。
正因在促進經濟發展、方便百姓生活、降低交易成本方面成效顯著,支付產業近年來發展迅猛。自2011年支付寶獲得首張第三方支付牌照至今,陸續有二百多家支付機構獲得央行頒發的非銀行機構支付許可。
為規範網絡支付業務、防範風險和保護當事人合法權益,央行於2015年12月出臺《非銀行支付機構網絡支付業務管理辦法》(以下簡稱《辦法》)。
澎湃新聞注意到,《辦法》清晰界定支付機構定位,“堅持小額便民、服務於電子商務的原則”,且將個人支付賬戶分為三類,根據功能和付款限額,對應不同程度的身份核驗方式。《辦法》明確指出,支付機構應當遵循“瞭解你的客戶”原則,建立健全客戶身份識別機制。支付機構在與客戶業務關係存續期間採取持續的身份識別措施,確保有效核實客戶身份及其真實意願,不得開立匿名、假名支付賬戶。
《辦法》還強調了扣劃資金時的“協議授權”。即,支付機構向客戶開戶銀行發送支付指令,扣劃客戶銀行賬戶資金,應當事先或者在首筆交易時自主識別客戶身份並分別取得客戶和銀行的協議授權,同意其向客戶的銀行賬戶發起支付指令扣劃資金。
黃大智介紹,雖然在相關管理規定中,均強調支付機構應當“識別客戶身份和獲得扣款授權”,“但這些都是模糊的概念。法律並未明文規定,支付機構必須通過發送驗證碼或輸入支付密碼等方式進行驗證或授權。”
黃大智說,實踐中,支付機構普遍採用的是根據商戶傳送過來的付款人開戶名、銀行卡、身份證及手機號“四要素”,甚至“三要素”直接進行代扣。因為,“對於非面對面的遠程支付而言,四要素扣款本身就是驗證客戶身份的一種方式。”
“正常情況下,沒有人會全部掌握你的四要素或三要素信息。且在水電氣費、保險這些合法合規的代收場景中,發起收款的商戶信譽度極高。同時由於是小額,所以交易本身風險很低。” 黃大智分析。
此外,尤其值得注意到的是,支付機構能進行四要素扣款的一個前提是,此前已經獲得客戶的扣款授權。
“理論上講,支付機構肯定是在獲得授權之後,才能四要素扣款。”黃大智說,“消費者在和商家訂立買賣或者服務合同並約定代扣時,其實是一種三方關係。即除了消費者和商家之間,消費者和第三方支付機構之間也有同意代扣的約定。”
不過,聚投訴、黑貓投訴等投訴平臺中大量的投訴者表示,對一些第三方支付機構的代扣並未授權,亦未有協議。
澎湃新聞核實多起投訴及梳理相關案件發現,卡主對代扣協議不知情的情形,大致可分四類。一是未細看就同意。“人們的消費習慣是快節奏,對一些電子條款看都沒看就直接打勾,或者直接跳過點‘確認、同意’”。一持牌第三方支付機構從業人士說。
二是一些消費或服務合同中,收款方將“代扣”還款方式作為格式合同條款,且未指明具體的代扣機構,消費者最後被多家支付機構輪流代扣。三是虛假協議。如澎湃新聞此前報道的代扣詐騙案中,犯罪分子製作了虛假的代扣授權協議,便通過支付機構扣款成功。四是一些無牌支付機構參與的無任何授權盜扣。
有業內人士稱,為確認“付款人真實意願”,一些風控較嚴的支付機構或銀行,會在對消費者進行扣款時,發送短信驗證碼或者要求輸入支付密碼。但是,無驗證碼短信驗證或無需輸入支付密碼,上傳四要素直接扣款的“無短驗裸扣”,仍普遍盛行,甚至使代扣這種支付方式,成為“不必徵求用戶許可扣款”的代名詞。
澎湃新聞此前報道的代扣式詐騙判例顯示,有持牌第三方支付機構為“商戶”提供代收業務時,對商戶提供的虛假資質材料只進行“形式審查”,對於線上“商戶”身份的真實性、商戶的具體業務流程,並不知悉;對於付款人的真實意願,亦未確認。
澎湃新聞梳理多份財產損失受害者起訴第三方支付機構的裁判文書發現,一些案件中,原告表示從未授權第三方支付機構代扣其理財投資,第三方支付機構僅以“已獲得商戶授權”為由進行抗辯,而不認為自己單獨對消費者有確認義務。
3月15日,澎湃新聞在百度上搜索“代扣”,一些公司在其首頁宣傳“持牌機構代扣/代付業務”時,還重點標明可“四要素無短驗裸扣”。面對前來諮詢者,其客服表示仍可進行裸扣。
誰給黑灰產“遞刀”
在授權“失守”、對商戶過度信任、對消費者無確認和提示的情況下,“無短驗裸扣”淪為了某些網絡黑灰產團伙作案的工具。
“最開始是一些安裝了pos機的商戶,他們掌握了客戶的四要素,很輕易就找到扣款通道進行惡意盜刷。”黃大智說。澎湃新聞此前報道的代扣式詐騙判例也顯示,用戶的“四要素”或“三要素”信息,有專門的“料商”進行挖取和供給。
“接著,是代收場景的無序展業。如代收擴展到博彩業,期貨外匯、投資理財等領域。最典型的例子,就是第三方支付和網貸結合。網貸可能高頻但未必小額,網貸的資金量大,商戶信譽低,所以最後破壞力很大。更要命的是,一些網貸機構在接入支付通道後,還將接口轉賣,造成更混亂的局面。”黃大智分析。
2019年11月,公安部在的“淨網2019”新聞發佈會上明確表示,有第三方支付機構為“套路貸”提供支付服務,獲取高額利潤。
聚投訴、黑貓投訴等投訴平臺中的支付投訴數據顯示,多家支付機構和高利貸、套路貸、“7天高炮”等組織一起,成為不斷被投訴的對象。
央行副行長範一飛於2019年11月28日召開的第八屆中國支付清算論壇上盡數了支付領域長期存在的問題:無證經營屢禁不止,嚴重擾亂市場秩序;部分商戶審核不嚴,偽造、編造交易問題仍存;受理終端管理不嚴密,一機多碼現象頻發;賬戶實名制落實不到位,虛假商戶和終端為網絡賭博、黑灰產業等非法活動提供支付渠道……
而早在2016年11月出席一場電信網絡欺詐研討會時,範一飛就指出,信息洩露已成為支付安全問題的風險源頭,不法分子利用洩露數據實施精準詐騙;電信網絡欺詐已成為當前造成支付安全問題的重要渠道,其實施成本低廉,隱蔽性與成功率較高,給支付體系前中後臺的風險防控都帶來了巨大挑戰。
不過,在北京市中聞律師事務所合夥人李亞律師看來,“裸扣”的盛行,顯然是支付機構風控措施落實不嚴的表現,但同時又不僅僅是風控的問題。
“在第三方支付業務被支付寶、財付通等佔絕對主導地位的情況下,小的支付公司需要拓展生存空間,需要足夠的業務量來維繫運營,還需要做大交易規模獲得競爭優勢,最終,有的為違規甚至非法平臺提供支付服務,或者轉賣支付接口獲利。” 李亞說。
易觀智庫發佈的《中國第三方支付移動支付市場季度監測報告2019年第3季度》數據顯示,三季度支付寶和騰訊金融二者的市場份額達到了93.11%;其餘230多家支付公司,佔市場份額不足7%。
寶付支付母公司的招股書顯示,其主要客戶為互聯網金融相關公司,代扣佔其業務收入比例92.4%。而在2018年11月,因主要客戶涉集資詐騙、走私貴重金屬等頻繁暴雷,寶付母公司被中止IPO審核。
澎湃新聞注意到,除詐騙犯罪外,中國裁判文書網公佈的多起非法吸收公眾存款,侵犯公民個人信息,以及盜竊、掩飾、隱瞞犯罪所得、犯罪所得收益等刑事案件中,均有第三方支付機構的身影。甚至有的案件中,第三方支付機構的工作人員直接參與,並最終被定罪判刑。
其中,中金、寶付、連連支付、網銀在線、富友、銀生寶、通聯等第三方支付公司在多起刑案中交叉出現。
“主觀上,很難說第三方支付機構有為犯罪分子服務的直接故意,畢竟作為支付機構他們的目標只是為了獲得交易量,因為他們從每筆交易中獲得的利潤是很微薄的。這就好比商店把刀遞給買家時,並不知道他要去殺人,商店只是想賣更多的刀而已。”黃大智說,“客觀上,小的支付機構是否具備人力物力和科技實力,來對每天上億筆交易進行真實性、合法性審查,也是要考量的。”
黃大智介紹,“比如支付寶,他們的風控非常嚴,發現異常業務判定為有風險後,該交易自動停止。或者出現一些風險時,本來只需要指紋識別的,需要密碼,驗證碼,還不行,就直接凍結該筆業務。在做不到百分百萬無一失的情況下,還通過保險賠償損失。但這些高科技手段,是建立在雄厚的資金實力基礎上的。”
然而不可否認的是,一些第三方支付機構與非法平臺之間,在某些場景表現出“共生”關係。
知情人士告訴澎湃新聞,有的第三方支付在為非法網貸提供服務後,遭到消費者大量集中投訴。“前兩年,每到節假日,人民銀行門口會出現很多支付機構的人。他們在那‘擋人’,阻止消費者上訪。”
屢現“天價”罰單
實際上,對於第三方支付機構在代收業務中存在的各種亂象,作為監管機構,央行也屢亮大招。
“這些年央行的監管還是挺嚴的,動不動就飛行檢查,直接查看後臺數據,開出天價罰單,有的直接不續展。”黃大智介紹。
澎湃新聞據官方公開披露的數據及權威媒體不完全統計,自2011年發放首張支付牌照以來,央行針對第三方支付機構罰單超過380餘張,罰款金額超過5億元,且多家支付機構被罰款超過十次。
2016年,易寶支付因違反相關清算管理規定,被處以警告並罰沒金額5295萬元。這是當時央行對第三方支付機構開出的最大罰單。
新華網報道,2017年全年央行針對第三方支付共開出109張罰單,是2016年罰單總數的三倍,累計罰款金額約2800萬元。證券時報新媒體券商中國不完全統計,2018年央行及各地監管機構對支付機構全年罰單127張,涉罰金的105張,累計罰沒總額2.064億元。
經濟參考報道,2019年第三方支付行業收到監管罰單105張,其中千萬級罰單兩張,百萬級罰單近10張,罰沒金額合計近1.5億元。
據自媒體金融觀察團自2020年1月1日至3月12日的不完全統計,已經有11家支付公司合計被罰超6700萬元。除騰訊旗下財付通外,其餘被罰機構均為中小型支付公司,其中開聯通以被罰2372萬元居首。澎湃新聞核實發現,其中罰款金額最大的兩家第三方支付機構,與騰訊旗下財付通一起,被判定的違規行為均為:未按照規定履行客戶身份識別義務。
其中開聯通被罰原因還包括:未按規定履行客戶身份資料和交易記錄保存義務、為身份不明的客戶提供服務或與其進行交易、未按規定報送可疑交易報告,違反清算管理規定等。
據澎湃新聞重點梳理的2016年至今的146張罰單,“未履行客戶身份識別義務”及“為非法交易和虛假交易提供網絡支付服務”,是多家支付機構被重罰的重要原因。
如2018年分別被開出2377萬、2641萬、4646萬罰單的銀盛支付、智付支付、國付寶,存在為非法交易、虛假交易、為不明身份客戶提供網絡支付服務的情況。
對於有些支付機構,罰款是“家常便飯”。
據中國經濟網2020年3月17日報道,銀盛支付一年內收央行6張罰單,2017年至今累計收到13張處罰單。盛付通、樂刷科技、富友支付、通聯支付、現代支付、易寶支付、中匯電子支付等多家支付公司,也多次接受處罰。
此外,“摘牌”或對支付牌照“不續展”,是央行對第三方支付機構亮出的終極“殺手鐧”。如據證券時報2016年8月12日報道,央行在就《支付業務許可證》續展工作答記者問時明確表示,一段時期內原則上不再批設新支付機構,重點做好對現有機構的規範引導和風險化解工作。2017年7月,央行表示有8家支付機構不予續展。2018年7月有4家支付機構不予續展。
據華夏時報報道,截至2019年5月,已有33家支付公司被註銷《支付業務許可證》,並有超過100家支付公司遭央行處罰。
範一飛於2019年11月28日公開表示,我國存量支付機構已經減少至236家,其中有18家支付機構被調整了業務範圍。
“作為行政機關,對於支付機構的違法違規,央行能採取的監管手段也主要就是罰款、摘牌等行政處罰措施。”黃大智介紹。
“斷直連”與避險新規
近年來,央行對於第三方支付機構進行的一次重塑式“大整頓”,是“併網聯”。
2017年8月4日,央行下發《關於將非銀行支付機構網絡支付業務由直連模式遷移至網聯平臺處理的通知》要求,從2018年6月30日起,支付機構受理的涉及銀行賬戶的網絡支付業務全部通過“網聯支付平臺”處理。
3月17日,一位第三方支付機構人士告訴澎湃新聞,“斷直連、併網聯之後,代扣機構必須通過網聯支付,第三方支付的資金交易被有效監管,備付金上交,沒辦法再通過自己的賬戶做加減操作,躺著賺錢的時代結束了。”
有媒體報道,“6.30”政策給“不必徵求用戶許可”的代扣行業帶來震動。投融資、消費金融、分期貸等行業將由代扣還款轉變為主動還款,給第三方支付的業務帶來壓力。有自媒體分析,併網聯將意味著四要素裸扣的終結。
不過,這並沒有完全阻止違法行為的發生。
在熟悉互聯網金融法務的李亞看來,“斷直連”後,有些第三方支付機構以“協議扣款”代替此前的“四要素扣款“,本質上區別不大,“都是強調要授權,關鍵仍然是支付機構是否做到‘有效核實客戶身份及其真實意願’”。
湖南瀘溪法院審理億元代扣詐騙大案的徐建國法官告訴澎湃新聞,被告人供述,他們曾得知央行出臺政策,要求所有第三方支付機構與銀行直連的扣款通道於2018年6月30日前關閉,他們一度以為詐騙不能再繼續,然而,“有的支付公司是看準了上面的執行力度來決定關不關閉通道,關一下開一下,並沒有一次性關完。”
徐建國同時提到,億元代扣詐騙案審理中,“人民銀行也到我們這裡來了解情況。作為支付機構的管理單位,央行相關部門已認識到問題和漏洞。”
澎湃新聞注意到,2019年12月2日,央行發佈了《關於規範代收業務的通知(徵求意見稿)》(以下簡稱《徵求意見稿》)。人民銀行自2018年5月啟動規範代收業務相關工作,全面梳理代收業務風險問題,並研究起草了該文件。
《徵求意見稿》直面代收業務中的三大“痛點”。一是付款人開戶機構對付款人的權益保護問題。例如,在未取得客戶授權、未有效審核客戶真實意願情況下為客戶開通了代收服務,或者未向客戶充分披露代收業務風險、授權及交易信息查詢服務渠道不健全等,造成付款人資金盜用隱患。
二是代收服務機構對代收業務的風險監測問題。例如,對收款人的真實性審核不嚴,使黑灰產業得以通過代收業務便捷盜取客戶資金;有關代收業務信息傳遞不透明,存在信息“黑箱”,甚至與收款人違規出售、轉讓系統接口,將代收業務應用於高風險場景或非法交易等。
三是代收業務的適用場景問題。主要表現為混淆代收業務與其他需要逐筆進行交易確認的交易,影響了代收業務的健康發展。
澎湃新聞注意到,《徵求意見稿》規定,“付款人開戶機構應當事先或者在為付款人辦理首筆代收業務時取得付款人的授權。授權應當明確收款人名稱、付款用途、付款賬號、付款週期或條件、授權期限等事項。”
“付款人開戶機構應當在交易過程中對授權事項進行逐筆驗證。未建立代收業務授權關係或與授權事項不符的,付款人開戶機構應當拒絕辦理,並向付款人提示風險。”
所謂“付款人開戶機構”,是指為付款人開立銀行結算賬戶或支付賬戶的機構,包括銀行和取得互聯網支付業務許可的支付機構。
“‘首筆’授權、‘逐筆’驗證、授權需明確五大要素,這是此前從未有過的提法。從這個意義上,此次《徵求意見稿》一旦發佈,或將徹底改變四要素無短驗裸扣的局面。”黃大智說。
此外,《徵求意見稿》明確代收業務僅適用於12類適用場景,各類投融資交易、外匯交易、股權眾籌、P2P、各類交易場所和電子商務平臺等不得辦理代收業務。這被多位業內人士認為,將有效避免消費者的資金損失風險。“此前的監管難點就在於,沒有規定說哪些業務,支付機構不能做。”黃大智說。
《徵求意見稿》出臺當月,人民日報發表文章稱,“此次發佈的徵求意見稿,明晰了代收業務與小額免密業務的邊界,進一步規範代收業務參與各方行為,防範業務風險,保障消費者的合法權益。”
2019年11月28日,中國人民銀行副行長範一飛表示,我國支付領域“嚴監管”常態化工作機制已基本確立,並將保障支付產業的高質量發展。通過支付機構備付金全額繳存人民銀行、實施網聯平臺集中清算、加大違規機構整改力度等措施,持牌機構不敢違規、不想違規的意識明顯增強,支付市場亂象得到有效整治,防範化解風險取得重大進展。
央行官網2020年3月17日公佈的《2019年支付體系運行總體情況》顯示,網聯清算平臺運行平穩。截至2019年末,共有534家商業銀行和115家支付機構接入網聯平臺。
不過,澎湃新聞注意到,至今在百度貼吧和論壇中,仍有2019年年底或2020年年初發布的各種“尋找四要素、三要素扣款通道”的帖子,並且能得到“我有你需要的資源,能合作”的熱烈回應。
在百度貼吧,對於一個樓主於2018年12月發佈的“現在還有哪幾家公司是裸扣?”的討論持續到2020年3月。有人總結了一個“四要素扣款表格”,列舉了包括工商、農業、建設、交通等在內的13家銀行扣款情況,並指明哪些是“送則校驗,不送不校驗”以及“上送但不校驗”。
但在聚投訴等投訴平臺,不少認為自己被莫名扣款的消費者,將央行的上述《徵求意見稿》內容貼了出來,要求扣款機構給出答覆。
閱讀更多 靜靜兒A 的文章
