手機在顧客背后掃碼就能盜刷 商戶資質(zhì)審核成擺設？

錢方好近商戶入駐申請表頁面。

收錢吧員工在朋友圈發(fā)布的開通申請示范。

收錢吧員工在朋友圈發(fā)布的推廣內(nèi)容。

4月21日至5月4日之間，四名消費者手持微信二維碼在超市等待付款，在排隊的幾分鐘里，被人從背后通過手機掃碼，盜刷500元到900元不等的資金，扣款方都是名為“一站式24小時便利店”的賬戶，根本不是超市收款。

近日，重慶江北公安分局破獲上述在超市收銀處專門盜刷微信資金案件。重慶警方告訴新京報記者，重慶發(fā)生的消費者使用二維碼支付時資金被盜案件，作案者就是利用了聚合支付APP“錢方好近”，在顧客背后通過APP掃描付款碼后，輸入收款金額，實現(xiàn)盜刷資金。

當下，無論是在大型超市還是街邊小店，人們都可以不用現(xiàn)金，通過手機支付來實現(xiàn)購物、消費。簡單來說，單一的收款方式已經(jīng)很難滿足顧客的需求了，商家準備不齊全就有可能丟了一筆生意。因此，融合了微信、支付寶等多種支付渠道的聚合支付成為商家更好的選擇。

新京報記者調(diào)查發(fā)現(xiàn)，通過聚合支付相關(guān)APP，有些手機也可以變成掃碼槍，所以就出現(xiàn)了有人拿著手機偷偷掃碼從而實現(xiàn)盜刷的事件。據(jù)調(diào)查，原本由第三方支付機構(gòu)負責商戶的審核，在實際操作中這部分審核權(quán)也有可能違規(guī)外包給聚合支付機構(gòu)。但是，一些可全程在線上進行審核的聚合支付，則給了部分“商戶”弄虛作假的空間。

那么，誰來保證商戶的真實性?

審核

錢方好近可全程線上審核、收錢吧號稱“10分鐘辦理”

重慶警方對新京報記者表示，不久前重慶發(fā)生的消費者使用二維碼支付時資金被盜案件，作案者就是利用了聚合支付APP“錢方好近”，通過APP掃描顧客的付款碼后，輸入收款金額，即實現(xiàn)盜刷資金。

一般來說，掃碼需要通過掃碼槍等硬件設備進行，消費者展示微信或支付寶付款碼，商家通過硬件設備來完成掃碼收款。根據(jù)錢方好近官網(wǎng)介紹，其為商戶提供好近快盒、掃碼槍等硬件設備。除此之外，錢方好近APP上還有掃碼入口，通過這一功能可以將手機變成掃碼槍，直接用手機掃碼也可以實現(xiàn)收款。

在上述案件中，一個關(guān)鍵性的步驟是，作案者偽裝成商家，在錢方好近平臺上通過了審核，從而以商家身份進行收款。重慶警方告訴新京報記者，該案嫌疑人在他人店鋪中，趁店主不注意拿著身份證拍了照片，假裝自己是店主，然后用這些照片在軟件上進行注冊。

那么，錢方好近對于商戶資質(zhì)的審核步驟到底是怎樣的?記者以需要申請小白盒收款設備的名義咨詢錢方好近客服，客服表示，商戶申請注冊過程需要錢方好近的業(yè)務員到店辦理。在錢方好近客服的描述中，大部分審核工作均由業(yè)務員來完成。

但是，隨后聯(lián)系記者的錢方好近業(yè)務員告訴記者，身份證、銀行卡等證件信息，可以直接在線上發(fā)送照片給他。至于店鋪門頭照和店內(nèi)環(huán)境照，該業(yè)務員表示，“如果你這邊能提供我也可以不過去。”收到相關(guān)照片后，他即可發(fā)放“小白盒”。

上述業(yè)務員還表示，錢方好近APP也可以實現(xiàn)手機收款功能，與在APP上注冊商戶需要審核的信息類似，“需要來店里拍照片，你這邊能提供給我也可以的”。

另一個聚合支付類產(chǎn)品“收錢吧”同樣可以實現(xiàn)全程線上審核。除獲得專用收款設備外，“收錢吧”員工告訴新京報記者，“手機APP也可以掃客人”。這意味著，使用“收錢吧”的商戶只要下載其APP，也可以將手機變?yōu)閽叽a槍。“收錢吧”官網(wǎng)中的“收錢吧APP”介紹圖顯示，該APP首頁確有一個收款入口，配文稱“APP直掃收款或搭配收款工具收款”。記者嘗試在APP上操作時發(fā)現(xiàn)，必須要先通過商戶審核才可進首頁。

6月2日，記者在“收錢吧”官網(wǎng)填寫了商戶開通申請并咨詢客服人員后，一位員工提出加記者微信溝通。該員工告訴記者，開通需要五份材料：申請人身份證正、反面照片，申請人與店鋪門頭合照一張，店鋪內(nèi)景照一張，申請人在店里手持身份證拍一張照，以及收款銀行卡的正面照片。

“照片通過微信發(fā)給我，立刻就能辦理，當天設備就能從上海寄出來。”上述員工表示。記者注意到，他在自己的一條朋友圈中稱，“10分鐘辦理，半小時可用，支持花唄、信用卡、微信、支付寶等多種支付方式。”

商戶

央行嚴禁商戶資質(zhì)審核外包，仍有服務商稱可完成審核

為什么錢方好近與收錢吧的客戶能迅速通過審核，這一步驟到底由誰來執(zhí)行?重慶二維碼被盜刷案件背后，風險到底源于何處?

從記者調(diào)查過程來看，風險源頭出在聚合支付機構(gòu)對商戶資質(zhì)審核不嚴方面。然而，實際上，商戶資質(zhì)審核本就不屬于聚合支付機構(gòu)的工作，應是其背后的持牌支付機構(gòu)的工作。

據(jù)了解，所謂審核，即聚合支付機構(gòu)實時將商戶資料傳到收單機構(gòu)后臺，合規(guī)人員在后臺即時審核。如果審核權(quán)力下放到聚合方(外包機構(gòu))，屬于違規(guī)。而此前公開報道顯示，市場也存在這種情況。

記者隨機調(diào)查了一些聚合支付機構(gòu)的審核情況，其中“碼大大”客服明確表示，審核工作由他們公司來做。

一家第三方支付機構(gòu)人士告訴記者，聚合支付不屬于支付機構(gòu)，沒有牌照，商戶資質(zhì)審核也不在聚合支付，如果在，就涉嫌核心業(yè)務外包。“應該看聚合支付的支付通道是哪家。”另一家機構(gòu)人士也明確，聚合支付是服務商，只有持牌機構(gòu)才有審核資質(zhì)。

目前，聚合支付機構(gòu)并不需要獲得支付牌照，央行曾在相關(guān)文件中將聚合支付服務商定位為“收單外包機構(gòu)”。也就是說，聚合支付服務商適用于對外包服務機構(gòu)的管理辦法。《中國人民銀行關(guān)于加強銀行卡收單業(yè)務外包管理的通知》中明確提出，收單機構(gòu)不得將特約商戶資質(zhì)審核交由外包服務機構(gòu)辦理。此后央行發(fā)布的多個文件都反復重申商戶資質(zhì)審核不得外包的原則。

央行在2017年1月下發(fā)的《關(guān)于開展違規(guī)“聚合支付”服務清理整治工作的通知》(下稱《通知》)指出，在相關(guān)業(yè)務開展過程中，部分聚合技術(shù)服務商以大商戶模式接入收單機構(gòu)，違規(guī)開立支付賬戶，或?qū)嵸|(zhì)性從事特約商戶資質(zhì)審核、受理協(xié)議簽訂、資金結(jié)算、收單業(yè)務交易處理等業(yè)務。

蘇寧金融研究院研究員黃大智對記者表示，從合規(guī)角度講，聚合支付是收單機構(gòu)的外包商，央行明確過三點，除了聚合支付作為收單機構(gòu)的外包商，不負責商戶的證件審核外，聚合支付也不能碰資金結(jié)算，涉及二清和無證經(jīng)營支付業(yè)務，同時不能碰核心交易數(shù)據(jù)，正常來講只有銀行和支付機構(gòu)才能碰。

責任

審核導致?lián)p失，聚合支付機構(gòu)或被追責

手機在顧客背后掃碼就能盜刷，暴露了聚合支付機構(gòu)對商戶審核不嚴的問題。對此，黃大智分析稱，手機可作為掃碼槍是隨著技術(shù)進步出現(xiàn)的問題，興起的時間并不長，就像現(xiàn)在很多手機自帶NFC(近場支付)，是以前手機做不到的，“也是一個安全和風險博弈的過程。”

據(jù)黃大智介紹，有持牌的大型支付機構(gòu)也在開發(fā)把程序內(nèi)置到手機，但更多或是出于降低成本的考慮，因為以前做一個掃碼槍需要付出成本，內(nèi)置軟件的成本相對更低。更重要的是，大型的支付機構(gòu)對自己的品牌和合規(guī)程度非常重視，只有一些小的聚合支付廠商為追逐利潤時對合規(guī)會有點輕視。

聚合支付機構(gòu)發(fā)展的商戶，理論上仍需經(jīng)過第三方支付機構(gòu)的審核，但這一步審核在實際操作過程中被弱化。正如前述業(yè)內(nèi)人士透露，實際操作中，很多第三方支付機構(gòu)把審核的步驟也外包給了第四方(聚合支付也被稱為第四方支付)。

以微信支付為例，如果商戶自己直接申請接入微信支付，需要在微信支付商戶平臺頁面提交營業(yè)執(zhí)照、組織機構(gòu)代碼證、法人代表身份證、對公銀行賬戶等資料，等待微信支付團隊的審核。如果商戶通過聚合支付機構(gòu)接入微信支付，按照目前業(yè)內(nèi)較為普遍的審核模式，只需要身份證、銀行卡等信息。也就是說，通過聚合支付接入的商戶，即使下一步聚合支付將商戶資料提交給微信支付進行審核，也并沒有審核營業(yè)執(zhí)照等核心資料。

此外，審查的一個難點在于高成本。易觀分析師王蓬博表示，商戶涉及的行業(yè)很多，線下人力和拓展成本、維護成本等都很高，加上聚合支付機構(gòu)間都在爭奪商戶，所以審查有漏洞。

行業(yè)的激烈競爭在記者接觸的“收錢吧”員工身上也有所反映。記者咨詢開戶事宜后，該員工多次催促記者籌備材料提交。其朋友圈內(nèi)發(fā)布的狀態(tài)，也幾乎都與銷售產(chǎn)品有關(guān)，例如“物料整裝待發(fā)，各位資料準備得怎么樣了!”“周六正常上班，需要辦理的商戶聯(lián)系我發(fā)資料即可”等。

如果在審核這一步出現(xiàn)問題，導致風險或損失，應該向誰追責?業(yè)內(nèi)人士表示，如果監(jiān)管部門追責，必然是處罰持牌支付機構(gòu)，但收單機構(gòu)與聚合支付機構(gòu)之間還會有內(nèi)部責任劃分，可能收單機構(gòu)會向聚合支付機構(gòu)追責。

中聞律師事務所合伙人李亞認為，聚合支付公司本身并不具有第三方支付公司的職能，只能使用第三方支付公司的通道來開展支付業(yè)務。而第三方支付公司具有對商戶的審核義務。因此出現(xiàn)問題可以通過其商戶使用的支付通道，也就是商戶編碼中的一個字段(用于區(qū)分使用的不同第三方支付公司)來追責。

黃大智認為，如果遇到違法違規(guī)，要具體分析。他分析稱，這涉及行業(yè)監(jiān)管難題。這個鏈條上有三個角色：聚合支付、支付機構(gòu)和銀行。其中，聚合支付廠商把這個流程接下來之后，第三方支付機構(gòu)結(jié)算時要走收單行，這就涉及收單業(yè)務是誰做的，是支付機構(gòu)還是銀行。聚合支付機構(gòu)有配合調(diào)查的責任，找到商戶的資質(zhì)、開戶時提交的資料、日常交易等。

利益

拉卡拉、京東金融、富友等持股聚合支付機構(gòu)

為什么在實際操作中，聚合支付機構(gòu)“承擔”起了商戶審核的工作?第三方支付機構(gòu)與聚合支付機構(gòu)之間是否存在利潤分成，這是否是促進它們積極介入這一環(huán)節(jié)的原因?

新京報記者通過“錢方好近”的客服了解到，目前掃碼的費率是0.38%，也就是說，一筆100元的交易，錢方好近就有0.38元的費率。

一位支付機構(gòu)內(nèi)部人士表示，(第三方支付機構(gòu)與聚合支付機構(gòu)之間)的確存在(利潤分成)，業(yè)內(nèi)稱之為“分潤”，但行業(yè)沒有一個大致比例范圍，都是雙方自己談的。黃大智介紹，比如，正常情況下，收單機構(gòu)給商戶的費率是千分之六、千分之七，那么可能中間會有一部分給到聚合支付廠商，一般就是萬分之五到萬分之十，可能比這個還要低，后者可獲得的就是這部分價差，相對利潤很少。不過，隨著收款金額的增加，利潤也是相應增加的。

上述人士還提醒，需要警惕聚合支付機構(gòu)二清和跑路的問題。“近年出現(xiàn)過一批聚合支付廠商跑路問題，有的聚合支付廠商違規(guī)二清，截留了資金，帶著這筆錢跑路了。”

除了費率、分潤的“誘惑”所在，第三方支付機構(gòu)與聚合支付合作有深層的原因。上述第三方支付機構(gòu)人士給記者提供的一份資料顯示，雙方的投融資背后有著重要補缺邏輯：對第四方機構(gòu)而言，第三方機構(gòu)能夠帶來穩(wěn)定的支付通道。而對第三方機構(gòu)而言，2018年以前，支付機構(gòu)之間的直連沒有合規(guī)背書，要想通過服務支付寶、微信支付兩大巨頭來分羹移動支付的紅利，投資聚合服務商是布局聚合業(yè)態(tài)最為直接有效的手段。

與此同時，新京報記者調(diào)查發(fā)現(xiàn)，一些聚合支付方與第三方支付機構(gòu)有著股權(quán)關(guān)系。據(jù)企查查顯示，推出“收錢吧”的上海喔噻互聯(lián)網(wǎng)科技有限公司，第三大股東是北京拉卡拉互聯(lián)網(wǎng)產(chǎn)業(yè)投資基金(有限合伙)，持股6.81%;該基金的第一大股東是拉卡拉，持股37.9%。而上海富友支付服務股份有限公司持有武漢利楚商務服務有限公司(產(chǎn)品為“掃吧”)9%的股份。

近期另一家巨頭的入局也引得市場關(guān)注。根據(jù)企查查，今年6月3日，另一家聚合支付公司哆啦寶(北京)科技有限公司發(fā)生投資人變更，京東旗下的京東匯正(天津)信息科技有限公司成為其唯一股東，而北京京東金融科技控股有限公司持有后者100%的股份。

■ 亂象

聚合支付越界審核商戶，接入賭博類通道

雖然在生活中我們可以常常享受到聚合支付帶來的便利，但是大部分人對“聚合支付”一詞感到陌生。

聚合支付的作用就在于，它同時涵蓋了兩種及多種支付渠道，消費者只管消費而無需關(guān)注店鋪到底需要哪種收款方式。同時，聚合支付還能幫助店鋪記錄資金是通過哪種收款渠道進來的。

業(yè)內(nèi)人士分析稱，聚合支付相對于支付寶、微信支付等第三方支付平臺而言，相當于在第三方支付的基礎上進行了技術(shù)融合，屬于“第四方支付”。對于消費者和商家來說，聚合支付確實有一定的便利性。

聚合支付的模式，實際上是第三方支付機構(gòu)將線下市場拓展、收款機具布放等工作，外包給了聚合支付機構(gòu)，即“第四方支付機構(gòu)”。新京報記者注意到，2017年發(fā)布的《中國人民銀行關(guān)于持續(xù)提升收單服務水平 規(guī)范和促進收單服務市場發(fā)展的指導意見》(簡稱《指導意見》)指出，部分收單機構(gòu)或聚合技術(shù)服務商創(chuàng)新開展“聚合支付”服務，為特約商戶提供了融合多個支付渠道、一站式資金結(jié)算和對賬的技術(shù)解決方案，滿足了特約商戶對降低系統(tǒng)投入和運營成本、提高資金結(jié)算和財務對賬效率的實際需求。

不過，《指導意見》同時畫出多道紅線，包括嚴禁收單機構(gòu)將特約商戶資質(zhì)審核、受理協(xié)議簽訂、資金結(jié)算、收單業(yè)務交易處理、風險監(jiān)測、受理終端(網(wǎng)絡支付接口)主密鑰生成和管理、差錯和爭議處理工作交由聚合技術(shù)服務商辦理。嚴禁聚合技術(shù)服務商以任何形式截留特約商戶結(jié)算資金，從事或者變相從事特約商戶資金結(jié)算。

在實際的操作中，聚合支付突破紅線的行為時有發(fā)生。新京報記者在調(diào)查中發(fā)現(xiàn)，有的聚合支付機構(gòu)存在越界審核商戶的情況。有業(yè)內(nèi)人士表示，近兩年聚合支付發(fā)展時出現(xiàn)了一些有爭議的地方。比如，有一些聚合支付公司接入一些賭博類的通道，以此賺取灰色收入，還有的涉及信用卡套現(xiàn)等領域。

這些大多是監(jiān)管重點打擊的領域。據(jù)“溫州網(wǎng)警巡查執(zhí)法”公號披露，近日，成功摧毀一個為賭博網(wǎng)站提供充值、提現(xiàn)等服務的“第四方支付”平臺，共抓獲犯罪嫌疑人31名，短短7個月時間流入資金達數(shù)十億元。該賭博網(wǎng)站采用易某科技工作室、易某某聚合支付平臺和T某支付等第四方支付平臺與賭博人員進行結(jié)算，然后這些第四方支付平臺再同賭博網(wǎng)站結(jié)算。短短7個月，僅一家公司的資金流水就達7億元，幾家公司加在一起高達數(shù)十億元。

據(jù)披露，在犯罪現(xiàn)場，犯罪嫌疑人購買大量手機架設“手機墻”，這些手機屏幕上不斷地更換著新的收款二維碼，接受全國各地賭客的賭資。

新京報記者 顧志娟 宓迪 程維妙