起底代扣黑洞④|央行新规呼之欲出,乱象源头“裸扣”何时休

澎湃新闻首席记者 谭君 实习生 罗鹏飞
2020-04-03 07:04
来源:澎湃新闻

犯罪分子通过注册公司,在第三方支付机构开通“代扣通道”,在持卡人不知情的情况下,悄悄盗扣受害人银行卡内钱款,近两年,全国法院判决的类似刑案至少已10起。近日,澎湃新闻(www.thepaper.cn)对这些案件进行剖析,并披露了代扣业务中存在的乱象。

第三方支付机构的支付接口,为何会沦为网络黑灰产不法分子的作案通道,而持卡人的账户余额,为何会被如此轻易且悄无声息地扣走?

澎湃新闻(www.thepaper.cn)近日深入调查发现,种种乱象的源头之一,是第三方支付领域长期存在的“裸扣”。

所谓“裸扣”,也称“裸代扣”,就是不经过用户验证或绑卡,第三方支付机构直接通过用户的“四要素”(姓名、身份证号、银行卡号、银行预留手机号)甚至是“三要素”、“二要素”信息,将用户银行卡中的钱划走。在个人信息泄漏频发、风控不严的背景下,“裸扣”沦为了某些网络黑灰产团伙作案的工具。

至今百度搜索关键词“裸扣”、“四要素扣款”等,仍可检索出相关代扣通道广告,宣称可以进行“四要素无短验裸扣”(即无短信验证)。

针对第三方支付机构存在的问题,央行出台各种举措防范,近年累计开出数亿罚单,并于2019年12月2日发布了《关于规范代收业务的通知(征求意见稿)》,强调代扣时的“首笔”授权和“逐笔”验证,这被业内人士认为或将终结“无短验裸扣”。此外,征求意见稿还列明,不得为p2p网贷等行业办理支付业务。

网上仍可以搜到提供“裸扣”服务的广告。网页截图

“四要素验证”下的“无短验裸扣”

“首先,我们要认识到,代扣本身是一种合法合规的金融业务。”苏宁金融研究院互联网金融研究中心高级研究员黄大智告诉澎湃新闻。

最早的代扣,源于银行代扣电话费、水电费。这类代扣业务的特点是,“小额、高频”。对消费者而言,非常快捷便利,因为频繁进行的交易只需一次授权,无需每次都验证或者输密码完成。

正因在促进经济发展、方便百姓生活、降低交易成本方面成效显著,支付产业近年来发展迅猛。自2011年支付宝获得首张第三方支付牌照至今,陆续有二百多家支付机构获得央行颁发的非银行机构支付许可。

为规范网络支付业务、防范风险和保护当事人合法权益,央行于2015年12月出台《非银行支付机构网络支付业务管理办法》(以下简称《办法》)。

澎湃新闻注意到,《办法》清晰界定支付机构定位,“坚持小额便民、服务于电子商务的原则”,且将个人支付账户分为三类,根据功能和付款限额,对应不同程度的身份核验方式。《办法》明确指出,支付机构应当遵循“了解你的客户”原则,建立健全客户身份识别机制。支付机构在与客户业务关系存续期间采取持续的身份识别措施,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。

《办法》还强调了扣划资金时的“协议授权”。即,支付机构向客户开户银行发送支付指令,扣划客户银行账户资金,应当事先或者在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金。

黄大智介绍,虽然在相关管理规定中,均强调支付机构应当“识别客户身份和获得扣款授权”,“但这些都是模糊的概念。法律并未明文规定,支付机构必须通过发送验证码或输入支付密码等方式进行验证或授权。”

黄大智说,实践中,支付机构普遍采用的是根据商户传送过来的付款人开户名、银行卡、身份证及手机号“四要素”,甚至“三要素”直接进行代扣。因为,“对于非面对面的远程支付而言,四要素扣款本身就是验证客户身份的一种方式。”

“正常情况下,没有人会全部掌握你的四要素或三要素信息。且在水电气费、保险这些合法合规的代收场景中,发起收款的商户信誉度极高。同时由于是小额,所以交易本身风险很低。” 黄大智分析。

此外,尤其值得注意到的是,支付机构能进行四要素扣款的一个前提是,此前已经获得客户的扣款授权。

“理论上讲,支付机构肯定是在获得授权之后,才能四要素扣款。”黄大智说,“消费者在和商家订立买卖或者服务合同并约定代扣时,其实是一种三方关系。即除了消费者和商家之间,消费者和第三方支付机构之间也有同意代扣的约定。”

不过,聚投诉、黑猫投诉等投诉平台中大量的投诉者表示,对一些第三方支付机构的代扣并未授权,亦未有协议。

澎湃新闻核实多起投诉及梳理相关案件发现,卡主对代扣协议不知情的情形,大致可分四类。一是未细看就同意。“人们的消费习惯是快节奏,对一些电子条款看都没看就直接打勾,或者直接跳过点‘确认、同意’”。一持牌第三方支付机构从业人士说。

二是一些消费或服务合同中,收款方将“代扣”还款方式作为格式合同条款,且未指明具体的代扣机构,消费者最后被多家支付机构轮流代扣。三是虚假协议。如澎湃新闻此前报道的代扣诈骗案中,犯罪分子制作了虚假的代扣授权协议,便通过支付机构扣款成功。四是一些无牌支付机构参与的无任何授权盗扣。

有业内人士称,为确认“付款人真实意愿”,一些风控较严的支付机构或银行,会在对消费者进行扣款时,发送短信验证码或者要求输入支付密码。但是,无验证码短信验证或无需输入支付密码,上传四要素直接扣款的“无短验裸扣”,仍普遍盛行,甚至使代扣这种支付方式,成为“不必征求用户许可扣款”的代名词。

澎湃新闻此前报道的代扣式诈骗判例显示,有持牌第三方支付机构为“商户”提供代收业务时,对商户提供的虚假资质材料只进行“形式审查”,对于线上“商户”身份的真实性、商户的具体业务流程,并不知悉;对于付款人的真实意愿,亦未确认。

澎湃新闻梳理多份财产损失受害者起诉第三方支付机构的裁判文书发现,一些案件中,原告表示从未授权第三方支付机构代扣其理财投资,第三方支付机构仅以“已获得商户授权”为由进行抗辩,而不认为自己单独对消费者有确认义务。

3月15日,澎湃新闻在百度上搜索“代扣”,一些公司在其首页宣传“持牌机构代扣/代付业务”时,还重点标明可“四要素无短验裸扣”。面对前来咨询者,其客服表示仍可进行裸扣。

谁给黑灰产“递刀”

在授权“失守”、对商户过度信任、对消费者无确认和提示的情况下,“无短验裸扣”沦为了某些网络黑灰产团伙作案的工具。

“最开始是一些安装了pos机的商户,他们掌握了客户的四要素,很轻易就找到扣款通道进行恶意盗刷。”黄大智说。澎湃新闻此前报道的代扣式诈骗判例也显示,用户的“四要素”或“三要素”信息,有专门的“料商”进行挖取和供给。

“接着,是代收场景的无序展业。如代收扩展到博彩业,期货外汇、投资理财等领域。最典型的例子,就是第三方支付和网贷结合。网贷可能高频但未必小额,网贷的资金量大,商户信誉低,所以最后破坏力很大。更要命的是,一些网贷机构在接入支付通道后,还将接口转卖,造成更混乱的局面。”黄大智分析。

2019年11月,公安部在的“净网2019”新闻发布会上明确表示,有第三方支付机构为“套路贷”提供支付服务,获取高额利润。

聚投诉、黑猫投诉等投诉平台中的支付投诉数据显示,多家支付机构和高利贷、套路贷、“7天高炮”等组织一起,成为不断被投诉的对象。

央行副行长范一飞于2019年11月28日召开的第八届中国支付清算论坛上尽数了支付领域长期存在的问题:无证经营屡禁不止,严重扰乱市场秩序;部分商户审核不严,伪造、编造交易问题仍存;受理终端管理不严密,一机多码现象频发;账户实名制落实不到位,虚假商户和终端为网络赌博、黑灰产业等非法活动提供支付渠道……

而早在2016年11月出席一场电信网络欺诈研讨会时,范一飞就指出,信息泄露已成为支付安全问题的风险源头,不法分子利用泄露数据实施精准诈骗;电信网络欺诈已成为当前造成支付安全问题的重要渠道,其实施成本低廉,隐蔽性与成功率较高,给支付体系前中后台的风险防控都带来了巨大挑战。

不过,在北京市中闻律师事务所合伙人李亚律师看来,“裸扣”的盛行,显然是支付机构风控措施落实不严的表现,但同时又不仅仅是风控的问题。

“在第三方支付业务被支付宝、财付通等占绝对主导地位的情况下,小的支付公司需要拓展生存空间,需要足够的业务量来维系运营,还需要做大交易规模获得竞争优势,最终,有的为违规甚至非法平台提供支付服务,或者转卖支付接口获利。” 李亚说。

易观智库发布的《中国第三方支付移动支付市场季度监测报告2019年第3季度》数据显示,三季度支付宝和腾讯金融二者的市场份额达到了93.11%;其余230多家支付公司,占市场份额不足7%。

宝付支付母公司的招股书显示,其主要客户为互联网金融相关公司,代扣占其业务收入比例92.4%。而在2018年11月,因主要客户涉集资诈骗、走私贵重金属等频繁暴雷,宝付母公司被中止IPO审核。

澎湃新闻注意到,除诈骗犯罪外,中国裁判文书网公布的多起非法吸收公众存款,侵犯公民个人信息,以及盗窃、掩饰、隐瞒犯罪所得、犯罪所得收益等刑事案件中,均有第三方支付机构的身影。甚至有的案件中,第三方支付机构的工作人员直接参与,并最终被定罪判刑。

其中,中金、宝付、连连支付、网银在线、富友、银生宝、通联等第三方支付公司在多起刑案中交叉出现。

“主观上,很难说第三方支付机构有为犯罪分子服务的直接故意,毕竟作为支付机构他们的目标只是为了获得交易量,因为他们从每笔交易中获得的利润是很微薄的。这就好比商店把刀递给买家时,并不知道他要去杀人,商店只是想卖更多的刀而已。”黄大智说,“客观上,小的支付机构是否具备人力物力和科技实力,来对每天上亿笔交易进行真实性、合法性审查,也是要考量的。”

黄大智介绍,“比如支付宝,他们的风控非常严,发现异常业务判定为有风险后,该交易自动停止。或者出现一些风险时,本来只需要指纹识别的,需要密码,验证码,还不行,就直接冻结该笔业务。在做不到百分百万无一失的情况下,还通过保险赔偿损失。但这些高科技手段,是建立在雄厚的资金实力基础上的。”

然而不可否认的是,一些第三方支付机构与非法平台之间,在某些场景表现出“共生”关系。

知情人士告诉澎湃新闻,有的第三方支付在为非法网贷提供服务后,遭到消费者大量集中投诉。“前两年,每到节假日,人民银行门口会出现很多支付机构的人。他们在那‘挡人’,阻止消费者上访。”

屡现“天价”罚单

实际上,对于第三方支付机构在代收业务中存在的各种乱象,作为监管机构,央行也屡亮大招。

“这些年央行的监管还是挺严的,动不动就飞行检查,直接查看后台数据,开出天价罚单,有的直接不续展。”黄大智介绍。

澎湃新闻据官方公开披露的数据及权威媒体不完全统计,自2011年发放首张支付牌照以来,央行针对第三方支付机构罚单超过380余张,罚款金额超过5亿元,且多家支付机构被罚款超过十次。

2016年,易宝支付因违反相关清算管理规定,被处以警告并罚没金额5295万元。这是当时央行对第三方支付机构开出的最大罚单。

新华网报道,2017年全年央行针对第三方支付共开出109张罚单,是2016年罚单总数的三倍,累计罚款金额约2800万元。证券时报新媒体券商中国不完全统计,2018年央行及各地监管机构对支付机构全年罚单127张,涉罚金的105张,累计罚没总额2.064亿元。

经济参考报道,2019年第三方支付行业收到监管罚单105张,其中千万级罚单两张,百万级罚单近10张,罚没金额合计近1.5亿元。

据自媒体金融观察团自2020年1月1日至3月12日的不完全统计,已经有11家支付公司合计被罚超6700万元。除腾讯旗下财付通外,其余被罚机构均为中小型支付公司,其中开联通以被罚2372万元居首。澎湃新闻核实发现,其中罚款金额最大的两家第三方支付机构,与腾讯旗下财付通一起,被判定的违规行为均为:未按照规定履行客户身份识别义务。

其中开联通被罚原因还包括:未按规定履行客户身份资料和交易记录保存义务、为身份不明的客户提供服务或与其进行交易、未按规定报送可疑交易报告,违反清算管理规定等。

据澎湃新闻重点梳理的2016年至今的146张罚单,“未履行客户身份识别义务”及“为非法交易和虚假交易提供网络支付服务”,是多家支付机构被重罚的重要原因。

如2018年分别被开出2377万、2641万、4646万罚单的银盛支付、智付支付、国付宝,存在为非法交易、虚假交易、为不明身份客户提供网络支付服务的情况。

对于有些支付机构,罚款是“家常便饭”。

据中国经济网2020年3月17日报道,银盛支付一年内收央行6张罚单,2017年至今累计收到13张处罚单。盛付通、乐刷科技、富友支付、通联支付、现代支付、易宝支付、中汇电子支付等多家支付公司,也多次接受处罚。

此外,“摘牌”或对支付牌照“不续展”,是央行对第三方支付机构亮出的终极“杀手锏”。如据证券时报2016年8月12日报道,央行在就《支付业务许可证》续展工作答记者问时明确表示,一段时期内原则上不再批设新支付机构,重点做好对现有机构的规范引导和风险化解工作。2017年7月,央行表示有8家支付机构不予续展。2018年7月有4家支付机构不予续展。

据华夏时报报道,截至2019年5月,已有33家支付公司被注销《支付业务许可证》,并有超过100家支付公司遭央行处罚。

范一飞于2019年11月28日公开表示,我国存量支付机构已经减少至236家,其中有18家支付机构被调整了业务范围。

“作为行政机关,对于支付机构的违法违规,央行能采取的监管手段也主要就是罚款、摘牌等行政处罚措施。”黄大智介绍。

“断直连”与避险新规

近年来,央行对于第三方支付机构进行的一次重塑式“大整顿”,是“并网联”。

2017年8月4日,央行下发《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》要求,从2018年6月30日起,支付机构受理的涉及银行账户的网络支付业务全部通过“网联支付平台”处理。

3月17日,一位第三方支付机构人士告诉澎湃新闻,“断直连、并网联之后,代扣机构必须通过网联支付,第三方支付的资金交易被有效监管,备付金上交,没办法再通过自己的账户做加减操作,躺着赚钱的时代结束了。”

有媒体报道,“6.30”政策给“不必征求用户许可”的代扣行业带来震动。投融资、消费金融、分期贷等行业将由代扣还款转变为主动还款,给第三方支付的业务带来压力。有自媒体分析,并网联将意味着四要素裸扣的终结。

不过,这并没有完全阻止违法行为的发生。

在熟悉互联网金融法务的李亚看来,“断直连”后,有些第三方支付机构以“协议扣款”代替此前的“四要素扣款“,本质上区别不大,“都是强调要授权,关键仍然是支付机构是否做到‘有效核实客户身份及其真实意愿’”。

湖南泸溪法院审理亿元代扣诈骗大案的徐建国法官告诉澎湃新闻,被告人供述,他们曾得知央行出台政策,要求所有第三方支付机构与银行直连的扣款通道于2018年6月30日前关闭,他们一度以为诈骗不能再继续,然而,“有的支付公司是看准了上面的执行力度来决定关不关闭通道,关一下开一下,并没有一次性关完。”

徐建国同时提到,亿元代扣诈骗案审理中,“人民银行也到我们这里来了解情况。作为支付机构的管理单位,央行相关部门已认识到问题和漏洞。”

澎湃新闻注意到,2019年12月2日,央行发布了《关于规范代收业务的通知(征求意见稿)》(以下简称《征求意见稿》)。人民银行自2018年5月启动规范代收业务相关工作,全面梳理代收业务风险问题,并研究起草了该文件。

《征求意见稿》直面代收业务中的三大“痛点”。一是付款人开户机构对付款人的权益保护问题。例如,在未取得客户授权、未有效审核客户真实意愿情况下为客户开通了代收服务,或者未向客户充分披露代收业务风险、授权及交易信息查询服务渠道不健全等,造成付款人资金盗用隐患。

二是代收服务机构对代收业务的风险监测问题。例如,对收款人的真实性审核不严,使黑灰产业得以通过代收业务便捷盗取客户资金;有关代收业务信息传递不透明,存在信息“黑箱”,甚至与收款人违规出售、转让系统接口,将代收业务应用于高风险场景或非法交易等。

三是代收业务的适用场景问题。主要表现为混淆代收业务与其他需要逐笔进行交易确认的交易,影响了代收业务的健康发展。

澎湃新闻注意到,《征求意见稿》规定,“付款人开户机构应当事先或者在为付款人办理首笔代收业务时取得付款人的授权。授权应当明确收款人名称、付款用途、付款账号、付款周期或条件、授权期限等事项。”

“付款人开户机构应当在交易过程中对授权事项进行逐笔验证。未建立代收业务授权关系或与授权事项不符的,付款人开户机构应当拒绝办理,并向付款人提示风险。”

所谓“付款人开户机构”,是指为付款人开立银行结算账户或支付账户的机构,包括银行和取得互联网支付业务许可的支付机构。

“‘首笔’授权、‘逐笔’验证、授权需明确五大要素,这是此前从未有过的提法。从这个意义上,此次《征求意见稿》一旦发布,或将彻底改变四要素无短验裸扣的局面。”黄大智说。

此外,《征求意见稿》明确代收业务仅适用于12类适用场景,各类投融资交易、外汇交易、股权众筹、P2P、各类交易场所和电子商务平台等不得办理代收业务。这被多位业内人士认为,将有效避免消费者的资金损失风险。“此前的监管难点就在于,没有规定说哪些业务,支付机构不能做。”黄大智说。

《征求意见稿》出台当月,人民日报发表文章称,“此次发布的征求意见稿,明晰了代收业务与小额免密业务的边界,进一步规范代收业务参与各方行为,防范业务风险,保障消费者的合法权益。”

2019年11月28日,中国人民银行副行长范一飞表示,我国支付领域“严监管”常态化工作机制已基本确立,并将保障支付产业的高质量发展。通过支付机构备付金全额缴存人民银行、实施网联平台集中清算、加大违规机构整改力度等措施,持牌机构不敢违规、不想违规的意识明显增强,支付市场乱象得到有效整治,防范化解风险取得重大进展。

央行官网2020年3月17日公布的《2019年支付体系运行总体情况》显示,网联清算平台运行平稳。截至2019年末,共有534家商业银行和115家支付机构接入网联平台。

不过,澎湃新闻注意到,至今在百度贴吧和论坛中,仍有2019年年底或2020年年初发布的各种“寻找四要素、三要素扣款通道”的帖子,并且能得到“我有你需要的资源,能合作”的热烈回应。

在百度贴吧,对于一个楼主于2018年12月发布的“现在还有哪几家公司是裸扣?”的讨论持续到2020年3月。有人总结了一个“四要素扣款表格”,列举了包括工商、农业、建设、交通等在内的13家银行扣款情况,并指明哪些是“送则校验,不送不校验”以及“上送但不校验”。

但在聚投诉等投诉平台,不少认为自己被莫名扣款的消费者,将央行的上述《征求意见稿》内容贴了出来,要求扣款机构给出答复。

    责任编辑:马世鹏