@王欣

      三月过半，一条“央行新规，静态扫码支付每天限额500元”的新闻开始发酵。

      在“出门可以不带钱包，但不能不带手机”的时代，“扫一扫”作为一个方便、快速的收付款方式已经与当代人的数字生活紧密联系在了一起。正因为如此，限额500元的新规乍一看怎么都有些不合常理。

      那扫码支付究竟有着怎样的问题？这样限额又能否满足我们在众多使用场景下的支付需求？

偷梁换柱：“扫一扫”让商贩颗粒无收

      “店里人流量太大，这种事防都防不住。”虽然事情已经过去两个多月，但说起店里的扫码支付，在重庆农贸市场经营一家肉铺的张大姐还是有点气愤。

      今年1月25日临近收摊时，一位顾客来张大姐的肉铺买了200多元的香肠腊肉并使用支付宝付款，但当张大姐的丈夫李厚雄来到肉铺帮忙收摊时他们却傻了眼——不仅香肠腊肉的200多元没有到账，整整一天李厚雄的支付宝都未收到过任何付款。他们这才意识到，挂在外面的支付宝二维码已经被人换了！

      “快过年了嘛，来备年货的人一天比一天多”，张大姐向我们解释说：“二维码贴那儿就没管过了，人多的时候也就看一眼人家的付款金额对不对得上，没怎么在意收款方。”

为了方便、省事，很多小商贩都偏向于使用静态条码收款

      尽管随后夫妇二人通过支付宝的投诉渠道获得了赔偿，调包二维码的不法分子也在年前被迅速抓获，但这样的事件还是让她从此多长了一个心眼：“转账之后仔细核对一下头像是不是老公的、收摊的时候还得把二维码收回来。”

暗藏“陷阱”的静态条码并不安全

      张大姐被人悄悄换掉的支付宝收款二维码，就属于我们在上面提到的静态条码。

      生活中使用静态条码的商铺不在少数，大至百货、卖场，小到商家、摊铺，静态条码作为一个方便、快速的收付款方式，已经与当代人的数字生活紧密联系在了一起。而除了支付，红包、返利、推广、优惠等等活动也早就以静态条码的方式出现在了我们身边，带来方便的同时，背后还暗藏着不少类似的“陷阱”。

      今年年初，陕西、天津等地交管部门陆续开始在现场处罚决定书上增加静态条码缴纳方式，驾驶人只需扫描交警现场开出的罚单上的二维码，即可扫码缴罚款。

      但事实上，很多不法分子也在利用消费者“图省事”的心理和有时存在粗心大意的情况伪造虚假缴费通知并附上静态条码进行欺诈式收款。

      去年3月，南京的邹先生就在自己的车上发现了这样一张违停罚单：罚单上附有二维码和“扫码可缴费”说明，扫描二维码后显示“违章处理，转账200元，点击确认”。好在细心的邹先生经过核实后发现，自己被贴上的其实是精心伪造而成的假罚单。

扫一扫交罚款，不少人图方便因此上当

      除了调包、欺诈等风险，此前还传出过不法分子在商场超市等人流较多的地方，通过扫二维码获得小礼物这类活动获取个人信息、进行电信诈骗和电话骚扰的事件，一些来历不明的二维码还会向扫码人的手机植入手机病毒，进一步危及扫码人的信息和财产安全。

      不难看出，静态条码易被篡改、易携带病毒、难辨真伪，因此安全性极低。此前市面上也有不少应对措施，包括采用防伪纸张展示条码、采用防护罩等物理防护手段避免被盗等等；支付宝还推出了“你敢扫，我敢赔”计划，不管是商家收钱二维码因为被替换、调包导致资金损失，还是用户扫码中了病毒、木马，都能得到相应的赔付。

      但这些手段和通过银行客户端或支付宝、微信等手机支付工具向商家出示的动态付款码相比静态条码依旧处于劣势。 

央行出手，每日限额500元的影响有多大？

      去年年底，央行发布《条码支付业务规范（试行）》，根据风险防范能力分级对用户单日静态条码进行每天500元的限额。新规将从下月1日起正式开始实行。

      500元的单日静态扫码限额能否满足绝大多数用户的消费需求呢？

      央行表示，2015~2016年，主流支付机构每日条码支付95%以上都不足500元，2017年上半年，主流的支付机构条码支付人均每日金额是108块钱。

超过额度时还请使用更安全的动态条码

      依据类似的市场机构条码支付交易数据，他们研究制定了能够覆盖绝大部分使用条码支付付款客户需求的限额。当消费超过500元时，大家完全可以打开自己的二维码提供给商户，这个过程中，用户使用的二维码就变成了动态条码，且登录账户时大都有指纹或支付密码解锁，大额支付时一般还有短信验证，都要比商铺摆放的条码要安全得多。

      针对商户，由于500元限额仅针对买东西的人，并不会打压像煎饼果子摊位、奶茶店这类经营主体的实际经营，对商户而言没有多大的限制。中国人民大学重阳金融研究院高级研究员董希淼此前就表示，新规对商户的影响非常小：“假如我们买一个烤红薯5块钱，500元够买100个烤红薯了，这并不会影响卖烤红薯大爷的生意——只要他不是将烤红薯都卖给你，那么大爷也不受影响。因为这500元限额是针对用户而言，对商户并无限制，大爷一天卖1000个烤红薯都是妥妥的。”

      目前出现的各类扫码支付案件中静态条码都有着不小的占比，而每天限额500元的新规一出，交易双方在扫码支付过程中的损失得以降到最小，并由此鼓励更多的人使用动态码付款。那些利用静态条码支付进行信用卡套现的违规行为将得到极大限制。

链接·新规解读：条码支付并不是“扫一扫”这么简单

      网络上盛传的“扫码付款限额”新闻都始于中国人民银行（以下简称“央行”）去年年底发布的《条码支付业务规范（试行）》（以下简称“规范”），按照计划，这份规范将于下月 1 日起正式生效，届时，条码支付业务将在多方面受到合理而有效的约束。

一方面，条码支付业务的开展有了安全性要求。

      根据规范，银行业金融机构和非银行支付机构应用条码技术实现收付款人之间货币资金转移的业务活动都属于“条码支付”的业务范畴。在此基础上，银行和支付机构可以组合选用下列三种要素来对条码支付交易进行安全性验证：

（一）仅用户本人知悉的要素。比如我们在支付宝、微信和各大银行的网络支付服务中设定的“支付密码”或“交易密码”。

（二）仅用户本人持有并特有的、不可复制或者不可重复利用的要素。比如我们在使用各种支付服务时通过短信、语音电话等方式获取的一次性验证码。

（三）用户本人的生物特征要素。利用移动设备上技术越来越成熟、应用越来越广泛的指纹识别、面部识别、虹膜识别等生物特征识别技术对条码支付安全性进行验证。

根据对这三种安全验证要素的满足情况，支付限额被分为ABCD四个等级：

条码支付单日累计限额

不难看出，静态条码由于风险防范能力最低（D级），受到的单日累计交易额度限制也最大。