支付宝回应余额宝1年只能买1万：不受影响（2）

二维码背后内容不可控

业内人士表示，二维码实际上是一个编码方式，可以把图片、文字信息等都可以以二维码方式呈现，然后通过摄像头识别，作为一种传递信息的途径，二维码没有生成主体的限制，这样就带来了很大的风险隐患。

华南地区一位支付安全专家告诉《每日经济新闻》记者，“二维码是因为没有SE（安全元件）这样的一个安全保障，谁都可以去网站上生成，所以显得不安全。”

谁都可以在网站上生成二维码，这给了网络犯罪者提供了作案空间，以安装恶意软件为例，用户扫描含有恶意软件的二维码后就直接进入下载页面，如果用户点击下载，那么手机就会被安装。

一家大型支付机构人士也向记者表示：“二维码背后的内容不可控，二维码支付受到连带影响，通过扫码诱导下载，被植入木马病毒，截取受害人短信，套取手机校验码，然后进行网络欺诈。”

鉴于二维码支付在安全保障方面存在问题，3月13日，央行下发紧急文件《关于暂停支付宝公司线下条码（二维码）支付等业务意见的函》，暂停条码（二维码）支付等面对面支付服务。

一位支付风险专家向《每日经济新闻》记者表示：“通过二维码这种新兴的读取技术，将线上的交易转化为线下的无卡交易，风险程度由低风险转化为高风险，在系统不成熟的条件下，如果大规模应用会引发系统性风险，而且风险出现，很难追查犯罪的源头。”

二维码支付尚需多方面完善

央行的担忧不是没有原因，目前在其他国家也没有一个条码支付的安全认证体系，在保护交易账户安全性和交易信息的真实性方面同样存在疑问。

蔡洪波称，二维码支付在安全性、交易不可抵赖性等方面还有待探讨，但是否达到金融支付体系的安全标准还不确定，将来通过鉴定，达标后再推广运用也是有可能的。

对于支付机构和二维码使用者来说，目前迫切需要知道二维码安全支付标准何时能建立。

上述支付风险专家表示：“二维码支付从原理上来说是信息传递方式，与金融支付信息传递上有一定差别，在终端环境，有没有可能在发起端信息就被窃取，传输过程中会不会面临中间的截取，应该完善的方面是很多的”。

他表示，改进的方向需要实现以下几个方面：首先，保证二维码真实性合法性和不可复制性；其次，在传输过程中，外部设备，比如手机需要一套安全识别标准的软件，确保所扫描的二维码的安全性；最后，在传递过程中，支付机构通过相关的系统传递到刷卡行进行授权的过程，需要保障信息的安全性。

“二维码需要在金融支付环节进一步证明能够保障持卡人用卡安全，通过攻防技术的提升完善这些方面，同时金融支付安全标准是一套逐步完善的标准，很难一蹴而就。”上述支付风险专家表示。

来谊电子CEO徐海光也向《每日经济新闻》记者表示，银行与支付机构传输支付指令和验证指令只有一条信道，单一信道容易被黑客通过信息和浏览器拦截，金融机构难以确认客户端操作者的身份，无法识别网络中间人（如黑客）对支付指令的篡改。如果能够实现双通道验证就能很好的防范这个问题。