“商户拿个打印的二维码收款 央行定了：你扫码最高只能花费这个金额！”

本篇文章1660字，读完约4分钟

经记者张寿林是经王可然

12月27日，央行发布《条形码支付业务守则》(试行) (以下简称《守则》)。 根据风险防范能力等级，《规范》要求对个人客户的条形码支付业务进行限额管理。 风险防范能力达到d级时，即采用静态条形码时，同一客户的单一银行账户或所有支付账户每日累计交易金额不得超过500元。

这意味着商户打印的QR码将用于收款，这种日常常见方法的风险防范能力为d级，与之相对应，顾客扫码每天支付的限额为500元。

对此，北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员赵哈利告诉《每日经济信息》记者，QR码一旦被静态设置并重新录用，将很容易掩盖木马等风险新闻，此时账户资金可能被盗 另外，静态代码的采用场景首要的是日常小额结算，从统计数据来看，500元以下的支付复盖了条形码结算的95%。

上述《规范》是监管层与条形码支付相比较首次发布的业务规范。 赵哈里指出，由于条形码支付的业务和商业特点，其业务和技术风险具有特殊性。 特别是条形码结算与银行卡结算相比，采用交易指令单向验证简化了支付流程，提高了顾客的体验特征，因此更容易被黑客绕开银行卡认证机制实施“中间人”攻击，导致顾客资金被盗。

从条形码的静态图像和扫描装置来看，赵哈里亚用于条形码支付的(静止)条形码图形、扫描装置具有导入价格低、采用门槛低的竞争特点，因此条形码图形特别是静态代码难以分辨真伪 “从商户的角度来看，静态QR码粘在收银台上，如果有人偷偷换，换新QR码，顾客确实付了，但是商户收到的钱被转移给了不法分子。 ’赵哈利举个例子说。

《规范》在条形码生成和受理方面，提出交易验证方法、交易限额管理、新闻管理和安全防护、静态条形码应用管理、支付标记技术综合应用等措施。

根据风险防范能力的四种等级，《规范》对个人客户的条形码支付业务进行限额管理，风险防范能力达到等级d时，即采用静态条形码时，同一客户的单一银行账户或所有支付账户一天的累计交易金额不得超过500元

其他三类等级中，风险防范能力达到等级a，用包括数字证书或电子签名在内的两类(含)以上比较有效的因素验证交易的，可以通过与客户协商自主约定每日累计限额； 使用风险防范能力达到b级、不含数字证书、电子签名的2种以上比较有效的要素验证交易时，同一客户的单一银行账户或所有支付账户一天的累计交易金额必须在5000元以下； 风险防范能力达到丙级，以少于两种因素验证交易的，同一客户的单一银行账户或所有支付账户每天累计交易金额不得超过1000元。

《规范》确定，在符合相关资质审查和认定的情况下，小商户可以受理条形码支付； 另外，为了防止套现等交易风险，对于用同一身份证在同一接收机构办理的所有小商户，用信用卡条码支付收款额的日累计不超过1000元，月累计不超过1万元。 央行负责人在回答记者提问时指出，接受借记卡支付条形码不受收款额限制。

赵哈利认为，监管部门一方面要积极应对市场需求，满足小商户接受条形码支付的要求，另一方面不法分子滥用商事登记管理和税收改革政策中的小商户优惠政策，勾结小商户获取大额信用卡资金

与部分支付机构与多家银行领域金融机构或支付机构直接连接扩大商户相比，央行发布了该《规范》的通知〔〕296号指出，银行领域金融机构、支付机构进行条形码支付业务是否是跨行业交易？ 上述通知发布之日(年12月25日)以后，银行、支付机构不得新增不同法人机构之间直接连接的条形码支付业务。 库存业务应当按照人民银行的有关规定加速向合法清算机构转移解决。

从近年来条形码结算市场的快速发展来看，赵哈利认为条形码结算创新满足了民众零用现金结算的诉求，成为我国移动结算快速发展的重要体现形式，但其过低的市场准入门槛也引发了市场的无序竞争，“无证驾驶”

年初以来，各类市场主体不敢落后于人，一些支付机构采取持续补贴、交叉补贴的方法宣传条形码支付业务，大力办好“赛马场”。 赵哈利对此指出，央行在审查时强势发布上述《规范》，意味着条形码支付从此分为“无证驾驶”和“危险驾驶”。

来源：澎湃商业网