央行:支付机构不得为P2P开立支付账户(含典型案例)
央行12月28日傍晚公布了《非银行支付机构网络支付业务管理办法》,强调支付机构不得为金融机构和从事金融业务的其它机构开立支付账户。
也就是说,“不得为P2P这类机构开设支付账户”。央行支付司司长谢众在当日傍晚的媒体吹风会上表示。
对此,央行在答记者问中进一步解释说,“鉴于金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等机构本身存在金融业务经营风险,同时支付机构的内控制和风险管理体系普遍还不够完善,抵御外部风险冲击的能力较弱,为保障有关各法权益,有效隔离跨市场风险,切实守住不发生系统性和区域性风险的底线,《办法》规定支付机构不得为金融机构和从事金融业务的其他机构开立支付账户”。
央行还称,近年来支付机构大力发展网络支付服务促进了电子商务和互联网金融的快速发展,对支持服务业转型升级、推动普惠金融发挥了积极作用。同时支付机构的网络支付业务也面临一些问题和风险,必须加以重视和防范:一是客户身份识别机制不够完善,为欺诈套现洗钱等风险提供了可乘之机;二是以支付账户为基础的跨市场业务快速发展沉淀了大量客户资金加大了资金流动性管理压力和跨市场交易风险;三是风险意识相对较弱在客户资金安全和信息安全保障机制等方面存在欠缺;四是客户权益保护亟待加强,存在夸大宣传、虚假承诺、消费者维权难等问题。
来自央行的一份内部报告亦显示,近年来,通过非银行支付机构办理支付业务的客户资金风险案件频发,暴露出部分支付机构一味追求支付便捷而忽视支付安全、支付系统存在严重漏洞、客户资金安全和信息安全难以得到有效保障等问题。
该报告列举了一些支付机构对商户资质审核不严、监控不力,导致欺诈、客户银行账户资金无端被扣划等现象,甚至有些互联网金融平台借助第三方支付非法吸存。
案例1:支付机构违规提供接口为赌博网站提供支付服务
2015年11月17日,媒体报道一家名为“博狗”的境外赌博网站可使用银联在线支付和支付宝支付进行赌博交易,经调查,该赌博网站利用支付机构对特约商户管理漏洞,通过非法连接支付机构正常商户支付接口实现涉赌资金网上收付。其中,该网站所显示的“银联在线支付”图标系冒用,支付宝通道由支付宝特约商户“深圳市乐华晟贸易有限公司”提供。实际的支付路径为支付宝、汇潮支付有限公司、上海汇付数据服务有限公司、宝付网络科技(上海)有限公司和智付电子支付有限公司收单后直送发卡行网银处理或由银联转接清算。至调查时,涉事收单机构已关闭了涉事商户的交易权限,进一步的风险处置正抓紧实施。该情况属于典型的支付机构对特约商户交易行为监控和管理不力,导致特约商户支付接口滥用,为赌博资金提供了便利。
案例2:支付机构对商户资质审核不严,导致接入欺诈类交易平台商户
日前,公安机关侦办了一起涉嫌利用虚假现货交易平台实施诈骗的案件,暴露出支付机构对商品现货交易平台类商户审核不到位、风险监测不力、支付账户设置和管理隐含法律风险等隐患。犯罪嫌疑人成立电子商务类公司,虚构“XXX大宗商品现货交易平台”等现货交易平台,通过征召多个一级代理商招揽群众参与平台交易。在被骗者刚开始投入小额资金试探阶段故意让其盈利,待其投入大额资金时,通过后台人为操纵造成被骗者亏损。虚拟现货交易平台通过与部分支付机构签订协议完成资金划转、虚假现货平台事先购买他人开立的多个银行卡账户并以他人名义参与交易。当其通过后台人为操纵造成被骗者亏损时,亏损金额通过支付机构从被骗者银行卡账户或支付账户转入犯罪嫌疑人控制的、事先购买并设置的银行卡账户。据统计,两个平台受害群众达到数千名,涉案金额过1亿元。
案例3:擅自开放代扣接口给外部平台,导致客户银行账户资金无端被扣划
2015年发生多起用户银行存款莫名消失的情况,来自湖北的罗先生的银行卡先被存入1.61元,紧接着手机收到的短信提示显示卡里剩余的近8万元被人悉数转走,几乎是1分钟转走1万元,10分钟全部转完。经过调查分析,发现这些交易是由于一些支付机构滥用跨行代扣接口导致的。按照行业惯例,代扣接口一般用于水电煤、保费等小额定期支出,不能用于投资理财之类的大额划账。但是,近几年一些支付机构在与商户建立“代收业务”合作关系时,不履行尽职调查义务,对商户准入资格,资金交易的真实背景、被扣款主体的意愿及身份信息疏于审核验证,导致不法分子通过伪造客户签名和委托扣款协议成功扣划客户银行存款,将风险从支付机构向商业银行扩散转移。
案例4:互联网金融平台借助第三方支付非法吸存
目前,根据公安机关反映,在利用P2P平台非法吸存或在未取得行政许可非法设立期货交易平台等犯罪案件中,犯罪分子将平台接入支付机构,在第三方支付机构开立支付账户,由支付机构为客户提供支付通道,资金汇集后仍由平台直接掌控账户资金。如德州公安机关侦办的“财益创投”非法吸存案件中,犯罪嫌疑人宣某注册成立乐陵市鑫广源投资管理咨询有限公司并建立P2P平台,该平台在多家第三方支付公司设立支付账户后非法吸存。菏泽公安机关侦办的“雅戈创投”P2P平台非法吸存案件中,接入宝付公司设立账户归集资金。此外部分P2P平台借助投资人追求资金安全的心理,大肆宣传与第三方支付机构开展资金托管、平台无法触碰项目投资资金、资金直接划转到借贷项目企业等虚假内容,而平台却通过制作虚假标的文书、转移截流投资资金。如济南公安机关侦办的上咸投资有限公司非法吸存案件中,该平台采用上述手段于2013年至2014年期间反复制作虚假投资标的非法吸存。
案例5:借记卡通过第三方支付途径被盗刷案
某银行客户游某2014年12月23日至27日之间,其借记卡被累计盗刷4万余元,且盗刷期间,客户13笔动帐通知短信均未能收到,2014年12月24日,游小东曾接到银联电话询问,是否于23日在网上消费5000余元,但游小东以为是诈骗,简单予以否认,直至12月27日发现银行卡被盗刷。经调查,游某资金通过多个第三方支付公司渠道被盗刷。
截至2015年7月,经多次协调,已追回2万多元,尚有一万多元仍未追回。
案例6:乌云平台曝支付机构系统漏洞,客户信息面临风险
2015年10月24日,乌云平台发布某第三方支付机构系统漏洞,发现只需一个手机号即可查到账户资金变动信息(包括余额、工资、资金明细、转账验证码等)。此漏洞主要涉及银行卡交易短信日志风险,目前已得到涉事支付机构的确认。业内人士评论称,尽管从目前情况看该漏洞主要涉及对已发送短信的查看而不是实时账务,但账户余额、手机号及卡片尾号后四位数据泄露有可能会引发针对性诈骗。
另外,该内部报告还列出了今年10月10日,新浪微博博主F9y4ng爆料其支付宝账户被关联未知账户的事件。该博主爆料称其支付宝账户的实名认证信息下被关联绑定了五个未知账户,但其完全没收到任何形式的确认或告知信息。一些支付宝用户担心需要为这些子账户的不良信用负责,同时担心自己的个人征信信息会受到影响。该事件显示支付机构实施实名认证中的漏洞,亦凸显个人征信机构的征信信息来源的准确性等连锁问题。