首页
互联网金融观察
揭秘聚合支付背后:涉嫌“黑钱洗白” 以及贩卖个人信息
发布时间:2017-12-20 09:42 来源:瞭望东方周刊

近日央行在《互联网金融风险专项整治工作实施方案》及《非银行支付机构风险专项整治工作实施方案》(112号文)的基础上,下发《关于进一步加强无证经营支付业务整治工作的通知》(银办发〔2017〕217号文,以下简称“217号文”),加大对其整治和处罚力度。

 

业内人士透露,这是2016年10月以来支付行业专项整治工作的延续与进一步升级。随着217号文出台,未来央行将以持证机构为整治切入点,全面检查持证机构为无证经营支付业务机构提供支付清算服务的行为,严格清肃行业乱象。

 

多位支付领域业内人士表示,近年随着支付方式快速发展,也催生大量聚合支付模式,即机构通过将不同支付方式集合在一起,让商户、用户使用方便,但不少支付机构却打着聚合支付的旗号从事“二清”行为,就会产生较大的交易风险及资金安全风险。

 

由于这类二清机构是直接开展商户资金结算,自行控制和支配相关资金,所以他们经常找理由拖延结算时间,或将资金挪用,触发了不少支付风险事件。比如多家无证机构挪用商户结算资金或持卡人预付资金,干脆“跑路”。

 

另外,由于这些无证机构不受监管约束,还会形成“劣币驱逐良币”的局面,扰乱整个支付行业的良性有序发展。

 

一位熟悉217号文出台过程的知情人士透露,在央行前期打击‘二清’的过程中,发现有些无证支付机构依赖银行和支付机构违规提供清算通道,因此217号文以持证机构作为整治切入点,意在切断从银行、支付机构、清算组织及下属公司获得清算通道的可能。

 

业内人士普遍认为,在强监管的背景下,支付行业漏洞将得以补上,而包括“第四方支付”在内的支付市场,也将面临一场大洗牌。

 

出事公司频繁跑路

 

6月29日消息,北京聚合支付平台“买单啦”涉嫌跑路。

 

记者多次尝试联系其400客服均杳无音信。“买单啦”官网QQ联系也显示不在线状态,申请加好友也无人应答。

 

资料显示,“买单啦”成立于2015年,11月宣布获得500万元天使轮融资。2016年7月,“买单啦”又完成了新一轮注资,希望加快全国城市的地推。

 

8月16日,一条关于支付公司跑路的新闻刷爆了支付行业的朋友圈,名为“信掌柜”的聚合支付平台疑似已经“跑路”。



 

2017年6月,国家互联网金融安全技术专家委员会(下称“专委会”)曾发布《“全国互联网金融阳光计划”第三周对投资者声音的反馈》。公告表明,“信掌柜”官网(http://www.xinzhanggui.net)宣传其开展的第三方支付业务及相关产品,但技术平台发现其经营主体(深圳市天下谷电子商务有限公司)第三方支付资质存疑,该平台涉嫌无资质开展第三方支付业务。

 

盗刷容易查处难

 

刘新之所以对聚合支付心存担忧,是因为他曾遇到过支付盗刷的事情。

 

“我网购了一件衣服,还没发货,店家说后台出现了问题,要我提供收钱二维码给他,他把钱退给我。”刘新告诉本刊记者,退款是收到了,但是随后这个第三方支付里的几百元钱,却一并被盗刷了。

 

像这种盗刷,并非偶然事件。

 

2017年8月,浙江绍兴警方查获一起“第四方支付机构”涉嫌诈骗的案件。

 

办案民警黄警官告诉《瞭望东方周刊》,诈骗方开设网店,利用网购退款获得消费者收款二维码,并通过一家名为普尔云的聚合支付公司获得扫码枪等设备,直接用扫码枪提取消费者账户里的余额。

 

“有些收钱码和付款码是集成在同一个二维码里的,这就给不法分子留下了可乘之机。”黄警官说。

 

据他介绍,由于不同第三方支付机构有每笔额度199元、499元等限制,聚合支付公司在后台是可以看到客户每次刷最高额度的异常资金流动情况的。

 

“但普尔云只是象征性地冻结诈骗方的账户,并且坐地起价要求诈骗方支付20%的手续费,这相当于‘黑吃黑’。”黄警官说。

 

此外,他还向本刊记者透露,一些“第四方支付机构”也会提供非法线上支付服务,比如给黄色网站提供支付服务收取8%的手续费,对赌博网站则是10%。

 

“像这样的‘第四方支付机构’很难查处。一方面,受害者与机构可能不在同一个地方,那么警方存在管辖权的困难;另一方面,因为他们有大量正常业务的掩盖,不好从头查起。”黄警官说,最后的取证也颇为凑巧,是通过普尔云员工与诈骗方未删除的聊天记录完成的。

 

国家信息中心网安研究院副院长叶红告诉《瞭望东方周刊》,钻互联网金融监管空子的事件频现,也与相关法律和规范不完善有关。

 

“在进行互联网金融违法犯罪行为调查时,因电子证据有效性和合法性尚有缺陷,造成了对违法犯罪事实认定的困难。我们要加强电子证据方面的研究,并在立法上推动电子证据的进一步完善。”她说。

 

“黑钱洗白”的秘密通道

 

当诈骗构成规模的时候,不法分子考虑的重点则是将黑钱洗白。在这个过程中,也出现了“第四方支付”的身影,不过他们凭借的介质不再是二维码,而是点卡、充值卡的密码。

 

需要了解的是,消费者通过微信支付、支付宝等第三方支付平台在线充话费,实际上是从消费者到第三方支付机构到聚合支付再到三大运营商。聚合支付在这一链条中,一面聚合第三方支付平台,一面聚合三大运营商,通过运营商提供的在线直冲程序接口实现充值。

 

2017年7月,江苏省宿迁市公安部门破获一起以手机充值卡的数字卡密为媒介的诈骗案件,发现手机充值卡所涉及的上游销售商、下游寄售商、耗卡商均有涉案嫌疑。

 

本刊记者了解到,2017年1月,江苏宿迁居民李刚(化名)做了份网络兼职,在“任信数卡商城”以110元价格购买一张100元面值的手机充值卡数字卡密,将卡密发给“商家”,获得返现115元。

 

李刚试了一把,立马收到了115元,顿时觉得“商家”可信,便以同样的价格购买了4840元手机充值卡数字卡密发给“商家”。而这次却没有收到返现,李刚发现被骗,于是报警。

 

这些诈骗而来的手机充值卡卡密急于变现,福建厦门人王军(化名)从中发现了“商机”,以96元、97元、97.5元的低价专门回收诈骗所得的100元面值的电信、联通、移动手机充值卡,然后再加价出售给聚合支付机构江苏欧飞网络公司(以下简称欧飞公司),由其消耗卡密。当然,这些卡密的售价还是低于正常渠道购买卡密的价格。

 

公安部门调查发现,月末、月初充值高峰期间,三大运营商服务器响应速度较慢,为确保充值质量,欧飞公司的系统会调用卡库里的密码为客户充值。这就给“黑钱洗白”提供了可乘之机。

 

公安部门了解到,欧飞公司从王军手中回收的卡密,不但不入卡库,且从回收到消耗至多2分钟,与平常10日左右的在库时长不匹配。公安部门进而调查发现,王军卖给欧飞公司的卡密金额总计9700余万元。

 

阿里巴巴集团安全部总监虞煜军向《瞭望东方周刊》透露,卡号和密码交易诈骗,占“第四方支付”整体犯罪的80%以上。

 

2017年8月,“浙江丽水615专案”收网,捣毁涉及全国12个省份的电信网络诈骗窝点40处,抓获涉案人员540人,刑拘犯罪嫌疑人414人,查封冻结涉案资金资产3035万余元,现场查扣现金567万元。经初步查明,全国近万人受害,涉案总额达1.6亿元。

 

个人信息贩卖成黑产

 

刘新对聚合支付的另一个担心在于,通过“第四方支付”,个人隐私是否会被泄露?

 

目前,业界对市场上的聚合支付大致分为四大类:只做技术整合的技术集成类平台;涉及信息“二清”的机构转接类平台;有相关牌照的、做信息和资金清算的机构直清类平台;以及主要做资金“二清”类的平台。

 

事实上,2017年1月,央行下发《关于开展违规“聚合支付”服务清理整治工作的通知》,将聚合支付严格定位于“收单外包机构”,明确规定聚合支付不得采集、留存特约商户和消费者的敏感信息。

 

遗憾的是,仍存在一些聚合支付的灰色地带。有业内人士向本刊记者透露,在聚合支付平台上发生交易,要想获取消费者信息并不困难,甚至有不法机构贩卖获得的消费者信息。

 

阿里巴巴集团安全部总监连斌也观察到,随着互联网金融的迅速发展,不少线上互联网金融公司采取注册返现的形式吸引用户,让倒卖身份信息有利可图。

 

“一些不法分子抓住实名认证技术和制度上的漏洞,倒卖实名身份信息、利用实名认证进行欺诈等违法违规行为和事件频出。”连斌告诉《瞭望东方周刊》。

 

据他介绍,以前的安全防护主要是针对账号的管理,比如淘宝账户、支付宝账号、银行账号等,但账号跟本人的对应有时会出问题,就有了让人钻的“空子”,即便不是本人也能利用身份信息注册获利。

 

阿里巴巴集团身份认证部门相关负责人林晶晶告诉《瞭望东方周刊》,一般的实名认证采取本人持身份证照像上传的模式,这甚至衍生了专门收取持证照的黑色产业链。

 

“这条黑色产业链已经逐渐深入到农村地区。相关人员打着赠送保健品或者提供免费咨询的旗号,要求农村老人拿着自己身份证照相做记录,转身拿到网上卖钱,量极大,并且价格已从几十元一份卖到几百元一份。”林晶晶说。

 

虞煜军还向本刊记者透露,不少诈骗分子还会锁定学生群体,以兼职的形式骗取他们做认证,成本极低。

 

本刊记者了解到,互联网公司有几种进行身份管理的技术和措施,皆已成熟:一是通过大数据和云计算,进行身份风险的管控;二是利用人脸、虹膜、声纹、活体认证等生物识别技术,实现精准度更高的认证;三是进行生命周期的动态管理,以剔除“僵尸”身份认证。

 

“只有从实名认证转向实人认证,才能堵住漏洞,彻底解决隐私泄露、信息贩卖的难题。”阿里巴巴集团副总裁余伟民对《瞭望东方周刊》说。

 

监管的顾虑
 

“一直以来,聚合支付领域确实存在着监管真空。”在一位接近监管的人士看来,李紫建的冤枉可以理解,却也十分无奈。“经过我们的调研,大量聚合支付的服务商有些触碰了核心的交易信息,有些触碰了交易资金,还有一些是都碰了。触碰核心交易信息容易导致金融信息泄露,触碰交易资金就更加危险。许多二清机构首先将钱收到自身平台上,然后再转给商户,这中间涉及到资金沉淀,资金安全将会受到严重威胁,属于违规业务,一旦平台跑路,就会引发商户上访的社会问题。现行的收单管理办法对收单外包的业务范围是有明确界定的,只有持牌的商业银行和支付机构才可以接触到敏感信息。因此我们认为,整顿第四方支付市场是有效的也是必要的。”

 

大多数从事聚合支付的机构都是无牌经营的企业,这让央行可能怀疑自己看到了一个假的支付市场。虽然根据监管的要求,第三方支付之间不能互接通道,聚合支付供应商不具牌照似乎也并不奇怪。

 

“聚合支付的违规本质而言和前些年POS违规原理差不多。大量二清机构存在,然后资金挪用、变造交易、层层嵌套的现象依然层出不穷。”一位接近央行的支付专家告诉经济观察报,只是换了换上了二维码的马甲,乱象却依旧:“虽然没有权威的数据统计,但从调研结果来看,违规和正规的比例可能是在一半一半。包括第三方支付机构本身其实也并非与聚合支付的业务全无关系,我们了解到市场上也存在第三方支付通过设立一个专门团队,或者收购市场上从事聚合支付的机构来介入这个市场的情况。”

 

一家第三方支付人士告诉经济观察报,想要做聚合支付的门槛非常低。“自己做一个门户——H5、APP或微信号都行,接入支付宝和微信,卖给商户收手续费再融合一些营销资源,收点增值业务的费用,然后就可以违规做T+0,这样就涉及了备付金和结算资金挪用。从应用场景而言,违背了‘了解你的客户’的原则。”该人士透露,尽管没有详实的第三方数据,但以其了解,目前在灰色地带交易量巨大,如套现、洗钱、诈骗甚至黄赌毒等违法犯罪领域。

 

聚合支付不同于第三方支付公司,前者主要通过返佣分成获得利润。但是这一部分是相对比较微薄的收入,利润空间非常有限,真正盈利还要依靠其他增值服务或金融服务。目前主要的方法有,通过与消费金融公司合作推出面向消费者的分期消费服务,为商户提供SaaS软件、会员体系管理、营销系统,或者推出面向商户的金融服务等。“敏感信息和资金是最重要的两项,商户的拓展、协议的签订和资质的审核、密钥pos终端,网络西溪加解密,交易监控、交易处理。其中,只要是非核心业务都是可以外包的,比如商户拓展、提供商户培训、为商户获客引流等等。”

 

支付创新似乎总是隔着一层看不见的玻璃墙,真正意义上的创新十分匮乏,变相的违规却总是无孔不入地寻找突破点,假借“创新”的名义层出不穷。无论是POS还是二维码生态,似乎都与生俱来的存在争议——既带来了操作上的便捷,也带来了违规的空间。“安全与便捷的平衡其实是一个伪命题,安全的层层把控必然是要让渡一部分的便捷的,反之也一样。”

 

“监管本意是希望在最大程度上扶持创新的,但核心业务不能外包,这是创新的底线和红线,这是监管在反复强调重申的。违规机构如果在规定的时间窗口内没有完成相应的整改工作,面向聚合支付的整顿工作就有可能被纳入今年的互联网专项整治工作中去。”上述支付专家表示。该人士判断,目前聚合支付乱象只是一个市场整顿过渡期的阶段性现象,随着互联网金融整治工作的推进,违规会慢慢减少。

靠谱众投 kp899.com:您放心的投资理财平台,即将起航!

【返回首页】
财经钻-财经观察
财经钻-互联网金融观察
财经钻-众筹/创投视野