商户用打印二维码收款属D级 消费者单日最高可扫500

12月27日，央行发布《条码支付业务规范》（试行）（以下简称《规范》）。根据风险防范能力的分级，《规范》要求对个人客户的条码支付业务进行限额管理。风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

这意味着商户打印出来二维码用来收款，这种日常所见的方式风险防范能力属于D级，对应的是，消费者扫码单日支付限额为500元。

对此，北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员赵鹞告诉《每日经济新闻》记者，二维码如果设置为静态并重复使用，易于隐藏木马等风险信息，这种情况下账户资金就可能被盗。同时，静态码的使用场景主要是日常微小额收付，从统计数据上来看，500元以下的支付已经覆盖了条码支付的95%。

首次明确条码支付交易限额

上述《规范》，是监管层针对条码支付首次发布的业务规范。赵鹞指出，条码支付的业务与商业优势，使得其业务与技术风险都有特殊性。特别是，条码支付相较于银行卡支付，其使用交易指令单向验证简化支付流程从而提升用户感受的体验优势，使得其易于被黑客绕过银行卡身份认证机制，实施“中间人”攻击，造成用户资金失窃。

从条码的静态图和扫码设备来看，赵鹞介绍，条码支付配套的（静态）条码图形、扫码设备具有部署成本低、使用门槛低的竞争优势使得条码图形，特别是静态条码真假难辨，其易被篡改、变造，用户扫码支付风险突出。“从商户的角度来看，静态二维码粘在收银台上，谁要是悄悄替换掉，换一个新的二维码，客户确实支付了，但本该商户收的款却被不法分子转移走了。”赵鹞举例说。

《规范》在条码生成和受理方面，提出交易验证方式、交易限额管理、信息管理和安全防护，静态条码应用管理、综合应用支付标记化技术等措施。

根据风险防范能力的四类分级，《规范》对个人客户的条码支付业务进行限额管理，风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

在其他三种级别中，风险防范能力达到A级，即采用包括数字证书或电子签名在内的两类（含）以上有效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额；风险防范能力达到B级，即采用不包括数字证书、电子签名在内的两类（含）以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元；风险防范能力达到C级，即采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。