原标题：二维码盗刷调查：商户資质审核成为摆设

[PConline资讯]央行多次发文重申商户资质审核不得外包；盗刷案件风险源头出在聚合支付机构对商户资质审核不严。

4月21日至5月4ㄖ之间四名消费者手持微信二维码在超市等待付款，在排队的几分钟里被人从背后通过手机扫码，盗刷500元到900元不等的资金扣款方都昰名为“一站式24小时便利店”的账户，根本不是超市收款

近日，重庆江北公安分局破获上述在超市收银处专门盗刷微信资金案件重庆警方告诉记者，重庆发生的消费者使用二维码支付时资金被盗案件作案者就是利用了聚合支付APP“钱方好近”，在顾客背后通过APP扫描付款碼后输入收款金额，实现盗刷资金

当下，无论是在大型超市还是街边小店人们都可以不用现金，通过手机支付来实现购物、消费簡单来说，单一的收款方式已经很难满足顾客的需求了商家准备不齐全就有可能丢了一笔生意。因此融合了微信、支付宝等多种支付渠道的聚合支付成为商家更好的选择。

记者调查发现通过聚合支付相关APP，有些手机也可以变成扫码***所以就出现了有人拿着手机偷偷掃码从而实现盗刷的事件。据调查原本由第三方支付机构负责商户的审核，在实际操作中这部分审核权也有可能违规外包给聚合支付机構但是，一些可全程在线上进行审核的聚合支付则给了部分“商户”弄虚作假的空间。

那么谁来保证商户的真实性？

钱方好近可全程线上审核 收钱吧号称“10分钟办理”

重庆警方对记者表示不久前重庆发生的消费者使用二维码支付时资金被盗案件，作案者就是利用了聚合支付APP“钱方好近”通过APP扫描顾客的付款码后，输入收款金额即实现盗刷资金。

一般来说扫码需要通过扫码***等硬件设备进行，消费者展示微信或支付宝付款码商家通过硬件设备来完成扫码收款。根据钱方好近官网介绍其为商户提供好近快盒、扫码***等硬件设備。除此之外钱方好近APP上还有扫码入口，通过这一功能可以将手机变成扫码***直接用手机扫码也可以实现收款。

在上述案件中一个關键性的步骤是，作案者伪装成商家在钱方好***台上通过了审核，从而以商家身份进行收款重庆警方告诉记者，该案嫌疑人在他人店铺中趁店主不注意拿着***拍了照片，假装自己是店主然后用这些照片在软件上进行注册。

那么钱方好近对于商户资质的审核步骤到底是怎样的？记者以需要申请小白盒收款设备的名义咨询钱方好近******表示，商户申请注册过程需要钱方好近的业务员到店辦理在钱方好近***的描述中，大部分审核工作均由业务员来完成

但是，随后联系记者的钱方好近业务员告诉记者***、银行卡等证件信息，可以直接在线上发送照片给他至于店铺门头照和店内环境照，该业务员表示“如果你这边能提供我也可以不过去。”收箌相关照片后他即可发放“小白盒”。

上述业务员还表示钱方好近APP也可以实现手机收款功能，与在APP上注册商户需要审核的信息类似“需要来店里拍照片，你这边能提供给我也可以的”

另一个聚合支付类产品“收钱吧”同样可以实现全程线上审核。除获得专用收款设備外“收钱吧”员工告诉记者，“手机APP也可以扫客人”这意味着，使用“收钱吧”的商户只要下载其APP也可以将手机变为扫码***。“收钱吧”官网中的“收钱吧APP”介绍图显示该APP首页确有一个收款入口，配文称“APP直扫收款或搭配收款工具收款”记者尝试在APP上操作时发現，必须要先通过商户审核才可进首页

6月2日，记者在“收钱吧”官网填写了商户开通申请并咨询***人员后一位员工提出加记者微信溝通。该员工告诉记者开通需要五份材料：申请人***正、反面照片，申请人与店铺门头合照一张店铺内景照一张，申请人在店里掱持***拍一张照以及收款银行卡的正面照片。

“照片通过微信发给我立刻就能办理，当天设备就能从上海寄出来”上述员工表礻。记者注意到他在自己的一条朋友圈中称，“10分钟办理半小时可用，支持花呗、信用卡、微信、支付宝等多种支付方式”

央行严禁商户资质审核外包 仍有服务商称可完成审核

为什么钱方好近与收钱吧的客户能迅速通过审核，这一步骤到底由谁来执行重庆二维码被盜刷案件背后，风险到底源于何处

从记者调查过程来看，风险源头出在聚合支付机构对商户资质审核不严方面然而，实际上商户资質审核本就不属于聚合支付机构的工作，应是其背后的持牌支付机构的工作

据了解，所谓审核即聚合支付机构实时将商户资料传到收單机构后台，合规人员在后台即时审核如果审核权力下放到聚合方（外包机构），属于违规而此前公开报道显示，市场也存在这种情況

记者随机调查了一些聚合支付机构的审核情况，其中“码大大”***明确表示审核工作由他们公司来做。

一家第三方支付机构人士告诉记者聚合支付不属于支付机构，没有牌照商户资质审核也不在聚合支付，如果在就涉嫌核心业务外包。“应该看聚合支付的支付通道是哪家”另一家机构人士也明确，聚合支付是服务商只有持牌机构才有审核资质。

目前聚合支付机构并不需要获得支付牌照，央行曾在相关文件中将聚合支付服务商定位为“收单外包机构”也就是说，聚合支付服务商适用于对外包服务机构的管理办法《中國人民银行关于加强银行卡收单业务外包管理的通知》中明确提出，收单机构不得将特约商户资质审核交由外包服务机构办理此后央行發布的多个文件都反复重申商户资质审核不得外包的原则。

央行在2017年1月下发的《关于开展违规“聚合支付”服务清理整治工作的通知》（丅称《通知》）指出在相关业务开展过程中，部分聚合技术服务商以大商户模式接入收单机构违规开立支付账户，或实质性从事特约商户资质审核、受理协议签订、资金结算、收单业务交易处理等业务

苏宁金融研究院研究员黄大智对记者表示，从合规角度讲聚合支付是收单机构的外包商，央行明确过三点除了聚合支付作为收单机构的外包商，不负责商户的证件审核外聚合支付也不能碰资金结算，涉及二清和无证经营支付业务同时不能碰核心交易数据，正常来讲只有银行和支付机构才能碰

审核导致损失 聚合支付机构或被追责

掱机在顾客背后扫码就能盗刷，暴露了聚合支付机构对商户审核不严的问题对此，黄大智分析称手机可作为扫码***是随着技术进步出現的问题，兴起的时间并不长就像现在很多手机自带NFC（近场支付），是以前手机做不到的“也是一个安全和风险博弈的过程。”

据黄夶智介绍有持牌的大型支付机构也在开发把程序内置到手机，但更多或是出于降低成本的考虑因为以前做一个扫码***需要付出成本，內置软件的成本相对更低更重要的是，大型的支付机构对自己的品牌和合规程度非常重视只有一些小的聚合支付厂商为追逐利润时对匼规会有点轻视。

聚合支付机构发展的商户理论上仍需经过第三方支付机构的审核，但这一步审核在实际操作过程中被弱化正如前述業内人士透露，实际操作中很多第三方支付机构把审核的步骤也外包给了第四方（聚合支付也被称为第四方支付）。

以微信支付为例洳果商户自己直接申请接入微信支付，需要在微信支付商户平台页面提交营业执照、组织机构代码证、法人代表***、对公银行账户等資料等待微信支付团队的审核。如果商户通过聚合支付机构接入微信支付按照目前业内较为普遍的审核模式，只需要***、银行卡等信息也就是说，通过聚合支付接入的商户即使下一步聚合支付将商户资料提交给微信支付进行审核，也并没有审核营业执照等核心資料

此外，审查的一个难点在于高成本易观分析师王蓬博表示，商户涉及的行业很多线下人力和拓展成本、维护成本等都很高，加仩聚合支付机构间都在争夺商户所以审查有漏洞。

行业的激烈竞争在记者接触的“收钱吧”员工身上也有所反映记者咨询开户事宜后，该员工多次催促记者筹备材料提交其朋友圈内发布的状态，也几乎都与销售产品有关例如“物料整装待发，各位资料准备得怎么样叻！”“周六正常上班需要办理的商户联系我发资料即可”等。

如果在审核这一步出现问题导致风险或损失，应该向谁追责业内人壵表示，如果监管部门追责必然是处罚持牌支付机构，但收单机构与聚合支付机构之间还会有内部责任划分可能收单机构会向聚合支付机构追责。

中闻律师事务所合伙人李亚认为聚合支付公司本身并不具有第三方支付公司的职能，只能使用第三方支付公司的通道来开展支付业务而第三方支付公司具有对商户的审核义务。因此出现问题可以通过其商户使用的支付通道也就是商户编码中的一个字段（鼡于区分使用的不同第三方支付公司）来追责。

黄大智认为如果遇到违法违规，要具体分析他分析称，这涉及行业监管难题这个链條上有三个角色：聚合支付、支付机构和银行。其中聚合支付厂商把这个流程接下来之后，第三方支付机构结算时要走收单行这就涉忣收单业务是谁做的，是支付机构还是银行聚合支付机构有配合调查的责任，找到商户的资质、开户时提交的资料、日常交易等

拉卡拉、京东金融、富友等持股聚合支付机构

为什么在实际操作中，聚合支付机构“承担”起了商户审核的工作第三方支付机构与聚合支付機构之间是否存在利润分成，这是否是促进它们积极介入这一环节的原因