二维码支付被停是“错杀”吗？

2014年3月13日，央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码（二维码）支付等业务意见的函》和《中国人民银行支付结算司关于暂停财付通线下条码（二维码）支付等业务意见的函》，“暂停”（不是叫停）支付宝、腾讯的虚拟信用卡产品，同时叫停的还有条码（二维码）支付等面对面支付服务。传统金融业拍手叫好：早该管管了！互联网业痛心疾首：这是开历史倒车。有人直指这是这是银联的小动作，银联反击：施阴谋者最易以阴谋论指人。

先说说央行惩罚八家第三方支付公司的背景，这是源于一个“信用卡预授权漏洞”。信用卡有一个预授权功能，额度可以是溢缴款的115%。于是，有人蓄意往一张透支额度1万元的信用卡里存入100万元，然后找商家刷出115万元，套出15万元利益消失。当2014年1月大家发现这个漏洞的时候，涉案金额已经到了100亿元，相关机构损失可能达到15亿元左右！

有人说这是收单机构（第三方支付）的问题，有人说这是银联的规则的问题，有人说这是发卡行发了太多虚假的卡无法追查的原因。但不管最后板子打在谁的身上，这15亿已经蒸发了。一个小小的漏洞导致15亿的损失，发卡行没有详细审查用户资料的罪责难逃。这也解释了为什么央行要暂定“虚拟信用卡”的发行，因为这“违背和动摇了金融账户实名制的根基”。金融的风险不发生则罢，发生起来就风圈残云，天地为之变色。

再举一个例子。今年2月初，全球最大比特币交易平台Mt.Gox以技术故障为由，停止用户提现的服务。2月25日Mt.Gox正式申请法院破产保护，据媒体报道Mt.Gox因为受到黑客攻击，总共744408个比特币失窃，价值3.5亿美元，该平台因此资不抵债已申请破产。

这是怎么回事呢？据一位业内人士说，该比特币交易平台上的一个漏洞被黑客发现，让用户提现自己的比特币后，平台认为这笔提现没有成功。黑客利用这个漏洞，迅速反复提现，提空了平台上74万枚比特币，瞬间3.5亿美元蒸发。比特币不记名，无从追查，平台自己必须承担责任。因为无力向其他用户偿还3.5亿美元，全球最大的比特币交易平台Mt.Gox唯有宣告破产。这印证了金融业的那句老话：如果没有做好风险控制，做得越大，死得越快。

那么，二维码支付到底有没有安全风险呢？我看到一份资料，里面对二维码支付可能遇到的风险做了详尽的分析（你的竞争对手总是最了解你的），从手机客户端支付软件、用户银行卡账号/密码安全、后台转接清算系统的安全、二维码编码/解码/传输的安全、“微POS”们的安全等5个方面解析了二维码支付可能遇到的攻击。作为一个在微软工作了14年的IT人士，我认为这些分析不是没有道理。我们甚至可以从这些分析中，一点一点架构出一个攻击方案，确实比较可怕。

最后说说央行，在我看来，其实都是非常基本的要求，非常柔和，一点都不过分。比如，中国第一家P2P公司拍拍贷，成立8年来，一直坚持“只能提供信息服务，资金不能做杠杆，不能吸收存款”，那些违反这些原则做担保的，纷纷倒闭。这些监管，将非常有利于肃清互联网金融的本源，让投机者出局。

所以，作为“互联网金融”的极力的支持者，我其实理解这次央行“暂停”虚拟信用卡和二维码支付的出发点。这不是一次倒退，而是一次飞跃前的蓄势。