金管局上月推出的「轉數快」(FPS)系統懷疑出現轉賬支付漏洞。近日有求職者向僱主提供銀行賬戶和身份證資料後,被人利用「轉數快」服務,提走銀行賬戶裡近10萬元存款,分別存入騙徒的支付寶HK和拍住賞(Tap & Go)賬戶。「轉數快」是本港金融創新的新嘗試,備受各界關注。警方必須盡快破案,打擊騙徒,金管局更有責任向銀行和電子錢包追討責任,確保苦主得到賠償。更重要的是,金管局須將事件引以為鑒,確保系統安全,杜絕類似事件重演,避免動搖市場對「轉數快」的信心。
「轉數快」自上月30日開通以來,金管局已收到3宗相關投訴。就今次案件,金管局已叫停「電子直接扣賬授權服務」,並指令電子錢包機構檢討現行身份驗證措施。警方亦將案件列作「以欺騙手段取得財產」,展開調查。期待警方與金管局、銀行、電子錢包等各方通力合作,盡快破案。
事件發生後,金管局強調事件與「轉數快」系統的個人轉賬和支付服務的安全無關;銀行表示是受害人自己發出的轉賬指令;香港電訊就表示,事件與 Tap & Go「拍住賞」系統的安全無關。AlipayHK亦強調,並不存在任何系統漏洞。這些表態令公眾困惑,既然「轉數快」各環節都安全,為何受害者的金錢仍被人盜取?其實各方所講的都是「技術語言」,只是強調自己的系統安全沒有問題,但本案的發生,並非支付系統出錯,而是相關的認證程序存在明顯漏洞。
按照現時的程序,當騙徒掌握受害人的身份證、銀行賬戶等個人資料時,毋須真人驗證,即可在支付寶HK、Tap & Go 等電子錢包登記賬戶,並連結至銀行賬戶,再開通「轉數快」服務,就可以將受害人銀行戶口內的錢轉走。整個程序頗為兒戲,存在多重漏洞。
首先,騙徒登記電子錢包時,可以不使用用戶在銀行登記的電話號碼接收驗證碼,而是用登記電子錢包的電話號碼來驗證身份;第二,銀行在賬戶連結至外部電子錢包時,沒有通知客戶作雙重認證;第三,香港電話號碼不實行實名制,騙徙可以輕易購買預付電話卡作案。
因此,金管局有責任作出更明確指引,要求「轉數快」的驗證程序更嚴謹,例如要求銀行進行雙重認證,或電子錢包開戶時,要真人或視像確定是本人操作。
作為本港的快速支付系統,「轉數快」打通參與銀行及支付工具的經脈,讓用戶可進行跨行雙幣實時轉賬,是本港快速支付的一大進步,部分功能甚至較內地及海外的競爭者更勝一籌。本港金融、零售業都對其寄予厚望,希望本港在電子快速支付發展再度領先。
不過,任何支付方式,安全最重要,必須在確保安全的前提下,才能尋求簡便快捷,否則毫無意義。「轉數快」服務推出以來,金管局做了不少廣告,但相關宣傳都只是強調「轉數快」的方便,但對開通程序和使用安全的教育卻欠奉。
今次案件發生後,金管局、銀行、支付工具營運商都必須立即行動,檢討程序、堵塞漏洞,為本港金融科技創新打好基礎。