10号文要求客户银行账户与第三方支付机构首次建立业务关联时,必须通过第三方支付机构和银行双重身份鉴别,账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。
商业银行应设立与客户技术风险承受能力相匹配支付限额,包括单笔支付限额和日累计支付限额。同时,商业银行应向客户提供临时调整支付限额的服务,在进行身份验证和辨别后,按照客户申请,在临时期限内可以适当调整单笔支付限额和日累计支付限额。
在赔付责任方面,要求商业银行在与第三方支付机构签订合作协议时,要求对客户通过大额资金划转强化身份认证,确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。
10号文还要求银行将于第三方支付机构的合作业务纳入运营风险监测系统的监控范围,特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道(如专线连接、VPN通道等),制定安全边界(如部署防火墙、DMZ隔离区等),防止第三方机构越界访问。
分析人士认为,增加银行身份鉴别,可能影响开通快捷支付的便捷性和客户体验。中金报告指出,第三方支付机构的快捷支付功能将受到进一步限制。继四大行下调快捷支付的支付限额后,此次10号文提到了两点,可能会对快捷支付,包括余额宝等申购产生影响。
中金报告还指出,所谓越界访问,指快捷支付的功能超出了银行的授权范围。据我们了解,银行普遍对支付接口的用途设定一定的限制,比如只能用于缴纳水电煤气费,但部分第三方支付机构在操作中存在扩宽支付接口用途的行为,比如将之扩宽到购物。
此外,10号文指出,“首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别”。而实践操作中,开通快捷支付时一般只需要第三方支付机构的身份鉴别。增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。