金管加強電子錢包保安 研開戶認證流程統一化

        快速支付系統「轉數快」於去年九月面世,電子錢包自此可設立電子直接扣帳授權服務(eDDA)經銀行以轉數快進行自動增值,但卻因此暴露了其認證漏洞,有騙徒成功轉走用戶存款,而金管局已迅速堵塞該漏洞。該局副總裁李達志透露,為再加強保安安排,正與電子錢包公司商討將開戶流程進一步統一化,並要求增加開戶的認證資料,冀上半年可推出有關方案及時間表。

        金管局向儲值支付工具營運商(SVF),亦即電子錢包,發牌至今已有兩年多,共發了16個牌照。李達志表示,當初金管局向電子錢包發牌,因考慮到這屬新事物,如果一開始便對開戶要求太嚴格,或會窒礙電子錢包的發展,所以選擇了便利方式去處理開戶要求。他坦言「便利之餘,當然認證方面未必好全面」,基本上大部份的電子錢包都可能沒有最高階的認證過程,只是電子錢包推出之初,用途有限,問題相應不大。不過,隨著電子錢包的用途愈來愈廣泛,加上大家已習慣電子錢包此新事物,故認為「現時是時候檢視電子錢包整個認證過程」,這亦迎合不斷加強防洗錢的趨勢。

現有用戶或需重新認證

  他指出,金管局正就此與電子錢包公司商討有關開戶流程進一步統一化,以及要求增加開戶所需的認證資料,以加強保安,好讓市民使用電子錢包可以「用得放心」。至於具體做法將參考銀行的遙距開戶認證方法,即市民開戶所提供的身份證及自拍照片,必須經過驗證真偽,如利用身份證的防偽特徵及面容辨識來作驗證,又或可使用政府未來所推的eID(數碼個人身份)作驗證等,期望今年上半年可推出有關方案及時間表。

  當落實新認證要求後,屆時現有用戶或需重新進行身份認證,主要視乎服務類別的風險高低,如屬高風險服務,便需重新認證,料會有一個過渡期;如屬一些基本服務則未必須要重新認證,但具體如何區分需作認證的服務類別,以及能否再使用不記名的太空卡手機號碼來登記電子錢包等,金管局將會作出全盤考慮。

  轉數快推出不久,便爆出有不法之徒盜用市民的身份資料,並利用電子錢包認證漏洞設立eDDA轉走受害人銀行戶口的款項,金管局迅即要求電子錢包公司須獲銀行確認用戶身份的雙重認證,才可提供eDDA服務予客戶,否則必須暫停該服務。李達志稱,目前已有2家電子錢包公司恢復eDDA服務,另一間公司亦表示很快恢復服務。

hd