(星島日報報道)快速支付系統「轉數快」於去年九月面世,電子錢包自此可設立電子直接扣帳授權服務(eDDA)經銀行以轉數快進行自動增值,但卻因此暴露了其認證漏洞,有騙徒成功轉走用戶存款,而金管局已迅速堵塞該漏洞。該局副總裁李達志透露,為再加強保安安排,正與電子錢包公司商討將開戶流程進一步統一化,並要求增加開戶的認證資料,冀上半年可推出有關方案及時間表。

  金管局向儲值支付工具營運商(SVF),亦即電子錢包,發牌至今已有兩年多,共發了16個牌照。李達志表示,當初金管局向電子錢包發牌,因考慮到這屬新事物,如果一開始便對開戶要求太嚴格,或會窒礙電子錢包的發展,所以選擇了便利方式去處理開戶要求。他坦言「便利之餘,當然認證方面未必好全面」,基本上大部分的電子錢包都可能沒有最高階的認證過程,只是電子錢包推出之初,用途有限,問題相應不大。不過,隨著電子錢包的用途愈來愈廣泛,加上大家已習慣電子錢包此新事物,故認為「現時是時候檢視電子錢包整個認證過程」,這亦迎合不斷加強防洗錢的趨勢。

  他指,金管局正就此與電子錢包公司商討有關開戶流程進一步統一化,以及要求增加開戶所需的認證資料,以加強保安,好讓市民使用電子錢包可以「用得放心」。至於具體做法將參考銀行的遙距開戶認證方法,即市民開戶所提供的身分證及自拍照片,必須經過驗證真偽,如利用身分證的防偽特徵及面容辨識來作驗證,又或可使用政府未來所推的eID(數碼個人身分)作驗證等,期望今年上半年可推出有關方案及時間表。

  當落實新認證要求後,屆時現有用戶或須重新進行身分認證,主要視乎服務類別的風險高低,如屬高風險服務,便須重新認證,料會有一個過渡期;如屬一些基本服務則未必需要重新認證,但具體如何區分須作認證的服務類別,以及能否再使用不記名的太空卡手機號碼來登記電子錢包等,金管局將會作出全盤考慮。

  轉數快推出不久,便爆出有不法之徒盜用市民的身分資料,並利用電子錢包認證漏洞設立eDDA轉走受害人銀行戶口的款項,金管局迅即要求電子錢包公司須獲銀行確認用戶身分的雙重認證,才可提供eDDA服務予客戶,否則必須暫停該服務。李達志稱,目前已有2家電子錢包公司恢復eDDA服務,另一家公司亦表示很快恢復服務。他又說,金管局現與另外數家電子錢包公司在商討發牌事宜,當中有些正在審批之中。

  開放應用程式介面(Open API)為金管局力推的金融科技舉措之一,共分四階段推進,首階段已於1月底前落實,第二階段將於10月底前展開。

  他指,銀行公會將會物色一家機構協助籌備開展第二、三階段的 Open API,旨在制定一套共同標準,以便統一對接入銀行系統的第三方服務供應商的資格要求,包括在技術、保安、私隱處理及保存數據等方面,令Open API的應用有個簡易流程。

  首階段約有20家銀行共開放了500個API接口,涉及數十家第三方服務供應商共160個登記取用測試資料,而取用可用資料則有30個登記。