金管加強電子錢包保安 研開戶認證統一化

(星島日報報道)快速支付系統「轉數快」於去年九月面世，電子錢包自此可設立電子直接扣帳授權服務（eDDA）經銀行以轉數快進行自動增值，但卻因此暴露了其認證漏洞，有騙徒成功轉走用戶存款，而金管局已迅速堵塞該漏洞。該局副總裁李達志透露，為再加強保安安排，正與電子錢包公司商討將開戶流程進一步統一化，並要求增加開戶的認證資料，冀上半年可推出有關方案及時間表。

金管局向儲值支付工具營運商（SVF），亦即電子錢包，發牌至今已有兩年多，共發了16個牌照。李達志表示，當初金管局向電子錢包發牌，因考慮到這屬新事物，如果一開始便對開戶要求太嚴格，或會窒礙電子錢包的發展，所以選擇了便利方式去處理開戶要求。他坦言「便利之餘，當然認證方面未必好全面」，基本上大部分的電子錢包都可能沒有最高階的認證過程，只是電子錢包推出之初，用途有限，問題相應不大。不過，隨著電子錢包的用途愈來愈廣泛，加上大家已習慣電子錢包此新事物，故認為「現時是時候檢視電子錢包整個認證過程」，這亦迎合不斷加強防洗錢的趨勢。

他指，金管局正就此與電子錢包公司商討有關開戶流程進一步統一化，以及要求增加開戶所需的認證資料，以加強保安，好讓市民使用電子錢包可以「用得放心」。至於具體做法將參考銀行的遙距開戶認證方法，即市民開戶所提供的身分證及自拍照片，必須經過驗證真偽，如利用身分證的防偽特徵及面容辨識來作驗證，又或可使用政府未來所推的eID（數碼個人身分）作驗證等，期望今年上半年可推出有關方案及時間表。

當落實新認證要求後，屆時現有用戶或須重新進行身分認證，主要視乎服務類別的風險高低，如屬高風險服務，便須重新認證，料會有一個過渡期；如屬一些基本服務則未必需要重新認證，但具體如何區分須作認證的服務類別，以及能否再使用不記名的太空卡手機號碼來登記電子錢包等，金管局將會作出全盤考慮。

轉數快推出不久，便爆出有不法之徒盜用市民的身分資料，並利用電子錢包認證漏洞設立eDDA轉走受害人銀行戶口的款項，金管局迅即要求電子錢包公司須獲銀行確認用戶身分的雙重認證，才可提供eDDA服務予客戶，否則必須暫停該服務。李達志稱，目前已有2家電子錢包公司恢復eDDA服務，另一家公司亦表示很快恢復服務。他又說，金管局現與另外數家電子錢包公司在商討發牌事宜，當中有些正在審批之中。

開放應用程式介面（Open API）為金管局力推的金融科技舉措之一，共分四階段推進，首階段已於1月底前落實，第二階段將於10月底前展開。

他指，銀行公會將會物色一家機構協助籌備開展第二、三階段的 Open API，旨在制定一套共同標準，以便統一對接入銀行系統的第三方服務供應商的資格要求，包括在技術、保安、私隱處理及保存數據等方面，令Open API的應用有個簡易流程。

首階段約有20家銀行共開放了500個API接口，涉及數十家第三方服務供應商共160個登記取用測試資料，而取用可用資料則有30個登記。