金管加强电子钱包保安 研开户认证统一化

(星岛日报报道)快速支付系统「转数快」于去年九月面世，电子钱包自此可设立电子直接扣帐授权服务（eDDA）经银行以转数快进行自动增值，但却因此暴露了其认证漏洞，有骗徒成功转走用户存款，而金管局已迅速堵塞该漏洞。该局副总裁李达志透露，为再加强保安安排，正与电子钱包公司商讨将开户流程进一步统一化，并要求增加开户的认证资料，冀上半年可推出有关方案及时间表。

金管局向储值支付工具营运商（SVF），亦即电子钱包，发牌至今已有两年多，共发了16个牌照。李达志表示，当初金管局向电子钱包发牌，因考虑到这属新事物，如果一开始便对开户要求太严格，或会窒碍电子钱包的发展，所以选择了便利方式去处理开户要求。他坦言「便利之馀，当然认证方面未必好全面」，基本上大部分的电子钱包都可能没有最高阶的认证过程，只是电子钱包推出之初，用途有限，问题相应不大。不过，随著电子钱包的用途愈来愈广泛，加上大家已习惯电子钱包此新事物，故认为「现时是时候检视电子钱包整个认证过程」，这亦迎合不断加强防洗钱的趋势。

他指，金管局正就此与电子钱包公司商讨有关开户流程进一步统一化，以及要求增加开户所需的认证资料，以加强保安，好让市民使用电子钱包可以「用得放心」。至于具体做法将参考银行的遥距开户认证方法，即市民开户所提供的身分证及自拍照片，必须经过验证真伪，如利用身分证的防伪特徵及面容辨识来作验证，又或可使用政府未来所推的eID（数码个人身分）作验证等，期望今年上半年可推出有关方案及时间表。

当落实新认证要求后，届时现有用户或须重新进行身分认证，主要视乎服务类别的风险高低，如属高风险服务，便须重新认证，料会有一个过渡期；如属一些基本服务则未必需要重新认证，但具体如何区分须作认证的服务类别，以及能否再使用不记名的太空卡手机号码来登记电子钱包等，金管局将会作出全盘考虑。

转数快推出不久，便爆出有不法之徒盗用市民的身分资料，并利用电子钱包认证漏洞设立eDDA转走受害人银行户口的款项，金管局迅即要求电子钱包公司须获银行确认用户身分的双重认证，才可提供eDDA服务予客户，否则必须暂停该服务。李达志称，目前已有2家电子钱包公司恢复eDDA服务，另一家公司亦表示很快恢复服务。他又说，金管局现与另外数家电子钱包公司在商讨发牌事宜，当中有些正在审批之中。

开放应用程式介面（Open API）为金管局力推的金融科技举措之一，共分四阶段推进，首阶段已于1月底前落实，第二阶段将于10月底前展开。

他指，银行公会将会物色一家机构协助筹备开展第二、三阶段的 Open API，旨在制定一套共同标准，以便统一对接入银行系统的第三方服务供应商的资格要求，包括在技术、保安、私隐处理及保存数据等方面，令Open API的应用有个简易流程。

首阶段约有20家银行共开放了500个API接口，涉及数十家第三方服务供应商共160个登记取用测试资料，而取用可用资料则有30个登记。