三、四大行为了打压余额宝而降低了快捷支付额度？工行整合接口更是变本加厉？

也不知道谁给银行们权力，可以伤害储户支配自己资金的权力。更不知道谁来监管四大“国手”联合封杀的合法性？

——马云，四大行分别下调快捷支付限额后发表于来往

无论是马云，还是高呼“我们被捆着怎么和他打”的传统银行，又或者本来没表态却躺枪被指为幕后黑手的银联，在面对媒体的时候都有意无意的忽略了同一个问题：银行的客户，大多数并没有开通快捷支付。

而这大多数中的大多数，他们甚至都不知道快捷支付是什么。他们只知道银行卡的密码只要不被别人知道，存在里面的钱就是安全的，就算卡丢了，他们也有充足的时间进行挂失。

很遗憾，这是个幻觉。

任何一个与支付宝快捷支付同时开通过任何一家银行或者银联的快捷支付类产品的人，都会很容易的发现一个问题：支付宝的快捷支付不验证借记卡密码，而其他银行及银联产品都要验证。

这看起来很好解释，银行绝对不可能允许支付宝同时掌握其客户的卡号及卡密码，这是涉及银行信用的安全问题，所以支付宝开通的时候自然不可能去向银行验证，但是这就带来一个问题：如果客户开卡时的预留手机号非其本人使用，或者客户的手机与卡同时丢失，导致资金通过快捷支付被盗取，谁来负责？很显然，受害者不可能去找支付宝，因为这些客户在资金被盗之前只是银行的客户，而不是支付宝的。

事实上此类案件早已有之，绝大多数的以“低息无抵押贷款”为诱饵的诈骗均为此类方式。骗子一般都诱使受害者开通一张新的借记卡并要求告知卡号，同时以验证还款能力为由要求受害者将银行卡预留电话登记为骗子手机号并存入资金，后面的结果可想而知，几分钟之内资金就从快捷支付渠道被转走。而受害者一般除了报警之外，也会找到银行，而银行此时有口难辩：银行卡预留手机号对银行来讲，并不是一个关键性的安全信息，如果客户故意填写错误，银行方无法识别。此时一般银行会联系支付宝，但是虽然有所谓的“你敢付我敢赔”，但由于假被盗的数量较多，在实际执行中并没有所承诺的那么美好，所有被盗客户首先所面对的，是是否为骗取赔偿资金的诈骗犯的判断。

最终，四大行开始进一步限制快捷支付额度。随后被骂的狗血喷头。而对快捷支付接口进行内部调整的工行，更是被推上了舆论的风口浪尖，支付宝方面还直接高调回应：“如果我们是违法，那么工行就是知法犯法。”

事实真的如同双方所说么？2011年4月支付宝推出快捷支付，同年8月银监会下发《关于加强电子银行信息管理工作的通知》也就是双方争辩的86号文，要求快捷支付类开通时必须经由银行方进行身份验证，正是由于上文中提到的风险隐患初步显现，而能够对卡密码进行验证的银行，明显要比仅仅发送到预留手机号一条验证短信的方式更加安全。工行表示在86号文后多次与支付宝联系，但其拒绝改正，支付宝对此并没有否认，只是强调工行“知法犯法”。

那么工行为何又要对接口进行收紧？支付宝在最早设计并开通快捷支付这个产品的时候，并不是像大多数人所想象的那样，与各家银行之间总对总连接，而是以自己的沉淀资金为引，与各家银行的某家分行连接，而分行由于利益驱动的原因，对风险考虑必然没有总行完善。在业务发展逐渐增大后，支付宝又与同一家银行的多个分行分别连接，这直接导致了这家银行对快捷支付的所有限额形同虚设：没有统筹管理，一张卡在一家分行的接口达到这家银行的规定限额后，换另外一家分行就可以继续做交易，有多少家分行接入，就相当于这家银行的限额扩大了多少倍。所以工行收紧接口的简单点的解释就是：工行动真格的了。

有趣的是，四大行限制快捷支付的限额，但是被骂的原因更多的是因为阿里系的公关巧妙地将限制限额这件事情转移到了银行要打击余额宝方面，真正因为消费额超过了限额而表示愤怒的网民数量并不是很大。事实上四大行并未收紧通过网银向支付宝充值的限制，而通过支付宝购买余额宝正是余额宝推出时所设计的正常流程。而从这次10号文的下发也可以看出，控制快捷支付限额已被监管层肯定，短期内不会有太大改变。

四、支付宝在安全方面存在漏洞？

前几天，媒体上突然出现一系列针对支付宝，余额宝这不安全，那不安全的各类系统性传播，不管你如何辟谣，不管你如何证明你比传统银行安全十倍以上，并且保证有问题全额赔偿。

——马云，2014春节微信红包“偷袭珍珠港”后

这个话题从支付宝推出就一直不绝于耳，有部分网站甚至央视都曝光过支付宝找回密码的漏洞，据某些安全从业人士表示，央视报道的这个逻辑漏洞确实存在过，但是很快就被修复了，而在漏洞爆出没多久就立刻被炒的沸沸扬扬，应该是有其他第三方支付在背后推动。除此之外，支付宝公开正式承认的技术漏洞也有几起，但是基本都快速修复了，从这方面来看，支付宝在安全方面的努力是值得肯定的。

但是，支付宝的安全体系并不是毫无问题。这个体系是建立在银行及电信运营商安全体系基础上的。目前所暴露出来的风险点大部分只是支付宝自身安全体系出现的风险，其与银行、电信运营商安全体系对接之间的问题也仅仅是初步显现。

首先，支付宝不可能对每个客户进行实际验证。支付宝没有实体网点，不可能做到“本人持证件输入密码”这一在银行及电信运营商安全体系内经常应用的验证方式。因此，支付宝的验证方式几乎都是由客户主动上传相应证据与银行方核对，核对相同则认为验证通过。换句话来说，支付宝默认银行安全级别是等于或者高于其自身的，更谈不上“安全十倍以上”，而这也与央行将第三方支付账户认定为弱实名账户相对应。

其次，支付宝用于验证的资料在银行及电信运营商安全体系内未必是关键安全信息。如上文所说，银行卡预留手机号对银行并非关键信息，通过验证一次短信验证码就确认为其开通长期免确认支付，这明显违反了安全体系中高安全级所对应的高权限才能为低安全级授权的基本原则。目前，部分银行已经被迫在新开户时对客户确认预留手机为本人使用，但这是支付宝对银行的风险绑架，而不是支付宝为其自身违反安全基本原则开脱的理由。

第三，支付宝的安全体系并未与电信运营商达成相关协议。手机号本身是电信运营商为其客户提供的通讯服务，并不作为安全手段使用，如果说非要运营商负责资金风险的话，那也是对客户的话费余额负责。但支付宝的安全体系在没有与电信运营商达成协议的情况下，使用手机号作为安全验证的方式，这使得手机号在运营商不知情的情况下，与银行卡内的资金产生了联系。由于一般情况下手机话费相对封闭，在强制手机实名之前运营商并没有很大动力对客户证件真伪进行验证，这使得支付宝整个安全体系的地基并不稳定。

支付宝其实很清楚他自身存在的这些问题，因此喊出了“你敢付我敢赔”的口号，并对接了保险公司。在实际执行中，在受害者报警并获得确认后一般都可获得赔偿，但是由于假被盗的事件较多，支付宝的判断一般较为小心，有不少未得到赔付的案例，有些得到赔付的案例也被劝说建议关闭渠道并被告知仅赔付这一次，实际得到赔付的时间也比较长。

而支付宝之所以在明知道存在问题的情况下，还继续维持下去，这是由于互联网公司的风险控制思路造成的。传统银行是风险厌恶型，在风险控制与安全便捷中宁可选择风险控制，这也造成了传统银行的电子渠道在开发早期极为难用，直到近几年经验丰富后才有所好转，但依然尚有不足之处。而互联网公司奉行的是收益覆盖风险原则，且将用户体验置于风险之上，在二者相冲突时，只要风险在可接受范围内，就会选择用户体验。两种不同的组织架构，不同的风险思路，才会造成双方完全不同的使用体验以及风险防控级别。在互联网公司大举进军金融的时代，双方必须互相学习，才能够创造出用户体验更好，安全级别更高的交易环境。

五、好第三方，坏银行，央行是银行亲爹娘，银联没有好吃相？

我第一次对国家央行有对未来国家安全考虑而敬重。

——马云，借央行虎皮违背契约精神将支付宝转出阿里时与胡舒立的短信

在中国人民银行法的第二条就明确写着这么一段话：“中国人民银行在国务院领导下，制定和执行货币政策，防范和化解金融风险，维护金融稳定。”

这就是说，央行的根本职责就是维护国家金融秩序稳定。这也可以从周小川超期服役留任央行行长可以看出来。而所谓的打压第三方公司和维护利益集团利益，在现阶段反腐和金融改革的大环境下，顶风作案那无异于作死。退一万步讲，如果真要打压第三方，当初第三方锋芒初现银联五把尚方宝剑尚在的时候，直接斩了第三方便是，何必留到现在尾大不掉？

通过宣传的方式，支付宝成功树立了自身勇于挑战传统挑战权威为大众谋福利的形象，而银行由于吃利差的原因导致在舆论上被打倒并踩上一万只脚，也捎带上了提出监管的央行以及被央行收回五把尚方宝剑逐出师门的银联。但是从刚刚在2013年6月收拾了各家银行和银联一把的央行角度来讲，只是执行了自己一直以来的思路，担负了自己应该担负的职责。

事实上，从央行历次发文中可以看出，对第三方的定位一直没有变过：服务于电商，补充银行主要支付渠道，发挥小额支付的便捷作用。现在不过是继续延续了以前的思路，第三方就是小额支付，想做大额想全功能甚至想创造货币，去做银行，受到银行级别应有的监管。而央行所有监管文件的出发点也只有一个：大而不受监管的金融企业是不利于社会金融稳定的，必须纳入银行级别监管视线。

当从这个角度审视阿里系的时候，可看出余额宝、阿里小贷、支付宝三者合起来就是银行的存贷汇三大基本功能，在其自身资金闭环后，如果再继续打擦边球就明显触犯了央行的底线，成了有实无名的银行。以阿里系侵略如火的公关风格来看，如果其要主动开办银行申请执照，必然要搞的天下皆知沸沸扬扬，绝不会等到政府公布还犹抱琵琶半遮面。然而阿里对开办银行明确的表态一直都是没有申请，直到2013年8月初央行牵头7部委组成的“互联网金融发展与监管研究小组”对阿里金融进行调研后，才朦胧的透露出申请银行的意思，不能不让人猜测是受到了一定的压力。

而在民营银行执照下发之后，再重新审视目前为舆论所诟病的央行几个监管文件，则可发现这些对阿里银行来讲并不是利空而是利好，也符合央行按规模判断监管力度，受到相应监管就可开办相应业务的思路。对于犹如天马行空一般的创新思路来讲，这未必是个好消息，但是就目前国内外经济形势看，此类监管很有必要，到经济上行阶段社会整体风险承受能力较强的时候再放松比较合适。至此，所谓的“好第三方，坏银行”不攻自破。

以上五个观点在余额宝监管事件时各大网站上总能看到各类变种，有的是同业黑文，有的是公关软文，也有义愤填膺之作和冷静分析之语。但是很少能看到从央行监管角度所解释的思路以及对各银行乃至银行的分行之间不同的行为解释。互联网对传统金融业已经产生较大冲击，但由于互联网企业与传统金融企业在经营思路、营销公关、风险把控等多方面差异较大，想要在喧闹的舆论场中摸索到实际情况并不容易。由于笔者思路视角有限，借10号文发布之时作此小文，希望能以此抛砖引玉，除了无脑喷之外希望能看到更多角度的探讨，以开阔眼界。写作之中，参考了虎嗅、财新、21世纪经济报道等媒体的多篇文章，不一一列举，在此一并致谢。