你还在担心收款二维码被掉包？支付宝：你敢扫，我敢赔

蚂蚁金服CEO井贤栋宣布，升级支付宝“你敢扫，我敢赔”保障计划。

今年7月中旬的一个晚上，武汉一烧烤摊的张老板在收摊时意外发现，摊位上收钱的二维码被人掉了包，顾客买单的钱被“截胡”，损失了一两百元，当时引起网友热议。

而现在，这种情况或将有所改变。26日，在2017网络安全生态峰会上，蚂蚁金服CEO井贤栋宣布，升级支付宝“你敢扫，我敢赔”保障计划，以后，不仅用户资金被盗可获得赔付，如果商家的收钱二维码被恶意替换、调包，其损失的资金也将能通过保险公司获得赔付。

井贤栋还表示，如果是用户扫了可疑的二维码，中了病毒或木马导致支付宝账户的资金被盗，也能获得赔付。

其实，早在2005年起，支付宝就启动了“你敢付，我敢赔”保障计划，如果用户的资金被盗，将获全额赔付，但仅支持线上。当时，网购在中国刚刚兴起，支付宝的这一承诺让很多用户开始放心进行线上支付。

此次，支付宝升级了这个安全保障计划，从用户扩大到商家，从线上延伸到线下。据井贤栋介绍，这一计划的启动与上述烧烤摊老板有关，当时蚂蚁金服高层都关注了该事件。

当时，蚂蚁金服董事长彭蕾在社交媒体上直言“这样的事情看着令人生气”，她不仅为店主支招如何防贼，还表示正出台计划保障小店主利益。“很多年前做支付宝是为了天下无贼的梦想，现在这个梦还在！”彭蕾说。

对于此次蚂蚁金服的保障计划，中国人民公安大学教授，当代犯罪问题研究中心主任靳高风分析，这样的保障措施加强了用户的信任度，但应是建立在强有力的安全保障能力和低风险基础之上的，否则企业会面临着巨大的、不可预期的损失。”

据井贤栋在会上披露，目前，支付宝的资损率已达到低于百万分之一。井贤栋说，支付宝从第一天起就把安全视为生命线，蚂蚁金服有1/5的员工从事安全和风险管理岗位，有2800多台服务器专门用于安全管控。

据介绍，蚂蚁金服自主研发的智能实时风控系统(CTU)，能对每笔交易进行8个维度的风险检测，确保交易万无一失。此外，生物识别技术则为账户安全加了双保险：蚂蚁金服的人脸识别准确率已达99.6%，再配合眼纹等多因子验证，准确率为99.99%，远超肉眼识别97%的准确率。

蚂蚁金服方面还强调，在新的网络安全形势下，安全不仅是单个企业的问题。井贤栋表示，蚂蚁金服正通过联手行业各方、科研院校以及执法部门的全面合作，从“单维治理”变“生态联动”来保障安全；并通过开放输出安全技术和能力，携手各方创造更安全的数字金融环境。

附：

一、支付宝用户保障计划升级：“你敢扫，我敢赔” 1, 什么是“你敢扫，我敢赔”？

“你敢扫，我敢赔”保障计划由“你敢付，我敢赔”升级而来。根据这一保障计划，如果用户扫了可疑的二维码，中了病毒、木马导致支付宝账户被盗，其资金损失将能通过保险公司获得赔付。如果商家的支付宝收钱码被恶意替换、调包，其资金损失也将能通过保险公司获得赔付。

通过启动“你敢扫，我敢赔”保障计划，我们希望用户可以放心的扫码支付，商家可以放心的用收钱码来收钱，让更多的人能享受移动支付带来的便利。

2, 为什么会推出“你敢扫，我敢赔”？

2005年，网上购物刚刚兴起，为了让用户在线上支付时无后顾之忧，支付宝率先推出“你敢付，我敢赔”保障计划：如果因为被盗导致账户有资金损失，会进行全额赔付。这一计划为推进线上支付的推广起到了重要作用。

如今，支付场景更加多样化：线上支付已经普及，而线下扫码支付正在兴起。扫码支付给用户、商家都带来极大的便利，但也存在一定的风险。

对用户而言，越来越多的人习惯“一部手机走天下”，简单、方便，但如果扫到含病毒的二维码，可能导致手机中毒、账户被盗刷；而对商家来说，在收银台通过收钱码收钱，可以极大提升工作效率、节省管理成本，但可能会出现有不法分子趁商家不注意，将收钱码“调包”。

据媒体报道，7月中旬，武汉一烧烤摊老板在收摊时意外发现，摊位上收钱的二维码被人掉了包，顾客买单的钱被“截胡”，损失了一两百元。这则新闻引起了蚂蚁金服董事长彭蕾的关注，她在社交媒体上直言“这样的事情看着令人生气”，她不仅为店主支招如何防贼，还表示将出台计划保障小店主利益。

7月26日，蚂蚁金服CEO井贤栋宣布将保障计划升级为“你敢扫，我敢赔”。

3,“你敢扫，我敢赔”如何赔付？

对用户而言，如果用户的支付宝账号被盗产生了资金损失，比如手机扫了含病毒的二维码等，可以申请理赔。申请方式是拨打支付宝服务热线95188。

对商家而言，如果商家发现自己的收钱码被人“调包”，被替换或者覆盖，导致相应款项被不法分子收走，导致资金损失，可以申请理赔。商家可以通过支付宝App中“我的客服”进行自助报案，或联系支付宝服务热线95188。

支付宝会在核实详细情况后，通过保险公司对用户或商家的资金损失进行理赔，保障支付宝用户的利益。

需要注意的是，这一保障是针对账户被盗。如果被骗，是不符合赔付条件的。比如，帮人刷单、兼职、套现等恶意目的通过扫码付款；又如，被骗子以各种借口诱导扫码，导致资金被骗的；以及主动将自己的付钱码出示给骗子，导致资金被刷走的。不过针对这些被骗的情况，建议用户联系公安机关报案，我们会全力配合警方调查并线下打击，争取为用户挽回损失。

4, 赔付案例

为了进一步保障用户利益，支付宝从6月初开始试行“你敢扫，我敢赔”保障计划，并在6月21日完成了全国首例针对收钱码被“调包”的赔付。

湘菜馆二维码被调包

6月17日，在武汉洪山区经营一家湘菜馆的代女士向支付宝反馈称，自己店里的二维码被人调换，营业收入遭受了损失。经核实，代女士共有1150元的损失。这一情况符合“你敢扫，我敢赔”保障计划的赔付条件。6月21日，代女士获得了保险公司的理赔。这也是支付宝试行“你敢扫，我敢赔”保障计划后的全国首笔赔付。

生蚝摊二维码被调包

7月10日晚，在武汉江夏藏龙岛高新六路路旁的摊点上，摊主小张在小推车上烧烤生蚝。经朋友提醒，他发现自己推车前的收钱码有些异样——虽然大小和自己的一样，但中间没有自己的头像。小张随后拨打电话报警。

据小张回忆“做生意时，我都看着摊，别人一般不好下手。”他怀疑可能回出租屋将小推车放到门口时，被他人暗地里调包。他说，一般客人点单后，会把付款界面给自己看看，“确实没想到还有这种骗局”。

据了解，这种情况符合相关赔付条件。经核实评估，支付宝方面随后通过保险公司对小张完成了赔付。7月17日，小张收到了214元的理赔款。

5, 专家观点

中国人民公安大学教授，当代犯罪问题研究中心主任靳高风：

“你敢扫，我敢赔”为移动互联网时代的社会管理提供了新思路，即在高风险的网络社会，如何用技术和商业的办法，保障用户权益和补救损失。这一措施在加强用户的信任度的同时，一定程度上也降低了整体社会风险和管理成本。

“你敢扫，我敢赔”是建立在强有力的移动支付安全保障能力和低风险基础之上，否则运营商将会面临着巨大的、不可预期的损失。下一步希望包括支付宝在内的运营商通过技术手段和管理水平提升安全保障能力的同时，进一步扩大保障和赔付范围，积极拓展各种新型犯罪问题的解决途径和能力。

北京志霖律师事务所副主任、中国网络诚信联盟法律顾问赵占领：

在技术上的事先防控之外，“你敢扫，我敢赔”为使用移动支付工具的商家和用户，在账号被盗之后提供了一种事后救济手段。这一保障计划更加高效、便捷、低成本，这既符合了移动支付的行业特点，也对传统的救济手段进行了有益补充，丰富了商家和用户的救济渠道，使得移动支付安全更加有保障。

同时，保障计划属于支付宝为保障扫码安全，联合保险机构所进行的积极探索。虽然保障计划是为商家和用户提供的一种民间救济手段，但是对于移动支付行业具有借鉴意义，也会推动提升移动支付行业整体的安全水平。

二、“你敢扫，我敢赔”的背后：资损率百万分之一

在CTU系统的保护下，目前支付宝的交易资损率不到百万分之一，远低于国际领先支付机构千分之二的风险水平。

1, 智能风控系统

蚂蚁金服自主研发的智能实时风控系统（CTU），自2005年上线以来不断优化升级，是目前国内外最先进的网上支付风险实时监控系统之一。

CTU系统集风险分析、预警、控制为一体，通过数据分析、数据挖掘进行机器学习，自动更新完善风险监控策略，并配备风险稽核专家小组进行风险稽查及处置。

支付宝平台上每天有上亿笔交易，最高峰值每秒有12万多笔交易。每笔交易，CTU系统都会进行8个维度的风险检测，并从用户行为、交易环境、关联关系等维度提炼出上万个风险关键变量，确保交易的万无一失。整个检测过程耗时100毫秒，眨眼间完成，既保障安全，又不会干扰到用户的操作。

案例

某深圳支付宝用户，平时经常使用支付宝来缴水电煤和给家人朋友转账，2015年6月，用户接收了伪基站10086的短信，并点击了短信中的链接中了手机木马。

当天骗子通过木马在手机端获得了用户的身份、银行卡等信息，并依靠木马成功获取了手机校验码后修改了用户的密码。骗子使用账号密码在广州某小区登陆，接着在某电商平台下单了一台iPhone5S，但在输入完支付密码提交支付请求的时候，风控系统根据多维度的信息直接判定交易高风险并失败交易，并对账户支付功能进行了限制。第二天，支付宝客服与用户进行了沟通，确认了账户险些被盗刷。

2, 生物识别

蚂蚁金服以世界领先的人脸比对算法为基础，研发出人脸验证核身产品，应用在支付风险校验等场景。这一技术的应用为支付宝的安全加了双保险。

用户通过手机摄像头，完成点点头、眨眨眼等指定动作，进行身份验证。在最新的测试报告中，人脸识别准确率已达99.6%，再配合眼纹等多因子验证，准确率为99.99%，远超肉眼识别97%的准确率。

实践表明，与传统基于密码的身份验证方法相比，生物识别技术在安全性、可靠性、识别性能和用户体验方面的都得到了大幅提升。

案例

50岁的四川杨先生长期居住在凉山，有一天他收到了一条“中奖链接”，并输入了支付宝账户密码“领奖”，他没意识到他已经被钓鱼了，他的账户名、账户密码等信息已经通过假冒的钓鱼网页被骗子掌握。当天中午，杨先生的支付宝账户试图多次转账到陌生银行卡，安全大脑察觉异常输出人脸验证，人脸认证未通过，转账不成功，成功保护了用户资金。

3, 扫码风控

1)，二维码有时效性，防复制风险

通过支付宝App生成的付钱码都具有时效性，过期后将会形成新的条码，而之前生成的条码将会失效，从而来防范因条码被复制传播而导致的信息及资金风险。

2)，二维码禁止截屏，防复制风险

支付宝App的付钱码具有防截屏功能，能防止截屏被泄露导致资金损失。当用户在付钱码页面截屏时，Android客户端会禁止截屏；iOS客户端会弹出截屏提醒，并对截屏出的二维码进行失效处理，避免付钱码被泄露。

3)，识别非法二维码，并提示风险

用户通过支付宝App扫码功能时，支付宝会对二维码链接进行钓鱼和木马检测，当检测到风险时，会弹出“风险提示框”，并禁止用户在支付宝App打开，另外支付宝风控系统会对感染木马设备的用户账号进行保护。

4)，对二维码加密，避免破解风险

为避免二维码泄露导致用户账户或交易订单信息被解析，支付宝会将二维码的信息通过加密算法加密。因此即使二维码被人获取并进行扫描，也仅能解析出经加密的字符串，而无法进一步解析出用户的任何相关信息。

4, 警方联动

除了实施“你敢扫，我敢赔”的保障计划，支付宝后续还会联合警方对覆盖、“调包”商家收钱码的不法行为进行打击。

面对威胁网络安全的犯罪分子，蚂蚁金服设有专门的专案风险及情报中心，利用领先的互联网技术和数据分析技术，配合公安机关打击电信诈骗等犯罪行为。目前已与全国34个省（直辖市、区）和香港行政特区等超过100多家公安机关的案件打击合作。

三、安全提醒

虽然支付宝的资损率极低，而且也有“你敢扫，我敢赔”的保障，用户可以放心的用支付宝扫码。不过，如果用户多掌握一些关于扫码的安全知识，提高安全防范意识，则能进一步降低风险。

支付宝业务安全管理部总监郑亮介绍了一些安全提醒：

1，请在正规网站下载App；

2，手机里建议安装专业的安全软件；

3，扫码支付前，先确认该二维码是否正规；

4，扫码进入付款页面后，请先核对收款方信息再付款；

5，使用收钱码的商家，建议开通语音播报功能。

总的来说，对商家而言，建议开通收钱码的语音播报，确认每笔收款都有提醒入账；如果买家支付后没听到提醒，建议立即查看是否到账。对用户而言，不要贪图小便宜随意扫码，扫码前最好先确认二维码是否正规，以及是否被覆盖。

如果发现账户因为扫码被盗，或收钱码被调包，不用担心，及时联系支付宝服务热线95188。核实详情后，支付宝会通过保险公司对资金损失进行理赔。