用支付宝、微信等应用扫码付款，将正式迎来额度限制。

12月27日下午，央行官网发布了《中国人民银行关于印发<条码支付业务规范(试行)>的通知》，配套印发相关技术规范，从额度、风险防范等多个角度进行了管理，条码支付新规明确支付机构提供条码支付服务，必须持牌经营，此外还将对条码支付额度进行分级管理，新规自2018年4月1日起实施。

该规范将对支付宝和微信带来重大影响。专家认为，条码支付规范将限制支付宝微信补贴大战，利于银联。

按风险划分四级，采取限额管理

新规的重点之一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时，应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可和网络支付业务许可。

新规指出，银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级，对个人客户的条码支付业务进行限额管理。

具体来看：风险防范能力达到A级，即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额。

风险防范能力达到B级，即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元。

风险防范能力达到C级，即采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。

而风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

条码支付告别“无证驾驶”

静态条码目前被认为是风险最大的支付领域之一。除了限额管理外，新规还提出了一系列防范静态条码风险的措施：包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内，商户应定期对介质进行检查、要求静态条码采用防护罩等物理防护手段避免被覆盖或替换等。

此次《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为，是用户主动扫码付款，俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为，是用户被动扫码支付，俗称“被扫”。

央行明确指出，条码支付有一定技术风险。由于条码是图形显示，不法分子可以通过截屏、偷拍等手段盗取支付凭证盗用资金;此外，条码容易携带非法链接或程序代码，不法分子可将木马病毒、钓鱼网站链接制成条码，诱导客户扫描，窃取支付敏感信息。一些不法分子实施“中间人攻击”，绕过身份认证机制，造成用户资金损失。扫码设备安全强度低不具备加密、防拆机等功能，易被不法分子非法改装使用。

中国社科院金融所支付清算研究中心特约研究员赵鹞认为，由于在此前的试点应用中，条码支付风险乃至用户资金损失多发生于“主扫”，特别是“主扫”静态条码，《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款，积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码，将商户的较大金额收款行为也引导到“被扫”上来。

赵鹞认为，《规范》是条码支付的“驾驶证”。央行新规让条码支付从此告别“无证驾驶”与“危险驾驶”。

央行有关负责人指出，随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用，客观上提高了条码支付的安全标准。但是，囿于缺乏统一的业务规范和技术标准，在条码生成机制和传输过程中仍存在风险隐患，也引发了支付安全的风险案件，市场机构在业务推广过程中还存在不正当竞争等现象。

为规范条码支付业务，保护消费者合法权益，促进移动支付业务健康可持续发展，人民银行指导中国支付清算协会组织市场机构、专家学者就条码支付相关问题开展充分研讨并达成高度共识，研究制定了相应业务规范和技术规范。

对此微信与支付宝先后作出回应，均表示，认同央行规范，同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。