為何互聯網支付的安全問題如此突出？

易觀國際分析：電子支付的內涵是一種信用的產物，外延是"給付對價"或"價值交付"的過程。電子支付根據用戶行為與后臺運行機制可分為"現場支付----面對面支付"與"遠程支付----非面對面支付"兩種，互聯網支付則屬于后者。

互聯網對傳統商務的價值，更多在于解決信息不對稱的問題，而在支付方面，用戶支付體驗將從"面對面"向公開的、虛擬的----"非面對面"轉移，這需要一個漫長過程，尤其是中國信用體系尚處于初級階段。如此，互聯網支付的安全性即成為焦點問題。

支付安全性包括什么要素？怎樣分類？

電子支付的安全通常由有效性、真實性、完整性、保密性、不可撤消、不可否認、身份驗證等要素組成。對于"非面對面"的互聯網支付，這些要素的完備性更高。根據電子支付的外延與內涵，易觀國際將互聯網支付的安全性區分為硬件與軟件兩方面：

第一 硬件，即技術手段。通常由卡組織、IT廠商、支付渠道服務商（如電信運營商）所提供，如：對稱與非對稱加密技術、SSL、SET、3D-Secure、NFC無接觸式通信的智能卡技術，以及基于數據挖掘的交易監控與分析方案等。

第二 軟件，即信用管理機制。安全不僅是一種技術手段，更多是通過組織流程管理而形成的信用管理機制。其中包括基于技術手段建立完善的管理制度、處理流程、操作規范，針對可能出現的欺詐、差錯、爭議，提供有效解決流程與處理辦法；合理的責任分配安排（包括用戶、商家、支付服務商）；對用戶安全支付行為的市場教育等等。

銀行有什么問題？

易觀國際認為，在網上支付安全措施的部署方面，銀行將更多的精力放在"硬件"方面，而忽視"軟件"方面的投入。目前網上支付的主要支付工具為銀行借記卡[注1]，其本質上是存折的替代品，屬于銀行傳統的負債業務----存款。由于歷史上銀行為追求單一發卡量，形成了高額成本在短時間內難以消化，同時銀行又面臨從單一的資產與負債業務，向資產、負債、中間業務多元化業務轉型的經營壓力，因此造成銀行目前對此業務安全"軟件"方面的改造或升級的動機不足，風險管理的手段主要依賴于外圍的信用管理體系（如央行的個人信用體系），或將責任轉移于外部市場與用戶。這與主要從事"信用中介"的第三方支付商的服務內容與承擔責任大相徑庭。

銀行應該如何應對？

易觀國際建議銀行采取如下措施（跨銀行的卡組織同樣適用）：

在短期內，雖然在網上支付發生的不安全事件，多數由用戶自身原因造成[注2]，但是目前銀行在處理網上支付與用戶間安全性爭端時，對自身責任的缺失尚無足夠認識。銀行應該深入各領域業務層面的支付流，制定相應的管理制度、操作規范、風險處理辦法，構建完善的信用管理體系，比如在用戶端與商戶端之間端建立雙認證體系，針對支付過程中欺詐、差錯、爭議等問題，配套合理的管理手段等等，從而有利于在價值鏈各成員之間的風險責任合理分配，減少可能帶來的損失與爭議。

在中、長期來看，由于網上支付這種"非面對面"的支付渠道，其根植土壤是完善的信用管理體系，如果銀行依舊只考慮安全"硬件"方面的投入，忽視安全"軟件"方面的投入，采用把風險轉嫁外部市場或用戶的方式，將會失去未來市場的信任，在下一輪市場競爭中處于被動地位。

易觀國際認為，在支付電子化的今天，對于任何產業而言，電子支付是經營中重要一環（資金流的核心），而對于任何企業來說，都是一項戰略資產，雖然銀行是在支付方面擁有"先天"的傳統優勢，但是在電子支付市場逐漸呈現產業融合的趨勢下，安全性既然成為用戶使用網上支付的焦點問題，銀行就應該深入各領域業務層面的支付流，加大對安全"軟件"----信用管理體系建設的投入，向第三方支付服務商學習。否則，將會失去對市場的主動權。