移动付款被吹捧为最简单的、最方便的资金交换方式，通过移动付款几乎在任何地方都能以电子支付的方式进行购物和支付账单。用户只需单击一下移动设备的按钮或者在销售网点系统附近晃动一下移动设备，就可以进行购物或者支付账单。这对于购买者来说，支付和购物方便了很多；但是它却给提供这个服务的金融机构引入了很大的风险。

　　这不是移动银行业务第一次亮相了。几年前，在向电子货币和数字身份证转变的第二个革命性阶段就出现了移动付款的身影。那时移动付款业务的发展受到技术限制和高成本的困扰，不论是消费者还是服务提供商都面临这些方面的问题。无线应用协议（WAP1.0）的普及遭遇了很大的挫折，因为移动设备和移动业务服务提供商之间存在着巨大安全缺口，这一情况被叫做“WAP缺口”。

　　今天，很多过去的技术限制和安全顾虑都已降低了，而移动付款业务利用这些技术上的进步又一次浮出了水面。其中一个重要的变化是WAP 2.0的使用，它允许在移动设备和服务提供商之间进行端到端的加密。

　　但是移动付款业务还是存在风险，金融机构采用移动付款程序之前，他们应该考虑以下几个关键的风险区域：

　　第三方供应商：移动付款服务提供商建立了一个机制，可以让用户把他们存在银行帐户或其它受监管的金融企业中的货币取出来。这些服务提供商是财务中间人，他们提供的服务被列为货币服务业务（MSBs）。货币服务业务提供商必须遵守与其合作的州内的法律。然而，不是所有的州都有监管MSB活动的法律，所以在选择的过程中应该仔细审查。如果你所在的财务公司决定使用MSB进行移动付款交易活动，那么请务必检查MSB提供商实际的信息安全情况，从而让自己放心。

　　监管和法律责任：美国现在几乎没有能够防止移动付款业务被滥用的安全措施。安全措施的规划和宣传指导方面几乎没有进步，传统的洗钱对策不能充分地处理因移动付款滥用引发的电子银行和无现金服务系统威胁。到现在为止，几乎没有任何基金会去研究和发展法律，从而执行现有的几个监管规则。金融机构必须让他们的法律团队和规则遵从团队制定使用移动付款系统的“交通规则（rules of the road）”。规则应该包括全面的MSB服务提供商实际安全情况审查，全面的支付卡行业数据安全标准(PCI DSS)的遵守情况审查，以及制定一个强有力的涵盖突发事件应对和责任的合同。另外，如果一个金融机构参加了政治活动团体，则一定要教育和告知团体的代表们，让他们清楚为客户开发相关法律和安全措施的必要性。

　　预防欺诈/损失的措施：金融机构必须能够监视和跟踪可疑的交易活动，这就要求交易活动对金融机构是透明的，以便于其收集情报。这有时候需要得到政府情报机关和政府执法机构的协助。不幸的是，这些组织在移动付款技术方面几乎没有专业的技能。很多国家在通过移动电话进行货币转移领域没有相关的法律和监管政策。移动电话网络有一些安全功能，可以阻止执法部门和情报服务部门检测可疑的非法交易。迅速发展的技术能力正超过政府追踪货币交易的能力，甚至会使金融机构不必再遵守美国爱国者法案（USA Patriot Act）和银行保密法（Bank Secrecy Act）。

　　由于无线环境中安全威胁的属性和数量的不确定性，金融机构应该对他们的移动付款系统实行独立的、阶段性的安全漏洞评估，评估的重点放在那些能够识别可疑交易活动或者可疑付款活动的检测系统和反馈系统，这项工作非常的关键。另外，金融机构必须命令他们的第三方付款服务提供商也要进行评估，以便于他们进行审查。这些评估应该在每一次大的环境条件改变时进行。移动付款欺诈处理程序应该有利于对检测到的威胁和滥用展开迅速调查以解除威胁。这将帮助执法部门和政府情报机构在必要的情况下对你的企业进行协助。

　　总体而言，虽然移动付款业务在电子付款的可行性和安全方面已经有了一些显著的改进，但对于金融机构来说，现在采用这个服务还是有几个大的风险。随着培训和安全措施的改进，以及技术在市场上变得司空见惯，一定会浮现出新的风险和威胁来挑战今天的安全改进。移动付款可以更快、更方便、障碍更少，但是这些对于攻击者来说也是如此。金融机构必须权衡风险和利益，然后决定现在时机是否适当，能否出手一搏。