5 月 15 日九派新闻消息，山西兰女士发现支付宝被挤下线后，立刻紧急关闭全部支付功能。本以为这下高枕无忧，结果一觉醒来直接崩溃：账户里整整 184 万，一夜之间被分 6 次转得一干二净。更匪夷所思的是，这笔巨款的去向居然是三家国内慈善机构。调查结果更是让全网炸锅：原来关闭支付功能在这个特殊场景下完全失效，而平台从未明确告知用户这一致命漏洞，目前已被责令整改。

这件事最离谱的地方在于，她发现频繁被异地登录挤下线后，第一时间联系了支付宝人工客服，严格按照客服的指引一步步关闭了账户所有支付功能。

当时支付宝页面明确提示，关闭支付功能后账户资金无法动用，兰女士这才放下心来睡觉。

可谁能想到，她以为的 "铜墙铁壁"，在公益捐款面前竟然是一张一捅就破的纸。

仅仅过了两天，2023 年 10 月 21 日凌晨 3 点到 7 点，就在她熟睡的时候，她的支付宝账户被分 6 笔悄悄转走了 184.7 万元。

更让人匪夷所思的是，这 6 笔交易中有 5 笔是通过电脑端验证支付密码完成的，还有 1 笔是通过手机端添加银行卡付款，经过了银行短信校验码和支付宝人脸验证。

也就是说，不法分子不仅拿到了她的支付密码，还通过了人脸识别，而这一切都发生在支付功能已经关闭的情况下。

兰女士发现扣款后立刻开始维权，这一维权就是整整三年。

她先找了三家慈善机构要求退款，对方统一回复说款项已经用于公益项目执行完毕，不能随便退回，除非她能拿出警方或法院出具的 "非自愿捐赠" 证明。

于是兰女士又跑去派出所报案，可警方调查后发现，所有捐赠记录都显示为 "本人自愿操作"，资金流向清晰，没有明显被盗痕迹，缺乏非自愿操作的证据，所以一直没有立案。

警方建议她先去支付宝开一个 "账户被盗证明"。

可当兰女士找到支付宝要证明时，对方又说系统已经判定是本人操作，这个证明开不了，除非警方立案调查。

就这样，兰女士陷入了一个完美的死循环：基金会要警方证明才退款，警方要支付宝证明才立案，支付宝要警方立案才开证明。

直到兰女士把这件事举报到中国人民银行上海分行，事情才终于有了一点转机。2025 年 2 月 27 日，央行上海分行出具了《举报答复意见书》，直接揭开了整个事件最核心的秘密。

央行调查明确指出，截至调查当日，兰女士的支付宝账户支付功能确实一直处于关闭状态。

但支付宝有一个绝大多数用户都不知道的隐形规则：关闭支付功能后，消费、转账等常规场景确实无法支付，但公益捐赠场景的付款功能依然保留。

更重要的是，央行直接对支付宝进行了定性：支付宝公司存在未及时向金融消费者披露服务特性的问题，违反了相关规定，已经要求支付宝进行支付服务优化改进。

这个结果让全网炸了锅。原来我们平时理解的 "关闭支付功能"，和支付宝实际执行的 "关闭支付功能" 根本不是一回事。

你以为你把家里所有的门都锁上了，结果人家偷偷留了一扇后门，而且还不告诉你这扇门的存在。

5 月 15 日，支付宝终于对此事做出了公开回应。他们表示平台是正常执行用户账户下达的支付指令，由于涉事账户存在与他人共用的嫌疑，不排除涉嫌违法犯罪的可能，支付宝正在向警方寻求帮助。

这个回应显然不能让网友满意。很多人质疑，就算账户存在共用嫌疑，那关闭支付功能的意义何在？

而且 184 万元的大额交易，发生在凌晨 3 点到 7 点的非常规时段，又是在陌生设备上操作，支付宝的风控系统为什么全程没有任何预警和拦截？

有律师表示，从法律角度来看，公益捐赠本质上仍然是一种支付行为。支付宝将公益捐赠单独列为不受支付功能关闭限制的特殊场景，却没有向用户充分提示，已经侵犯了消费者的知情权和财产安全权。

如果最终查实确实是他人盗用账户操作，支付宝作为支付平台，如果无法证明自己已经尽到了最高安全注意义务，就需要承担相应的赔偿责任。

而接收善款的公益机构，只要有司法机关出具的非自愿捐赠证明，也依法负有原路返还的义务。

值得庆幸的是，据澎湃新闻测试，当前版本的支付宝在关闭支付功能后已经无法完成捐赠操作。这说明在央行要求整改后，支付宝确实已经修复了这个漏洞。

但这件事给所有用户都敲响了警钟。我们平时太信任这些互联网平台了，总以为他们承诺的安全就是绝对的安全。

可实际上，很多规则的解释权都在平台手里，我们以为的 "万无一失"，可能只是我们自己的一厢情愿。

现在兰女士的维权之路还在继续，184 万元至今没有追回。希望随着事件的发酵，警方能够尽快立案调查，查清事情的真相，给兰女士一个公道。

也希望所有的支付平台都能引以为戒，真正把用户的资金安全放在第一位，而不是等到出了问题才想着去补救。