現金の直接変換

これがもっともポピュラーな方法ですが、新型決済ではあまり対応されないもの。平たく言うと、suicaを券売機でチャージするとか、nanacoをセブンATMでチャージすることです。特定のデバイスと手元の現金が必要なため、いざ使おうとしたときに足りない、となった場合の利便性は落ちますが、ユーザーが入力する認証処理などは一切ないのでセキュリティーの問題は発生しません。
一般的に、この方式でチャージする電子マネーの最大のデメリットは電子マネーto現金側の変換が非常に面倒なこと（当初からそういった用途を想定していないのがこの手の話ってのもあります）。あと、コストの問題が大きく、この方式を取れる電子マネーはまれです。

クレジットカードを経由する

特に、xxPayが出始めのころはほぼ現金以外のチャージの仕組みはクレカ経由でした（これはSuicaも例外ではない）。クレジットカードそのものは不正利用されがちな一方で不正利用された場合の補償が明確になっているのでこういった要素には使いやすい。入力と認証のI/Fも度重なるセキュリティーインシデントの問題により大きく改善されており、わかりやすい話にはなります。一方で、決済にかかる手数料が相対的に高いため、少額チャージばかりされると電子マネー側の負荷が馬鹿にならない。クレジットカードはお金の管理が下手な人に忌避されがち（手元の現金が残ってなくても使えてしまうから）という問題がありますが、そのレベルでお金の管理が下手な人は電子マネーにチャージするの止めたほうが良いよね。
この場合にクレカの決済スキームは単に電子マネーが加盟店となる既存のスキームを使うだけであり、運用が確立されています。

銀行口座と連携する

これが今回の問題の本丸になりますが、そもそもなんで銀行口座と連携しなきゃいけないんでしょうかね。クレカあるのに。まあ単純に背景だけを考えると、新型Pay周りにある「送金機能」が脅威だからですよね。チャージがクレカってスキームだけであれば、クレカの決済口座になっていることが銀行の役割なので、預金が逃げていったりはしません。でも、なんとかPayが手数料の少ない送金機能をやり始めると、例えば仕送りとか割り勘払とか、で出金対象になってない銀行の口座って使わなくなるよね、という危惧ですね。つまり、入金よりも出金のほうが問題なんですよね。出金の機能さえなければ入金を口座から直でできるということにそこまでのニーズはなかった可能性があります。
ともあれ、チャージ、という観点から言うとクレカとは違い「銀行の口座にある残高を銀行のシステム以外のインタフェースで即時操作する」という仕組みは実はあまりありません。これをどういう手段でやっていくのか、というのが課題ですね。

デビットカード

クレジットカードの即時引落サービス、と考えればOK。決済のインタフェースはクレジットカードと同様（CAFISかCARDNET）。契約もカードと同等なのかな？ここはよくわかってません。

J-debit

これもデビットカードと呼ばれていますが仕組みはちょっと違って、銀行のキャッシュカードを直接デビットカードとみなしてそれをCAFIS経由で銀行口座から即時で払い出す仕組み。まあ、結局はCAFIS経由です。なので決済事業者側にもCAFISの加盟店登録が必要。法律的な仕組みでは「債権譲渡方式」とされている。これもクレカの方式と一緒かな（クレカは債権譲渡と立替え払いの2種類の法的要件で決済されている）

即時口振とその決済方法

上記は結局の所、クレカ決済のスキームなので実質的に口座直結しているとはいえ、関係システムが多いのでその分手数料などの負担が多く発生する仕組みになってしまう。ので、なんとかPayなどの決済事業者としては本来は銀行に直結したい。銀行に直結する＝決済事業者の指示（指図）によって決済を行うことになるため、以前説明した口座振替契約が必要なります、というのがまず入り口ですね。Web口振受付の問題はこの即時口振そのものとは関係なくて、その口振契約を結ぶときの問題ではあります。なので、仮に今後Open API連携をするってなってもその指図をすることの法的な要件においては口振契約を結ぶことになるでしょう（つまり、Web口振受付の脆弱性は決済そのものスキームとは関係なく改善が必要。もっとも、Open APIを利用する際の認可のためのアカウントについては既存の口座番号・暗証番号によるものには絶対ならないと思われるので、必然的にレベルアップはするはず）。
決済の手段は

• CAFIS/CARDNET経由の従来方式
• Open APIを活用したAPI連携方式
• Open APIとは関係ない銀行固有方式

になると思います。当然、CAFIS/CARDNETはできれば避けたい（手数料を浮かせるために銀行直結する、という目的にそぐわない）。ということは、決済系のAPIがほとんど整備されていない現時点では銀行に連携することによるメリットって実はそこまでないんですが、唯一「出金できる」ことにメリットが有るわけですね。

Open APIの整備が問題を解決する？

しません。というか、本質は関係ないですね。上にもちょっと書いたけど、Open APIを利用するときの認証の仕組みをどうするかの問題でしかないんですよね。とはいえ、言ってみればレガシーな決済手段を使っている＝銀行側が開発コストを掛けないで既存スキームで対応している現状に対して、新しく作っていくものですから、既存のシステムにとらわれないモニタリングの仕組みなどで相対的にリスクを下げていくことは必要なんだと思います。とにかく、最初の砦であり最後の砦である認証の部分が突破されたら瞬間的な被害が出てしまうということは変わりませんね。

本人確認手段

これからKYCの手段についてはがっつり見直しが入ると思いますが、既存の口座開設においても身分証の偽造を見破れるかというと怪しいわけです。これはいたちごっこの側面があるため、不正を完全に防ぐというよりは不正を行うことについてのコストを上げることが現状の対策ではないかということですね。例えば、「免許証の写真」の写真でOKになってしまうような手段でよいの、とかですね。ここを突き詰めていくと、最終的にはやっぱり公的な電子証明書で本人であることを立証することに行き着かざるを得ないのではないかと思います。でもこれはすぐには難しいですよね。当面の対策としてはますます新規口座の開設の本人確認強度を上げていくことになるだろうし、これは利便性とは相反するものになるはずです。ただ、SBI証券トリガーの事例を考えると口座開設は利便性ではなく確認を優先しないといけないところに戻ってくると思われます。外国の事情はあんまり詳しくないですが、例えばドイツだと郵便局で本人認証サービスがあるようですし、やはりなんらかの形で「本人認証」をするニーズは高まっていくだろうし、認証の根拠（つまり、これが強度になりますよね）のレベルアップがされていくことになります。

今のe-KYCはやっぱりちょっと甘い気がしますね（写真の写真で誤魔化すことができないくらいで、コストと時間をかけれれば偽装可能感はある）。

本人確認済みであることと本人認証をするということ

上記の話に繋がりますが、適切に本人確認をしているアカウント（文字通り、本人確認の上で開設された銀行口座等）についてはそのアカウントの持ち主であることを証明できれば良いよね、というのが今の仕組みの根拠であり、最大の問題だったわけですが、その問題だけクリアできてしまえば引き続き有力な本人確認手段として機能させることは可能だとは思うんですよね。つまり、Web口振受付があまりにしょぼい認証だったせいで、「銀行口座の持ち主であること」を根拠にした本人確認がクソ扱いされていますが。
もっとも、本来の話としてはその銀行に登録されている情報を、認証結果を取り扱う（今回でいうと資金移動業者）側の情報とある程度突き合わせる必要があるだろうし、そのために本人確認情報のどこまで渡してよいかなどが整備されていないのが現状と思います（だから、「その名義の口座の持ち主である」こと以外は実は確認されてないのでは？）。であれば、こういった公共サービスに近いアカウントが半公的な本人認証サービスとして機能することも一つの方法だと思います（で、ドコモはdアカウントでそれをやっているはずなのにどうして…）。
現状ではここがルールとして整備されていない結果としてみんなが独自にやっている（手法的にはOpen ID Connectとしてある程度規格化されているけど、効力についての法的裏付けとかはないよね）わけで、そこを整備することである程度は担保されるものにできるかもしれない。
一方で、銀行の外部連携基盤はそこまで整備されていない（OIDCでIDpとして振る舞う、などはできていない）ので、そこを打ち出せると面白いかもしれないんですけどね。とにかくWeb口振受付の認証がしょっぱい銀行は今後の戦略としてそこを意識してもよいのではないでしょうか。