【摘要】隨著零售銀行交易手段越來越多樣化，銀行卡的欺詐手段也不斷翻新。零售銀行欺詐交易的發(fā)生，主要面臨客戶端本身的環(huán)境、網(wǎng)絡傳輸環(huán)境以及服務端環(huán)境三方面的安全威脅?，F(xiàn)在互聯(lián)網(wǎng)金融的發(fā)展，科技捆綁金融是大勢所趨，科技的對金融的滲透，不再只是提升金融效率的工具，還有效彌補了信息不對稱、安全性乃至時空界限等傳統(tǒng)金融的短板。

【關鍵詞】監(jiān)管 ?交易風險 ?反欺詐體系建設

一、概述

隨著零售銀行交易手段越來越多樣化，銀行卡的欺詐手段也不斷翻新。某些收單機構的商戶入網(wǎng)審核不嚴，欺詐分子利用這一漏洞，虛假申請商戶或者與商戶合謀實施欺詐，并快速轉賬。有的欺詐分子修改持卡人預留手機號，或者假借銀行權益活動等誘騙理由，從持卡人處騙取交易驗證號碼，進而完成盜刷交易。

互聯(lián)網(wǎng)服務的渠道越來越豐富，網(wǎng)上銀行、手機銀行、微信銀行、H5、電商服務平臺、網(wǎng)貸平臺和借記卡支付（快捷支付）、ATM、商戶收單等渠道的交易規(guī)模越來越大，同時互聯(lián)網(wǎng)的風險欺詐手段也發(fā)生了很大變化，為此需要全面梳理各個互聯(lián)網(wǎng)業(yè)務渠道的風險監(jiān)控需求，打通風險核實通道，建立用戶高度參與風險防控策略的整個風險分析、預警、控制的全工作流程。同時，人民銀行、銀監(jiān)會等監(jiān)管機構對互聯(lián)網(wǎng)的安全問題非常重視，提出了多項明確具體的監(jiān)管要求。要求進一步提高網(wǎng)上銀行交易的安全意識，加強對網(wǎng)上銀行交易的監(jiān)管力度，全面遏制交易過程中的欺詐行為。

二、零售銀行面臨的反欺詐管理現(xiàn)狀

（一）監(jiān)管要求

巴塞爾銀行監(jiān)督管理委員會（BIS）于2004年6月頒布了新的《巴塞爾新資本協(xié)議》，首次全面引入了操作風險的概念。操作風險是指由于不完善或失靈的內部程序、人員、系統(tǒng)或外部事件導致?lián)p失的風險。其中，內外部欺詐帶給銀行的風險損失最為慘重。在交易風控方面，監(jiān)管近幾年對銀行的政策要求主要有：

2011年年初，央行出臺了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》，在認真總結以往發(fā)生的網(wǎng)銀案件、事件和檢查發(fā)現(xiàn)問題的基礎上對網(wǎng)銀技術、管理和業(yè)務三個方面有針對性地提出了要求。相關單位將根據(jù)此文件開展全國網(wǎng)銀安全現(xiàn)場檢查以及抽查，切實督促銀行整改檢查出來的問題，向國務院報告檢查整改結果。

2011年11月，銀監(jiān)會發(fā)布了2011年549號文《網(wǎng)上銀行安全風險管理指引》（征求意見稿），其中第三十五條、第三十六條、第三十七條、第五十四條等，對交易監(jiān)控反欺詐有明文要求，提出了建立異常交易監(jiān)控、交易監(jiān)控的內容范圍以及異常安全事件響應等要求，為防范銀行交易欺詐風險做出了指導性的要求。

2016年，人民銀行《關于加強防范電信網(wǎng)絡新型違法犯罪有關事項的通知》簡稱261號文，針對建立交易監(jiān)控模型也做了特殊要求。

2018年，中國人民銀行辦公廳發(fā)布《關于開展支付安全風險專項排查工作的通知》（銀辦發(fā)〔2018〕146號）要求：

一是排查客戶端應用軟件敏感信息保護、安全漏洞防護、信息傳輸安全等方面存在的隱患;二是排查支付業(yè)務系統(tǒng)在系統(tǒng)安全、交易安全、數(shù)據(jù)保護、業(yè)務連續(xù)性、賬戶管理、內控管理等方面存在的問題;三是督查支付交易報文規(guī)范化改造、終端信息注冊等工作落實情況。四是排查支付產(chǎn)品質量管理方面存在的不足，切實防范支付業(yè)務安全風險;

值得一提的是，央行往期排查主要聚焦在支付系統(tǒng)安全，而這一次的排查重點增加了對客戶端應用軟件安全要求?？梢灶A見，未來客戶端安全的監(jiān)管要求將越來越高，對數(shù)據(jù)安全與交易安全將成為從業(yè)企業(yè)的焦點話題。

（二）欺詐風險類型

《巴塞爾新資本協(xié)議》中提出的操作風險是指由于不完善或失靈的內部程序、人員、系統(tǒng)或外部事件導致?lián)p失的風險。其中，內外部欺詐帶給銀行的風險損失最為慘重，主要的欺詐風險類型包括惡意欺騙、盜用信息、交易篡改、釣魚網(wǎng)站、黑客攻擊、內部作案等。國內外大多數(shù)商業(yè)銀行均通過上線風控系統(tǒng)以技術手段解決欺詐風險。隨著移動端、第三方支付等互聯(lián)網(wǎng)業(yè)務交易的普及，反欺詐監(jiān)控有必要擴展至電子交易全渠道，同時從管理維度、業(yè)務維度和技術維度建立完整的反欺詐監(jiān)管體系。

三、交易風險行為特征

零售銀行交易發(fā)起、交易信息傳輸、交易信息受理和存儲過程均借助電子計算機技術。零售銀行欺詐交易的發(fā)生，主要面臨客戶端本身的環(huán)境、網(wǎng)絡傳輸環(huán)境以及服務端環(huán)境三方面的安全威脅。隨著銀行安全管理和技術手段的不斷提高，使得單純的服務端入侵而造成發(fā)生欺詐交易的可能性越來越低。目前，主要面臨的風險因素是客戶端和網(wǎng)絡兩個方面。下面將分別闡述這些風險。

（一）客戶端環(huán)境欺詐交易風險（木馬、病毒等惡意代碼）

銀行客戶的客戶端環(huán)境復雜，由于用戶安全保護意識薄弱、客戶自身計算機安全知識的欠缺等原因，給犯罪分子可乘之機，使客戶計算機、終端被木馬病毒入侵。目前國內盜版軟件使用普遍，由于操作系統(tǒng)、應用程序漏洞引起的風險較大?？蛻舳吮还粼斐傻钠墼p交易占欺詐交易總量的絕大多數(shù)?？蛻舳丝赡馨l(fā)生的情況：

木馬盜取客戶的網(wǎng)銀信息，威脅他們的財產(chǎn)的安全：木馬采用鍵盤記錄等方式盜取客戶的網(wǎng)銀帳號和密碼，并發(fā)送給黑客，直接導致客戶的資金損失。

利用即時通訊軟件盜取客戶身份，傳播木馬病毒：中了這類木馬病毒后電腦會下載病毒作者指定的任意程序，具有不確定的危害性?？赡軐е挛覀兊慕?jīng)濟損失。

給客戶的電腦打開后門：使客戶電腦可能被黑客控制，例如灰鴿子木馬等。中了這種類型的木馬后，不法分子遠程控制客戶計算機或者獲取客戶的銀行賬號和密碼信息，完成零售銀行轉賬的欺詐交易。

（二）網(wǎng)絡環(huán)境欺詐交易風險

目前階段，國內絕大多數(shù)銀行使用了數(shù)字證書機制，對電子交易數(shù)據(jù)進行了加密和數(shù)字簽名，捕獲、破譯難度較大。但銀行應關注除此之外的保密性保障，如密碼驗證短信，銀行對賬單郵件等。

網(wǎng)上銀行與第三方支付平臺的對接也存在可被利用的漏洞。第三方交易平臺曾經(jīng)出現(xiàn)漏洞被不法分子利用，造成多起用戶資金被盜的案件。因為網(wǎng)上銀行與第三方交易平臺息息相關，因此第三方交易平臺的安全性對網(wǎng)上銀行的發(fā)展作用也不容忽視。

（三）服務器環(huán)境欺詐交易風險

網(wǎng)上銀行系統(tǒng)服務器端用于提供網(wǎng)上銀行應用服務和業(yè)務處理。物理環(huán)境安全、網(wǎng)絡安全、主機安全、應用安全各方面應全面考慮，杜絕內部可能發(fā)生的欺詐。

四、基于大數(shù)據(jù)技術的交易反欺詐體系建設

和國外銀行相比，國內大多數(shù)商業(yè)銀行強調以技術手段解決欺詐風險。國內銀行應根據(jù)自身特點，分階段逐步建立適合銀行自身需求的欺詐管理體系，從而提高運營風險管理水平，規(guī)避欺詐風險，滿足相關監(jiān)管要求，確保投資者的信心和銀行信譽，同時為銀行實施全面的操作風險管理打下良好基礎。

（一）系統(tǒng)功能體系

交易反欺詐系統(tǒng)建議要求可部署在銀行內網(wǎng)，保證用戶敏感信息和交易數(shù)據(jù)不泄露，符合網(wǎng)絡安全法及監(jiān)管要求，同時可支撐全行級外部欺詐風險管控業(yè)務需要。能針對線下線上全渠道交易及操作行為進行風險監(jiān)控，識別風險交易，對風險進行定級（欺詐、高風險、中風險、低風險）， 給出風險處理策略（阻斷、核實、告警、放行）;根據(jù)風險預警信息，對風險業(yè)務事件進行統(tǒng)一的跟蹤管理：調查、核實、處置;對渠道風險數(shù)據(jù)進行統(tǒng)計與分析，給出風險運行報告。系統(tǒng)一般功能模塊如下：①數(shù)據(jù)處理。人行數(shù)據(jù)補充、三方數(shù)據(jù)補充、交易數(shù)據(jù)補充;②流計算引擎。交易頻度統(tǒng)計、習慣統(tǒng)計、金額統(tǒng)計;③決策引擎。規(guī)則流程管理、模型管理;④機器學習。特征提取、問題描述、建模;⑤風險大盤。模型效率分析、規(guī)則運行分析、交易類型統(tǒng)計、交易量統(tǒng)計;⑥案件管理中心。風險案件分級分類;⑦報表分析中心;⑧系統(tǒng)管理中心。角色管理、參數(shù)管理、日志管理。

（二）業(yè)務管理體系

（1）事前預防。銀行利用內外部信息數(shù)據(jù)，通過建立黑名單庫、客戶風險畫像、客戶設備信息抓取等手段，提前對風險設備環(huán)境和行為進行安全評估，預先防范交易風險。

（2）事中監(jiān)控。風控系統(tǒng)根據(jù)交易定義的交易識別關鍵字識別監(jiān)控交易，再依據(jù)事先配置的監(jiān)控規(guī)則對交易進行風險評估，并依據(jù)評估結果反饋處置措施的過程。處置措施有放行、阻斷、短信認證、位置認證、人臉識別認證、人工核實、延遲結算等。值得一提的是，在反欺詐策略管理領域一直存在爭論規(guī)則和模型到底哪個更好，其實認為兩者都很重要。我們說的規(guī)則不僅僅是專家經(jīng)驗，而是基于實際的案件并且基于數(shù)據(jù)分析和提煉后形成的，所以用在特定場景下的準確率會非常的高，但是一旦脫離它的場景就不怎么適用了。比如敏感時間段的大額交易，這很明顯是一個強風險特征，但風險不限于這一個特征。我們也不可能窮盡所有的場景，這時就需要通過模型來進行補充，模型的特點是能夠通過好壞樣本來進行自我學習，找出其中隱藏的一些特征，從而將黑白樣本進行劃分，最終再根據(jù)規(guī)則模型的結果進行決策。

（3）事后處置。銀行可對已發(fā)案件調查，風險報表分析、規(guī)則和模型效果跟蹤分析、風險事件關聯(lián)分析等各種風險反饋信息來完善反欺詐管理體系。

總而言之，實施全面有效的欺詐管理，最終能幫助銀行提升自身的核心競爭力，提高客戶滿意度和忠誠度，并在激烈的競爭中脫穎而出。

參考文獻：

[1]劉洋.消費金融論[M].北京：北京大學出版社，2018.

[2]楊穎.，趙守香.互聯(lián)網(wǎng)環(huán)境下信用卡反欺詐系統(tǒng)研究[N]. 電腦知識與技術，2018.

[3]何毅勇，于挈.關于銀行業(yè)反欺詐的思考？[EB/OL].http：//bank.hexun.com，2013.

作者簡介：柳佳（1981-），女，漢族，湖南長沙人，南開大學2019級金融學專業(yè)研究生在讀，研究方向：金融投資與理財風險控制方向。