關(guān)于銀行業(yè)反欺詐的思考

在以前，金融服務(wù)機(jī)構(gòu)認(rèn)為欺詐事件是經(jīng)營的必要成本之一，基于此，金融機(jī)構(gòu)主要關(guān)注如何降低欺詐事件帶來的損失。當(dāng)前金融服務(wù)行業(yè)的欺詐熱點(diǎn)有三個(gè)，分別是洗錢、合規(guī)和內(nèi)部金融欺詐。比起之前，欺詐者更傾向于通過秉承以往有效的集團(tuán)犯罪形式，向金融服務(wù)機(jī)構(gòu)的系統(tǒng)漏洞發(fā)起攻擊。很多金融機(jī)構(gòu)在新產(chǎn)品剛上線的頭幾天，就被欺詐者迅速攻破，導(dǎo)致這類企業(yè)承受巨大經(jīng)濟(jì)損失。同時(shí)，基于合規(guī)考慮和欺詐攻擊擴(kuò)展速度，金融類機(jī)構(gòu)必須摒棄欺詐成本預(yù)算這個(gè)觀念。與之相反，金融類機(jī)構(gòu)必須考慮主動(dòng)投資反欺詐的技術(shù)手段、防控工具和策略，從而達(dá)到有效預(yù)防欺詐的效果，減少欺詐帶來的風(fēng)險(xiǎn)損失和資本損失。

銀行面臨的主要欺詐類型

目前金融欺詐分三大類：客戶交易欺詐、內(nèi)部欺詐和洗錢。根據(jù)Kroll咨詢公司2012年的欺詐報(bào)告，內(nèi)部欺詐是目前金融機(jī)構(gòu)欺詐損失金額最高的欺詐類別（見表1），2011年損失金額近900億美元，其次欺詐損失所占比例最高的是客戶交易欺詐類別，2011年損失金額約為735億美元?？蛻艚灰灼墼p主要出于欺詐風(fēng)險(xiǎn)較高的產(chǎn)品，包括信用卡、借記卡和電子銀行。主要的客戶交易欺詐類型包括：

身份類欺詐。身份類欺詐主要包括申請(qǐng)欺詐以及賬戶盜取欺詐。申請(qǐng)欺詐是指欺詐者的個(gè)人信息不符合金融機(jī)構(gòu)業(yè)務(wù)的申請(qǐng)要求，通過非法渠道獲取正?？蛻舻纳矸菪畔?，并把身份信息用于金融機(jī)構(gòu)相關(guān)業(yè)務(wù)的申請(qǐng)，從而獲得對(duì)欺詐者有利的產(chǎn)品、服務(wù)或者信用額度的欺詐方式。賬戶盜取欺詐是指欺詐者通過釣魚、木馬的惡意傳播，非法獲取客戶的賬戶信息，并利用賬戶信息進(jìn)行取款、轉(zhuǎn)賬、匯款等非法交易的欺詐方式。

交易類欺詐。交易類欺詐主要包括偽卡交易以及非面對(duì)面?zhèn)蚊敖灰?。偽卡交易是指欺詐者通過非法渠道復(fù)制卡片，并且利用偽冒的卡片進(jìn)行交易的欺詐方式。非面對(duì)面?zhèn)蚊敖灰资侵缚蛻舻目ㄆ黄墼p者非法獲取，通過無卡交易（如網(wǎng)上支付等），輸入卡片信息進(jìn)行交易的欺詐方式。

移動(dòng)終端欺詐。因?yàn)榛诰W(wǎng)頁登錄的手機(jī)銀行和個(gè)人電腦會(huì)同樣帶有病毒，因此手機(jī)銀行和網(wǎng)上銀行具有相似的漏洞。同時(shí)，近幾年來，智能手機(jī)逐漸走向成熟化和大眾化，客戶對(duì)智能手機(jī)的使用頻率和依賴程度也與日俱增，這也逐漸成為欺詐者攻擊客戶的重要渠道之一。

除了上述幾種欺詐種類之外，洗錢也是金融服務(wù)機(jī)構(gòu)需要重點(diǎn)考慮的金融犯罪類型之一，因?yàn)橄村X這種行為有自己獨(dú)特的流程，所以給企業(yè)欺詐偵測帶來了巨大挑戰(zhàn)。通常，專門用于偵測洗錢的工具和軟件，也可以用于欺詐識(shí)別。然而，這種通用的偵測工具還沒有廣泛使用。

銀行業(yè)反欺詐的戰(zhàn)略考慮

根據(jù)前面欺詐風(fēng)險(xiǎn)的特征和趨勢分析，銀行業(yè)在全面規(guī)劃反欺詐體系時(shí)，可綜合考慮三方面的驅(qū)動(dòng)因素。一是基于內(nèi)在需求的因素，二是應(yīng)對(duì)威脅的因素，三是應(yīng)用新技術(shù)的因素。

從基于內(nèi)在需求的角度看。國際上銀行業(yè)的先進(jìn)實(shí)踐告訴我們，內(nèi)部的戰(zhàn)略需求發(fā)生了較大的變化。首先是如美國銀行和富國銀行等大型銀行，已初步建立了企業(yè)級(jí)的反欺詐管控體系，有效地防止欺詐風(fēng)險(xiǎn)在銀行內(nèi)部業(yè)務(wù)條線和產(chǎn)品間進(jìn)行轉(zhuǎn)移。

在美國有種“基于能力規(guī)劃”的思路，這也是基于內(nèi)在需求的一個(gè)方面，簡單地說就是“我要做什么，我想怎么做，我能怎么做”?？傮w來說，未來欺詐與反欺詐的博弈由誰來設(shè)計(jì)和引領(lǐng)。這樣，銀行自身的責(zé)任、使命和任務(wù)，以及反欺詐的概念和能力目標(biāo)就是驅(qū)動(dòng)內(nèi)在需求發(fā)展的重要因素。另外，隨著業(yè)務(wù)的發(fā)展和欺詐風(fēng)險(xiǎn)的變化，現(xiàn)有反欺詐體系均可能面臨著更新?lián)Q代的需求，也將是主要內(nèi)在需求的驅(qū)動(dòng)因素之一。

從應(yīng)對(duì)威脅的方面考慮。信息系統(tǒng)安全是銀行目前面臨最大的現(xiàn)實(shí)威脅主要來源于全球化和集團(tuán)化的欺詐犯罪，包括客戶信息泄露、偽卡、黑客木馬和網(wǎng)絡(luò)釣魚等攻擊成為當(dāng)今系統(tǒng)安全的主要欺詐手段。同時(shí)欺詐威脅的全球化和集團(tuán)犯罪趨勢，也加大了欺詐犯罪的隱蔽性，增加了欺詐風(fēng)險(xiǎn)識(shí)別的難度。近期國際上銀行業(yè)中發(fā)生的洗錢案件也表明，需要加強(qiáng)客戶的盡職調(diào)查及引入“社會(huì)網(wǎng)絡(luò)”的關(guān)聯(lián)分析措施和手段，才能有效及時(shí)地進(jìn)行欺詐風(fēng)險(xiǎn)的識(shí)別和管控。

從應(yīng)用新技術(shù)的情況分析?？芍攸c(diǎn)關(guān)注網(wǎng)絡(luò)信息安全和客戶端安全認(rèn)證兩方面。

在網(wǎng)絡(luò)信息安全方面，各國或地區(qū)都有具體的合規(guī)要求和應(yīng)用指引，如應(yīng)用新的密碼體系或新的信息安全標(biāo)準(zhǔn)等。如美國聯(lián)邦金融監(jiān)管委員會(huì)最新發(fā)布的《網(wǎng)絡(luò)安全授權(quán)管理規(guī)范及補(bǔ)充協(xié)議》，我國人民銀行發(fā)布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》等。

在客戶端的安全認(rèn)證方面，各銀行除了不斷地應(yīng)用指紋、虹膜及臉部等生物識(shí)別技術(shù)來改良認(rèn)證工具（包括USB key， 動(dòng)態(tài)令牌和金融IC卡等）之外，還可能應(yīng)用非工具化的新認(rèn)證技術(shù)。如微軟公司主要針對(duì)平板電腦或移動(dòng)終端開發(fā)的Windows 8操作系統(tǒng)，就應(yīng)用了屏幕圖形或筆記本觸控板的手勢特征識(shí)別技術(shù)進(jìn)行驗(yàn)證登錄，代替了傳統(tǒng)上由客戶牢記的靜態(tài)登錄密碼，預(yù)計(jì)可有效地防范對(duì)移動(dòng)終端身份認(rèn)證進(jìn)行釣魚攻擊等欺詐，并提升了客戶安全體驗(yàn)，可能會(huì)成為未來銀行反欺詐體系與客戶之間進(jìn)行有效互動(dòng)聯(lián)防的主要措施和手段之一。

總之，銀行業(yè)反欺詐體系的內(nèi)在需求、應(yīng)對(duì)威脅和應(yīng)用新技術(shù)這三方面驅(qū)動(dòng)因素都在不斷演變，所以需要在綜合考慮這三方面因素的基礎(chǔ)上，持續(xù)不斷地對(duì)未來欺詐的風(fēng)險(xiǎn)趨勢進(jìn)行分析和評(píng)估，腳踏實(shí)地走出一條逐漸遞進(jìn)的過程。

銀行業(yè)反欺詐的主要措施

為了更好的識(shí)別欺詐和控制欺詐，滿足合規(guī)監(jiān)管要求，維護(hù)企業(yè)聲譽(yù)，并為客戶提供安全的服務(wù)體驗(yàn)，一般需要從識(shí)別、評(píng)估、控制、緩釋、監(jiān)測和報(bào)告六大關(guān)鍵能力進(jìn)行評(píng)價(jià)和規(guī)劃，從而制定出相應(yīng)的反欺詐措施和手段。

建立反欺詐知識(shí)庫，采用智能化識(shí)別手段，提高欺詐識(shí)別能力

雖然欺詐具有多種形式，并且隨著技術(shù)的發(fā)展可以快速轉(zhuǎn)移和快速轉(zhuǎn)變，但是，建立龐大的反欺詐知識(shí)庫，收集所有行業(yè)以內(nèi)甚至行業(yè)外的欺詐信息，包括欺詐的形式、影響的范圍和人群、應(yīng)急手段等等，不但有助于在面對(duì)新興欺詐模式的時(shí)候有更多的參考案例，還可以配合各種反欺詐中心的培訓(xùn)以及對(duì)客戶的引導(dǎo)，更加有效地預(yù)防欺詐，阻止欺詐的發(fā)生。

同時(shí)，欺詐的快速轉(zhuǎn)變性也要求企業(yè)采取更多主動(dòng)的預(yù)防措施，包括對(duì)反欺詐系統(tǒng)、反欺詐技術(shù)和工具的投資，從而達(dá)到有效識(shí)別和偵測欺詐的目的。同時(shí)，這些反欺詐系統(tǒng)、技術(shù)和工具應(yīng)該能幫助實(shí)現(xiàn)跨行業(yè)的信息共享平臺(tái)的建立，有助于幫助各個(gè)行業(yè)建立反欺詐知識(shí)庫，并且相互降低反欺詐的成本。目前先進(jìn)的欺詐分析手段包括：

規(guī)則判斷。通過分析現(xiàn)有的欺詐模式，總結(jié)現(xiàn)有欺詐的特征，并根據(jù)這些欺詐特征制定相應(yīng)的反欺詐規(guī)則，判斷交易發(fā)生欺詐損失的概率。

行為特征分析。通過建立不同實(shí)體的行為檔案，包括設(shè)備、卡片、賬戶、客戶的行為檔案，該行為檔案包括這些實(shí)體在一定時(shí)間段內(nèi)的交易特征，如平均交易金額、常用的交易類型等。在交易過程中，通過實(shí)時(shí)計(jì)算當(dāng)前交易和歷史交易特征的偏離值，計(jì)算該筆交易發(fā)生欺詐的概率。

智能模型識(shí)別。智能模型是一種欺詐風(fēng)險(xiǎn)量化的模型，利用可觀察到的交易特征變量，計(jì)算出一個(gè)分值來衡量該筆交易的欺詐風(fēng)險(xiǎn)，并進(jìn)一步將欺詐風(fēng)險(xiǎn)分為不同等級(jí)。智能模型會(huì)在客戶開始交易的第一個(gè)行為開始進(jìn)行分析，為客戶每一個(gè)動(dòng)作賦予相對(duì)應(yīng)的風(fēng)險(xiǎn)分?jǐn)?shù)，為智能性反交易欺詐授權(quán)策略提供科學(xué)依據(jù)，對(duì)欺詐風(fēng)險(xiǎn)高的交易可以拒絕授權(quán)和展開調(diào)查。

關(guān)聯(lián)分析。通過了解已知欺詐事件以及相關(guān)實(shí)體（如欺詐者、欺詐發(fā)生的自助取款機(jī)等），通過某一組數(shù)據(jù)變量（如時(shí)間、交易地點(diǎn)、賬號(hào)地址等）把這些實(shí)體之間相似的信息聯(lián)系進(jìn)行關(guān)聯(lián)分析，甚至運(yùn)用社會(huì)網(wǎng)絡(luò)關(guān)系分析，從而決定應(yīng)對(duì)這種團(tuán)伙欺詐所采取的策略和手段。

設(shè)定客戶欺詐風(fēng)險(xiǎn)評(píng)級(jí)，提高評(píng)估客戶欺詐風(fēng)險(xiǎn)能力

在了解客戶階段，充分收集的客戶數(shù)據(jù)也是識(shí)別欺詐的重要方式之一。通過大量的客戶背景信息，根據(jù)客戶的背景信息、交易信息、第三方機(jī)構(gòu)的黑白灰名單，設(shè)定客戶欺詐風(fēng)險(xiǎn)評(píng)級(jí)，達(dá)到徹底認(rèn)識(shí)客戶的目的。提高評(píng)估客戶欺詐風(fēng)險(xiǎn)能力不但可以幫助企業(yè)根據(jù)同行信息和司法信息識(shí)別高風(fēng)險(xiǎn)客戶，還可以通過客戶的背景調(diào)查了解和該客戶有關(guān)聯(lián)的用戶，從而阻止該客戶的可疑交易和潛在的團(tuán)伙欺詐。

成立企業(yè)級(jí)的反欺詐中心，加強(qiáng)欺詐交易事中控制

基于欺詐具有轉(zhuǎn)移性，反欺詐能力應(yīng)該在企業(yè)內(nèi)集中管理。在企業(yè)組織架構(gòu)中添加反欺詐中心可以及時(shí)偵測到欺詐發(fā)生的業(yè)務(wù)領(lǐng)域或者業(yè)務(wù)流程，緊密和業(yè)務(wù)條線合作，做到實(shí)時(shí)控制欺詐交易。集中式的欺詐管理不但可以實(shí)現(xiàn)跨業(yè)務(wù)線、跨產(chǎn)品、跨渠道的集中管理，而且還可以統(tǒng)一針對(duì)欺詐形式或者地域的轉(zhuǎn)移而需要相應(yīng)改變的欺詐策略、模型、規(guī)則作及時(shí)的調(diào)整。

客戶體驗(yàn)、欺詐預(yù)防和識(shí)別、風(fēng)險(xiǎn)管理和成本控制需要均衡加強(qiáng)

欺詐預(yù)防與識(shí)別策略以及報(bào)告機(jī)制需要和銀行的戰(zhàn)略目標(biāo)保持一致。每個(gè)企業(yè)都會(huì)把客戶體驗(yàn)放在戰(zhàn)略目標(biāo)的第一位，隨著技術(shù)的發(fā)展，客戶隨時(shí)隨地都會(huì)使用銀行的各種業(yè)務(wù)，從而也提高了欺詐的可能性。銀行如何讓客戶遠(yuǎn)離欺詐，或者在客戶遭受欺詐之后銀行第一時(shí)間就保護(hù)客戶的經(jīng)濟(jì)利益，和該銀行的聲譽(yù)息息相關(guān)。而且，要保持銀行的聲譽(yù)良好，僅僅加強(qiáng)市場營銷手段是遠(yuǎn)遠(yuǎn)不夠的，銀行還需要投資先進(jìn)的欺詐識(shí)別和欺詐分析技術(shù)，提高自身競爭力，在欺詐發(fā)生之前就為客戶提供安全便利的業(yè)務(wù)體驗(yàn)。

（作者單位：中國建設(shè)銀行電子銀行研發(fā)中心）