摘 要：近來，SWIFT組織大力推動ISO20022標準遷移，GPI標準實施，客戶安全計劃等工作，本文對SWIFT相關工作的進展情況進行介紹分析，并提出商業(yè)銀行的應對策略。

關鍵詞：SWIFT;ISO20022標準;GPI;客戶安全計劃

一、SWIFT簡介

SWIFT全稱“環(huán)球銀行金融電信協(xié)會”，成立于1973年，總部位于比利時，是一個國際銀行間合作組織。SWIFT成員包括銀行及非銀行金融機構、金融市場基礎設施及大型企業(yè)，總數(shù)超過11000家，覆蓋200多個國家和地區(qū)。目前，SWIFT中國社區(qū)有500多家商業(yè)銀行會員。

SWIFT核心功能是制定報文標準、為成員提供安全可靠的報文傳輸服務，此外也提供代理行身份調(diào)查、數(shù)據(jù)分析報告及反洗錢黑名單過濾等產(chǎn)品。

二、SWIFT最新發(fā)展動態(tài)

（一）ISO20022標準遷移

近期，SWIFT組織確定2022年11月至2025年11月實施用戶SWIFT FIN跨境支付類報文標準向ISO20022報文標準遷移工作，并通過跨境支付和報告（簡稱CBPR+）工作組制訂新舊標準對應規(guī)則，以及新建一個報文轉(zhuǎn)換平臺支持用戶在共存期內(nèi)新舊報文標準平滑轉(zhuǎn)換，最大限度避免用戶重復的工作投入。

本次ISO20022報文標準遷移計劃，僅涉及支付類FIN報文（1、2和9類報文，F(xiàn)IN報文是Financial Message的縮寫）。FIN報文采用的是文本格式;ISO20022報文標準采用的是XML格式，XML格式較FIN報文更便于計算機解讀。

（二）GPI標準實施

為實現(xiàn)透明、可追蹤的跨境支付服務，2017年SWIFT推出全球支付創(chuàng)新（GPI）服務。該服務允許GPI成員銀行，通過傳統(tǒng)的SWIFT報文或者API接口（適用于計算機高效處理），向SWIFT云服務器（Tracker）更新其收到匯款的入賬狀態(tài)及收費情況，同時，獲取其發(fā)送匯款在他行的入賬狀態(tài)及收費情況。據(jù)SWIFT統(tǒng)計，目前，全球已有3500多家GPI簽約銀行，其中，中資銀行130多家。全球主要國家和地區(qū)的清算系統(tǒng)均已在報文格式（新增唯一識別編號欄位等）和業(yè)務流程上支持GPI標準，包括美國FEDWIRE、CHIPS系統(tǒng)，日本BOJ-NET系統(tǒng)和我國CIPS系統(tǒng)等。

（三）客戶安全計劃

為提升全球金融系統(tǒng)的安全性，有效應對金融業(yè)持續(xù)面對的網(wǎng)絡安全威脅，2016年5月SWIFT推出客戶安全計劃（CSP），通過制定SWIFT用戶安全控制框架，規(guī)定針對所有SWIFT用戶的強制性安全措施，明確行業(yè)安全基準線。所有用戶必須在本機構的SWIFT系統(tǒng)滿足這些安全控制措施要求并每年完成一次自我鑒證工作。

三、商業(yè)銀行應對

（一）ISO20022標準遷移

考慮到支付類報文約占SWIFT整體報文量的80%左右，ISO20022標準實施對商業(yè)銀行的影響是巨大的。商業(yè)銀行需要配合SWIFT標準遷移計劃，分析梳理現(xiàn)有報文流程和業(yè)務使用規(guī)范，制定符合本行特點的實施方案。一般來說，以下幾個方面工作需考慮。一是專項工作團隊的組建。專項工作團隊需積極跟進研究SWIFT報文標準遷移工作實施進度，研究報文標準變化，熟悉掌握SWIFT提供的報文轉(zhuǎn)換及驗證工具;行內(nèi)各支付類業(yè)務系統(tǒng)項目組也應派員參加專項工作組，在組織保障形式上確保行內(nèi)各相關方均無遺漏。二是改造實施方案的確定。大型商業(yè)銀行因開發(fā)能力較強，一般無需采購SWIFT報文轉(zhuǎn)換工具，自行完成行內(nèi)系統(tǒng)改造;中小型商業(yè)銀行則可研判是否需要。在對標準變化充分研究的基礎上，針對編號長度標準、匯款信息欄位等產(chǎn)生變化的地方，制定行內(nèi)業(yè)務系統(tǒng)改造方案。同時，考慮到外匯匯款一般均聯(lián)動制裁名單篩查系統(tǒng)，則制裁名單篩查系統(tǒng)需同時支持新的報文標準。三是確定遷移時點。為支持商業(yè)銀行用戶在共存期內(nèi)新舊報文標準平滑轉(zhuǎn)換，SWIFT計劃建設報文轉(zhuǎn)換平臺，如果該平臺如預期一樣運轉(zhuǎn)良好，確實能大大簡化全行業(yè)的報文標準轉(zhuǎn)換工作，甚至可以靈活選擇遷移方案（例如，收發(fā)報在不同時點轉(zhuǎn)化），實現(xiàn)用戶無感轉(zhuǎn)換。對于海外機構較多的商業(yè)銀行，需在厘定各機構制裁名單篩查系統(tǒng)合規(guī)要求的基礎上，確定各機構切換時點。對于小型商業(yè)銀行，建議不必急于實現(xiàn)報文標準轉(zhuǎn)換，在SWIFT報文標準轉(zhuǎn)化平臺運轉(zhuǎn)成熟，業(yè)界轉(zhuǎn)換經(jīng)驗相對豐富后，再實施轉(zhuǎn)換。

（二）GPI標準實施

長期以來，商業(yè)銀行跨境匯款基于SWIFT網(wǎng)絡和代理行清算模式進行。典型的跨境匯款流程為：匯款人匯款指令從匯款銀行發(fā)出，經(jīng)由SWIFT網(wǎng)絡，發(fā)至匯款銀行的代理清算銀行，由代理清算銀行再經(jīng)由SWIFT網(wǎng)絡或本地清算系統(tǒng)網(wǎng)絡轉(zhuǎn)發(fā)至收款銀行，解付收款人。由于匯款處理環(huán)節(jié)各自獨立，存在匯款處理進程及費用收取不透明，查詢效率低、成本高的問題，影響客戶體驗。

GPI匯款標準和服務，將原本孤立的匯款環(huán)節(jié)串聯(lián)起來，使銀行能夠向客戶提供透明、可跟蹤的跨境匯款服務，有利于銀行改善客戶體驗，提高服務效率，減少客戶糾紛，同時增進精細化管理水平， 降低作業(yè)成本。此外，通過建立當日處理及信息完整傳遞的GPI業(yè)務規(guī)范，保證匯款處理時效和合規(guī)性，有利于提高全球銀行跨境支付處理整體水平，促進跨境支付業(yè)務合規(guī)運營。該服務推出后，獲得業(yè)界高度認可，逐漸成為跨境匯款服務的新常態(tài)。

在落地實施方面，大型商業(yè)銀行因業(yè)務量大，處理效率要求高，建議采用API交互方式，中小型商業(yè)銀行則可根據(jù)自身業(yè)務及系統(tǒng)情況確定，延用傳統(tǒng)SWIFT報文交互方式亦無不可。圍繞GPI功能，銀行一般推出外匯匯款的匯款進度、收費情況查詢，匯款到賬短信通知等服務。筆者所在銀行依托本行中間層智能管控架構，實現(xiàn)全渠道、跨渠道向客戶展示外匯匯款的處理流程和狀態(tài)，例如，客戶從柜面發(fā)起的匯款，可以在網(wǎng)銀端查詢狀態(tài)，反之亦然。從而給客戶“一個銀行”的體驗，算是比較有特色的一點。此外，GPI匯款主動止付服務對于銀行控制操作風險，提升客戶體驗也有顯而易見的好處。GPI匯款賬號驗證服務正在推廣階段，但因向?qū)κ种鲃有ｒ炠~號、戶名存在是否符合本地監(jiān)管合規(guī)要求的問題，很多銀行都持觀望態(tài)度。

（三）客戶安全計劃

2016年2月，孟加拉國銀行成為基礎設備與SWIFT連接的眾多銀行中網(wǎng)絡攻擊目標中的受害者。此次攻擊過后，SWIFT組織迅速啟動客戶安全計劃，旨在努力推動全行業(yè)針對網(wǎng)絡的協(xié)作以抵抗威脅和幫助加強和維護網(wǎng)絡系統(tǒng)安全。建立專門的客戶安全情報團隊（CSI）提供相關且及時的情報是SWIFT采用的眾多手段之一。CSI團隊專注于客戶安全取證和分析，對潛在威脅和客戶安全事件進行調(diào)查，并通過SWIFT ISAC信息共享門戶與社區(qū)共享由此產(chǎn)生的信息。在CSI團隊發(fā)布的報告中，涉及多種多樣的關于操作方式、戰(zhàn)術、技術和程序的更新進展， 為網(wǎng)絡預防和檢測措施的發(fā)展提供了寶貴的見解。例如，一是目標方面，在大多數(shù)情況下，目標銀行都位于巴塞爾反洗錢不利國家清單中風險評級非常高的國家。大多數(shù)襲擊針對的是非洲、中亞、東南亞和拉丁美洲的金融機構。通常， 目標機構在跨境交易方面都是規(guī)模較小的銀行。二是金額方面，發(fā)送欺詐性的高價值支付指令可能會帶來巨額回報，但指令的價值越高，觸發(fā)欺詐檢測系統(tǒng)的風險就越高。自從孟加拉國發(fā)生網(wǎng)絡事件以來，個人欺詐交易中發(fā)送的金額不斷變化，使其難以被發(fā)現(xiàn)。到2018年初，通?？吹矫抗P交易的金額為1000萬美元或數(shù)千萬美元，但自那時起，攻擊者已將每筆交易的平均金額顯著降低至25萬美元和200萬美元之間，這可能有助于避免檢測。三是偵察行為方面，受到潛在獲利回報的誘惑，攻擊者會堅持不懈;他們通常會穿透目標，在發(fā)起攻擊前等待數(shù)周甚至數(shù)月，利用時間學習模式和行為，并策劃欺詐行為。雖然他們將在這個偵察期間“無聲”地行動，但這是一個關鍵時期，在這期間也是可以被發(fā)現(xiàn)的。

對于各會員銀行的具體職責方面，焦點之一是自我鑒證工作報告的有效性，是聘請第三方獨立機構進行“自我鑒證”，還是僅僅自查即可。2020年初，SWIFT發(fā)布《獨立評估框架（IAF）》，對此作出明確規(guī)定。根據(jù)IAF要求，需由內(nèi)部合規(guī)、審計等獨立部門或聘請第三方開展評估，評估人員應具有相應資質(zhì)，自評估將不再被接受。

作者簡介：馬騰、1980年、男、漢、河北衡水、碩士研究生、經(jīng)濟師、商業(yè)銀行支付結算。