商业银行交易反欺诈要略


来源:移动支付网    作者:AndrewT    2021-6-10 9:53

对于商业银行而言,线上支付交易反欺诈是一项止损业务,止损止的是客户的损失,对于银行自身则属于显性成本业务,在重视程度上远不及营销、吸储、放贷、投行等利润业务,与信贷风险控制相比,外部欺诈风险在风险管理链条中也处于非核心地位。

2021年5月25日,最高人民法院发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》,对银行卡盗刷问题进行了规定,自此,商业银行除了按照银保监会、人民银行、地方金融管理局等监管部门的要求,履行反欺诈的义务以外,还要积极应对客户对于用卡安全的实际诉求,否则,当客户的资金被盗刷后,商业银行也将面临索赔民事纠纷,反欺诈已成为商业银行必须要修炼的内功。而实际上商业银行面临的外部欺诈风险远不止卡盗刷,近年来,一个现象较为普遍,不管是高铁站还是小区门口或者是商场,都能看到醒目的横幅、电子屏,甚至反诈中心会用短信的形式,对于防范电信网络诈骗进行大规模提示,一方面说明电信网络诈骗形势严峻;另一方面也应看到政府在积极开展行动,帮助民众提高警惕,防止诈骗。

为什么电信网络诈骗在如此高压的情况下仍然高发,作为商业银行做了哪些事情来避免用户遭到电信网络诈骗呢?政府教育民众,银行教育客户。对于防骗,客户的安全意识无疑是最重要的保护盾,然而,既然是意识,想要提高,是无法做到立竿见影的,意识的提高是一个缓慢的过程。教育是最容易实现的,客户新开银行卡时被告知如何安全用卡,客服电话也会经常以短信和电话的形式提醒客户安全用卡,切勿泄露个人账户信息给陌生人。

除了教育提醒之外,还能做什么。反欺诈系统实时拦截,从交易的维度识别出欺诈风险高的交易,进行实时拦截,保护客户资金安全,但这考验的是商业银行的风险识别能力和系统控制能力,这是一个挑战,接下来我们讨论如何从交易的角度识别并控制电信网络诈骗,从而将风险化解在资金交易的环节,避免与客户后续的民事纠纷。

识别风险的基础是了解风险。我们先来看欺诈风险的定义,巴塞尔银行监管委员会对操作风险的定义是:由于内部程序、人员和系统的不完备或失效,或由于外部事件造成损失的风险,主要包括内部欺诈、外部欺诈等,其中内部欺诈是指有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司规章制度的行为;外部欺诈是指第三方欺诈、盗用资产、违犯法律的行为,通常包括贷款申请欺诈、信用卡申请欺诈、交易欺诈、信用卡盗刷、个人借记卡盗刷、企业账户交易欺诈以及不法分子通过电话、网络、短信等方式编造虚假信息,设置骗局对受害人实施远程非接触式诈骗,诱使受害人转账的电信网络欺诈等。

网络金融渠道的支付交易欺诈,属于外部欺诈,包括两类主要方式:

  • 一种为非持卡人本人操作类欺诈,也即银行卡盗刷,主要作案方式为诈骗分子通利用钓鱼网站、地下暗网等黑产方式,综合运用社会工程学方法获取持卡人的个人信息、账户信息及登录支付等交易要素,登录他人账户并进行资金相关操作的行为,主要包括盗刷消费和盗刷转账;
  • 另一种为持卡人本人操作类欺诈,也即电信诈骗,本文指诈骗分子通过电话、微信等方式与持卡人取得联系,通过恐吓、引诱等形式从主观上骗取持卡人的“信任”,误导或诱使持卡人向诈骗分子转账的行为。两种类型的主要区别是交易的操作者是否为持卡人本人。反欺诈业务主要是针对上述两类欺诈进行检测,并对高风险交易进行实时阻断,保障用户用卡及资金安全。

非持卡人操作的交易具有明显的特征,主要包括交易使用的设备、网络环境、交易操作行为习惯等,此类风险主要集中在,与持卡人历史交易相比,常用设备发生变化、交易所在位置发生较大变化或与持卡人所在地差异较大、交易金额与日限额或账户余额较为接近、支付方式多为短信支付等非物理介质、操作行为习惯有明显变化、收款方风险等特征。持卡人本人操作类欺诈交易为持卡人本人发起的交易,在使用的设备、网络环境等方面无明显特征,主要特征集中在收款方(卡或账户)的风险以及交易行为习惯的变化方面,在防控时难度较大,重点可放在收款方的风险评估方面,收款方分为本行账户和他行账户,对于他行账户,可利用黑名单进行风险评估,但范围极小;对于本行账户可根据该账户的开户、登录情况、与其他账户的关系等进行风险评估。

控制风险的前提是识别风险。反欺诈系统是识别和控制风险的利器。反欺诈系统主要进行实时欺诈交易检测和阻断。客户在APP或者网银提交交易请求,该请求将经过一系列数据字段补充,形成完整的交易报文,反欺诈系统实时取出交易报文并进行风险评估,将风险评估情况和对应控制措施返回给网银系统,网银系统进行实际控制,比如进行阻断或者放行或者二次认证。

如何识别风险?假设当前反欺诈系统只有一个功能:判断交易金额是否超过一万元,如果否,则直接向服务器反馈“放行”代码,服务器拿到反馈结果后,将根据该笔交易的收付款方、交易金额等信息进行更新数据库等一系列操作;如果超过一万元,则向服务器反馈“拦截”代码,服务器接到指令后,将该笔交易拒绝,并给该客户反馈提示信息。现在考虑一个情况,近期,有不少北京地区的客户反映,有人冒用自己卡进行转账汇款,造成资金损失,需要风控部门予以控制。此时,“判断交易金额是否超过一万元”的功能显然不能满足业务需要,我们要对风控系统的功能进行扩充,需要添加一个功能,实现对北京地区的所有转账交易进行人脸识别(刷脸认证),以确认操作账户的人是否是持卡人本人。

此时,风控系统要做到三件事:一是在一个交易请求送入风控系统时,能够判断出来这笔交易是否来自北京地区的卡;二是判断出该笔交易是否为转账交易;三是若同时满足条件一、二,则通知服务器,对该笔交易进行“人脸识别”;如果在规定的时间内人脸识别通过,则转账成功;否则转账失败。类似这种简单的判别,我们称之为规则,规则灵活且有效,大量的规则构成规则系统,对不同风险进行精准的过滤和处置。

现在,考虑一个问题,对于北京地区有人冒用他人的卡进行转账汇款的风险,如果时间过去了很久,客户才上报,或者客户上报的内容过了一段时间,才传到风险控制部门,将会有什么后果?

风险在长时间内没有得到有效控制,导致大量客户资金损失,影响企业声誉,甚至遭到监管处罚,这就要求风险控制要具有及时性。再考虑一个问题,如果每条规则对映一类具体的风险,随着电子银行的快速发展,风险呈现多样化,规则要穷举风险个例显然不可能实现;同时规则的研发也耗费大量的分析时间,因此,规则具有风险处置单一性、上线滞后性等问题;此外,由于规则往往用的变量较少,诈骗分子能够在较短的时间内找到规则的漏洞,因此,规则也存在易突破的致命性弱点。此时,对于风险处置更多样、更不易被突破、处置风险更及时的“超级规则”的需求更加迫切,这样的规则我们称之为“模型”。

下一章,我们讨论如何构建一个“超级规则”—反欺诈模型。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2021 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号