刘依娜
摘要:互联网支付机构的非面对面交易因其快捷性、经济性,保密性、跨地域性得到了大力发展,但是由于其便捷性、隐蔽性、自由性和跨地域性,已成为洗钱犯罪分子利用的主要渠道之一,如何履行好。了解你的客户。义务,加强对非面对面客户身份的有效识别和控制,对发挥好反洗钱屏障作用至关重要。本文通过分析非面对面业务中客户身份识别的主要特点以及存在的主要问题,进而针对客户身份识别与風险控制提出相关建议。
关键词:非面对面交易 客户识别 洗钱 风险控制 欺诈
一、互联网支付机构在非面对面业务中面临的挑战
互联网支付领域的非面对面业务主要指客户通过现代化的科技设备或智能移动终端在卡片不存在的环境下进行一宗或多宗在线支付的活动,其身份识别和风险控制的难度远远大于通过传统柜台面对面现金支付或是PoS机进行支付。互联网技术和现代化支付方式在便利人民生活的同时,也为犯罪分子实施诈骗提供了可乘之机。其主要体现有以下方面:
1.反洗钱国际标准大幅度提高,反恐怖融资和防范扩散融资问题突出;
2.伴随着人民币跨境使用、资本项目逐步开放、互联网金融快速发展等使得互联网支付机构面临的洗钱和恐怖融资威胁进一步加大;
3.隐私数据大量泄漏,特别是卡号邮箱等的泄漏事件频发。钓鱼式欺诈比例持续上升;
4.欺诈分子的作案手法不断升级、产业化发展趋势明显;
5.商家面临更大的欺诈风险挑战,通过非面对面互联网支付给商家带来更大的欺诈风险挑战。
二、非面对面客户身份识别的特点以及存在的问题
非面对面交易的客户身份识别风险主要来源于两方面,一是商家端风险,二是持卡人端风险。对于互联网支付机构来说,无论是商家还是持卡人均是互联网支付机构在非面对面交易的客户,而这些客户因身份识别带来的风险主要有:
1.商家作为互联网支付机构的客户在接入审核时,提供虚假身份证、虚假交易网址等其他虚假信息。交易后不发货或不提供服务,这些都使机构面临声誉与合规风险。
2.持卡人端的风险在于非面对面交易的隐蔽性、匿名性、自由性、便捷性和跨地域性,客户身份的真实性无法准确识别,可能会诱发盗卡伪卡盗刷交易发生,甚至存在交易之后恶意拒付的行为发生。
随着金融创新步伐的加快,以及信息化程度日益提高,网络通信技术催生的第三方交易方式的服务开放性、资金转移高效便捷等特点,也为不法分子提供了犯罪的渠道,使得洗钱活动日趋隐蔽,非法集资洗钱形势更加严峻,诈骗洗钱层出不穷,特别是在非面对面客户身份识别和风险控制上,互联网支付机构面临着很多问题:
1.互联网支付机构洗钱风险管理和内控机制不完善;
2.洗钱风险评估和控制措施不足,执行明显滞后;
3.客户尽职调查和账户管理不到位;
4.反洗钱交易监测分析、报告工作有待加强:
5.互联网支付机构之间交易信息传递不完整。
三、非面对面身份识别的难点以及主要原因分析
(一)身份持续识别难度大
在业务关系建立后,客户的部分交易或者全部交易,均可通过非面对面途径实施。互联网支付机构与客户接触的机会比较少,在此期间客户的常住地址、联系电话、经营范围、职务、实际控制人等情况发生变化,支付机构无法及时了解及更新,致使客户尽职调查工作难以有效开展。
(二)交易真实性以及交易背景难以掌握
非面对面交易自动化程度高,速度快,甚至可以批量处理。客户通过非面对面交易完全可以在匿名的方式下进行,很难核实交易的实际控制人和交易背景。在以往侦破的案例中,很多贩毒、诈骗等犯罪都是通过购买大量银行卡或身份证件开立账户,从事资金非法转移。高度匿名性也增加了交易客户身份识别的难度,客户的真实身份被隐藏,给追踪和调查洗钱犯罪带来了较大的难度。
(三)技术防范手段需完善
非面对面交易都是通过卡号、有效期、CW2、密码、密钥、证书、手机动态码等技术手段实现的,这些技术手段能够有效地保证账户资金的安全往来,但并不能够充分保证客户身份的确切核验,这为不法分子提供了可乘之机。不是所有的客户的安全系统都安全可靠,如果支付数据被盗,欺诈者或被欺诈者控制的僵尸网络,可试图使用合法支付数据尽可能多地窃取客户的信息,进而通过利用这些客户信息进行洗钱活动。
(四)客户尽职调查和账户管理难度大
截至目前为止,国内针对非面对面交易的相关法律法规比较少,而且大部分互联网支付机构根本都不了解这个业务模式以及风险点,在这种情况下,很难设计出适合非面对面业务中客户身份识别的内控制度和工作流程,识别手段停留在初级阶段,有效性不高。
(五)反洗钱交易监测系统的分析、报告工作有待加强
部分互联网支付机构反洗钱监测系统没有有效地运用起来,从系统的搭建到规则的设定,以及针对大额可疑交易的侦测和反洗钱的预警机制,未覆盖所有交易、未能以客户为单位开展监测分析,监测标准或预警阀值设置存在缺陷。
(六)互联网支付机构之间交易信息传递不完整
产业碎片化导致信息分割,互联网支付机构缺乏行业自律机构的推动和监督,相互之间缺乏战略性合作。
四、加强非面对面客户风险控制的对策
在非面对面业务中,互联网支付机构事前需要做好商户接入审核工作,事中需要将客户交易的风险控制至最低,事后针对可疑大额交易进行报告。跟进投诉、拒付、伪冒交易的调查与反馈,勤勉尽责,努力提高反洗钱工作有效性,切实防范洗钱风险。
(一)健全互联网支付机构洗钱风险管理和内控机制
制定有效的内部监控制度,确保董事和雇员适当地遵守制度,以定期报告、清晰的责任划分及部门汇报制度为基础,建立有效的汇报制度及程序,清楚界定授权等级及相关的政策与程序,以及确保负责监督职能的员工力足胜任且经验丰富。根据机构的现状,建立健全反洗钱组织体系,良好的责任划分,及时调整反洗钱组织架构,确定反洗钱工作的负责部门,配备业务素质较高的管理人员,制订严格的工作职责,确保反洗钱工作的有效开展。完善内控制度,制定履行反洗钱义务的组织保障制度、业务流程制度、岗位责任制度、内部审计和外部审计制度等,构筑严密的反洗钱制度防线,同时根据反洗钱岗位责任制,量化工作任务,使反洗钱工作进一步规范化、制度化。
(二)加强客户身份识别,从源头上防范洗钱风险
确认客户的真实身份,从源头上防范洗钱活动,有效保护支付机构的商誉和客户资金安全。做好持续的客户身份识别,及时调整客户洗钱风险等级,对洗钱风险进行提前预防。首次接入身份识别,应全部调查和评估客户的业务,通过评估客户业务,交叉式实名认证客户身份信息,分析潜在的欺诈和责任风险。其次,与客户签订合约后,持续识别客户身份,了解客户交易的目的和性质,交易的实际受益人和身份信息的有效性和及时更新身份识别的相关信息。最后,重新识别,发现先前获得的客户身份存在疑点或异常迹象,或可能会造成过度损失和名誉损害等市场不当行为和失当行为的,需重新识别客户的真实和全部的身份以及交易的实际受益人。
(三)完善侦测系统,提高对客户身份识别监测和风险控制水平
一是通过高准确性设备识别,在不影响用户支付体验的过程中,进行全联网渠道的设备识别、通过对支付硬件设备、软件系统、所用浏览器等进行全渠道的监测。针对不同的技术平台,使用不同的数据抓取技术。可通过以下手段进行:
1.不依赖cookie,不依赖lP地址,运用电脑MAC地址、系列号和手机的IMEI,基于智能设备技术,准别识别客户身份;
2.通过检测来自恶意软件感染的设备访问,检测交易会话访问是否被劫持,检测中间人攻击等;
3.建立黑白名单库等,根据以往的数据经验对交易活动及地区实现风险预警;
4.进行可疑交易的检测,检测异常会话路由等。
二是制定信息安全政策,建立和维护安全网络,保护客户数据安全性,维护漏洞管理计划,实现强大的访问控制手段,定期监控和测试网络。安装和维护保护客户数据的防火墙设置,不使用供应商提供的默认系统密码和其他安全参数,在全面开放的公共网络,加密传输客户的数据,使用并定期更新防毒软件,开发和维护系统安全和应用程序。
三是建立大数据库,采用人脸识别、指纹识别、声音识别、瞳孔识别,进行多维度匹配核验。在客户签约开通非面对面业务时,录入客户的人脸特征、瞳孔特征、指纹信息、声音频率波段等。通过以上的措施对交易全渠道检测,进行有效控制风险。
(四)制定严格的监测规则,多维度数据关联分析以甄别欺诈
制定严格的监测规则,多维度数据关联分析以甄别欺诈。针对非面对面交易过程中涉及的语义、购物信息、交易数据、账户变化、交易频率、交易行为、交易数据信息等,实施强有利的手段进行欺诈监测,同时采用风控手段进行反欺诈,主要可以通过以下手段进行:
1.通过电话或短信验证码校验持卡人电话真实性;
2.判断是否跨国交易,限制可疑交易;
3.限定交易次数,防止伪冒交易重复出现;
4.通过黑名单屏蔽过往伪冒交易相关持卡人信息;
5.根据交易特点,购买行为分析,以及信息比对,可以快速发现相同或类似数据,设备的交易之间的关联。
(五)发挥互联网支付机构间的协同效用,进行行业资源整合
发挥机构间协同效用,进行行业资源与信息整合,实现交易信息的互联互通。非面对面交易的很多信息,支付端都无法获取,产业碎片化导致信息分割是支付领域重要特征之一。这就需要发挥互联网支付机构行业自律效用,推动互联网支付机构之间的战略性合作,加强行业自律的同时,整合行业资源,形成行业合力,建立属于该行业特色的黑白名单数据库。机构问应进行协同作战,最大程度实现交易信息的完整性,共同推进非面对面交易客户的身份识别和风险控制,进而更好地履行反洗钱义务。
(六)加大培训力度,提升反洗钱队伍的素质
加强互联网支付机构的反洗钱工作,首先要提高全员对反洗钱工作的认识,采取有力措施,加大培训力度以提高反洗钱团队甄别及应对风险的能力。培训应从实际出发,配合真实的案例分析,注重提高反洗钱的操作技能,深入研究反洗钱工作的各方各面。培训工作要分层次开展,首先要加强对高级管理人员的培训,通过培训进一步提高其思想认识,提升其管理水平。其次,强化对具体实际操作人员的培训,重点培训制度法规和日常操作,一线反洗钱岗位人应以适当的技巧,小心谨慎和勤勉尽责的态度行事,准确识别客户身份信息和风险控制的同时,维护客户的最佳利益及确保市场廉洁,做到知行合一。
五、结论
互联网支付机构作为客户有效身份识别与风险控制的“第一道防线”,面对国际上反洗钱标准大幅提高,国内互联网金融的快速发展,隐私数据大量泄漏,欺诈分子作案手法不断升级,“技术”含量逐步提高,洗钱活动日趋隐蔽,非法集资洗钱形式更加严峻等这些挑战,如何做好非面对面交易客户的身份识别与风险控制已成为互联网支付机构工作的重中之重。本文针对非面对面客户身份識别的特点、难点以及存在的问题,提出健全互联网支付机构洗钱风险管理和内控机制,加强客户身份识别,从源头上防范洗钱风险,完善侦测系统,提高对客户身份识别检测和风险控制的水平,制定严格的监测规则多维度数据关联分析以甄别欺诈,发挥互联网支付机构问的协同作用,进行行业资源整合,加大培训力度,提升反洗钱队伍的素质这六个措施,通过这些措施帮助互联网支付机构在非面对面交易这个业务,做好客户身份识别与风险控制,更好地发挥反洗钱的屏障作用。