关于银行业反欺诈的思考

在以前，金融服务机构认为欺诈事件是经营的必要成本之一，基于此，金融机构主要关注如何降低欺诈事件带来的损失。当前金融服务行业的欺诈热点有三个，分别是洗钱、合规和内部金融欺诈。比起之前，欺诈者更倾向于通过秉承以往有效的集团犯罪形式，向金融服务机构的系统漏洞发起攻击。很多金融机构在新产品刚上线的头几天，就被欺诈者迅速攻破，导致这类企业承受巨大经济损失。同时，基于合规考虑和欺诈攻击扩展速度，金融类机构必须摒弃欺诈成本预算这个观念。与之相反，金融类机构必须考虑主动投资反欺诈的技术手段、防控工具和策略，从而达到有效预防欺诈的效果，减少欺诈带来的风险损失和资本损失。

银行面临的主要欺诈类型

目前金融欺诈分三大类：客户交易欺诈、内部欺诈和洗钱。根据Kroll咨询公司2012年的欺诈报告，内部欺诈是目前金融机构欺诈损失金额最高的欺诈类别（见表1），2011年损失金额近900亿美元，其次欺诈损失所占比例最高的是客户交易欺诈类别，2011年损失金额约为735亿美元。客户交易欺诈主要出于欺诈风险较高的产品，包括信用卡、借记卡和电子银行。主要的客户交易欺诈类型包括：

身份类欺诈。身份类欺诈主要包括申请欺诈以及账户盗取欺诈。申请欺诈是指欺诈者的个人信息不符合金融机构业务的申请要求，通过非法渠道获取正常客户的身份信息，并把身份信息用于金融机构相关业务的申请，从而获得对欺诈者有利的产品、服务或者信用额度的欺诈方式。账户盗取欺诈是指欺诈者通过钓鱼、木马的恶意传播，非法获取客户的账户信息，并利用账户信息进行取款、转账、汇款等非法交易的欺诈方式。

交易类欺诈。交易类欺诈主要包括伪卡交易以及非面对面伪冒交易。伪卡交易是指欺诈者通过非法渠道复制卡片，并且利用伪冒的卡片进行交易的欺诈方式。非面对面伪冒交易是指客户的卡片被欺诈者非法获取，通过无卡交易（如网上支付等），输入卡片信息进行交易的欺诈方式。

移动终端欺诈。因为基于网页登录的手机银行和个人电脑会同样带有病毒，因此手机银行和网上银行具有相似的漏洞。同时，近几年来，智能手机逐渐走向成熟化和大众化，客户对智能手机的使用频率和依赖程度也与日俱增，这也逐渐成为欺诈者攻击客户的重要渠道之一。

除了上述几种欺诈种类之外，洗钱也是金融服务机构需要重点考虑的金融犯罪类型之一，因为洗钱这种行为有自己独特的流程，所以给企业欺诈侦测带来了巨大挑战。通常，专门用于侦测洗钱的工具和软件，也可以用于欺诈识别。然而，这种通用的侦测工具还没有广泛使用。

银行业反欺诈的战略考虑

根据前面欺诈风险的特征和趋势分析，银行业在全面规划反欺诈体系时，可综合考虑三方面的驱动因素。一是基于内在需求的因素，二是应对威胁的因素，三是应用新技术的因素。

从基于内在需求的角度看。国际上银行业的先进实践告诉我们，内部的战略需求发生了较大的变化。首先是如美国银行和富国银行等大型银行，已初步建立了企业级的反欺诈管控体系，有效地防止欺诈风险在银行内部业务条线和产品间进行转移。

在美国有种“基于能力规划”的思路，这也是基于内在需求的一个方面，简单地说就是“我要做什么，我想怎么做，我能怎么做”。总体来说，未来欺诈与反欺诈的博弈由谁来设计和引领。这样，银行自身的责任、使命和任务，以及反欺诈的概念和能力目标就是驱动内在需求发展的重要因素。另外，随着业务的发展和欺诈风险的变化，现有反欺诈体系均可能面临着更新换代的需求，也将是主要内在需求的驱动因素之一。

从应对威胁的方面考虑。信息系统安全是银行目前面临最大的现实威胁主要来源于全球化和集团化的欺诈犯罪，包括客户信息泄露、伪卡、黑客木马和网络钓鱼等攻击成为当今系统安全的主要欺诈手段。同时欺诈威胁的全球化和集团犯罪趋势，也加大了欺诈犯罪的隐蔽性，增加了欺诈风险识别的难度。近期国际上银行业中发生的洗钱案件也表明，需要加强客户的尽职调查及引入“社会网络”的关联分析措施和手段，才能有效及时地进行欺诈风险的识别和管控。

从应用新技术的情况分析。可重点关注网络信息安全和客户端安全认证两方面。

在网络信息安全方面，各国或地区都有具体的合规要求和应用指引，如应用新的密码体系或新的信息安全标准等。如美国联邦金融监管委员会最新的《网络安全授权管理规范及补充协议》，我国人民银行的《网上银行系统信息安全通用规范（试行）》等。

在客户端的安全认证方面，各银行除了不断地应用指纹、虹膜及脸部等生物识别技术来改良认证工具（包括USB key， 动态令牌和金融IC卡等）之外，还可能应用非工具化的新认证技术。如微软公司主要针对平板电脑或移动终端开发的Windows 8操作系统，就应用了屏幕图形或笔记本触控板的手势特征识别技术进行验证登录，代替了传统上由客户牢记的静态登录密码，预计可有效地防范对移动终端身份认证进行钓鱼攻击等欺诈，并提升了客户安全体验，可能会成为未来银行反欺诈体系与客户之间进行有效互动联防的主要措施和手段之一。

总之，银行业反欺诈体系的内在需求、应对威胁和应用新技术这三方面驱动因素都在不断演变，所以需要在综合考虑这三方面因素的基础上，持续不断地对未来欺诈的风险趋势进行分析和评估，脚踏实地走出一条逐渐递进的过程。

银行业反欺诈的主要措施

为了更好的识别欺诈和控制欺诈，满足合规监管要求，维护企业声誉，并为客户提供安全的服务体验，一般需要从识别、评估、控制、缓释、监测和报告六大关键能力进行评价和规划，从而制定出相应的反欺诈措施和手段。

建立反欺诈知识库，采用智能化识别手段，提高欺诈识别能力

虽然欺诈具有多种形式，并且随着技术的发展可以快速转移和快速转变，但是，建立庞大的反欺诈知识库，收集所有行业以内甚至行业外的欺诈信息，包括欺诈的形式、影响的范围和人群、应急手段等等，不但有助于在面对新兴欺诈模式的时候有更多的参考案例，还可以配合各种反欺诈中心的培训以及对客户的引导，更加有效地预防欺诈，阻止欺诈的发生。

同时，欺诈的快速转变性也要求企业采取更多主动的预防措施，包括对反欺诈系统、反欺诈技术和工具的投资，从而达到有效识别和侦测欺诈的目的。同时，这些反欺诈系统、技术和工具应该能帮助实现跨行业的信息共享平台的建立，有助于帮助各个行业建立反欺诈知识库，并且相互降低反欺诈的成本。目前先进的欺诈分析手段包括：

规则判断。通过分析现有的欺诈模式，总结现有欺诈的特征，并根据这些欺诈特征制定相应的反欺诈规则，判断交易发生欺诈损失的概率。

行为特征分析。通过建立不同实体的行为档案，包括设备、卡片、账户、客户的行为档案，该行为档案包括这些实体在一定时间段内的交易特征，如平均交易金额、常用的交易类型等。在交易过程中，通过实时计算当前交易和历史交易特征的偏离值，计算该笔交易发生欺诈的概率。

智能模型识别。智能模型是一种欺诈风险量化的模型，利用可观察到的交易特征变量，计算出一个分值来衡量该笔交易的欺诈风险，并进一步将欺诈风险分为不同等级。智能模型会在客户开始交易的第一个行为开始进行分析，为客户每一个动作赋予相对应的风险分数，为智能性反交易欺诈授权策略提供科学依据，对欺诈风险高的交易可以拒绝授权和展开调查。

关联分析。通过了解已知欺诈事件以及相关实体（如欺诈者、欺诈发生的自助取款机等），通过某一组数据变量（如时间、交易地点、账号地址等）把这些实体之间相似的信息联系进行关联分析，甚至运用社会网络关系分析，从而决定应对这种团伙欺诈所采取的策略和手段。

设定客户欺诈风险评级，提高评估客户欺诈风险能力

在了解客户阶段，充分收集的客户数据也是识别欺诈的重要方式之一。通过大量的客户背景信息，根据客户的背景信息、交易信息、第三方机构的黑白灰名单，设定客户欺诈风险评级，达到彻底认识客户的目的。提高评估客户欺诈风险能力不但可以帮助企业根据同行信息和司法信息识别高风险客户，还可以通过客户的背景调查了解和该客户有关联的用户，从而阻止该客户的可疑交易和潜在的团伙欺诈。

成立企业级的反欺诈中心，加强欺诈交易事中控制

基于欺诈具有转移性，反欺诈能力应该在企业内集中管理。在企业组织架构中添加反欺诈中心可以及时侦测到欺诈发生的业务领域或者业务流程，紧密和业务条线合作，做到实时控制欺诈交易。集中式的欺诈管理不但可以实现跨业务线、跨产品、跨渠道的集中管理，而且还可以统一针对欺诈形式或者地域的转移而需要相应改变的欺诈策略、模型、规则作及时的调整。

客户体验、欺诈预防和识别、风险管理和成本控制需要均衡加强

欺诈预防与识别策略以及报告机制需要和银行的战略目标保持一致。每个企业都会把客户体验放在战略目标的第一位，随着技术的发展，客户随时随地都会使用银行的各种业务，从而也提高了欺诈的可能性。银行如何让客户远离欺诈，或者在客户遭受欺诈之后银行第一时间就保护客户的经济利益，和该银行的声誉息息相关。而且，要保持银行的声誉良好，仅仅加强市场营销手段是远远不够的，银行还需要投资先进的欺诈识别和欺诈分析技术，提高自身竞争力，在欺诈发生之前就为客户提供安全便利的业务体验。

（作者单位：中国建设银行电子银行研发中心）