尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
銀行的手機支付業務,包括遠程支付和近場支付兩類,對銀行來說,手機支付業務本身就存在身份識別的風險,不管是手機銀行(WAP)、第三方客戶端支付(APP)、 近距離無線通訊支付(NFC)、掃碼支付(密碼支付和生物識別技術),都屬於銀行手機支付業務的範圍,當手機普及率越高,手機支付業務發展就越快,手機支付業務所承載的資金量也就越大,對銀行來說,伴隨而來的洗錢風險自然就越高。
一、銀行手機支付業務的主要洗錢風險
1.生物識別安全性和有效性的技術漏洞,可能導致客戶身份資訊遭冒用
由於手機支付業務廣泛應用各類生物識別技術,如人臉識別、指紋識別、聲紋識別和虹膜識別等技術。曾有媒體報導,小學生僅僅採用父母的列印照片,就可代替父母本人的臉部識別,因此銀行的手機支付工具,應採用安全等級最高的3D人臉識別和活體檢測技術,再輔以手機驗證等多種手段,才能減少被冒名的風險。
此外,生物特征無法排除被偽造使用的風險,就以指紋為例,指紋痕跡留存簡便,復制成本低,難免被不法分子偽造與客戶指紋相同的橡膠手指或指紋套,借此達到冒充用戶的目的。
2.客戶身份資訊存在泄露風險
銀行開展手機支付業務過程中,收集到的任何生物特征,常是以「雲存儲」方式進行保存,一旦此類資料庫遭駭客攻擊,便存在客戶身份資訊被盜,甚至被篡改的風險。
3.採取非面對面交易,可能無法真正辨識客戶身份
不管是客戶主動將帳戶、密碼提供給他人使用,或是客戶的帳號、密碼被第三方盜用,銀行都難以有效識別手機支付帳戶中資金交易的真實性,也無法有效判斷手機支付帳戶的實際控制人真實情況。
在非法買賣信用卡案件中,就存在帳戶使用人和信用卡開戶人不同的情況,這對執法部門偵破案件帶來一定的難度,不論是通過留存的開戶人資訊,或是網銀轉帳痕跡,都無法掌握該信用卡真實使用人的身份。
4.完整資訊難以掌握
因為手機支付業務有快速、便利的特征,特別是便於交易鏈條的人為切斷,將交易資訊分割在不同的銀行和第三方間,導致單一金融機構無法掌握客戶資金來源和去向的完整面貌,這會造成銀行反洗錢控制措施的有效性被削弱。
5.隱藏資金真實來源
若客戶採用手機支付渠道進行資金往來,對銀行來說,顯示出的資金來源僅體現在微信掃碼或支付寶掃碼層面,無法真正識別出背後資金支付的主體身份,加上QRCode可以轉發給第三方,由第三方代為掃碼支付,這對資金來源的核實又增加了障礙,也對銀行的溯源工作極為不利。
二、銀行面對手機支付的反洗錢對策
FATF(金融行動特別工作組)曾發布過《預付卡、手機支付、網路支付行業風險為本反洗錢方法指引》,建議銀行應採取以下措施以達到降低手機支付業務洗錢風險的目的。
1.加強非面對面客戶的身份驗證措施
當手機支付業務功能越強大,銀行就越需要通過強化盡職調查方式降低洗錢風險,例如銀行可通過第三方資料庫,驗證非面對面客戶身份;或是通過向客戶指定手機發送動態密碼,加強客戶身份認證。
2.交易監控及可疑交易上報
在交易中記錄客戶使用的交易工具、交易IP、MAC地址等資訊,分析客戶是否採用同一網路終端、IP地址進行交易,並對帳戶的實際控制人、受益所有人進一步核實。
3.對手機支付業務設置交易上限
針對不同風險等級客戶,對移動交易支付的額度、次數進行限制,當金額或筆數超過上限時,業務系統可拒絕客戶手機支付往來業務的請求,並通過針對特定地理區域或金額採取上限限制,降低手機支付被濫用作為洗錢目的的風險。
4.限制可接受的資金來源
由於匿名資金來源會提高洗錢風險,因此銀行須將資金來源納入是否接受業務往來的重要考慮因素,銀行可通過保存交易記錄進一步追蹤手機支付的資金來源,防范不法分子利用手機支付特性漂白資金。
(本文作者繫上海富拉凱會計師事務所反洗錢項目總監)