銀行業(yè)務(wù)安全風(fēng)險(xiǎn)態(tài)勢及監(jiān)管政策導(dǎo)向

銀行業(yè)務(wù)安全風(fēng)險(xiǎn)態(tài)勢及監(jiān)管政策導(dǎo)向近日，中國銀保監(jiān)會黨委刊文《持之以恒防范化解重大金融風(fēng)險(xiǎn)》，指出站在新的歷史起點(diǎn)上，要沉著應(yīng)對和防范化解重大金融風(fēng)險(xiǎn)，堅(jiān)定不移推動(dòng)中國金融高質(zhì)量發(fā)展。

隨著金融業(yè)改革和數(shù)字化轉(zhuǎn)型進(jìn)程的不斷深化，銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)正在發(fā)生深刻變革，體現(xiàn)出零售業(yè)務(wù)增長、物理網(wǎng)點(diǎn)萎縮、服務(wù)客戶下沉等特點(diǎn)，與此同時(shí)，面臨監(jiān)管環(huán)境趨嚴(yán)、業(yè)務(wù)模式改革、風(fēng)險(xiǎn)管控升級等趨勢。

對此，同盾科技金融業(yè)務(wù)安全專家墨白從銀行業(yè)務(wù)安全建設(shè)的角度，闡述風(fēng)險(xiǎn)態(tài)勢洞察及監(jiān)管政策導(dǎo)向，并對銀行業(yè)金融機(jī)構(gòu)如何通過構(gòu)建“新一代智能安全中樞”，實(shí)現(xiàn)風(fēng)險(xiǎn)管理進(jìn)階升級提出建議。什么是業(yè)務(wù)安全？從信息系統(tǒng)安全范疇來講，可以劃分為網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、運(yùn)行安全、終端安全和業(yè)務(wù)安全等領(lǐng)域。業(yè)務(wù)安全，簡單地說就是指企業(yè)業(yè)務(wù)上發(fā)生的安全問題。具體到金融領(lǐng)域，金融業(yè)務(wù)安全就是指信息系統(tǒng)在實(shí)現(xiàn)金融業(yè)務(wù)過程中存在漏洞，造成業(yè)務(wù)規(guī)則無法實(shí)現(xiàn)或容易被繞過等錯(cuò)誤或弱點(diǎn)。

墨白認(rèn)為，金融業(yè)務(wù)安全建設(shè)要著眼五個(gè)要點(diǎn)，首先要符合法律法規(guī)要求，保證業(yè)務(wù)在運(yùn)轉(zhuǎn)過程中不會因?yàn)檫`規(guī)而被監(jiān)管通報(bào)處罰；第二要保障業(yè)務(wù)的可用性和連續(xù)性；第三要保障業(yè)務(wù)運(yùn)轉(zhuǎn)過程中核心信息不會被泄漏；第四要能夠保護(hù)業(yè)務(wù)運(yùn)行過程中產(chǎn)生的數(shù)據(jù)的一致性、完整性；第五，針對問題要能夠溯源，證明業(yè)務(wù)運(yùn)行過程的合規(guī)性。日益嚴(yán)峻的挑戰(zhàn)洞察銀行業(yè)務(wù)的數(shù)字化進(jìn)程，近年來經(jīng)歷了網(wǎng)點(diǎn)信息化、網(wǎng)上銀行、手機(jī)銀行，再到今天的智能銀行，未來還可能向開放銀行發(fā)展。目前，絕大多數(shù)銀行處于智能銀行發(fā)展階段，即利用大數(shù)據(jù)、人工智能等技術(shù)向客戶提供個(gè)性化、差異化的服務(wù)。

隨之而來，銀行業(yè)務(wù)面臨的風(fēng)險(xiǎn)場景也呈現(xiàn)多樣性變化，暴露出的被攻擊面、被攻擊點(diǎn)亦呈爆發(fā)式增長。特別是疫情以來，各類涉賭涉詐欺詐團(tuán)伙也在加速線上化轉(zhuǎn)移，并利用AI技術(shù)、虛擬貨幣等不斷升級與銀行風(fēng)控體系的對抗，高科技涉賭涉詐、洗錢案例持續(xù)呈現(xiàn)出高發(fā)態(tài)勢。

為此，國家公安、網(wǎng)信及金融監(jiān)管等部門先后開展了“斷卡”“長城專項(xiàng)”等防賭反詐專項(xiàng)行動(dòng)。人民銀行、銀保監(jiān)會陸續(xù)出臺多項(xiàng)文件，要求商業(yè)銀行、支付機(jī)構(gòu)、清算機(jī)構(gòu)壓實(shí)主體責(zé)任，防賭反詐全面升級。

近7年來，據(jù)公安部發(fā)布的數(shù)據(jù)顯示，欺詐案件和欺詐金額逐年上漲，近一年（截至2022年4月），全國公安機(jī)關(guān)共破獲電信網(wǎng)絡(luò)詐騙案件39.4萬起，緊急止付涉案資金3291億元。在近一年的高發(fā)電詐騙局中，網(wǎng)絡(luò)刷單返利、虛假投資理財(cái)、虛假網(wǎng)絡(luò)貸款、冒充客服、冒充公檢法是五種主要的詐騙類型。

與此同時(shí)，反電信網(wǎng)絡(luò)詐騙法加速立法進(jìn)程，對金融機(jī)構(gòu)賬戶、交易等環(huán)節(jié)的防賭反詐風(fēng)險(xiǎn)管理提出全面要求。

墨白認(rèn)為，近年來人民銀行、銀保監(jiān)會等監(jiān)管部門的政策思路一脈相承，金融業(yè)務(wù)已發(fā)生深刻變革，正在經(jīng)歷從“賬戶”為中心向“用戶”為中心的轉(zhuǎn)變過程，相應(yīng)地也要求銀行的業(yè)務(wù)安全風(fēng)控建設(shè)，從“規(guī)則為本”向“風(fēng)險(xiǎn)為本”轉(zhuǎn)變。

支付結(jié)算及賬戶管理類政策從具體操作層面來看，墨白認(rèn)為相關(guān)監(jiān)管政策主要涉及兩方面：一是針對支付結(jié)算及賬戶管理類的政策，二是針對銀行卡收單業(yè)務(wù)及收單風(fēng)險(xiǎn)類的政策。

自2015年以來，人民銀行、支付清算協(xié)會就賬戶分類管理、支付安全、涉賭涉詐核查、電信網(wǎng)絡(luò)詐騙、賬戶優(yōu)化服務(wù)等內(nèi)容下發(fā)了一系列的文件。例如：銀發(fā)〔2016〕261號文、銀發(fā)〔2018〕146號文、銀支付〔2020〕49號文、銀發(fā)〔2021〕260號文等文件。

這些文件具有非常重要的意義，提出了很多需要銀行不斷細(xì)化落實(shí)的具體要求，例如要求銀行全面推進(jìn)個(gè)人賬戶分類管理，提出I,II,III類賬戶分類管理辦法，以及建立對買賣銀行賬戶和支付賬戶、冒名開戶的懲戒機(jī)制；針對單筆交易金額整額或貼近整額，銀行就需要拆分細(xì)分核查點(diǎn)及具體風(fēng)險(xiǎn)特征，然后結(jié)合行內(nèi)數(shù)據(jù)及系統(tǒng)加工具體指標(biāo)，再設(shè)計(jì)監(jiān)控策略或模型；針對性的面向小微企業(yè)開戶難問題，要求銀行建立企業(yè)賬戶分類分級管理體系等等，都針對歷史上出現(xiàn)的棘手問題提出了針對性的解決辦法。

銀行卡收單業(yè)務(wù)及收單風(fēng)險(xiǎn)政策與此同時(shí)，監(jiān)管日益重視收單側(cè)業(yè)務(wù)及相關(guān)風(fēng)險(xiǎn)，從2013年人民銀行下發(fā)銀發(fā)〔2013〕9號文，到銀發(fā)〔2016〕261號文、銀發(fā)〔2017〕296號文、銀發(fā)〔2019〕85號文、銀支付〔2020〕49號文等等，相繼出臺10余個(gè)文件，持續(xù)加強(qiáng)該領(lǐng)域的監(jiān)管要求。

墨白表示，這些監(jiān)管文件在各自出臺的時(shí)期，針對當(dāng)時(shí)出現(xiàn)新形勢、新技術(shù)、新局面均做出了針對性部署，總體看來又體現(xiàn)出層層遞進(jìn)的監(jiān)管思路。

●人民銀行在2013年出臺的銀發(fā)〔2013〕9號文是一個(gè)重要的里程碑，首次以專門的業(yè)務(wù)管理辦法的形式，針對收單受理市場制定系統(tǒng)全面的規(guī)范。

當(dāng)時(shí)，隨著銀行卡支付業(yè)務(wù)模式、受理終端與渠道的不斷創(chuàng)新，銀行卡收單業(yè)務(wù)呈傳統(tǒng)實(shí)體商戶收單、網(wǎng)絡(luò)新型收單融合發(fā)展的趨勢。該辦法的發(fā)布和施行奠定了監(jiān)管機(jī)構(gòu)全面規(guī)范收單市場、加強(qiáng)收單業(yè)務(wù)監(jiān)管的制度基礎(chǔ)，此后陸續(xù)發(fā)布的收單業(yè)務(wù)監(jiān)管政策均與該辦法的監(jiān)管思路一脈相承。

●銀發(fā)〔2016〕261號文針對銀行卡收單業(yè)務(wù)提出四個(gè)方面的具體要求，包括嚴(yán)格審核特約商戶資質(zhì)，規(guī)范受理終端；強(qiáng)化可疑交易監(jiān)測；加強(qiáng)特約商戶資金結(jié)算管理；建立健全特約商戶信息管理系統(tǒng)等?！胥y發(fā)〔2017〕296號文聚焦條碼支付管理，從特約商戶資質(zhì)審核、商戶風(fēng)險(xiǎn)評級、商戶檢查、交易風(fēng)險(xiǎn)監(jiān)測等方面，要求強(qiáng)化業(yè)務(wù)風(fēng)險(xiǎn)管理。此后，2019年至今監(jiān)管機(jī)構(gòu)針對電信詐騙、賭博等新型違法的排查整治，進(jìn)一步細(xì)化責(zé)任，強(qiáng)化監(jiān)督，從銀發(fā)〔2019〕85號文、銀支付〔2020〕49號文、銀發(fā)〔2020〕155號文到銀發(fā)〔2021〕259號文，相繼提出嚴(yán)格特約商戶審核、嚴(yán)格受理終端管理、強(qiáng)化收單業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測、健全特約商戶分類巡檢等要求。

墨白認(rèn)為，銀行業(yè)金融機(jī)構(gòu)貫徹落實(shí)這些監(jiān)管要求，需要通盤考慮，不可“頭痛醫(yī)頭、腳痛醫(yī)腳”，需要從數(shù)字化轉(zhuǎn)型的戰(zhàn)略視角出發(fā)，打造“新一代智能安全中樞”，通過智能風(fēng)控中臺+智能風(fēng)控運(yùn)營形成全生命周期的閉環(huán)管理，并對整體業(yè)務(wù)規(guī)劃、技術(shù)平臺支撐、風(fēng)險(xiǎn)管控運(yùn)營、效果評估與策略優(yōu)化等方面全面布局。

風(fēng)控的智能化演進(jìn)隨著業(yè)務(wù)形態(tài)、欺詐風(fēng)險(xiǎn)等內(nèi)外部因素的不斷變化，銀行的風(fēng)控手段也朝著智能化、數(shù)字化的方向不斷演進(jìn)。墨白觀察認(rèn)為，這股浪潮大概始于2005年，至2012年這段時(shí)間可以稱為萌芽期，互聯(lián)網(wǎng)開始與金融業(yè)務(wù)探索融合，但大多數(shù)傳統(tǒng)金融機(jī)構(gòu)尚未實(shí)施風(fēng)控方面的數(shù)字化改革。

2012年至2014年迎來了智能風(fēng)控的1.0時(shí)代，相關(guān)理念開始在傳統(tǒng)金融機(jī)構(gòu)傳播，數(shù)字化風(fēng)控系統(tǒng)得到初步搭建。2014年至今可以看作智能風(fēng)控的2.0時(shí)代，大數(shù)據(jù)、人工智能、實(shí)時(shí)計(jì)算、知識圖譜和云計(jì)算等技術(shù)工具逐漸在金融機(jī)構(gòu)中實(shí)踐應(yīng)用，并加速向多場景滲透。

“而當(dāng)下，銀行風(fēng)控正在走向3.0時(shí)代。智能風(fēng)控進(jìn)入升華期，以決策智能為主線構(gòu)建‘新一代智能安全中樞’，形成全生命周期的風(fēng)控運(yùn)營管理體系，將是未來的主戰(zhàn)場?！?/p>

墨白表示，未來銀行的智能化風(fēng)控體系必將與整個(gè)數(shù)字化戰(zhàn)略推進(jìn)更加同頻，在這一過程中逐步理順邏輯、整體規(guī)劃、健全平臺、完善標(biāo)準(zhǔn)、優(yōu)化運(yùn)營，形成合力。

而具體到操作層面，銀行的數(shù)字化轉(zhuǎn)型和線上展業(yè)，將使風(fēng)控的場景主要集中在賬戶、商戶、交易、信貸、營銷五大場景中。著眼于不同的風(fēng)險(xiǎn)場景以及監(jiān)管機(jī)構(gòu)的一系列政策要求，銀行需要做到：

●

滿足監(jiān)管合規(guī)要求：主要涉及賬戶、商戶兩大類的業(yè)務(wù)安全風(fēng)控，其中賬戶風(fēng)控包括個(gè)人或企業(yè)賬戶開立、使用、變更、銷戶等各交易環(huán)節(jié)的行為進(jìn)行持續(xù)監(jiān)測和風(fēng)險(xiǎn)處置。商戶風(fēng)控包括主觀欺詐意愿、騙取收單行機(jī)具與持卡人合謀、篡改復(fù)制單據(jù)等以期非法獲利的欺詐行為。

●

保護(hù)客戶資金安全：主要涉及交易風(fēng)控，即在真實(shí)客戶或銀行不知情，欺詐者以非法獲利為目的，通過傳統(tǒng)渠道或電子渠道的轉(zhuǎn)賬、支付、消費(fèi)等交易造成或預(yù)期造成真實(shí)客戶所擁有的各賬戶資金或銀行資金損失的行為。

●

保護(hù)機(jī)構(gòu)資金安全：這里主要涉及信貸風(fēng)控、營銷風(fēng)控兩大類。其中在信貸風(fēng)控領(lǐng)域具體包括申請欺詐防控、信用風(fēng)險(xiǎn)管理等等；營銷風(fēng)控則針對利用各個(gè)銀行等金融機(jī)構(gòu)及各類商家的優(yōu)惠信息，通過欺詐手段實(shí)現(xiàn)獲利的行為。

打造新一代智能安全中樞墨白認(rèn)為，當(dāng)下金融領(lǐng)域的業(yè)務(wù)安全建設(shè)已逐步進(jìn)入下半場，金融機(jī)構(gòu)比拼的是在建設(shè)了智能風(fēng)控系統(tǒng)之上，更需要側(cè)重于精細(xì)化的風(fēng)控運(yùn)營能力，需要量化風(fēng)控系統(tǒng)的建設(shè)有沒有更好的服務(wù)和促進(jìn)業(yè)務(wù)發(fā)展，創(chuàng)造價(jià)值。

“比如各家銀行都運(yùn)用智能技術(shù)工具，建設(shè)了不少著眼于單點(diǎn)的風(fēng)控平臺、服務(wù)平臺，而要將其融會貫通起來發(fā)揮合力，就像打仗要有司令部一樣，需要一個(gè)新一代智能安全中樞系統(tǒng)來做指揮和決策，充分釋放數(shù)據(jù)要素的儲備動(dòng)能，我們認(rèn)為這樣一個(gè)安全中樞系統(tǒng)，需要整體規(guī)劃，要有平臺支撐，更需要智能運(yùn)營?！?/p>

規(guī)劃整體業(yè)務(wù)安全體系架構(gòu)銀行在智能化風(fēng)控建設(shè)初期，管理層戰(zhàn)略意圖最直接的體現(xiàn)就是科技投入。因此不少銀行在科技系統(tǒng)和技術(shù)應(yīng)用層面，升級基礎(chǔ)架構(gòu)，建設(shè)面向各種業(yè)務(wù)安全場景的風(fēng)控平臺。通過建系統(tǒng)搭平臺推動(dòng)了流程的線上化，提升業(yè)務(wù)的便利性，也釋放了人力成本，達(dá)到了積極效果。但是，這其實(shí)是單點(diǎn)的、面向技術(shù)平臺的數(shù)字化風(fēng)控建設(shè)。實(shí)際的效果如何？投入產(chǎn)出比如何？這都是銀行在智能風(fēng)控進(jìn)階建設(shè)階段需要精細(xì)化考慮的問題。

進(jìn)一步觀察，不少科技與業(yè)務(wù)尚缺乏深度融合，建設(shè)系統(tǒng)的功能沒有發(fā)揮出來，系統(tǒng)運(yùn)營服務(wù)能力沒有跟上，也尚未做到中國銀保監(jiān)會《關(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》等監(jiān)管要求，將數(shù)字化轉(zhuǎn)型戰(zhàn)略和實(shí)施進(jìn)程與機(jī)構(gòu)自身經(jīng)營發(fā)展需要、技術(shù)實(shí)力、風(fēng)險(xiǎn)控制能力相匹配。

因此，銀行業(yè)務(wù)安全的智能化建設(shè)，需要在數(shù)字化轉(zhuǎn)型推進(jìn)的過程中，自上而下系統(tǒng)規(guī)劃、理順邏輯、整體推進(jìn)。墨白表示，同盾科技可以幫助銀行從支撐保障、技術(shù)數(shù)據(jù)體系和風(fēng)險(xiǎn)管控體系三大主題進(jìn)行分析與規(guī)劃，實(shí)現(xiàn)銀行全業(yè)務(wù)、全觸點(diǎn)、全風(fēng)險(xiǎn)場景的支持與差異化的服務(wù)。

構(gòu)建業(yè)務(wù)安全中心閉環(huán)體系安全本質(zhì)上是系統(tǒng)的一個(gè)重要屬性，而業(yè)務(wù)安全處于整個(gè)體系的最上層，與業(yè)務(wù)緊密相關(guān)，對于銀行更是如此。銀行的業(yè)務(wù)安全建設(shè)永遠(yuǎn)處在一個(gè)與欺詐、攻擊對抗的過程中。特別是當(dāng)下，業(yè)務(wù)安全面臨更致命、更隱蔽的風(fēng)險(xiǎn)，這就要求銀行建立一個(gè)迎合技術(shù)發(fā)展、業(yè)務(wù)發(fā)展、攻擊發(fā)展不斷迭代的業(yè)務(wù)安全中心，從風(fēng)險(xiǎn)感知、風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)處置到風(fēng)險(xiǎn)運(yùn)營形成業(yè)務(wù)安全閉環(huán)。

這樣一個(gè)閉環(huán)體系，應(yīng)包括實(shí)時(shí)計(jì)算、決策引擎、知識圖譜、終端態(tài)勢感知等技術(shù)的應(yīng)用，結(jié)合先進(jìn)的機(jī)器學(xué)習(xí)算法形成一個(gè)快速響應(yīng)的正反饋系統(tǒng)和縱深的運(yùn)營服務(wù)體系，不斷迭代提升銀行的業(yè)務(wù)安全能力，成為數(shù)字化時(shí)代的安全基礎(chǔ)設(shè)施。

墨白表示，之前第一代業(yè)務(wù)安全建設(shè)，很多銀行用的是名單庫和規(guī)則，第二代更多的是決策引擎結(jié)合模型算法。目前，業(yè)務(wù)安全已進(jìn)入下半場，未來屬于智能風(fēng)控中臺加上精細(xì)化運(yùn)營的能力，意味著銀行業(yè)務(wù)的全覆蓋、風(fēng)控能力的復(fù)用，更意味著快速響應(yīng)、人機(jī)結(jié)合和業(yè)務(wù)的全生命周期管理。

建設(shè)一體化的智能風(fēng)控平臺在此基礎(chǔ)上，銀行做好業(yè)務(wù)安全風(fēng)控建設(shè)，需要一體化的智能風(fēng)控平臺。墨白認(rèn)為，銀行需落實(shí)全面風(fēng)險(xiǎn)管理理念，針對賬戶欺詐、交易欺詐、商戶欺詐、信貸申請欺詐等欺詐維度實(shí)施統(tǒng)一布控，運(yùn)用大數(shù)據(jù)、人工智能、聯(lián)邦學(xué)習(xí)等技術(shù)，通過統(tǒng)一的名單、規(guī)則、策略、模型、圖譜等技術(shù)，支撐交易及信貸等各業(yè)務(wù)場景的反欺詐需求，提升欺詐風(fēng)險(xiǎn)管控的主動(dòng)性、前瞻性、敏捷性和有效性。

在當(dāng)下業(yè)務(wù)場景與欺詐風(fēng)險(xiǎn)雙雙加速數(shù)字化轉(zhuǎn)型的壓力下，銀行傳統(tǒng)的交易反欺詐、申請反欺詐、商戶反欺詐等“項(xiàng)目制”風(fēng)控建設(shè)方式，已無法實(shí)現(xiàn)數(shù)據(jù)資源在全行視角下的統(tǒng)一管理、復(fù)用留存，難以解決高并發(fā)、多維度、瞬時(shí)化、脈沖化的多重欺詐風(fēng)險(xiǎn)管控需求。

在這樣的背景下，需要銀行基于全新的風(fēng)控理念，依托科技重塑風(fēng)險(xiǎn)管理價(jià)值鏈，運(yùn)用更加先進(jìn)的決策智能技術(shù)，深挖數(shù)據(jù)要素的價(jià)值，通過數(shù)字資產(chǎn)沉淀、數(shù)字工具賦能、數(shù)據(jù)治理等技術(shù)應(yīng)用，建設(shè)統(tǒng)一的風(fēng)險(xiǎn)數(shù)據(jù)視圖，并在此基礎(chǔ)上運(yùn)用機(jī)器學(xué)習(xí)等算法開發(fā)各類主題的欺詐風(fēng)險(xiǎn)管控模型，進(jìn)而構(gòu)建覆蓋各業(yè)務(wù)場景的，全方位、多維度的全行級反欺詐核心平臺，有效解決客戶洞察與風(fēng)險(xiǎn)管控需求，支撐金融服務(wù)模式的創(chuàng)新和精細(xì)化管理水平的提升，并滿足外部監(jiān)管的要求。

打造精細(xì)化風(fēng)控運(yùn)營體系能力此外，墨白觀察發(fā)現(xiàn)當(dāng)前大多數(shù)金融機(jī)構(gòu)的現(xiàn)狀是建立了風(fēng)險(xiǎn)決策和監(jiān)測平臺，然而缺乏日常的監(jiān)控、管控、考核機(jī)制，因此導(dǎo)致風(fēng)控效果有待提升。

“在新一代智能安全中樞的思路下，銀行需要打造‘風(fēng)險(xiǎn)態(tài)勢可感知、策略效果可量化、優(yōu)化方向可決策、績效考核可評價(jià)、運(yùn)營過程可管理’的一體化風(fēng)控運(yùn)營體系”，墨白表示，“智能運(yùn)營與平臺建設(shè)具有同樣重要的意義”