前言:想要寫出一篇引人入勝的文章?我們特意為您整理了虛擬銀行卡風險控制淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:2015年以來,人民銀行連續發布一系列文件規范個人Ⅰ、Ⅱ、Ⅲ類賬戶業務,在此基礎上,出現了虛擬借記卡、虛擬信用卡,甚至突破Ⅱ、Ⅲ類戶的限制,出現了獨立的Ⅰ類戶虛擬卡。通過梳理人民銀行相關制度文件,理清虛擬銀行卡的產生與應用脈絡,分析虛擬銀行卡面臨的主要風險,借鑒互聯網金融大數據風控策略,提出了界定虛擬銀行卡專用術語、出臺虛擬銀行卡管理制度和建立虛擬銀行卡統計指標體系等措施來完善虛擬銀行卡風險管理、制度建設和統計體系,進一步防范開戶交易風險,健全風險監測和處置機制,保障虛擬銀行卡業務穩定發展。
關鍵詞:虛擬銀行卡;風險控制;互聯網金融;大數據
一、政策背景
自人民銀行推出個人銀行賬戶分類管理制度以來,基于Ⅱ、Ⅲ類賬戶的虛擬銀行卡業務得到迅猛發展,通過電子渠道開立虛擬銀行卡實現了申請線上化和銀行卡虛擬化,預示著實體介質卡將逐步退出支付舞臺。2020年8月,中國銀聯聯合20余家銀行推出“銀聯無界卡”,實現全流程數字化申領和啟用,進一步推動了虛擬銀行卡的發行使用。據統計,目前國有銀行、股份制銀行均已發行虛擬銀行卡,部分城市商業銀行、農村商業銀行乃至個別村鎮銀行也已開始發行或即將發行。隨著虛擬銀行卡業務快速發展,發卡銀行逐步突破人民銀行個人賬戶分類開立相關規定,允許客戶在線申領Ⅰ、Ⅱ、Ⅲ類賬戶虛擬銀行卡,個人賬戶管理漏洞為不法分子所利用從事冒名開戶、電信詐騙、網絡賭博以及洗錢等違法犯罪活動,嚴重影響支付市場穩定運行。因此,針對虛擬銀行卡開立環節存在的風險,亟需進一步改進風控措施,有效防范各類欺詐和信用風險。
二、虛擬銀行卡的產生與發展
2015年12月,人民銀行發布《關于改進個人銀行賬戶服務加強賬戶管理的通知》,明確將個人銀行賬戶分為Ⅰ、Ⅱ、Ⅲ類,開戶銀行對通過柜面開立和通過自助機具開立并經現場核驗的Ⅰ類賬戶發行實體卡;對通過網上銀行、手機銀行等電子渠道開立的Ⅱ、Ⅲ類賬戶(賬號均為62開頭的銀行卡號),除經柜臺核驗的Ⅱ類賬戶外,不得發行實體卡,這就是虛擬銀行卡的由來。虛擬銀行卡賬號基于銀行卡BIN號(BIN號即銀行標識代碼的英文縮寫,是銀行卡卡號的前6位)派生而來。客戶依托1張實體銀行卡,可以申領多張虛擬銀行卡,各行申領數量的限制不盡相同,如1張浦發銀行信用卡最多申領4張虛擬信用卡,1張中行信用卡最多申領20張虛擬信用卡,1張中行借記卡最多申領5張虛擬借記卡。虛擬銀行卡主要用于網上支付和投資理財,但各行限定的支付范圍不同,如中行虛擬銀行卡不支持支付寶綁定支付、快捷支付及購買理財產品。使用有效期方面也存在較大差異,如中行虛擬銀行卡有效期最短為1天,最長與實體銀行卡相同;浦發銀行虛擬銀行卡有效期固定為5年,但用戶可自定義使用時間段。虛擬銀行卡具有使用方便、安全性高的優點。客戶可自定義消費額度和使用期限,可隨時暫停或開啟使用,網上交易時采用動態密碼,提高了防范盜刷風險的能力。用戶依托一張實體卡申領多張虛擬卡,可以把多類資金歸集到一張實體卡賬戶下集約管理,便于投資理財和資金劃轉。伴隨虛擬銀行卡業務的創新發展,不依賴于實體銀行卡的虛擬銀行卡應運而生,虛擬銀行卡進一步劃分為Ⅰ類戶虛擬銀行卡和Ⅱ、Ⅲ類戶虛擬銀行卡。前者申領時不依附于任何實體卡,如建行龍卡e付卡、平安銀行不帶卡、華夏銀行閃卡、廣發銀行小白cloud卡等虛擬信用卡,均不需依托實體信用卡開立使用。后兩者需綁定1張Ⅰ類戶實體卡并經驗證后方可開立,如中行、浦發銀行發行的虛擬借記卡和工行、中行、交行、中信銀行、民生銀行發行的虛擬信用卡,都需持有該行實體卡才能申領虛擬銀行卡。
三、虛擬銀行卡批量開戶風險控制
2016年11月,人民銀行出臺《關于落實個人銀行賬戶分類管理制度的通知》,明確指出“銀行可以通過Ⅱ、Ⅲ類戶開展基于主機的卡模擬、手機安全單元、支付標記化等技術的移動支付業務”,直接推動了虛擬銀行卡在手機支付場景中的廣泛應用,實現了虛擬銀行卡申領、使用的規模化擴張,同時也暴露出虛擬銀行卡在申領、使用中存在的管理漏洞。為加強個人Ⅱ、Ⅲ類銀行賬戶風險防范,人民銀行發布《個人Ⅱ、Ⅲ類戶業務可疑風險特征》,要求銀行機構建立健全Ⅱ、Ⅲ類戶開戶和交易風險監測機制,重點防范并及時阻斷集中、批量開立Ⅱ、Ⅲ類戶的異常情形,切實防范Ⅱ、Ⅲ類戶開戶及交易過程中的欺詐風險。以下從賬戶鑒權開立環節進行風險分析并提出解決方案。
(一)Ⅱ、Ⅲ類賬戶綁卡鑒權與虛擬銀行卡批量開立風險
開戶銀行對客戶開立Ⅱ、Ⅲ類賬戶綁卡鑒權方式主要有三要素鑒權、四要素鑒權和五要素鑒權,后兩者是在三要素鑒權基礎上發展起來的。其中,三要素鑒權是指開戶銀行跨行查詢擬綁定賬戶是否屬于Ⅰ類戶,查詢要素包括卡號、戶名、開戶銀行行號三個要素。四要素鑒權是指開戶銀行向綁定賬戶開戶行驗證Ⅲ類戶與綁定賬戶為同一人開立,驗證信息至少包括申請人姓名、身份證號碼、手機號碼、綁定賬號(卡號)等四個要素。五要素鑒權是指開戶銀行向綁定賬戶開戶行驗證Ⅱ類戶與綁定賬戶為同一人開立,驗證信息至少包括申請人姓名、身份證號碼、手機號碼、綁定賬號(卡號)、綁定賬戶是否為Ⅰ類戶或者信用卡賬戶等五個要素。目前,應答最快捷、應用最廣泛的是四要素鑒權。從虛擬銀行卡申領程序來看,申請人通過網銀、手機客戶端輸入姓名、身份證號碼、手機號碼等基本信息即可發起申領,申領驗證流程比四要素鑒權要求更為簡化。相對于實體銀行卡申領必須嚴格落實個人實名制和客戶身份識別制度,虛擬銀行卡線上申領與線下申領的最大差異,在于線上輸入身份信息不能等同于線下身份核驗,造成客戶身份信息存在真實性風險,容易為不法分子利用、損害客戶正當權益。當前,從事黑灰產業的不法分子透過互聯網途徑大量獲取客戶身份信息,在非常規時間應用模擬器、多開器等技術攻擊銀行業務系統漏洞,通過偽基站、釣魚短信、病毒二維碼、惡意APP、社交平臺等手段攔截、騙取客戶手機短信驗證碼,連續快速地集中實施欺詐開戶,使得客戶和銀行陷入突發事態應對困境。近年來已經發生多起利用個人銀行賬戶管理漏洞批量冒名開戶事件,對整個支付市場監管造成了不良影響。
(二)虛擬銀行卡批量開立風控措施
為有效防范欺詐開戶,開戶銀行應筑牢基線安全防御、業務安全監控、應用運行環境安全監測三道防線,嚴格落實監管要求,及時阻斷風險發生。其一,基線安全防御。開戶銀行要嚴格落實電子渠道非面對面開立Ⅱ、Ⅲ類賬戶四要素、五要素鑒權驗證的監管要求,重點關注驗證手機號碼是否一致,避免出現欺詐綁定Ⅰ類戶或綁定非Ⅰ類戶批量開立Ⅱ、Ⅲ類戶的業務風險。其二,業務安全監控。開戶銀行應針對頻繁開銷戶的行為特征,通過設定規則和建立風控模型,進行風險系數評分和低中高風險評級并提出差異化控制策略。其三,應用運行環境安全監測。一是運用設備指紋生成算法,檢測和防御模擬器、多開器等硬件設備信息篡改、偽裝問題。二是Ⅰ類戶開戶行通過規則識別Ⅱ、Ⅲ類賬戶開立簽約綁定報文,拒絕異常欺詐綁定。
四、互聯網金融大數據風控策略的啟示
(一)互聯網金融大數據風控策略簡析
近年來,基于大數據和人工智能的互聯網金融風控獲得迅猛發展。互聯網金融風控通常運用客戶身份驗證、線上申請反欺詐識別、信用評估、風險評估等多維度關聯數據,建立數據模型用以揭示客戶行為特征和信用風險之間的關系,綜合判斷客戶信用風險狀況,對加強虛擬銀行卡風險防范具有很好的參考價值。1.客戶身份驗證。互聯網金融通常接入國政通、銀聯、通訊運營商等渠道,有效驗證客戶姓名、手機號、身份證號、銀行卡號、家庭地址等基本信息。為準確識別欺詐行為,互聯網金融采用實時拍攝申請人照片或視頻,通過國政通或者公安部API接口上傳驗證是否為身份證登記本人。2.線上申請反欺詐識別。線上申請反欺詐識別通常包括對線上提交信息、線上申請行為和移動設備數據的反欺詐識別。其中,線上提交信息反欺詐識別是指分析線上提交的地址、單位等信息是否雷同、虛假,快速識別欺詐行為;線上申請行為反欺詐識別是指采集申請時間點信息和每個申請環節的用時,分析申請時點、閱讀時長、填寫時長是否異常,初步篩選疑似欺詐用戶;移動設備數據反欺詐識別是指利用移動設備位置信息精確識別模擬器開戶申請,驗證客戶提交的地址信息的真實性,采集SIM卡和手機的綁定時間和頻次有效識別欺詐企圖,根據移動設備安裝的App應用活躍度識別集中開戶風險。3.信用評估。信用評估包括消費記錄信用評分和社會關系、社會屬性、社會行為的信用評估。消費記錄信用評分通過抓取申請人發生的話費、物業費、電商購物、航空記錄、銀行卡賬單、公共事業費和特殊會員支出等歷史消費數據,分析評估其還款能力。社會關系信用評估一般采用申請人聯系密切的朋友作為樣本,取樣本的信用評分均值及其與黑灰名單匹配情況作為判斷申請人信用的參考依據。社會屬性是個體所有社會關系的總和,社會行為是體現個體社會屬性的行為,深入分析申請人的社會屬性和社會行為相關數據,能夠更加全面客觀地評價申請人的信用風險。4.風險評估。風險評估一般是指黑灰名單風險識別和司法信息風險評估。黑灰名單是高效識別惡意欺詐的直接依據,如果客戶出現在黑灰名單上則可直接中止申請。其中,黑名單是違約和催收后欠繳的客戶清單,主要來源于銀行、互金公司、線上P2P、信用卡公司、小額借貸公司和催收公司;灰名單為逾期少于90天且未到不良的客戶清單,意味著客戶借款額度已遠超其還款能力。利用法院涉訴信息、公安治安處罰信息可以建立嫌疑人名單,開展司法信息風險評估,對列入名單的申請人進行涉毒、涉賭、涉詐風險研判。
(二)互聯網金融大數據風控的有益啟示
發卡銀行可以借鑒互聯網金融大數據風控策略,加強虛擬銀行卡線上開戶管理,有效識別欺詐用戶,切實防范批量開戶風險。一是強化利用大數據嚴密虛擬銀行卡申領流程。發卡銀行應當充分利用行內業務渠道數據和行外第三方數據對客戶身份實施交叉核驗,其中行外第三方數據應不限于中國銀聯、黑灰名單、通訊運營商、人行征信報告、法院涉訴信息、公安治安處罰信息、社保工商學歷車產信息等渠道來源,切實提高交叉核驗質效;嚴格履行賬戶使用告知義務,由客戶簽約承諾合法合規使用賬戶,有效應對開戶欺詐風險。二是引入信用風險評估機制建立分類分級管理體系。發卡銀行應當根據客戶職業特征、社會關系和信用評級等情況,實行Ⅰ類戶虛擬銀行卡和Ⅱ、Ⅲ類戶虛擬銀行卡開立核驗及交易限額差別化管理,審慎約定網上銀行、手機銀行等非柜面業務交易限額,確保賬戶功能與風險等級相匹配,并根據客戶正常合理需求進行動態調整。三是識別管控涉詐涉賭虛擬銀行卡賬戶。發卡銀行應當將開戶理由不明、疑似欺詐開立等線上申請異常賬戶納入重點監測范圍,挖掘采集在線申請錄入信息和時間數據,提煉欺詐開戶行為特征,結合涉詐涉賭賬戶特征完善風險監測模型,對發現并經核查的可疑賬戶依法依規采取控制措施。建立涉案賬戶分析制度,查找風控漏洞,及時提出改進措施。
五、完善虛擬銀行卡業務管理制度
近年來,人民銀行接連出臺落實個人銀行賬戶分類管理制度的一系列規范文件,從賬戶分類、開戶渠道、信息驗證、賬戶使用、風險控制等方面建立健全個人賬戶管理規范,堵塞Ⅱ、Ⅲ類賬戶開立交易風險漏洞,但是,始終未明確界定虛擬銀行卡業務,未出臺虛擬銀行卡業務管理制度,未建立虛擬銀行卡業務統計指標體系,亟待著手破題統籌解決。
(一)界定虛擬銀行卡專用術語
目前,人民銀行仍未明確虛擬銀行卡這一專用術語,虛擬銀行卡隱藏在Ⅱ、Ⅲ類賬戶之后蓬勃發展,甚至突破人民銀行電子渠道開立Ⅱ、Ⅲ類賬戶的規定,出現了Ⅰ類賬戶虛擬銀行卡。1999年施行的《銀行卡業務管理辦法》對銀行卡種類劃分如下:“銀行卡包括信用卡和借記卡。銀行卡按幣種不同分為人民幣卡、外幣卡;按發行對象不同分為單位卡(商務卡)、個人卡;按信息載體不同分為磁條卡、芯片(IC)卡。”其中未提出無介質卡、虛擬銀行卡的分類意見,這是時代使然。人民銀行應當順應金融科技發展趨勢,重新修訂《銀行卡業務管理辦法》,明確提出虛擬銀行卡的分類規范,合理界定其發行依據和應用范圍。
(二)出臺虛擬銀行卡管理制度
《人民幣銀行結算賬戶管理辦法》規定,存款人憑個人身份證件以自然人名稱開立的銀行結算賬戶為個人銀行結算賬戶。因此,虛擬銀行卡是個人銀行結算賬戶和銀行卡業務融合發展的產物,盡管不再發行實體介質卡,從其62開頭的卡號來看,其應當納入銀行卡類結算賬戶,風險控制與安全管理仍是重中之重,應當仿效《企業銀行結算賬戶管理辦法》,出臺《個人銀行結算賬戶管理辦法》,專門明確虛擬銀行卡賬戶開立核驗、使用范圍與限額管理等要求,推動個人消費金融穩定發展。
(三)建立虛擬銀行卡統計指標體系
從人民銀行支付信息統計分析業務來看,虛擬銀行卡統計指標體系仍屬空白。《支付業務統計指標釋義》(中國金融出版社,2013年6月出版)在銀行卡統計指標章節中,將銀行卡按類別分為借記卡、貸記卡、準貸記卡、借貸合一卡,按介質分為磁條卡、芯片卡、雙介質卡和其他,與《銀行卡業務管理辦法》分類基本相同,均未規定虛擬銀行卡類別。相應地,人民銀行支付信息統計分析系統發布的銀行卡報表未提供虛擬銀行卡統計數據。同時,人民幣銀行結算賬戶管理系統生成的個人銀行結算賬戶統計表中,賬戶類型分為支票、借記卡、信用卡和其他,未建立實體卡、虛擬卡分類統計口徑,未能提供相關統計數據。虛擬銀行卡統計數據的缺乏,不利于精準分析其發展趨勢,提出趨利避害的發展政策。為盡快改善虛擬銀行卡統計數據缺乏的現狀,應本著即改即用、功能升級的原則,著手建立人民幣銀行結算賬戶管理系統、支付信息統計分析系統虛擬銀行卡業務統計指標體系,科學合理設計分類指標,準確掌握發行使用情況,精準分析發展趨勢,引導虛擬銀行卡業務合規健康發展。
作者:王志強 單位:中國人民銀行濱州市中心支行