2015年12月,中国人民银行发布《关于改进个人银行账户服务加强账户管理的通知》(银发〔2015〕392号),将个人银行账户分为Ⅰ、Ⅱ、Ⅲ类账户。
Ⅰ类账户是全功能账户,可以办理存款、转账、消费缴费、购买投资理财产品等,使用范围和金额不受限制。
而Ⅱ类、Ⅲ类账户是虚拟账户,不能独立存在,须依附在Ⅰ类账户之上,其使用范围和金额都有所限制。Ⅱ类账户定位为“理财 支付”功能账户,Ⅲ类账户定位为“小额交付支付”账户。
经过近四年的发展,Ⅱ、Ⅲ类银行账户满足了社会公众多样化、个性化的支付需求,促进了银行支付服务进一步便捷化。但Ⅱ类、Ⅲ类账户在为公众、银行带来便利的同时,也给不法分子带来了“价值”的顺风车。
2018年以来,不法分子利用部分银行机构的网络安全漏洞批量开立个人Ⅱ、Ⅲ类虚假账户,并以虚假账户为鉴权源,在其他银行机构继续开立Ⅱ、Ⅲ类虚假账户,利用所开立的虚假账户从事“薅羊毛”“假冒客户登录并盗取第三方支付平台资金”“兜售虚假账户信息”“诈骗”“洗钱”“网络骗贷”等违法犯罪活动。
面对日趋严峻的Ⅱ、Ⅲ类账户风险形势,中国人民银行等监管机构连续发文,要求加强Ⅱ、Ⅲ类账户风险防范,健全账户风险监控机制。主要政策要求如下:
•2016年9月30日,《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)
•2016年11月25日,《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302号)
•2018年1月19日,《关于改进个人银行账户分类管理有关事项的通知》(银发〔2018〕16号)
•2019年3月,《中国人民银行支付结算司关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》(银支付〔2019〕55号)
•2019年3月,《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2019〕85号)
一个完整的风险监控机制应该是建立风险监控指标体系、建立风险基线、实施风险处置的三部曲。那么,针对Ⅱ、Ⅲ类账户的风险监控指标,我们该关注哪些层面?
中国金融认证中心(CFCA)信息安全团队长期为银行业金融机构提供支付风险评估和咨询服务。在深入研究监管文件精神的基础上,结合对多家银行涉及Ⅱ、Ⅲ类账户的业务系统风险评估结果,我们认为,风险监控指标体系应以开户风险指标为核心,全面覆盖交易和非资金业务流程,贯穿科技与业务风险。
图 Ⅱ、Ⅲ 类银行账户监控指标
上图为Ⅱ、Ⅲ类账户的业务风险监控核心指标,通过对开户风险、交易风险、交易失败情况、非资金业务情况的全盘监控,能够有效找出藏匿于正常业务中的异常情况。针对异常情况,我们要逐一分析,把异常指标情况与风险场景相对应。
例如,短时间内开户数激增,并且绑定手机号和身份证为同一地区身份证号,开户过程速度较快,可高度怀疑为脚本批量开户;连续的查询余额失败(token或者后台身份校验不通过),可高度怀疑非法人员正在尝试越权查询攻击。
有条件的机构,亦可利用大数据风控等系统,通过风险指标和风险场景的训练,达到风险指标动态调整自动化,风险事件场景报警可视化的境界,成为Ⅱ、Ⅲ类账户风险管理的“高端玩家”。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
