近年来,在投资、出口、消费这“三驾马车”中“消费”因素的拉动作用下,支付市场呈现蓬勃发展的状态。其中信用卡在提高消费者生活水平、支持经济增长等方面发挥着积极作用。截至2018年第二季度,我国信用卡累计发卡量6.38亿张,环比增加4.17%,人均持有信用卡达到0.46张。信用卡业务蓬勃发展的同时,在移动互联网时代背景下,技术创新、模式创新、业务创新层出不穷,移动化、智能化、场景化支付日趋成熟,风险随之发生深刻变化,呈现出隐蔽性、复杂性、突发性、传染性、交叉性等新特点、新趋势。
信用卡欺诈风险形势
(一)信息泄露事件频发,伪卡欺诈仍为信用卡欺诈损失的主要类型
近年来,境内外信息泄露风险日益严峻,商业零售类信息泄露事件大幅增加。黑客利用技术手段攻击全球连锁集团商户数据库导致集中性信息泄露事件频发,导致伪卡欺诈仍为信用卡欺诈损失的主要类型。2017年某大型国有银行伪卡欺诈损失占该行欺诈总损失比为66%,远高于其他风险类型,该行全年累计收到中国银联、国际信用卡组织等信息泄露通报509期,合计涉及信用卡数量超10万张。
(二)随着境内全面关闭磁条芯片复合卡的磁条交易,伪卡欺诈加快向境外转移
伪卡、电信网络诈骗案件呈现出明显的跨地区特征,风险洼地效应激增。2017年监管机构不断加大金融风险防范力度,自同年5月1日起境内全面关闭磁条芯片复合卡的磁条交易,从2017年下半年开始,境内伪卡欺诈金额明显下降,欺诈呈现出加快向境外未完成芯片卡迁移的周边国家地区转移的趋势。
(三)不法中介类规模型欺诈近期呈频发趋势
近期不法中介引导的网申欺诈办卡日益增多,多为中介搜集城镇周边“长尾”客群,统一包装申请人的背景材料,通过网申获得信用卡后集中卡启,足额透支。内蒙古、山西等部分地区的少数客户呈现出住宅地址集中、单位地址集中、同手机号等特征,经调查确认为中介指导下集中办卡。此类规模型欺诈案件,单卡金额一般较低。每成功申请一张信用卡,“中介”会根据额度按照比例向申请人支付一定的“酬金”。此类不法中介分散性、隐蔽性、团伙性极强,危害性不亚于“电信欺诈集团”。
信用卡欺诈风险防控面临的挑战
(一)信用卡链条参与主体增多,短板效应明显
现阶段的支付早已脱离了传统三方模式或四方模式,越来越多的中介、平台、服务商加入到了支付链条中,并扮演着不同的角色,从某种意义上讲,现阶段的支付已经不仅仅代表着钱从客户到达商户,还包括着精准营销、物流、售后等支付带来的引申形态。“N”方参与下的支付,面临的风险防控已经不仅仅是金融机构的风控。支付链条中任何一个参与方的不作为,都需要整个支付行业买单。但是现阶段的风控更趋于专业化、机构化,任何一方的风控都无法被他人替代。最终呈现的是支付链条参与主体增多,短板效应明显。
(二)创新型业务产品发展迅速,风险防控措施难以保持及时同步
各方都把“创新”当成所向披靡的法宝,现阶段信用卡产业的一个重要的标签就是琳琅满目、日新月异的新理念、新产品、新服务。每个机构都全力以赴打造属于自己的,市场喜欢的创新。在创新型业务产品开拓新市场的同时,也为欺诈风控带来了压力。创新意味着要做到前移风控,意味着要与时俱进的风控,意味着更多的系统、模型、规则优化。一旦风控未与创新保持同步,欺诈分子则会乘虚而入。以二维码支付为例,由于二维码可通过软件任意合成,且用户从外观上无法判断其安全性,导致与二维码相关的“偷梁换柱”等诈骗手段也层出不穷。客户一旦扫描了嵌入病毒的二维码,个人信息、银行账号、密码等将完全暴露在黑客面前。
(三)信息泄露事件频发,给风险防控工作带来压力
互联网技术推动了产业化进程,打破了地域化的物理限制,企业因更了解客户而提供更为便捷的服务,但了解另一方面也意味着客户信息的暴露。近年来,信息泄露事件频发,越是“大”的数据库越会成为黑客攻击的主要目标。2017年9月,美国伊奎法克斯公司(EQUIFAX)数据库被黑客攻击,导致上亿客户面临个人信息被盗风险,涉及美国、加拿大、英国等多个国家用户;2018年4月,美国社交媒体巨擘脸书(Facebook)被曝其8700万用户的私人信息被泄漏;同年8月华住酒店集团总计近5亿条涉及客户隐私的个人信息遭泄露售卖。黑客可利用盗取的信息办理信用卡、透支消费、申请贷款,对客户账户安全、信用记录造成严重威胁。信息安全问题加重了风险防控的压力。
相关建议
(一)与公安机关网络监察部门、行业各方加强合作,开展信用卡风险信息共享工作
目前,信用卡欺诈已由单一侧录信用卡磁条信息逐步转变为黑客攻击互联网支付机构数据库,不法分子获得个人信息及账户数据后,为了规避法律制裁,通过碎片化存储、分销信息的方式,在网络上倒卖客户个人信息及账户信息,造成客户账户及信息安全受到严重威胁。为了有效遏制此类欺诈情况的蔓延,建议进一步推动监管部门和卡组织协调各行业和部门建立统一的信用卡风险防控合作和处理机制,加强多行业、多部门之间信用卡欺诈风险新形势的探讨和研究,通过系统对接的方式建立统一风险信息共享、查询、上报、处置平台,强化风险信息的共享,提高风险事件处置的效率,形成信用卡风险防控合力。
(二)拓展风险数据的“广度”和“深度”,提高大数据风控能力
大数据是风险防控的基石,只有深入挖掘大数据风控,积极丰富数据内容,扩充数据来源,才能更好地精准刻画风险客户画像,做到有的放矢。为此,一方面要做到“修内功”,充分地整合单位内部的风险信息,强化大数据的集约化管理和多维度应用;另一方面要“借外力”,积极引入外部数据,拓展风险数据的“广度”和“深度,形成优势互补,有效地量化风险。如万事达卡组织DI系统、 VISA AA反欺诈评分、中国银联境内反欺诈评分等外部交易反欺诈评分数据。
(三)强化生物识别技术在信用卡风险防控的应用
积极探索将生物识别技术应用于信用卡风险防控领域。目前,在部分移动支付领域,人面识别、指纹识别等生物信息已经代替签名和密码等传统方式对客户端开展身份验证。虽然在生物识别的准确度及成功率、个人生物特征数据的妥善应用、生物信息数据的安全存储以及数据失窃后的应急方案等方面尚存在较多争议,致使生物识别应用范围还未全面普及,但随着生物信息库和支付环境的完善,应加强生物识别技术与风险防控结合的理论研究与实践应用工作。
(四)打造“高精尖”的专业化欺诈风险防控团队
在高智能化、高系统化的未来,风险人才将不只是需要高超的专业背景,更需要具有一定的“跨领域”作战的能力,需要的是能够走在时代前沿的精英团队。特别是对于创新业务,风控人员全程参与产品设计、应用尤为重要,通过对产品和业务持续深入的了解,在研发过程中有针对性地提出风控要求和建议,并提前建立新产品、新业务的的风控策略和体系,这样才能保证产品和业务最终结果不会脱离风险控制,健康发展。在智能系统为我们做了99%的实务操作后,风险防控人员将为1%的理念管理和技术创新而努力。
50010302002461号