在线配资 <在线配资>湖南各银行机构银行卡业务发展差异及风险事件应对策略
编者按:近年来,有关银行卡盗刷的风险事件时有发生,且卡基支付向账基支付转变趋势明显,为应对不断变化的新型犯罪手段,进一步加强银行业金融机构(以下简称“银行机构”)银行卡风险管理,促进业务的良性发展,本文通过问卷调查,调研湖南省各银行机构银行卡业务开展情况及风险事件成因,并提出相关对策建议。
01
湖南省不同银行机构银行卡业务发展差异
为了解湖南省不同银行机构银行卡业务具体情况,对其辖内银行机构发放问卷,共计回收123家银行问卷,其中国有商业银行2家,全国性股份制商业银行5家,地方法人城市商业银行2家,农村商业银行44家,村镇银行67家,外资银行2家,民营银行1家。为比较不同类型银行机构银行卡业务发展差异,采用分层抽样法,按不同银行类型分为6组(因民营银行样本不足,暂不统计),每组随机抽取两家银行数据作为样本(表1)。
表1 各银行机构各类银行卡发卡数量(单位:万张)
整体来看,国有商业银行的银行卡业务多元化均衡发展,存量客户优势明显,足以支撑贷记卡业务规模进一步扩大,客户黏性较强,卡种丰富。全国性股份制商业银行相对在贷记卡业务方面竞争力更强银行与互联网金融 不一样的风控,联名卡发卡、国际卡组织合作均处于领先位置。地方法人城市商业银行贷记卡业务较之借记卡业务发展落后,在社保卡、乡村振兴卡发卡上有其独特优势,用户黏性较强,一人多卡情况较多。农村商业银行贷记卡业务处于起步阶段,除社保卡外其他行业应用卡、权益卡发行较少。村镇银行基本未开展贷记卡业务,同外资银行相似,体量小且银行卡业务单一,集中在借记卡业务。
02
银行卡风险事件及成因分析
银行卡风险事件类型。根据回收的问卷,共收集2022年近一年来辖内银行卡典型风险事件120起,所涉银行卡2996张,涉及金额超过5257万元。其中合规风险事件38起,占比31.93%;信息泄露风险事件44起,占比36.97%;欺诈风险事件37起,占比30.83%;其他风险事件1起,占比0.83%(表2)。统计表显示银行卡风险事件集中在疑似集中盗刷(指3张以上银行卡于一个月内在同一终端或网络支付接口发生伪卡、失窃卡、非面对面欺诈等)、电信网络诈骗风险事件和小额免密盗刷这三个子类。
表2 银行卡典型风险事件情况
银行卡风险事件发生环节。具体的风险事件,按支付载体区分,有基于卡基支付的非法改装受理终端,窃取银行卡信息导致盗刷,也有基于账基支付伪基站拦截验证码导致盗刷;按用户意愿区分,有客户主动出租出借银行卡,也有因客户未能识别电信诈骗、未保护好个人银行卡信息被动卷入银行卡风险事件。基于厘清银行卡风险成因,结合问卷反馈结果从发卡环节、使用管理环节、退出环节这三个环节来具体分析(表3)。
表3 银行卡风险事件所在环节
银行卡风险事件成因分析。根据调查问卷结果,银行卡风险事件发生在发卡环节、退出环节分别占13.50%、7.36%湖南各银行机构银行卡业务发展差异及风险事件应对策略,整体来说这两个环节风险事件发生概率较小,风险主要集中在发卡流程和发卡管理上。
借记卡发卡环节风险集中在用户身份及真实意愿核实,贷记卡还包含信用资质审核。银行同业竞争激烈,行内考核指标以增量为导向,容易形成重营销、轻合规的理念,引发对账户开立真实性把关不严,增加欺诈开户的风险。值得注意的是,旧身份证遗失后被冒用的风险在实务中并不少见。
发卡管理风险主要集中在账户分级管理和长期不动户管理上。开户审核时银行用于佐证核实客户信用度的公信力渠道只有手机号及身份证件,对于客户办卡用途的识别存在困难。同时,存在极少数敞口办理网银等非柜面渠道交易情况,给后期账户监控带来压力。更为普遍的是,客户分类不精细,对电子渠道限额仅取默认值,未据实加以调整。
用卡环节风险点主要集中在内部支付信息安全、外部欺诈两方面。这里的支付信息指身份信息、账户信息以及支付密码、验证码等验证信息这一广义概念。
支付信息安全方面。根据问卷结果,在银行卡典型风险事件120起中,风险事件发生在线上交易环节占比达到了40.49%。同时在当前的大数据环境下,App后台非法收集用户信息导致个人支付信息被泄露,甚至篡改的现象屡见不鲜。风险事件发生在密码管理环节占比3.07%。显然单纯的持卡人疏忽大意,对银行卡保管不善导致密码泄露造成的风险事件占比很低。值得注意的是风险事件发生在小额免密环节的达到了26.38%。免密支付功能给持卡人带来便利的同时也给不法分子带来了可乘之机,笔者认为,该功能应默认关闭,对有需求的客户提供自主开通渠道且可自行设置免密金额。
外部欺诈方面。一是支付网络环境问题。互联网环境下,越来越多基于场景的支付促销活动上线,客户需要扫描二维码参与促销活动,可能存在不法分子传播含有病毒的虚假二维码,诱导客户扫码登录,从而盗取客户银行卡信息、交易密码等。二是手机号码问题。调查发现,银行、支付机构、通信运营商间信息相互独立,三者之间缺乏对注销手机号码、弃置手机号码的信息共享渠道。问卷数据显示,短信欺诈风险占风险事件的6.13%,据了解,其中一起短信欺诈资金盗刷案例的原因,是受害人变更手机号码后未在银行和支付机构端变更信息。
03
加强银行卡风险防控的建议与意见
银行应履职尽职,全面落实银行卡全生命周期管理。一是严控开户环节,多手段交叉核验,防止冒名开户。指导客户识别工作,提升客户身份识别能力,身份核验手段包括但不限于人脸识别、身份证鉴别仪、护照鉴别仪、系统导入风险客户名单、手机号码实名认证。二是灵活运用限额分类分级管理,完善账户监测模型。为客户设置合理的非柜面支出限额,使采取的措施和已识别的风险相匹配,寻求账户开立与风险防控之间的平衡。三是提升银行卡风险联动处理水平。完善由中国人民银行、中国银行保险监督管理委员会、公安、中国银联等部门和金融机构建立的风险联合管理机制,协调处理风险防控过程中的问题,形成打击合力。
银行以宣促学,培养用户良好用卡习惯。一是多渠道宣传,提升客户银行卡用卡的风险防范意识。营造全社会反诈拒赌氛围,利用官媒、微博大V、公众号、国家反诈App等权威渠道,持续披露犯罪分子利用银行卡作案的新手段和新动向,提高客户的安全意识和自我保护能力。二是培养广大群众妥善管理个人银行卡理念。以反电信诈骗为例,避免闲置银行卡被不法分子收集后用于转移非法资金为切入口,传导清理“睡眠账户”对持卡人而言是一种自我保护手段的理念。
严控互联网交易端欺诈风险。一是优化支付工具的安全性能。银行及第三方支付机构应审慎开展业务,如将银行卡境外渠道交易功能默认关闭,支付手机银行App完善客户自主设置交易限额功能、采用多种方式交叉验证身份等措施。二是加强支付账户信息安全保护。建议支付账户的管理对标银行账户管理,要求支付机构在落实实名制合规审查的基础上,主动强化交易监测、升级生物识别等支付身份安全验证手段。三是完善银行、支付机构关联手机号码风控规则。银行、支付机构应定期与通信运营商、账户关联机构针对客户预留手机号码进行比对,确认客户是否及时变更预留手机号码信息。
加强银行卡业务制度建设,提高制度实用性。一是统一不动户的清理规范。本次调研发现各大金融机构大量不动户的存在,对于不动户的管理,建立出台统一的规范文件。二是适当调整个人账户分层管理规定。对个人I类卡的总体数量进行限制管理,减少I类卡的发卡和保有量,降低用卡风险。适量调高II、III类账户的限额管理,增进II类账户的使用便利。
