摘要:2015年以来,人民银行连续发布一系列文件规范个人Ⅰ、Ⅱ、Ⅲ类账户业务,在此基础上,出现了虚拟借记卡、虚拟信用卡,甚至突破Ⅱ、Ⅲ类户的限制,出现了独立的Ⅰ类户虚拟卡。本文通过梳理人民银行相关制度文件,理清虚拟银行卡的产生与应用脉络,分析虚拟银行卡面临的主要风险,借鉴互联网金融大数据风控策略,提出完善虚拟银行卡风险管理、制度建设和统计体系的建议,进一步防范开户交易风险,健全风险监测和处置机制,保障虚拟银行卡业务稳定发展。
关键词:虚拟银行卡;风险控制;研究
政策背景
自人民银行推出个人银行账户分类管理制度以来,基于Ⅱ、Ⅲ类账户的虚拟银行卡业务得到迅猛发展,通过电子渠道开立虚拟银行卡实现了申请线上化和银行卡虚拟化,预示着实体介质卡将逐步退出支付舞台。2020年8月份,中国银联联合20余家银行推出“银联无界卡”,实现全流程数字化申领和启用,进一步推动了虚拟银行卡的发行使用。据不完全统计,目前国有银行、股份制银行均已发行虚拟银行卡,部分城市商业银行、农村商业银行乃至个别村镇银行也已开始发行或即将发行。随着虚拟银行卡业务快速发展,发卡银行逐步突破人民银行个人账户分类开立相关规定,允许客户在线申领Ⅰ、Ⅱ、Ⅲ类账户虚拟银行卡。但是,有不法分子利用个人账户管理漏洞从事冒名开户、电信诈骗、网络赌博以及洗钱等违法犯罪活动,严重影响支付市场稳定运行。因此,针对虚拟银行卡开立环节存在的风险,亟需进一步改进风控措施,有效防范各类欺诈和信用风险。虚拟银行卡的产生与发展2015年12月份,人民银行发布《关于改进个人银行账户服务加强账户管理的通知》,明确将个人银行账户分为Ⅰ、Ⅱ、Ⅲ类,开户银行对通过柜面开立和通过自助机具开立并经现场核验的Ⅰ类账户发行实体卡;对通过网上银行、手机银行等电子渠道开立的Ⅱ、Ⅲ类账户(账号均为62开头的银行卡号),除经柜台核验的Ⅱ类账户外,不得发行实体卡,这就是虚拟银行卡的由来。虚拟银行卡账号基于银行卡BIN号(BIN号即银行标识代码的英文缩写,是银行卡卡号的前6位)派生而来。客户依托1张实体银行卡,可以申领多张虚拟银行卡,各行申领数量不尽相同,如1张浦发银行信用卡最多申领4张虚拟信用卡,1张中行信用卡最多申领20张虚拟信用卡,1张中行借记卡最多申领5张虚拟借记卡。虚拟银行卡主要用于网上支付和投资理财,但各行限定的支付范围不同,如中行虚拟银行卡不支持支付宝绑定支付、快捷支付及购买理财产品。使用有效期方面也存在较大差异,如中行虚拟银行卡有效期最短为1天,最长与实体银行卡相同;浦发银行虚拟银行卡有效期固定为5年,但用户可自定义使用时间段。虚拟银行卡具有使用方便、安全性高的优点。客户可自定义消费额度和使用期限,可随时暂停或开启使用,网上交易时采用动态密码,提高了防范盗刷风险的能力。用户依托一张实体卡申领多张虚拟卡,可以把多类资金归集到一张实体卡账户下集约管理,便于投资理财和资金划转。伴随虚拟银行卡业务的创新发展,不依赖于实体银行卡的虚拟银行卡应运而生,虚拟银行卡进一步划分为Ⅰ类户虚拟银行卡和Ⅱ、Ⅲ类户虚拟银行卡。前者申领时不依附于任何实体卡,如建行龙卡e付卡、平安银行不带卡、华夏银行闪卡、广发银行小白cloud卡等虚拟信用卡,均不需依托实体信用卡开立使用。后者需绑定1张Ⅰ类户实体卡并经验证后方可开立,如中行、浦发银行发行的虚拟借记卡和工行、中行、交行、中信银行、民生银行发行的虚拟信用卡,都需持有该行实体卡才能申领虚拟银行卡。
虚拟银行卡批量开户风险控制
2016年11月,人民银行出台《关于落实个人银行账户分类管理制度的通知》,明确指出“银行可以通过Ⅱ、Ⅲ类户开展基于主机的卡模拟、手机安全单元、支付标记化等技术的移动支付业务”,直接推动了虚拟银行卡在手机支付场景中的广泛应用,实现了虚拟银行卡申领、使用的规模化扩张,同时也暴露出虚拟银行卡在申领、使用中存在的管理漏洞。为加强个人Ⅱ、Ⅲ类银行账户风险防范,人民银行发布《个人Ⅱ、Ⅲ类户业务可疑风险特征》,要求银行机构建立健全Ⅱ、Ⅲ类户开户和交易风险监测机制,重点防范并及时阻断集中、批量开立Ⅱ、Ⅲ类户的异常情形,切实防范Ⅱ、Ⅲ类户开户及交易过程中的欺诈风险。以下从账户鉴权开立环节进行风险分析并提出解决方案。
(一)Ⅱ、Ⅲ类账户绑卡鉴权与虚拟银行卡批量开立风险
开户银行对客户开立Ⅱ、Ⅲ类账户绑卡鉴权方式主要有三要素鉴权、四要素鉴权和五要素鉴权,后两者是在三要素鉴权基础上发展起来的。其中,三要素鉴权是指开户银行跨行查询拟绑定账户是否属于Ⅰ类户,查询要素包括卡号、户名、开户银行行号三个要素。四要素鉴权是指开户银行向绑定账户开户行验证Ⅲ类户与绑定账户为同一人开立,验证信息至少包括申请人姓名、身份证号码、手机号码、绑定账号(卡号)等四个要素。五要素鉴权是指开户银行向绑定账户开户行验证Ⅱ类户与绑定账户为同一人开立,验证信息至少包括申请人姓名、身份证号码、手机号码、绑定账号(卡号)、绑定账户是否为Ⅰ类户或者信用卡账户等五个要素。目前,三种绑卡鉴权方式中应答最快捷、应用最广泛的是四要素鉴权。而从虚拟银行卡申领程序来看,申请人通过网银、手机客户端输入姓名、身份证号码、手机号码等基本信息即可发起申领,申领验证流程比四要素鉴权要求更为简化。相对于实体银行卡申领必须严格落实个人实名制和客户身份识别制度,虚拟银行卡线上申领与线下申领的最大差异,在于线上输入身份信息不能等同于线下身份核验,造成客户身份信息存在真实性风险,容易为不法分子利用损害客户正当权益。当前,从事黑灰产业的不法分子透过互联网途径大量获取客户身份信息,在非常规时间应用模拟器、多开器等技术攻击银行业务系统漏洞,通过伪基站、钓鱼短信、病毒二维码、恶意APP、社交平台等手段拦截、骗取客户手机短信验证码,连续快速地集中实施欺诈开户,使得客户和银行陷入突发事态应对困境。近年来已经发生多起利用个人银行账户管理漏洞批量冒名开户事件,对整个支付市场监管造成了不良影响。
(二)虚拟银行卡批量开立风控措施
为有效防范欺诈开户,开户银行应筑牢基线安全防御、业务安全监控、应用运行环境安全监测三道防线,严格落实监管要求,及时阻断风险发生。1.基线安全防御。开户银行要严格落实电子渠道非面对面开立Ⅱ、Ⅲ类账户四要素、五要素鉴权验证的监管要求,重点关注验证手机号码是否一致,避免出现欺诈绑定Ⅰ类户或绑定非Ⅰ类户批量开立Ⅱ、Ⅲ类户的业务风险。2.业务安全监控。开户银行应针对频繁开销户的行为特征,通过设定规则和建立风控模型,进行风险系数评分和低中高风险评级并提出差异化控制策略。3.应用运行环境安全监测。(1)运用设备指纹生成算法,检测和防御模拟器、多开器等硬件设备信息篡改、伪装问题。(2)Ⅰ类户开户行通过规则识别Ⅱ、Ⅲ类账户开立签约绑定报文,拒绝异常欺诈绑定。
互联网金融大数据风控策略的启示
(一)互联网金融大数据风控策略简析
近年来,基于大数据和人工智能的互联网金融风控获得迅猛发展。互联网金融风控通常运用客户身份验证、线上申请反欺诈识别、信用评估、风险评估等多维度关联数据,建立数据模型用以揭示客户行为特征和信用风险之间的关系,综合判断客户信用风险状况。1.客户身份验证。互联网金融通常接入国政通、银联、通讯运营商等渠道,有效验证客户姓名、手机号、身份证号、银行卡号、家庭地址等基本信息。为准确识别欺诈行为,互联网金融采用实时拍摄申请人照片或视频,通过国政通或者公安部API接口上传验证是否为身份证登记本人。2.线上申请反欺诈识别。线上申请反欺诈识别通常包括对线上提交信息、线上申请行为和移动设备数据的反欺诈识别。其中,线上提交信息反欺诈识别是指分析线上提交的地址、单位等信息是否雷同、虚假,快速识别欺诈行为;线上申请行为反欺诈识别是指采集申请时间点信息和每个申请环节的用时,分析申请时点、阅读时长、填写时长是否异常,初步筛选疑似欺诈用户;移动设备数据反欺诈识别是指利用移动设备位置信息精确识别模拟器开户申请,验证客户提交的地址信息的真实性,采集SIM卡和手机的绑定时间和频次有效识别欺诈企图,根据移动设备安装的App应用活跃度识别集中开户风险。3.信用评估。信用评估包括消费记录信用评分和社会关系、社会属性、社会行为的信用评估。消费记录信用评分通过抓取申请人发生的话费、物业费、电商购物、航空记录、银行卡账单、公共事业费和特殊会员支出等历史消费数据,分析评估其还款能力。社会关系信用评估一般采用申请人联系密切的朋友作为样本,取样本的信用评分均值及其与黑灰名单匹配情况作为判断申请人信用的参考依据。社会属性是个体所有社会关系的总和,社会行为是体现个体社会属性的行为,深入分析申请人的社会属性和社会行为相关数据,能够更加全面客观地评价申请人的信用风险。4.风险评估。风险评估一般是指黑灰名单风险识别和司法信息风险评估。黑灰名单是高效识别恶意欺诈的直接依据,如果客户出现在黑灰名单上则可直接中止申请。其中,黑名单是违约和催收后欠缴的客户清单,主要来源于银行、互金公司、线上P2P、信用卡公司、小额借贷公司和催收公司;灰名单为逾期少于90天且未到不良的客户清单,意味着客户借款额度已远超其还款能力。利用法院涉诉信息、公安治安处罚信息可以建立嫌疑人名单,开展司法信息风险评估,对列入名单的申请人进行涉毒、涉赌、涉诈风险研判。
(二)互联网金融大数据风控的有益启示
发卡银行可以借鉴互联网金融大数据风控策略,加强虚拟银行卡线上开户管理,有效识别欺诈用户,切实防范批量开户风险。1.强化利用大数据严密虚拟银行卡申领流程。发卡银行应当充分利用行内业务渠道数据和行外第三方数据对客户身份实施交叉核验,其中行外第三方数据应不限于中国银联、黑灰名单、通讯运营商、人行征信报告、法院涉诉信息、公安治安处罚信息、社保工商学历车产信息等渠道来源,切实提高交叉核验质效;严格履行账户使用告知义务,由客户签约承诺合法合规使用账户,有效应对开户欺诈风险。2.引入信用风险评估机制建立分类分级管理体系。发卡银行应当根据客户职业特征、社会关系和信用评级等情况,实行Ⅰ类户虚拟银行卡和Ⅱ、Ⅲ类户虚拟银行卡开立核验及交易限额差别化管理,审慎约定网上银行、手机银行等非柜面业务交易限额,确保账户功能与风险等级相匹配,并根据客户正常合理需求进行动态调整。3.识别管控涉诈涉赌虚拟银行卡账户。发卡银行应当将开户理由不明、疑似欺诈开立等线上申请异常账户纳入重点监测范围,挖掘采集在线申请录入信息和时间数据,提炼欺诈开户行为特征,结合涉诈涉赌账户特征完善风险监测模型,对发现并经核查的可疑账户依法依规采取控制措施。建立涉案账户分析制度,查找风控漏洞,及时提出改进措施。
完善虚拟银行卡业务管理制度
近年来,人民银行接连出台落实个人银行账户分类管理制度的一系列规范文件,从账户分类、开户渠道、信息验证、账户使用、风险控制等方面建立健全个人账户管理规范,堵塞Ⅱ、Ⅲ类账户开立交易风险漏洞。但是,始终未明确界定虚拟银行卡业务,未出台虚拟银行卡业务管理制度,未建立虚拟银行卡业务统计指标体系,亟待着手破题统筹解决。
(一)界定虚拟银行卡专用术语
目前,人民银行仍未明确虚拟银行卡这一专用术语,虚拟银行卡隐藏在Ⅱ、Ⅲ类账户之后蓬勃发展,甚至突破人民银行电子渠道开立Ⅱ、Ⅲ类账户的规定,出现了Ⅰ类账户虚拟银行卡。1999年施行的《银行卡业务管理办法》对银行卡种类划分如下:“银行卡包括信用卡和借记卡。银行卡按币种不同分为人民币卡、外币卡;按发行对象不同分为单位卡(商务卡)、个人卡;按信息载体不同分为磁条卡、芯片(IC)卡。”其中未提出无介质卡、虚拟银行卡的分类意见,这是时代使然。人民银行应当顺应金融科技发展趋势,重新修订《银行卡业务管理办法》,明确提出虚拟银行卡的分类规范,合理界定其发行依据和应用范围。
(二)出台虚拟银行卡管理制度
《人民币银行结算账户管理办法》规定,存款人凭个人身份证件以自然人名称开立的银行结算账户为个人银行结算账户。因此,虚拟银行卡是个人银行结算账户和银行卡业务融合发展的产物,尽管不再发行实体介质卡,从其62开头的卡号来看,其应当纳入银行卡类结算账户,风险控制与安全管理仍是重中之重,应当仿效《企业银行结算账户管理办法》,出台《个人银行结算账户管理办法》,专门明确虚拟银行卡账户开立核验、使用范围与限额管理等要求,推动个人消费金融稳定发展。
(三)建立虚拟银行卡统计指标体系
从人民银行支付信息统计分析业务来看,虚拟银行卡统计指标体系仍属空白。《支付业务统计指标释义》(中国金融出版社,2013年6月出版)在银行卡统计指标章节中,将银行卡按类别分为借记卡、贷记卡、准贷记卡、借贷合一卡,按介质分为磁条卡、芯片卡、双介质卡和其他,与《银行卡业务管理办法》分类基本相同,均未规定虚拟银行卡类别。相应地,人民银行支付信息统计分析系统发布的银行卡报表未提供虚拟银行卡统计数据。同时,人民币银行结算账户管理系统生成的个人银行结算账户统计表中,账户类型分为支票、借记卡、信用卡和其他,未建立实体卡、虚拟卡分类统计口径,未能提供相关统计数据。虚拟银行卡统计数据的缺乏,不利于精准分析其发展趋势,提出趋利避害的发展政策。为尽快改善虚拟银行卡统计数据缺乏的现状,应本着即改即用、功能升级的原则,着手建立人民币银行结算账户管理系统、支付信息统计分析系统虚拟银行卡业务统计指标体系,科学合理设计分类指标,准确掌握发行使用情况,精准分析发展趋势,引导虚拟银行卡业务合规健康发展。
作者:王志强