在过去两年间,疫情给我们的生活带来了许多颠覆性变化。当今的商业模式已不同于往昔,随着数字化进程的进一步加快,金融机构必须要时刻为可能出现的业务风险做好准备。这也正是“IDC金融洞察”白皮书将深入探讨的议题,议题中的一个关键词,就是“风险博弈”⸺面对正在走向无边界和强对抗的新型重大风险,金融机构如何与之博弈,并始终领先一步?这可以说是关乎“生死存亡”的大事。 数字支付激增 新冠疫情算得上数字化发展的一个“加速器”,但其实早在疫情出现之前,数字服务领域已经有了大规模的转型:从线上互动,到数字支付,再到依托于数字平台而生的新服务。疫情的出现加速了这一趋势,加速的势头预计将保持到����年,届时人类早已将这次全球健康危机甩在身后。图�数据显示,����年到����年,全球消费者数字支付市场预计增长�.�倍,而在����到����年期间,上涨幅度预计将进一步增至�.�倍。 �12�����η�����JK�ň� 139.1 311.4 2.2X 3.4X 476.1 202020252030 ���IDC�����2021 数字化与金融风险相生相伴 数字化世界的机遇和潜力巨大,但也充满了风险。随着企业加速运营调整以应对数字化进程,这种激增的趋势带来了明显的合规风险和业务风险。 更多的合规要求 与数字支付兴起密不可分的,是大量出台的监管规则,尤其是与安全保障和用户体验相关的区域性标准。企业必须充分认识到各类利益相关方、金融机构、供应商及合作伙伴的要求,确保自身合乎规范、政府监管要求及标准。 各机构都必须面对这一现实:数字化即意味着更多的合规要求。在澳大利亚,四大银行��%的技术投资都用在了合规方面,据称是为了让自身为迎接数字化世界做好充分准备。其中的重点投资领域包括风险报告、网络安全与环境、身份验证、反洗 钱和打击恐怖主义融资合规、支付诈骗等。在亚太其他地区,各机构也在合规方面进行了大规模的投资。 另一个毋庸置疑的现实是不利事件出现的越多,监管就会越严格。例如,一旦出现停工和服务不可用的情况,为了增加业务的连续性,监管必然就会出台额外的措施 ;而当出现网络安全事件时,网络风险的管控就会进一步升级。为了应对欺诈的挑战,全球范围内将出现一系列更完善的监管举措,包括对合作伙伴的尽职调查、向监管机构进行事件报告、向受影响的消费者公开诈骗案件的细节等。 IDC预测,到 �0��年,��%的零售商都将提供至少两种无接触式的支付方式,进而将转化率和客户保留率分别推高�0%和 (3#0ID%CA。sia-PacificPaymentFutureScapeprAP��������) 支付渠道、平台和功能一时泛滥 当下零售商和商家都在急于找到合适的渠道,以满足消费者不断变化的偏好。理想情况下,企业需要为不同渠道提供不同的分配商品和服务的选择 (网络、移动App、数字平台等),为消费者提供不同的交易方式(支付类型、传统销售点、移动钱包、实时支付等),还有一系列其他可以改进数字体验的功能(自动推荐、忠诚度积分、先买后付等)。 这种对选择的追求很容易拉高服务成本。随着服务消费者所花费的资源越来越多,可以预见,未来将出现一大堆的工具来确保交易的安全、可靠和便捷性,包含从认证到下单的方方面面。 在之后的章节中,我们会讨论到各类欺诈问题。随着渠道的日渐增多,许多的风险因素会在数字交易和支付过程中发挥作用。相应的,这些风险因素作为载体和媒介,也会衍生出许多的欺诈风险。我们也会探讨跨渠道、跨平台式的欺诈是如何实现的,并重点关注欺诈犯如何通过不同的渠道、支付类型和功能实现诈骗手段的不断升级。 同时,在追求选择多样化的过程中,为了向消费者提供便捷、安全和可靠性,出现了大量效率低下的解决方案。 来自第三方的风险 当前,由于金融服务和其他非银行的生态系统相互交融,金融机构不得不面对第三方的风险问题⸺使用第三方提供的数据、基础设施、服务和软件相关的外部风险。随着开放式银行的兴起,第三方风险逐渐成为一个金融机构需要考虑应对的难题;此外,在进行生态合作和平台建设时,银行在与数据供应商、云服务供应商和潜在伙伴的合作过程中,也需要慎重考虑这一点。由此,像隐私保护多方计算这类解决方案就应运而生,我们在之后的章节中也会提到这一点。 另外一个重要的问题即身份管理。越多的渠道和平台融合在一起为消费者提供基于生态系统的解决方案,确保账户或持有人身份信息不被泄露就变得越重要。此外,确保第三方的身份没有问题,以及确保消费者在被授权的情况下获得金融数据、进行交易、从账户进行支付也显得愈加重要。 如果不对AI风险加以管控,AI风险可能对业务产生严重影响 随着人工智能(AI)和机器学习 (ML)逐渐成为最重要的支持风险管理的技术,金融服务供应商必须做好应对由AI及其发展所带来的各种新风险。 与AI相关的风险不仅包括操作的风险,还包括针对AI弱点的诸多风险,比如由于数据投毒而导致的模型风险、由于缺乏可解释性和偏见而导致输出模型不可靠的风险、由于数据泄露而导致的隐私泄露风险等。 在尚未建立完善的AI风险管控框架的情况下采用AI和ML技术,对于任何企业来说都是非常危险的。 应对措施越来越复杂 为了有效地应对各种场景下的欺诈,零售商和商家都急于将各类渠道、业务流程、工具和技术放到一起,越来越多的解决方案应运而生。这意味着组织内部会出现更多数据孤岛、系统孤岛甚至是业务孤岛。当存在孤岛时,风险、IT、欺诈和运营之间会愈加缺乏协调性,迅速风险监测和及时有效应对的能力也会下降。 另外,数字互动和数字支付的急剧增长推动业务加速数字化转型⸺从售前到支付,再到售后。然而,在大多数情况下,这些改进让系统和流程变得更加复杂。随着时间的推移,这些本就因传统架构和技术缺乏而备受困扰的企业,在应对新型风险时会显得愈加困难。由于对解决方案的需求只增不减,与第三方结成合作伙伴和组成同盟成为金融机构必然的选择。 然而所有这些为了应对需求的变化,企业将付出更高的成本。为了确保资金在不同网络环境间转移时的无缝体验,企业会在支付网关、设备、软件和基础设施方面加大投资。商家无论规模大小,都必须对技术投资做出规划,以维持不同的商业模式来服务不同的消费者群体以及应对其行为上的变化。但是,对于大多数企业而言,提供跨渠道、跨分销网络且快速周转的无缝支付体验的成本是非常高昂的。 由于传统系统的存在,企业为了适应数字化趋势所做的努力更多地是在现有架构上增加更多的层次。结果,这也导致许多低效的结果显现,其中之一就是企业内部对风险数据的决策不一致。数据孤岛越普遍,精准的决策变得越来越困难。因此,各组织必须实时对风险威胁和影响进行监测和评估。 面对更多的消费者不确定性 大多数数字支付的新用户都发现,在得以完成交易之前,要接受条款的流程很强制化且不易理解,这从很大程度上降低了消费者对数字化的信任感。另外,日益提升的数据安全和隐私保护意识,也让消费者对数字化支付的安全性产生了不确定感。在中国,个人信息保护的相关制度在《网络安全法》就已经有了专章规定,其后的《民法典》人格权编和《数据安全法》也先后规定了涉及个人信息的具体保护制度和相关要求⸺数据应当在客户的控制下保持隐私性,且客户应对数据的访问权限拥有控制权。这就需要企业建立一个可访问的安全架构,仅向被授权的可信任的第三方(TTP)开放,且需经过严格的安全控制。即便没有这些强制性的文件,客户也会要求同等的数据可访问性和安全性,如果企业做不到这一点,那将面临失去客户的风险。 当不信任危机出现时,企业都会收到大量客诉,一旦消费者对交易的安全性产生不确定情绪,客户满意度下滑,消费者放弃交易,收入增长随即成为泡影。随着不确定情绪的泛滥,企业的整体业务将面临巨大的挑战。 值及得欺关诈注风的险欺的诈新趋特势点 近年来,数字支付面临的欺诈风险呈上升趋势,由于很多企业急于开展数字服务、实现数字支付,以致在系统内部和业务流程上留下了许多隐患,让黑产有机可乘。IDC的一项研究表明,相较于����年,在����年,亚太地区��%的企业因遭遇诈骗而蒙受的损失上涨了至少�%,��%的企业损失上涨了至少��%。由于支付管控不利及降低风险手段的不到位,欺诈活动现在越来越猖獗。更糟糕的是,黑灰产的欺诈手法正在不断升级,欺诈套路也变得越来越复杂。 哪些威胁正在变得愈加常见?欺诈风险又是如何演变的呢? 身份欺诈 通过“半真实半虚构”的信息做成的假身份,通常被称为“合成身份”,这些身份信息可以用来进行借记卡/信用卡诈骗,或者开通假账户等,成为消费者群体易受攻击的薄弱之处。根据IDC报告(#IDC#US46690220),20%的消费者贷款和信用卡扣款都是由合成身份欺诈造成的。单就美国而言,因合成身份而导致的扣款总数额可能就远超�00亿美元。由于合成身份中混入了大量的真实数据,传统的反欺诈工具模型不足以检测并验证这些基于多重数据的参数。 2020年,美国的联邦贸易委员会报告称,民众投诉的数量上涨了4�%,其中大多数都是由于身份欺诈引起的。相较于20�9年,这一数字上升了��3%。 (来源:iii.org) 合成身份欺诈会让零售商和金融服务供应商蒙受巨大的损失,这类欺诈行为不仅很难被发现,而且可能还需耗费大量的时间来弥补造成的损失。 对于那些没有统一公民身份和国家ID数据库的国家来说,身份欺诈的问题尤其值得关注。由于新用户在开户时无法实现卡证比对,使身份欺诈成为高发风险。但是现在,在生物识别、OCR、人工智能等技术的支持下,KYC环节可以在远程实现。对金融机构来说,建立准确的客户档案是安全合规的风险防范的基础。 新交易类型中的风险 根据IDC报告《IDCFutureScape:2022年全球金融服务及支付预测》,到2023年,高达6�%的各渠道消费者将会尝试即时的金融服务。这说明了,消费者的购买周期中享有多种不同的金融和支付选择,这也为欺诈的发生提供了新的土壤。 其中,“先买后付”的支付方式在线上渠道越来越受欢迎。该方法主要是为了帮助商家在消费者购物时提高其客户留存与转化率。随着疫情的发展,消费者们越来越倾向于线上采购,因此商家和贷款机构开始合作推出不同的机制,例如“先买后付”来帮助消费者完成交易。在澳大利亚,“先买后付”的服务发展迅速,成为了一种在客户流向竞争对手之前,能够留住他们的有回报且有效的手段。尽管“先买后付”的模式还处于起步阶段,黑灰产还是看到了新的“机遇”,他们快速设定了针对新交易方式的诈骗手段,包括但不限于先买后付、微贷款、购后保险、忠诚度积分兑换,甚至是数字货币等等。 根据澳大利亚证券交易所(ASX)的股票表现,“先买后付”板块的交易额在20�9/20年度增长了��%;但是,与“先买后付”相关的欺诈投诉相较于20�9年也几乎翻倍。 呈欺诈现结和构洗化钱逐趋渐势 事后警方怀疑是第三方的电商平台泄露了相关的客户数据。由于涉及的金额较小,传统的反欺诈风险手段未能被触发。尽管从事后来看,涉案账户数量庞大,总金额也是相当惊人。这种小额多笔的犯罪方式在洗钱中也很常见,通过不引人注目的小金额进行洗钱操作被叫做“结构化洗钱”或“拆分洗钱”。 跨欺渠诈道向的多方渠向道发、展 这种欺诈类型的风险在于他们的非法活动各不相同,在源头上很难被察觉。黑灰产会通过移动漏洞或第三方系统的漏洞获得用户数据,随着越来越多这样的数据暴露,欺诈分子骗取消费者的套路也变得越来越难防范。 诈骗活动也开始针对各种新兴的渠道和设备展开。当金融或支付机构在努力适应新渠道的时候,新型诈骗案件的数量也在不断增加。这些新的威胁一般不会引起人们的警觉,因为无法与一系列已知的威胁相提并论。银行和不法分子之间的诈骗检测和防范,就像猫鼠游戏一样充满变数,商家需要基于不断升级的技术完成对交易的风险检测和防控,与此同时,不法分子也在无时无刻、毫不留情地寻找着新漏洞。 在这里,另外一个重要的概念就是如何将支付一体化融入到消费者服务中。在亚太地区,社交媒体生态中发酵的“共享经