支付风控系列(1)--支付风险类型
什么是支付?
首先来看看,到底啥叫“支付”?虽然每天都在支付宝和微信支付之间穿梭,但想解释清楚这个概念,貌似很难脱口而出。还是先问问ChatGPT的意见吧:
支付 —— 指用货币或其他形式的价值来换取商品或服务的行为。听上去好像也可以用来形容“交易”?但其实两者是不同的,交易是指代一种多方之间的交换行为,从A把东西拿出来,交给B,再从B手中拿到东西,这一整个过程构成一次“交易”;但支付是单方的一个操作,可以理解为实现“交易”的一个步骤。
从用户进到平台开始选购,到最后支付成功,做的所有事情都是交易,而交易就是统筹管理这个过程,所以这个过程里的所有业务都可以划给交易系统,也都可以从交易系统中独立出去,而支付系统就是从中独立出来的一部分。因此,支付系统只是大交易中的一个环节,主要是处理外部支付渠道支付,也就是用户“实付”那一部分资金的处理系统,比如用微信支付、支付宝支付、银行卡支付的那一部分资金。
支付风险类型
2020年12月,人民银行发布了《基于大数据的支付风险智能防控技术规范》,其中明确给出基于大数据的支付风险智能防控技术框架,包括风险类型、风控技术、大数据技术三个方面:
按照上面的支付风控技术框架,下面进入本篇的正题:支付风控的风险类型。
网上关于支付风险的分类有很多,从风险场景分类来看,可以将其分为账户风险、交易风险、资金风险、套现风险、操作风险、合规风险和洗钱风险等。但这种分类方式存在一定的交叉和覆盖,不是十分MECE。
所以本文还是按照官方的思路,根据支付产业中存在的各种风险的特点,人行将支付风险分为欺诈风险、合规风险和其他风险类型三大类。
欺诈风险
从风险场景来看,欺诈风险场景主要包括交易场景、营销场景和套现场景。常见的欺诈行为包括但不限于:
1)伪卡欺诈
伪卡欺诈,指欺诈分子非法使用银行卡磁条信息,伪造真实有效的银行卡,或通过改造丢失卡、被盗卡、未达卡、过期卡的表面凸印信息,或重新写磁后进行欺诈交易。
伪卡作案大致分三个环节:信息收集、伪卡制作和盗刷变现。近几年伪卡欺诈呈现出集团化、规模化的特征,一般有以下三种形式:
定点侧录盗刷
系统攻击侧录盗刷
境外机侧录盗刷
由于伪卡欺诈更多是基于实体卡的,我国线上支付越来越普及,实体卡交易场景逐渐减少,留给欺诈分子的空间已经不多了,伪卡欺诈形式向“境外侧录、境外盗刷”的模式转化。想起在国外读书时,美国大多数线下店还是流行刷实体卡的,我自己就曾经有过两次被盗经历,因为在餐厅结账时经常需要把信用卡直接给到服务人员,由他们拿到机子上去刷,而且是免密支付,可能会有些餐厅服务员和欺诈团伙勾结,用他们提供的读卡器来盗取卡信息。
2)失窃卡欺诈
失窃卡欺诈,指冒用或盗用持卡人的银联卡进行的欺诈交易,包括丢失卡与被盗卡。和上面介绍的伪卡不同,失窃卡是客户本人的真实银行卡,因此商户端和发卡机构都很难识别到风险。防止失窃卡欺诈的发生,要引导持卡人养成良好的用卡习惯,提高自我保护意识,同时建议持卡人设置交易密码,降低卡片被盗刷的风险。
3)非面欺诈
非面欺诈,也就是非面对面欺诈,指欺诈分子窃取或骗取卡片主账号、有效期、支付短信验证码及其他关键身份信息后,通过电购/邮购、互联网、手机等非面对面渠道进行欺诈冒用;或以短信、电话等方式诱骗持卡人向指定账户发起的欺诈转账交易。也是我们常说的“杀猪盘”、“电信诈骗”。
4)账户盗用欺诈
账户盗用欺诈,指欺诈分子冒充真实持卡人或账户所有人的身份,通过修改账单地址、虚假挂失等一系列手段获取重制卡片或账户信息进行欺诈交易。
还有一种比较特殊的情况:未达卡欺诈,指欺诈分子直接截获银行给客户邮寄的新卡,然后冒充持卡人激活卡片并进行欺诈交易。
5)伪冒申请欺诈
伪冒申请欺诈,又称虚假申请,指使用虚假身份或冒用他人身份申领银行卡(或开立账户)完成欺诈交易。
在国内信用卡普及初期,伪冒申请是欺诈风险中占比最大的一种。在裁判文书网上随便搜一搜,就有一大堆“伪冒申请+非法套现”的案件,在后续的套现风险部分会详细介绍。
6)商户合谋欺诈
商户合谋欺诈,指特约商户在受理支付交易时,违规操作、蓄意进行欺诈交易或纵容、包庇、协助持卡人开展欺诈交易的行为。
由于小微商户规模小、经营范围不明确、工商注册信息不全等,很容易成为支付风险薄弱环节,发生商户欺诈或持卡人与商户合谋欺诈,以不当手段从商业银行获取资金,即利用POS收单或网络支付从商业银行的信用卡中获取免息或低价资金,给发卡机构和收单机构带来巨大损失。
7)营销欺诈
营销欺诈,指不法分子利用营销主办方的营销漏洞,与商家勾结、虚构交易,骗取营销活动主办机构的营销费用,获得不正当收益。也就是现在我们常说的“羊毛党”。
如果我们只是拉亲戚朋友一起“薅薅羊毛”,不必担心会不小心成为“羊毛党”,恰恰是营销方想要触达的对象。
界定羊毛党的关键特征是,多频率、有组织地在单次营销活动中多次获取优惠金额的行为,其实质是由于其薅羊毛的行为侵占了其他用户本应享受的优惠活动,这种行为即是打击的对象。
具体如何识别羊毛党,把营销欺诈控制在摇篮中呢?敬请期待支付风控系列的第二弹!
8)套现欺诈
套现欺诈,指持卡人未通过正常合法手续(如ATM或柜台等)提取现金,与商户或其他第三方合谋方式,以虚构交易、虚开价格、现金退货等手段将账户中信用额度内的资金以现金的方式套取,同时又不支付银行提现费用的行为。
在伪冒申请欺诈部分,提到裁判文书网可以搜到一大堆“伪冒申请+非法套现”的案件,比如:
围绕“信用卡套现”国内早就形成了各种欺诈组织:
违法代办POS机的中介:每台收取一定的手续费,每天可以刷固定的额度;
勾结持卡人的信用卡套现公司:由于银行向使用POS机的商家收取的刷卡费率,低于持卡人在额度内套现的手续费,因此套现公司通过持卡人的虚拟交易可以获得很可观的利润;
通过违规办卡套现并非法放贷的小贷公司:通过骗领信用卡、“以卡养卡”,提高信用卡额度以及“循环套现”,进行非法放贷活动,形成欺诈链条。一旦非法放贷环节出现问题,资金链就会断裂,导致恶意透支,被冒领身份的客户和发卡银行成为最终的风险承担者。
合规风险
合规风险主要来自参与方机构(包括银行、非银行支付机构、特约商户及第三方专业化服务机构等)未能遵循法律法规、监管要求、业务规则及内部规范等,可能遭受法律制裁、监管处罚、违规约束进而引发财务或声誉损失的风险,包括洗钱风险、电信诈骗、挪用客户备付金、非法集资等风险。
1)洗钱风险
洗钱风险,指将通过各种手段掩饰违法所得,隐瞒违法来源,使其在形式上合法化,常见于毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪等各类犯罪过程。
第三方支付始终是洗钱的重灾区。由于很多支付机构存在未落实实名制、风控措施不严等问题,很容易被不法分子利用,沦为诈骗和洗钱工具。而对第三方支付机构来说,无所谓这些交易合法还是违法,反正交易量越大,自己赚的手续费越多,只要监管不发现,机构方和洗钱团伙都美滋滋。
不过一旦被发现,就要面临罚款以及声誉受损双重惩罚,甚至有被吊销牌照的风险。就在上个月,银联商务因9项违法行为被罚6516万元,刷新了2022年以来的罚金纪录。
2)电信诈骗
电信诈骗,指不法分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人本人给不法分子汇款、转账、购物或代付等犯罪行为,从而给受害人造成资金和权益方面的损失。这也是欺诈风险中的非面欺诈,机构有义务提醒、引导客户提高反诈意识,避免这类风险。
同时,电信诈骗也是一种洗钱上游犯罪,由于电信诈骗所得的资金为非法所得,犯罪分子为隐瞒违法来源,大概率会发生后续的洗钱行为。
3)挪用客户备付金风险
挪用客户备付金风险,指不法分子通过网络攻击,编造虚假交易和信息,伪冒商户等方式挪用、占用、借用客户备付金而造成持卡人或账户所有人、商户和机构资金和声誉损失的风险。
4)非法集资
非法集资,指单位或个人未依照法定程序经有关部门批准,以发行股票、债券、彩票、投资基金证券或其他债权凭证的方式向社会公众筹集资金,并承诺在一定期限内以货币、实物以及其他方式向出资人还本付息或给予回报的行为。
和电信诈骗一样,由于资金来源违法,非法集资也属于一种洗钱上游犯罪行为。
其他风险类型
除了欺诈风险和合规风险外,不同机构、不同业务场景可能存在其他的风险类型,如资金清算风险、用户道德风险等。
持卡人欺诈就是由用户道德风险引发的,指合法持卡人抵赖其银行卡账户下的交易行为。通常手法是,两个持卡人交换银行卡,并在不同城市使用对方的卡进行消费,以造成本人没有使用银行卡的假象。当账单寄达时,两人均以自己不在交易发生地为由要求退单,并申明账号被盗。
还有一个近几年频发的欺诈手法,有些成年游戏玩家在游戏中氪金后,向客服反馈这些交易非本人操作,而是手机被家中小孩拿去玩儿后误操作,于是要求官方退款。
以上这两种情况都是持卡人自身的道德风险导致的,通常机构事先识别的难度较大,事后也很难甄别。
总结
以上就是支付风险的主要类型和场景。本文重点介绍了支付业务的风险在哪里,以及是如何发生的,下一篇会介绍如何使用风控技术来对抗这些风险,敬请期待,欢迎交流。
转载https://zhuanlan.zhihu.com/p/609399438
