2015年12月，中国人民银行发布《关于改进个人银行账户服务加强账户管理的通知》（银发〔2015〕392号），将个人银行账户分为Ⅰ、Ⅱ、Ⅲ类账户。

Ⅰ类账户是全功能账户，可以办理存款、转账、消费缴费、购买投资理财产品等，使用范围和金额不受限制。

而Ⅱ类、Ⅲ类账户是虚拟账户，不能独立存在，须依附在Ⅰ类账户之上，其使用范围和金额都有所限制。Ⅱ类账户定位为“理财+支付”功能账户，Ⅲ类账户定位为“小额交付支付”账户。

经过近四年的发展，Ⅱ、Ⅲ类银行账户满足了社会公众多样化、个性化的支付需求，促进了银行支付服务进一步便捷化。但Ⅱ类、Ⅲ类账户在为公众、银行带来便利的同时，也给不法分子带来了“价值”的顺风车。

2018年以来，不法分子利用部分银行机构的网络安全漏洞批量开立个人Ⅱ、Ⅲ类虚假账户，并以虚假账户为鉴权源，在其他银行机构继续开立Ⅱ、Ⅲ类虚假账户，利用所开立的虚假账户从事“薅羊毛”“假冒客户登录并盗取第三方支付平台资金”“兜售虚假账户信息”“诈骗”“洗钱”“网络骗贷”等违法犯罪活动。

面对日趋严峻的Ⅱ、Ⅲ类账户风险形势，中国人民银行等监管机构连续发文，要求加强Ⅱ、Ⅲ类账户风险防范，健全账户风险监控机制。主要政策要求如下：

•2016年9月30日，《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔2016〕261号）

•2016年11月25日，《中国人民银行关于落实个人银行账户分类管理制度的通知》（银发〔2016〕302号）

•2018年1月19日，《关于改进个人银行账户分类管理有关事项的通知》(银发〔2018〕16号)

•2019年3月，《中国人民银行支付结算司关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》（银支付〔2019〕55号）

•2019年3月,《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔2019〕85号）

一个完整的风险监控机制应该是建立风险监控指标体系、建立风险基线、实施风险处置的三部曲。那么，针对Ⅱ、Ⅲ类账户的风险监控指标，我们该关注哪些层面？

中国金融认证中心（CFCA）信息安全团队长期为银行业金融机构提供支付风险评估和咨询服务。在深入研究监管文件精神的基础上，结合对多家银行涉及Ⅱ、Ⅲ类账户的业务系统风险评估结果，我们认为，风险监控指标体系应以开户风险指标为核心，全面覆盖交易和非资金业务流程，贯穿科技与业务风险。

图Ⅱ、Ⅲ类银行账户监控指标

上图为Ⅱ、Ⅲ类账户的业务风险监控核心指标，通过对开户风险、交易风险、交易失败情况、非资金业务情况的全盘监控，能够有效找出藏匿于正常业务中的异常情况。针对异常情况，我们要逐一分析，把异常指标情况与风险场景相对应。

例如，短时间内开户数激增，并且绑定手机号和身份证为同一地区身份证号，开户过程速度较快，可高度怀疑为脚本批量开户；连续的查询余额失败（token或者后台身份校验不通过），可高度怀疑非法人员正在尝试越权查询攻击。

在逐一分析异常数据后，要逐步建立一套Ⅱ、Ⅲ类账户的风险监测基线，在统计学的支持下，找出正常与异常业务的指标分界线，并且通过对不同异常指标的处理，形成风险事件场景的处置预案。在后续指标超过基线的情况下，相关人员第一时间介入，按照处置预案进行排查和处置。

有条件的机构，亦可利用大数据风控等系统，通过风险指标和风险场景的训练，达到风险指标动态调整自动化，风险事件场景报警可视化的境界，成为Ⅱ、Ⅲ类账户风险管理的“高端玩家”。

CFCA信息安全团队在为金融机构提供支付风险评估和咨询服务方面有着丰富的经验，涉及支付业务及Ⅱ、Ⅲ类账户，可以提供支付敏感信息专项审计，支付风险排查，支付系统风险合规评估，Ⅱ、Ⅲ类账户合规风险评估，Ⅱ、Ⅲ类账户风险排查，支付系统上线前评估等专项的安全服务。