对于商业银行而言，线上支付交易反欺诈是一项止损业务，止损止的是客户的损失，对于银行自身则属于显性成本业务，在重视程度上远不及营销、吸储、放贷、投行等利润业务，与信贷风险控制相比，外部欺诈风险在风险管理链条中也处于非核心地位。

2021年5月25日，最高人民法院发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》，对银行卡盗刷问题进行了规定，自此，商业银行除了按照银保监会、人民银行、地方金融管理局等监管部门的要求，履行反欺诈的义务以外，还要积极应对客户对于用卡安全的实际诉求，否则，当客户的资金被盗刷后，商业银行也将面临索赔民事纠纷，反欺诈已成为商业银行必须要修炼的内功。而实际上商业银行面临的外部欺诈风险远不止卡盗刷，近年来，一个现象较为普遍，不管是高铁站还是小区门口或者是商场，都能看到醒目的横幅、电子屏，甚至反诈中心会用短信的形式，对于防范电信网络诈骗进行大规模提示，一方面说明电信网络诈骗形势严峻；另一方面也应看到政府在积极开展行动，帮助民众提高警惕，防止诈骗。

为什么电信网络诈骗在如此高压的情况下仍然高发，作为商业银行做了哪些事情来避免用户遭到电信网络诈骗呢？政府教育民众，银行教育客户。对于防骗，客户的安全意识无疑是最重要的保护盾，然而，既然是意识，想要提高，是无法做到立竿见影的，意识的提高是一个缓慢的过程。教育是最容易实现的，客户新开银行卡时被告知如何安全用卡，客服电话也会经常以短信和电话的形式提醒客户安全用卡，切勿泄露个人账户信息给陌生人。

除了教育提醒之外，还能做什么。反欺诈系统实时拦截，从交易的维度识别出欺诈风险高的交易，进行实时拦截，保护客户资金安全，但这考验的是商业银行的风险识别能力和系统控制能力，这是一个挑战，接下来我们讨论如何从交易的角度识别并控制电信网络诈骗，从而将风险化解在资金交易的环节，避免与客户后续的民事纠纷。

识别风险的基础是了解风险。我们先来看欺诈风险的定义，巴塞尔银行监管委员会对操作风险的定义是：由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险，主要包括内部欺诈、外部欺诈等，其中内部欺诈是指有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司规章制度的行为；外部欺诈是指第三方欺诈、盗用资产、违犯法律的行为，通常包括贷款申请欺诈、信用卡申请欺诈、交易欺诈、信用卡盗刷、个人借记卡盗刷、企业账户交易欺诈以及不法分子通过电话、网络、短信等方式编造虚假信息，设置骗局对受害人实施远程非接触式诈骗，诱使受害人转账的电信网络欺诈等。

网络金融渠道的支付交易欺诈，属于外部欺诈，包括两类主要方式：

• 一种为非持卡人本人操作类欺诈，也即银行卡盗刷，主要作案方式为诈骗分子通利用钓鱼网站、地下暗网等黑产方式，综合运用社会工程学方法获取持卡人的个人信息、账户信息及登录支付等交易要素，登录他人账户并进行资金相关操作的行为，主要包括盗刷消费和盗刷转账；
• 另一种为持卡人本人操作类欺诈，也即电信诈骗，本文指诈骗分子通过电话、微信等方式与持卡人取得联系，通过恐吓、引诱等形式从主观上骗取持卡人的“信任”，误导或诱使持卡人向诈骗分子转账的行为。两种类型的主要区别是交易的操作者是否为持卡人本人。反欺诈业务主要是针对上述两类欺诈进行检测，并对高风险交易进行实时阻断，保障用户用卡及资金安全。

非持卡人操作的交易具有明显的特征，主要包括交易使用的设备、网络环境、交易操作行为习惯等，此类风险主要集中在，与持卡人历史交易相比，常用设备发生变化、交易所在位置发生较大变化或与持卡人所在地差异较大、交易金额与日限额或账户余额较为接近、支付方式多为短信支付等非物理介质、操作行为习惯有明显变化、收款方风险等特征。持卡人本人操作类欺诈交易为持卡人本人发起的交易，在使用的设备、网络环境等方面无明显特征，主要特征集中在收款方（卡或账户）的风险以及交易行为习惯的变化方面，在防控时难度较大，重点可放在收款方的风险评估方面，收款方分为本行账户和他行账户，对于他行账户，可利用黑名单进行风险评估，但范围极小；对于本行账户可根据该账户的开户、登录情况、与其他账户的关系等进行风险评估。

控制风险的前提是识别风险。反欺诈系统是识别和控制风险的利器。反欺诈系统主要进行实时欺诈交易检测和阻断。客户在APP或者网银提交交易请求，该请求将经过一系列数据字段补充，形成完整的交易报文，反欺诈系统实时取出交易报文并进行风险评估，将风险评估情况和对应控制措施返回给网银系统，网银系统进行实际控制，比如进行阻断或者放行或者二次认证。

如何识别风险？假设当前反欺诈系统只有一个功能：判断交易金额是否超过一万元，如果否，则直接向服务器反馈“放行”代码，服务器拿到反馈结果后，将根据该笔交易的收付款方、交易金额等信息进行更新数据库等一系列操作；如果超过一万元，则向服务器反馈“拦截”代码，服务器接到指令后，将该笔交易拒绝，并给该客户反馈提示信息。现在考虑一个情况，近期，有不少北京地区的客户反映，有人冒用自己卡进行转账汇款，造成资金损失，需要风控部门予以控制。此时，“判断交易金额是否超过一万元”的功能显然不能满足业务需要，我们要对风控系统的功能进行扩充，需要添加一个功能，实现对北京地区的所有转账交易进行人脸识别（刷脸认证），以确认操作账户的人是否是持卡人本人。

此时，风控系统要做到三件事：一是在一个交易请求送入风控系统时，能够判断出来这笔交易是否来自北京地区的卡；二是判断出该笔交易是否为转账交易；三是若同时满足条件一、二，则通知服务器，对该笔交易进行“人脸识别”；如果在规定的时间内人脸识别通过，则转账成功；否则转账失败。类似这种简单的判别，我们称之为规则，规则灵活且有效，大量的规则构成规则系统，对不同风险进行精准的过滤和处置。

现在，考虑一个问题，对于北京地区有人冒用他人的卡进行转账汇款的风险，如果时间过去了很久，客户才上报，或者客户上报的内容过了一段时间，才传到风险控制部门，将会有什么后果？

风险在长时间内没有得到有效控制，导致大量客户资金损失，影响企业声誉，甚至遭到监管处罚，这就要求风险控制要具有及时性。再考虑一个问题，如果每条规则对映一类具体的风险，随着电子银行的快速发展，风险呈现多样化，规则要穷举风险个例显然不可能实现；同时规则的研发也耗费大量的分析时间，因此，规则具有风险处置单一性、上线滞后性等问题；此外，由于规则往往用的变量较少，诈骗分子能够在较短的时间内找到规则的漏洞，因此，规则也存在易突破的致命性弱点。此时，对于风险处置更多样、更不易被突破、处置风险更及时的“超级规则”的需求更加迫切，这样的规则我们称之为“模型”。

下一章，我们讨论如何构建一个“超级规则”—反欺诈模型。