数字化转型下银行卡支付安全新生态

作者：浦发银行信用卡中心信贷运营部总经理张毅

近年来，互联网技术加速了信用卡产业发展进程，打破了诸多限制和壁垒。随着技术手段在银行卡支付行业的不断渗透，移动设备、聚合支付、线上钱包等进一步改变了人们的支付习惯，加快了线上线下支付方式的融合，提升了支付体验。与此同时，随着支付产品的持续升级，被动、滞后的风控意识、风控手段已无法满足现阶段银行卡支付快速健康发展的要求，除个人风险外，通过智能设备、计算机技术伪装的“人群”也不断冲击支付安全防线。面对内外部多重因素交织影响，银行卡支付业务迫切需要构建新的安全防线，建设新的安全生态。

一、数字化转型下银行卡支付新特征

金融科技的创新发展加快了数字化支付转型的进程，也让银行卡支付出现了一些新变化。其中最为显著的变化是银行卡产品模式增加，介质多样。从传统的磁条卡到IC卡再到虚拟卡，数字化支付使得银行卡不再局限于一种介质，银行卡发卡模式也更加多样，客户从申请银行卡到开始支付只需几分钟，支付效率和便利性大幅提升。此外，随着近年来线上线下支付模式的不断融合，银行卡支付模式也在不断推陈出新。智能手表、手环等可穿戴支付设备陆续涌现，网络支付、移动支付迅速崛起，传统的磁条刷卡、芯片插卡等支付模式正在逐步被二维码、Token（手机Pay）、生物识别等新型支付方式所替代，极大提升了交易速度和客户体验。

在这些变化中，银行卡支付场景得到了进一步拓展和融合。银行App成为支付的重要平台，各银行不仅通过手机App为客户提供转账支付、消费信贷等全面精准的金融服务，更通过打通银行App与第三方服务商的支付壁垒为客户提供包含餐饮娱乐、生活缴费、旅游出行等全方位的消费服务和便捷的支付体验，打造数字化支付新生态圈。

二、银行卡支付数字化转型路上的新挑战

数字化转型给银行卡支付领域带来了全新的改变，拓宽了银行服务的时空维度，催生了多种形式的支付方式，提高了银行卡支付的便捷性和安全性，但同时也凸显了数字化支付与银行传统风控模式之间的矛盾，给银行带来了新的挑战。

1.大数据治理的挑战

数字化时代，信息俯拾即是。尤其对于银行业，越来越多原本没有条件收集的信息开始被录入银行系统，如生物指纹、位置信息、设备信息等，这些信息随着数字化支付转型的深入越来越具有价值。银行可以借助这些信息细化客户和商户画像，实现对风险的精准防控。

与此同时，大数据时代又对银行的数据认知能力、分析能力、应用能力和保护能力提出了挑战。新形势下，如何有效、准确地对大数据时代的海量数据信息进行甄别和分析，成为银行交易风险管理面临的新课题。与此同时，外部攻击导致数据库信息泄露事件频发，这对银行的数据保护能力也是一种考验。总之，数字化时代下，大数据治理对银行业的信息敏感度和技术成熟度都提出了更高的要求，两者缺一不可，否则银行将面临“入宝山却空手而归”的窘境以及后续数据流失、信息泄露的风险。

2.资金链路安全管理的挑战

数字化支付背景下，支付链路参与主体增多，不再局限于银行、清算、收单等机构，各类代理机构、平台、服务商也加入其中，同时银行卡账户买卖情况屡禁不止，支付安全隐患藏匿于“N”方参与下的支付链条之中。非合规交易、套现交易、欺诈交易、涉诈资金转移、赌资充值等风险交易通过非正规交易终端被伪装成正常的商户交易，风险资金往往被隐藏在正常资金流水中，具有很强的隐蔽性。面对多账户协同参与、多链路资金往来、客户商户勾结等风险态势，银行难以通过现有数据、规则对涉及风险的全链路交易进行识别，难以完全摸清风险账户关系网络，这给银行追溯风险资金源头、跟踪交易去向带来了重重困难，也不断考验着银行风控体系的防御能力。

3.客户身份核验的挑战

随着信息科技的高速发展，银行面对的不再是传统的个人异常行为，更多的是团伙犯罪，甚至是由智能设备伪装的“人群”的不定时“攻击”，因此现阶段银行业的支付风控已非传统简单的“点对点，人对人”的防控，而是更大范围内的对于智能技术或团伙组织的防控。传统枚举式的风控模式已无法应对数字化时代下的海量交易，也无法实时准确地把控风险态势的变化，因此智能风控势在必行。值得注意的是，智能风控对银行全流程交易风险监控系统、人工智能技术与金融风控的融合应用程度等都提出了更高的要求，这意味着行业推出应对举措刻不容缓。

三、支付安全领域数字化转型的举措

为了应对数字化转型进程中的新要求、新挑战，银行纷纷开始着手建设智能风控体系，积极应用大数据、云计算、机器学习等前沿技术，以期更加清晰地描绘客户画像、量化交易风险，进而降低数字化支付风险。浦发银行信用卡中心在交易管理上坚持以精耕细作、创新驱动为目标，坚定走数字化转型之路，深耕大数据治理能力，以数字化发展的眼光审视当下的支付风险，建立全面覆盖、全程监控的风险管理体系，将消费合规管理、交易欺诈管理、交易真实性管理、涉赌涉诈防控四个交易风控“点”合力织密为交易风控“网”，不断加固信用卡交易风险管理防线。

1.科技驱动实时监控，严防非合规支付风险

近年来，信贷政策持续收紧，社会资金需求日益突出，导致违规交易风险持续攀升，一些持卡人在非消费领域违规使用信用卡，不但推高个人资金杠杆，也极易导致金融机构风险累积。在实际管理过程中，银行会遇到诸如支付机构POS机具套码、收单机构上送的交易报文不真实或不精确、第三方支付机构不按照规范上送支付业务种类等问题，依靠传统的通过交易报文上送的商户类别码等信息对交易用途进行识别的方式已难以准确定位和有效防范风险。

在信用卡交易资金用途管控方面，浦发银行信用卡中心应用数字化经营工具，为实时防控体系提供科技支撑，对异常交易进行拦截，扩延限制管控半径，最大程度保障信用卡交易资金用途合规。一方面，浦发银行信用卡中心从能触及的交易源头进行管理，利用技术驱动联机交易监测性能提升。在信用卡联机交易环节就做好源头风控，逐步调整以商户类别码为管理维度的交易管理体系，建立以商户类别码、一二级商户名称、商品名称为识别维度的新的交易管理体系，分类分层进行交易实时管理，将交易事后监测识别逐步向交易事前精准识别转变推进。另一方面，浦发银行信用卡中心加强事后监测的精细化管理，利用大数据深入分析非合规领域交易及账户特征，对套码类等无法在联机交易环节直接采取管控的交易，持续通过交易数据、账户分析等方式开展违规交易排查及处置，加强信用卡交易资金用途管理。

2.构建智能欺诈防控体系，强化交易欺诈实时防控

新冠肺炎疫情暴发以来，境外疫情加剧蔓延，支付行业整体境外交易量及线下欺诈量均呈下滑趋势。在疫情的影响下，欺诈风险加速向线上迁移，通过数字化手段防控欺诈风险已成为银行数字化转型的新赛道。

完善大数据平台建设是提升数字化防控水平的首要举措。浦发银行信用卡中心前期充分挖掘行内数据，依托3大系统6类数据，加载客户画像、商户画像、交易特征数据、设备数据、行程报备数据、模型评分，以实时智能防控为目标，建立更具灵活性的配置策略、更精细化的模型系统，整合专家规则、参数功能、模型评分形成多组合的差异化防控手段，在前移风险防控介入时间点的同时，强化实时拦截效用。此外，浦发银行信用卡中心借助“浦大喜奔”App将场景支付功能与数字化风控相融合，在欺诈风险防控方面实现客户与银行实时交互，通过银行App、微信等客户端提供个性化的防控策略，实现交易欺诈防控“千人千面”。同时，为实现多重保障机制，浦发银行信用卡中心引入人工智能技术，通过人机结合搭建欺诈事中识别和拦截防线，根据风险等级、账户状态、交易模式等因素进行风险分级，布控实时拦截或准实时风险预警，并结合系统自动管制、智能IVR、上下行短信以及微信等多渠道交互的风险处置措施，防止欺诈损失扩大。

3.深耕大数据运用，助力交易回归真实本源

受宏观经济增速趋缓、信贷资金短缺加剧以及全球新冠肺炎疫情常态化等多重因素的叠加影响，借助信用卡谋取资金的市场需求愈加强烈，以虚假交易套取资金的行为不断涌现，对信用卡交易环节的风险防控造成巨大压力，加快了风险释放和传导，使得信用卡资产质量进一步承压。

面对严峻态势，浦发银行信用卡中心深耕“自动化工具+大数据运用”模式，构建交易真实性一体化防控体系，对虚假交易进行多维度交叉识别，突破传统监控模式耗时长、风险感知力不足的瓶颈。该体系涵盖金额、商户、频次、刷还行为等多类异常表现特征，覆盖了线上、线下不同模式特征，力图化零为整，攥指成拳，形成合力；通过剖析一串串交易数字间的联系，结合客户属性信息、拉长交易时间和空间维度，考量商户共性、还款关联性，多维立体透视每一笔虚假交易的背后动机。此外，浦发银行信用卡中心通过前期试水“模型+评分”辅助客户分层决策，兼顾客户实质违约率，自主构建了虚假交易客户分层评分工具，形成差异化分池管理。下一阶段，浦发银行信用卡中心将持续探索平台化、智能化的交易真实性管理体系，用“机控”代替“人控”，引入技术力量搭建交易真实性识别、分层、处置平台和自动化管理架构。

4.聚焦多卡管控与交易防控，力斩风险资金链路

随着近年来“断卡行动”的不断推进，浦发银行信用卡中心在多卡客户管理以及客户支付环节嵌入防控策略，着力推进网络诈骗、跨境赌博等风险防控工作。

在支付交易环节，浦发银行信用卡中心从赌博交易、涉诈资金转移两条主线切入，根据人民银行总结的风险特征及同业防控经验，刻画风险账户画像。一是进行场景区分，对不同类型、地区、时间周期的赌博交易、电信诈骗资金转移等场景进行细化拆解，制定针对性的交易监控策略；二是进行关联分析，通过风险账户、设备、还款等维度描绘由“点”到“面”的关联图谱，扩大风险监控覆盖面。同时，浦发银行信用卡中心正在摸索引入行外大数据，通过分析客户在行外的行为数据，及时补充完善账户整体风险画像，建立从交易支付行为到账户外部风险评级的完整的涉赌涉诈立体化防控体系。

四、数字化转型下银行卡支付未来发展的建议

在数字化转型日益深入和外部环境日益复杂的态势下，银行卡产业必须从顶层设计锚定前进方向，全力推动技术手段在支付安全管理领域的融合应用，锻造支付安全“科技防线”，为数字化支付转型保驾护航。

1.转换支付安全管理思维，贯彻数字化理念

银行应将数字化理念贯穿于支付风险全链路管理，前置风险管理意识，拓宽全局掌控范围，提升智能化防控水平，将管理重心转移至银行卡支付安全领域的数字化转型变革上。

2.构建银行卡支付全链路数字化管理机制

银行应依托大数据、智能模型、关系图谱等技术，在银行卡支付全链路建立包括客户身份验证、卡信息验证、实时侦测控制、事前预警拦截、事后聚类分析等在内的动态风险管理机制，实现对支付链路的充分识别、实时监测、立体管理，强化风险态势感知预警能力，阻断风险衍生扩散。

3.坚持数字化转型，持续扩建复合型人才队伍

数字化时代，技术人才是第一生产力，复合型人才的培养和复合型人才梯队的建设非常关键，各银行应通过引进和自培两种方式不断充实复合型人才队伍：在通过招贤纳才方式不断增加数据分析和计算机等科技人才比例的同时，加强对现有人才的培训，提升其数据分析能力、IT能力，助力数字化转型项目的持续开展。

4.开放共享，打破行业信息竖井

随着外部黑灰产业不断交叠，团伙式交易风险对支付安全的危害将愈加严重。单一风险点无法体现整体风险概貌，单一银行机构亦难以清晰摸透支付风险链路关系，只有立足于行业整体利益，多方合力对某一风险点进行着力打击，才会呈现“牵一发而动全身”的防控效果。因此，银行业机构、支付机构、清算机构、公安机关之间的合作与信息共享尤为重要。行业各方须通力合作，强化黑灰名单共享和数字化防控经验分享，致力于整合内部和外部、线上和线下的数据，并将之应用于完善客户画像、优化模型算法、迭代风控模型，最终构建常态化的数字化支付安全管理体系。

5.共建链路清晰完整的数字化支付安全生态

对全行业来说，提升数据链路完整性势在必行。对于交易端，收单机构及卡组织应进一步完善线上交易涉及的二级商户及接入平台等关键交易要素，规范交易商户等信息报送，杜绝套码等异常行为发生；对于还款端，收单机构应报送并完善还款对手方信息，尤其是通过支付宝、财付通等第三方交易平台进行还款的数据，进一步提升交易、还款链路信息的完整性。此外，行业各方应当聚焦非合规交易、套现交易、网络赌博、电信诈骗等违规违法场景，深化联防联控机制，分享大数据、机器学习、网络图谱等金融科技运用经验，共同梳理资金链路，共建链路清晰完整的数字化支付安全生态。

银行卡支付行业经历了十余年的高速增长之后，迈向了数字化转型升级阶段，随着数字化能力的提升，银行卡支付安全管理站上了一个新的台阶。未来的支付安全管理需要产业各方共同参与，着力打造可支撑银行高质量发展的数字化能力，积极应对支付环境变化和风险演化，共建安全的银行卡支付生态圈。

本文刊于《中国信用卡》2021年第12期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。