• 快捷搜索
  • 全站搜索

刍议第三方支付风险防控

2016-12-16 16:57:05作者:易宝支付CEO 唐彬编辑:金融咨询网
第三方支付机构必须摒弃欺诈成本预算这个观念,应在反欺诈的技术手段、防控工具和策略等方面投入人力和财力,减少欺诈带来的风险和资本损失,增加客户黏性,提升企业的商业价值。未来,风险防控的水平差异将成为第三方支付企业在激烈的市场竞争中成败的关键。

一、移动互联网大潮下移动支付大潮涌动

  1.国内移动支付现状

  随着移动互联网的兴起,近年来用智能手机网购逐渐成为主流消费方式之一,层出不穷的快捷支付、扫维码支付、近场支付等移动支付方式也应运而生,并得到了广泛的应用。

图片2.jpg

  在相对宽松的政策环境下,支付服务市场参与主体充分利用移动互联网、大数据、云计算等技术,结合自身业务特质和资源优势,通过服务和产品创新开展差异化竞争,促进了国内电子商务的繁荣,培育了先进的支付理念。

  根据人民银行2016年6月发布的《2016年第一季度支付体系运作总体情况》,今年第一季度非银行支付机构处理的网络支付业务达7294.07亿笔,金额18.58万亿元,比2015年同期分别增长了105.89%和104.03%。整体月均移动支付消费金额和频率较2015年均有所上升,无论实物类消费还是虚拟类消费均较2015年同期显著增长。由于国内移动用户的规模已超过5.5亿,消费者移动支付的习惯也在逐步形成,预计未来几年的移动支付交易规模增长率都将超过100%。

  与此同时,随着银行交易主渠道向移动端转移,手机俨然成为电子钱包,面临着病毒二维码、手机木马、钓鱼链接等众多威胁,移动支付的风险也随之快速上升。中国银联发布的《2015移动互联网支付安全调查报告》显示,近1/6的移动支付用户遭受过支付欺诈,近九成的客户无法追回损失。另有数据显示,2014年平均每天有54万部手机感染病毒,是2013年的1.8倍;2014年移动端新增支付类病毒13.7万个,是2013年的3倍。CNNIC的调查显示,74.1%的人在过去半年内遭遇过不同形式的支付欺诈,46%的互联网支付用户最关心的就是支付安全问题。

  2.典型的集团欺诈内部构成

  一个典型的集团欺诈主要包括两大部分,社工库(基础数据库)和欺诈获利。(如图1所示)

图片3.jpg

  社工即社会工程,在黑客圈内指的是一种以黑客攻击获取信息的方法。而社工库就是欺诈集团把通过社工窃取的信息全部存储起来,整合成的一个数据库。数据库中集合了海量的信息,包括但不限于姓名、生日、身份证号、手机号、各大网站的账号、密码、安全提示问题及答案、家庭住址、亲戚关系、收货信息、交易信息等。数据主要通过黑客、欺诈者、某些监管不到位的机构获得。黑客主要负责进行入侵、拖库、制作木马、制作钓鱼网站、制作欺诈主控系统等技术方面的工作;欺诈者是整个结构的核心,他们利用社工、木马、钓鱼网站获取信息,并根据需要寻求黑客技术方面的支持,有时候还通过部分机构内部人员获取有价值的信息。

  有了内容丰富的社工库,欺诈集团通过盗用银行卡账户、个人欺诈、商户欺诈、套现、洗钱等方式,使用社工库的信息进行欺诈。在社工库与欺诈获利之间,又有因欺诈方法的不同而衍生出的多种模式,如工作室、雇马仔等。因此,没有资源、不懂技术的不法分子,也可以通过购买数据和技术进行欺诈获利。

二、易宝支付在风控方面的实践和经验

  作为现代金融服务业的重要组成部分,第三方支付在弥补银行服务功能空白、提升支付效率、促进商贸交易、方便民众生活等方面发挥着重要作用,其简单便捷的支付模式既有助于落实国家的货币电子化的战略目标,也越来越受到用户的青睐。不过,在经历了前几年的快速发展后,第三方支付的风险隐患正逐渐暴露出来,监管层对第三方支付的监管也越来越重视。

  易宝支付作为已经成立13年的第三方支付行业“老兵”,一直在积极探索如何利用自身的长期积淀和对行业的深入理解服务商户和用户。易宝支付在谋求业务进一步发展的同时,着力在以下几个方面进行了有益的风险防控尝试。

  1.成立风险管理委员会

  风险管理委员统筹领导易宝支付与风险防控有关的所有事务,包括风险、运营、财务、产品、合规、销售等部门的公司高管,所作决策由公司风险策略部和风险运营部执行或推动执行。

  2.风控前置

  在产品设计流程中,易宝支付从一开始就考虑风险因素。在产品设计时,针对不同行业支付场景中交易双方欺诈动机进行分析,以规避支付过程中各个环节可能出现的风险;在支付产品立项环节,进行严格的风险审评;支付产品在测试上线前,要通过严格的安全测试。

  3.建立了商户准入评级制度和规则

  易宝支付通过对多年积累的商户数据进行样本分析和特征识别,利用对传统信用评分模型技术的拓展,筛选出高风险商户。针对不同行业和不同商户差异化地配置不同的风控策略和额度策略。在商户入网之后,易宝支付在商户运营风险监控上开发出适合各个行业和客户分级的风控模型控制风险,并可以根据商户在易宝支付的运营情况、赔付情况做出智能判定,调整商户评级以及相应的风控措施,在控制风险的基础上最大化商户收益。

  4.建立信息化平台,提高数据分析能力

  为实现对互联网支付欺诈行为的实时立体防控,易宝支付建立了中央反欺诈体系,并坚持以数据化和模型化的方法进行风险量化管理。中央反欺诈体系是一套符合易宝支付业务长期发展战略、统一高效的风险监控与管理系统(中央实时风控系统),以及在其上运行的一整套与之配套的风控策略和运营流程。

  中央实时风控系统的技术架构设计标准极高,技术架构设计上必须考虑众多极具挑战性的关键技术点,包括海量交易数据分析、风险事件的实时处理、大量的风险规则处理,对系统的实时性、性能、架构的可扩展性也有非常高的要求。中央实时风控系统的整体功能框架如图2所示,具体来说,有以下两大核心要素。

图片4.jpg

  (1)风控数据库是整个系统的基础

  早在几年前,易宝支付就意识到风险量化管理的必要性,并着手大数据部门的建设,整合公司内部所有的业务相关数据,还通过数据采购、数据交换,数据爬取等方式积极从外部积极数据,构建了企业级的统一数据平台,为公司大数据风控打下了坚实的数据基础。

  (2)风控规则和模型管理是中央实时风控系统的核心功能

  易宝支付根据不同的欺诈特征制定了数百条反欺诈业务规则,并通过神经网络、聚类分析、关联分析等机器学习算法针对不同行业,不同支付场景客户化形成了不同的反欺诈模型,对每一笔交易、每一个客户、每一张卡、每一个终端都进行风险差异化对待,既提高了监控的准确度,又降低了风控部门的工作量,更重要的是,提高了客户体验。

  5.多方参与和软实力的建设

  支付行业价值链很长,各方协同是风险管控很重要的一个因素。易宝支付通过持续不断与各方沟通及相互配合,为欺诈案件的处理和侦破营造了良好的外部氛围,取得了不错的效果。

  6.坚持内外部宣讲和培训

  通过持续的内外部宣讲和培训,易宝支付不断强化员工的风险意识,提高对风险的识别能力,使风险理念在公司内部被普遍接受;通过打破销售、中台风控与产品、后台IT技术部门之间的业务隔阂,使风险防控工作能够前呼后应。

三、对国内第三方支付风险控制的看法

  在支付行业,风险无处不在又极不确定,因此对风险的把控尤为重要。与国外支付公司相比,国内大多数第三方支付机构目前仍处于欺诈风险管理的初级阶段,与当前的严峻形势形成较大反差。

  风险防控体系及风控规则的建立及优化,需要经验丰富的风控人员。由于国内支付机构的历史不长,风控人才相对短缺,而国内风控人员主要集中在银行、证券、保险等传统金融行业,导致出现第三方支付企业的风控人员对支付行业了解有限,支付行业从业者对交易风险认识不足的情况,因图2中央实时风控系统的整体功能框架此第三方支付行业风控人才还有待储备和培养。

  第三方支付机构必须摒弃欺诈成本预算这个观念,应在反欺诈的技术手段、防控工具和策略等方面投入人力和财力,减少欺诈带来的风险和资本损失,增加客户黏性,提升企业的商业价值。未来,风险防控的水平差异将成为第三方支付企业在激烈的市场竞争中成败的关键。
  
(文章来源:《中国信用卡》杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章