银行移动支付洗钱风险防范

银行的移动支付业务，包括远程支付和近场支付两类，对银行来说，移动支付业务本身就存在身份识别的风险，不管是手机银行（WAP）、第三方客户端支付(APP）、近距离无线通信支付(NFC)、扫码支付（密码支付和生物识别技术），都属于银行移动支付业务的范围，当手机普及率越高，移动支付业务发展就越快，移动支付业务所承载的资金量也就越大，对银行来说，伴随而来的洗钱风险自然就越高。

一、银行移动支付业务的主要洗钱风险

1.生物识别安全性和有效性的技术漏洞，可能导致客户身份信息遭冒用

由于移动支付业务广泛应用各类生物识别技术，如人脸识别、指纹识别、声纹识别和虹膜识别等技术。曾有媒体报道，小学生仅仅采用父母的打印照片，就可代替父母本人的脸部识别，因此银行的移动支付工具，应采用安全等级最高的3D人脸识别和活体检测技术，再辅以手机验证等多种手段，才能减少被冒名的风险。

此外，生物特征无法排除被伪造使用的风险，就以指纹为例，指纹痕迹留存简便，复制成本低，难免被不法分子伪造与客户指纹相同的橡胶手指或指纹套，藉此达到冒充用户的目的。

2.客户身份信息存在泄露风险

银行开展移动支付业务过程中，收集到的任何生物特征，常是以“云存储”方式进行保存，一旦此类数据库遭黑客攻击，便存在客户身份信息被盗，甚至被篡改的风险。

3.采取非面对面交易，可能无法真正辨识客户身份

不管是客户主动将账户、密码提供给他人使用，或是客户的账号、密码被第三方盗用，银行都难以有效识别移动支付账户中资金交易的真实性，也无法有效判断移动支付账户的实际控制人真实情况。

在非法买卖银行卡案件中，就存在账户使用人和银行卡开户人不同人的情况，这对执法部门侦破案件带来一定的难度，不论是通过留存的开户人信息，或是网银转账痕迹，都无法掌握该银行卡真实使用人的身份。

4.完整信息难以掌握

因为移动支付业务有快速、便利的特征，特别是便于交易链条的人为切断，将交易信息分割在不同的银行和第三方间，导致单一金融机构无法掌握客户资金来源和去向的完整面貌，这会造成银行反洗钱控制措施的有效性被削弱。

5.隐藏资金真实来源

若客户采用移动支付渠道进行资金往来，对银行来说，显示出的资金来源仅体现在微信扫码或支付宝扫码层面，无法真正识别出背后资金支付的主体身份，加上二维码可以转发给第三方，由第三方代为扫码支付，这对资金来源的核实又增加了障碍，也对银行的溯源工作极为不利。

二、银行面对移动支付的反洗钱对策

FATF（金融行动特别工作组）曾发布过《预付卡、移动支付、网络支付行业风险为本反洗钱方法指引》，建议银行应采取以下措施以达到降低移动支付业务洗钱风险的目的。

1.加强非面对面客户的身份验证措施

当移动支付业务功能越强大，银行就越需要通过强化尽职调查方式降低洗钱风险，例如银行可通过第三方数据库，验证非面对面客户身份；或是通过向客户指定手机发送动态密码，加强客户身份认证。

2.交易监控及可疑交易上报

在交易中记录客户使用的交易工具、交易IP、MAC地址等信息，分析客户是否采用同一网络终端、IP地址进行交易，并对账户的实际控制人、受益所有人进一步核实。

3.对移动支付业务设置交易上限

针对不同风险等级客户，对移动交易支付的额度、次数进行限制，当金额或笔数超过上限时，业务系统可拒绝客户移动支付往来业务的请求，并通过针对特定地理区域或金额采取上限限制，降低移动支付被滥用作为洗钱目的的风险。

4.限制可接受的资金来源

由于匿名资金来源会提高洗钱风险，因此银行须将资金来源纳入是否接受业务往来的重要考虑因素，银行可通过保存交易记录进一步追踪移动支付的资金来源，防范不法分子利用移动支付特性漂白资金。

（本文作者系上海富拉凯会计师事务所反洗钱项目总监）