基金電商遭遇新型犯罪 創(chuàng)新途中收緊“安全帶”
每日經(jīng)濟新聞
2014-06-30 17:34:16
據(jù)悉����,近期在北京和上海發(fā)生了多起通過基金直銷賬戶盜取他人銀行卡內(nèi)資金的新型金融刑事案件。犯罪嫌疑人所鉆的空子����,正是近年來基金公司為了提升直銷客戶的體驗而增加的功能。
每經(jīng)記者 徐皓 陸慧婧 發(fā)自上海
近期���,一些基金公司悄然進行了系統(tǒng)升級,紛紛提升了安全標準����。一些公司暫停了異卡進出的功能,一些公司則關閉了部分附加服務的應用場景�。“公司最近正在抓網(wǎng)絡系統(tǒng)安全問題�。”有基金公司人士告訴《每日經(jīng)濟新聞》記者�����。
據(jù)悉��,近期在北京和上海發(fā)生了多起通過基金直銷賬戶盜取他人銀行卡內(nèi)資金的新型金融刑事案件��。犯罪嫌疑人所鉆的空子�,正是近年來基金公司為了提升直銷客戶的體驗而增加的功能�。這使得基金公司一直在強調(diào)“用戶體驗第一”之余,開始反思簡化注冊基金賬戶和關聯(lián)銀行賬戶是否真的足夠安全����。
另一方面,隨著基金網(wǎng)站不斷增添除基金交易之外其他應用場景以及各類手機移動應用紛紛上線�����,網(wǎng)絡系統(tǒng)中暴露的風險點也在增多��。
同時,在基金公司內(nèi)部���,對于怎樣在“如何吸引客戶”和“如何保護客戶”之間找到平衡也產(chǎn)生了不少分歧���。電商部門與稽核監(jiān)察部門因所處位置不同���,對于這一問題觀點難以統(tǒng)一。
案件:便捷開戶�����、異卡贖回被鉆“空子”/
近期���,北京市發(fā)生的一起犯罪嫌疑人通過基金直銷賬戶“過橋”�,隱蔽地盜取他人銀行卡內(nèi)資金的新型金融刑事案件�,引起基金業(yè)內(nèi)人士關注。
根據(jù)北京海淀檢察院通報�,去年12月5日,事主張女士報案稱��,她兒子陳先生的建行銀行卡被人轉(zhuǎn)走13.08萬元����。陳先生查詢得知,卡里原有的130887元曾分兩次被轉(zhuǎn)入某基金賬戶���。經(jīng)陳先生向銀行和基金公司查詢�����,兩方客服均確認了這兩筆交易����?����;鸸痉矫娓嬷岁愊壬?���,此前其曾開設基金賬戶,兩次購買基金�,并最終贖回到以陳先生名義開的與基金綁定的農(nóng)行卡上。
被捕之后��,朱某等4名嫌疑人供述了整個犯罪經(jīng)過�����。首先�,朱某等人在QQ群里購買到了卡主姓名及預留手機號、身份證號、銀行卡號���、銀行卡密碼等卡主資料���。之后,找人根據(jù)身份證號查到受害人身份證正面照片�����,根據(jù)掃描照片找人制作臨時身份證��,并去農(nóng)行以陳先生名義成功辦卡��。第三步�,用陳先生原來銀行卡里的錢購買基金,再將基金的錢分多次贖回到此前新開的農(nóng)行卡上����,最后轉(zhuǎn)賬取現(xiàn)。
基金開戶簡便�����,賬戶之下可以添加同名卡��,是犯罪分子選擇此種作案手法的原因之一。此外���,該基金驗證方式是驗證網(wǎng)銀�����,也就是輸入姓名��、身份證號�、銀行卡號�、網(wǎng)銀登錄密碼�,就可開戶成功,不需要U盾及手機驗證碼���。另外�����,該基金可添加其他本人名下卡���,只需要輸入另一張卡號、名字�、身份證號、取款密碼,就可以綁定成功�,再用所開的事主同名卡轉(zhuǎn)賬取錢。
“這是一種比較新型的作案手法�。”李慧檢察官在接受《每日經(jīng)濟新聞》記者采訪時稱。無獨有偶��,最近上海傳出業(yè)內(nèi)又爆發(fā)了類似的幾起案件��。事實上��,這種犯罪方式在嫌疑人圈里已經(jīng)比較成熟了��,他們QQ群里經(jīng)常交流����。此案四名嫌疑人之間有分工合作,甚至在他們想要提供信息和開卡幫助時�����,只需在熟知的QQ群里發(fā)帖子����,就有呼應,用錢即可購買����。
檢察官認為�����,基金公司網(wǎng)上交易流程上存在漏洞��。從嫌疑人的供述來看�����,他們主要鉆了便捷開戶以及異卡贖回的空子�。這兩項均是近年來基金公司為了提升直銷客戶體驗而增加的功能�。
溯源:基金網(wǎng)上直銷開戶模式快捷化/
此次“基金份額盜竊”案,嫌疑人從基金開戶到份額申贖多個環(huán)節(jié)一一突破�����,亦引發(fā)業(yè)內(nèi)人士對基金網(wǎng)上交易安全的重新審視���。
據(jù)了解,目前����,基金公司官網(wǎng)直銷開戶主要分為三種模式:快捷開戶����、網(wǎng)關模式以及U盾開戶����。
快捷開戶是指直銷網(wǎng)上交易系統(tǒng)購買基金時,銀行卡不需要開通網(wǎng)銀支付等功能�����,只需在申請開立基金賬戶時提供本人借記卡卡號�、客戶姓名、證件類型���、證件號碼及銀行預留手機號碼等信息����,基金公司經(jīng)過銀行驗證前述信息與投資者在銀行系統(tǒng)中預留的信息一致后即可完成與基金公司業(yè)務協(xié)議的簽署和基金賬戶的開立��。
網(wǎng)關模式網(wǎng)關跳轉(zhuǎn)需要跳轉(zhuǎn)至銀行����,輸入銀行卡密碼,送到銀行后臺驗證�����;U盾開戶則是最早最嚴格的一種。
“基金開戶流程復雜一直以來也備受詬病���。此前通過網(wǎng)關模式開立基金賬戶�,30%~60%的客戶會出現(xiàn)由于通訊信號等種種原因?qū)е绿D(zhuǎn)網(wǎng)關環(huán)節(jié)不成功��,使部分客戶開戶受到影響����。因此,后來一些基金公司開通快捷開戶�����,開戶時的風險偏好測試等環(huán)節(jié)被移至基金開戶之后�。”華南某基金公司互聯(lián)網(wǎng)金融部總經(jīng)理分析指出,“越是便捷�,安全漏洞就會越高。”
一個巴掌拍不響����,基金公司直銷開戶規(guī)則并不是基金公司單方面決定��,也是跟各家銀行磋商協(xié)議的結果,因銀行要求而異����。
《每日經(jīng)濟新聞》記者隨機挑選銀行進行操作后發(fā)現(xiàn),華夏基金開戶的過程中����,當選擇使用工商銀行卡開戶,到第二步身份驗證時����,立即要求填寫在銀行預存的手機號碼。浦發(fā)銀行卡開戶則采取跳轉(zhuǎn)網(wǎng)關模式��,全程并未用到U盾或是短信驗證碼等提示方式��。
在多位基金業(yè)內(nèi)人士看來��,基金開戶其實并非風控環(huán)節(jié)中最主要的部分��。
“基金賬戶開立其實沒有太大問題����,用不用U盾開戶也不是第一重要的。重點其實是在后面的環(huán)節(jié)��,即是否強調(diào)‘錢從哪來,回到哪去’這樣一個大體原則�����。”深圳某基金公司督察長分析指出����。
上述基金公司督察長提及的“錢從哪來,回到哪去”��,即通常意義上的資金閉環(huán)業(yè)務規(guī)則��。
然而�,對安全閉環(huán)的認定上,基金公司標準不一�����,業(yè)界對同一用戶之下基金份額的跨行贖回并未一刀切���。
華夏基金在其官網(wǎng)上強調(diào) “賬戶實名認證�����、資金同名賬戶進出����、數(shù)字證書加密”�。據(jù)華夏基金客服介紹,除了工行�����、建行�����、華夏銀行��,其他銀行卡申購的基金份額�����,都可以跨行贖回��,不過資金額度因銀行而異����。因此,華夏基金理解的“安全閉環(huán)”為同一客戶底下銀行卡的進出。
與華夏基金業(yè)務規(guī)則相似的還有匯添富基金和萬家基金��。匯添富基金表示�,匯添富現(xiàn)金寶一直按照“資金閉環(huán)”的原則來運行,用戶只能綁定自己名下的銀行卡���,不能轉(zhuǎn)賬����,也不能做支付���,但同一名下多張卡之間是可以異卡贖回的�。博時基金�����、招商基金����、廣發(fā)基金等則明確規(guī)定,客戶申購贖回基金只能同卡進出��。
“我們理解為只有同卡進出才叫資 金閉環(huán)���。”華南一位基金公司督察長稱�。“同一個用戶不同銀行卡之下的份額申贖、資金進出可能也叫‘閉環(huán)’�,但同卡進出安全系數(shù)非常高��。”上述華南某基金公司互聯(lián)網(wǎng)金融部總經(jīng)理稱��。
在上述案件中�����,綁定在同一人名下的第二張卡實質(zhì)上已經(jīng)脫離了卡主控制�����,掌握在犯罪嫌疑人手中���,產(chǎn)生了其能把錢轉(zhuǎn)走所鉆的空子��。
爭議:犧牲用戶體驗還是安全�����?/
不創(chuàng)新無法生存��,但創(chuàng)新可能帶來風險�����,如何在用戶體驗和風險控制之間平衡����,這成為基金公司的一道難題。
“這個案子折射出的互聯(lián)網(wǎng)安全問題在于無法核實客戶身份�。電子商務一直也都有商品被盜的問題,但互聯(lián)網(wǎng)與金融結合之后就要考慮金融行業(yè)的特殊性:金額大且為無形商品���,因此更需要引起重視�����。”一位基金公司監(jiān)察稽核部人士認為��。
這代表了大多數(shù)稽核監(jiān)察部門人士的想法——安全是在第一位的��。
“管不好風險就不要發(fā)展����。”某華南基金公司督察長直言�,“現(xiàn)在是三三兩兩的案例冒出來�,假如說風險大面積爆發(fā)����,就算是基金不賣了,也不能提供這種服務��,你有責任把風險給控制住��。”
然而�����,基金公司內(nèi)部對此卻有意見分歧���。業(yè)務部門普遍認為不可因噎廢食,因為過度強調(diào)風險控制而造成用戶的困擾��。
“我認為這些案件都是小概率事件���,不能因為這個而損失大多數(shù)人的便利���。”上海某基金公司電子商務總監(jiān)認為,“用戶需要有最基本的信息安全防范意識�����。希望依靠機構來完全隔絕風險,那不現(xiàn)實�����,也做不到��。例如這個案件里����,連最核心的信息都被盜取了,怎么可能指望基金公司來辨認開戶的還是不是你本人��。”
余額寶正是因為最大限度地簡化了用戶操作流程而迅速風靡市場���,也使得基金公司們大為震動�����。此后�����,基金公司電商業(yè)務言必稱“用戶體驗”����。
事實上,即使規(guī)定基金份額只能同卡進出�����,基金公司提供了另一些創(chuàng)新業(yè)務的增值功能�,如免費轉(zhuǎn)賬、還信用卡���、購物等亦存在潛在的風險點�����。
“免費轉(zhuǎn)賬和跨行贖回的風險敞口也差不多,沒有特別大的本質(zhì)區(qū)別�。”北京一家基金公司督察長表示,同樣的還有信用卡還款�。
銀行卡的更換,也被業(yè)內(nèi)人士視為可能突破同卡進出的一種手段����。“比如去異地工作等各種原因,客戶確實有換卡需求�。通過換卡����,基金份額也可以實現(xiàn)跨卡贖回����。”上述深圳基金公司督察長透露。
目前�,基金公司規(guī)定的換卡流程普遍有兩種標準:若是空卡,用戶可自助更換���;若卡里仍有基金份額�����,則需要提交多種證件材料�,且只能在同一家銀行之下進行更換��。
“在管住了同卡進出之后��,還需要嚴格審核換卡流程�,這樣才能保證較高的安全系數(shù)。”上述督察長稱�。
