自動柜員機(簡稱ATM)由客戶通過人機對話提供存款、提款、余額查詢、密碼變更等金融服務功能。目前我國各銀行配置使用的自動柜員機,對客戶的身份認證是“認密不認人”,即通過6位數(shù)字密碼驗證完成。這種單一的客戶身份認證模式在提供相對便捷安全支付服務的同時,也隱藏了風險隱患。當前,電信網(wǎng)絡新型違法犯罪不斷出現(xiàn)且屢禁難止,亟須加強自動柜員機客戶身份認證管理。
加強自動柜員機客戶身份認證的必要性
(一)單一數(shù)字密碼認證安全等級偏低。銀行卡密碼設定為6位數(shù)字密碼,安全等級偏低,屬于弱密鑰,相對容易被偷窺或猜測或技術破譯而失密。有的老年客戶或者安全意識不強的客戶將密碼或者相關信息寫在銀行卡上,一旦銀行卡遺失,那么在客戶辦理掛失前銀行卡被盜刷的風險偏高。如果不法分子通過非法渠道掌握了客戶相關信息,并成功制造偽卡,再利用密碼偷窺裝置或密碼破譯技術獲取客戶密碼,則客戶銀行卡被盜刷的風險非常高。加強自動柜員機客戶身份認證是審慎安全支付的需要。
(二)買賣銀行卡和公民個人信息等違法行為的存在。有兩種典型違法情形:一種是不法分子利用老年人和未成年人等特殊群體的安全意識、維權意識不強,誘騙其辦理銀行卡等相關手續(xù)然后再花錢購買;另一種是某些掌握大量公民個人信息的特殊領域、特定崗位的人,違法泄露或者出售公民個人信息,這些信息又被利用,辦理銀行卡或者偽造銀行卡等配套產(chǎn)品。由于ATM“認密不認人”,這些銀行卡被不法分子作為洗錢或者詐騙犯罪的支付工具,形成銀行卡黑灰產(chǎn)業(yè)鏈。為了有效打擊治理電信網(wǎng)絡新型違法犯罪,亟待加強自動柜員機客戶身份認證。
(三)視頻監(jiān)控系統(tǒng)對設備和人的依賴性局限。依據(jù)《金融機構營業(yè)場所和金庫安全防范設施建設許可實施辦法》等有關規(guī)定,自動柜員機須安裝電子攝像監(jiān)控和聯(lián)網(wǎng)報警系統(tǒng)。但視頻監(jiān)控報警系統(tǒng)存在某些依賴性,如有的銀行網(wǎng)點特別是農(nóng)村網(wǎng)點的ATM監(jiān)控探頭為非高清數(shù)字攝像頭或者攝像頭被蛛網(wǎng)蒙蔽等原因引起監(jiān)控圖像不清晰,對人的辨識度不高;有的ATM沒有實現(xiàn)24小時人工遠程監(jiān)控或者監(jiān)控不嚴密或者監(jiān)控責任人失職等,從而錯過對異常情況的警覺和識別。
(四)定紛止爭的需要。銀行卡被盜刷后,往往會引發(fā)客戶的投訴或者訴訟,而調(diào)解或判決需要厘清各方的責任。從司法實踐來看,銀行卡盜刷案件責任認定,既有客戶擔全責的,也有銀行擔全責的;既有客戶承擔較多責任的,也有銀行承擔較多責任的。對于同一類型案件,各地判例差異也比較大,舉證成為影響責任判定的關鍵。但客觀實際是,如果不能破案,無論責任怎么分擔,社會損失客觀造成。所以,加強自動柜員機客戶身份認證,鎖定銀行卡業(yè)務實際經(jīng)辦人,是定紛止爭、避免損失的客觀需要。
加強自動柜員機客戶身份認證的建議
對自動柜員機客戶身份認證由單一認證變?yōu)殡p重認證,即由單一密碼認證變?yōu)樵诿艽a認證的基礎上再增加人證(臉)識別或短信數(shù)字驗證碼認證,ATM客戶身份認證“既認密又認人”,重點識別銀行卡業(yè)務辦理者。具體方案如下:
(一)頂層設計,強制規(guī)定。建議由中國人民銀行、公安部等部門就電子支付法規(guī)有關安全條款進行會商修訂,在此基礎上提高ATM客戶身份認證安全等級標準?!吨袊嗣胥y行關于進一步加強支付結(jié)算管理防范電信網(wǎng)絡新型違法犯罪有關事項的通知》明確,改進自助柜員機轉(zhuǎn)賬管理,“鼓勵銀行在自助柜員機應用生物特征識別等多因素身份認證方式,積極探索兼顧安全與便捷的支付服務?!惫膭钍且环N選擇性規(guī)定,人民銀行暫時沒有采取強制性規(guī)定,可能基于以下考慮:各銀行發(fā)展水平的差異、生物特征識別的標準與可靠性、成本安全便捷的綜合評估、跨部門職能交叉管理等。
(二)增加人證(臉)識別或短信數(shù)字驗證碼認證。人證(臉)識別技術和短信數(shù)字驗證碼技術已經(jīng)成熟并廣泛運用于社會多個領域包括金融系統(tǒng),如智能柜員機和手機銀行等??紤]到各銀行發(fā)展水平差異等因素,可采取過渡性安排,基本框架和路徑為:在ATM系統(tǒng)中改造嵌入人證(臉)識別系統(tǒng)或短信數(shù)字碼驗證系統(tǒng),有條件的銀行機構可一次性改造增加人證(臉)識別和短信數(shù)字驗證碼認證兩種方式,條件暫不具備的銀行機構可準予一定緩沖時期,先只改造增加短信數(shù)字驗證碼一種認證方式。銀行機構可以采用包括但不限于人臉識別或短信數(shù)字碼驗證識別技術,但采用其它技術需經(jīng)中國人民銀行和公安部審核通過。
短信數(shù)字驗證碼認證方式。短信數(shù)字驗證碼設計二次驗證機會。ATM銀行卡業(yè)務辦理過程中,先由客戶確認是本人辦理還是委托辦理,再進行銀行卡密碼驗證,密碼認證通過后,客戶再進入短信數(shù)字驗證碼認證,客戶輸入自己的手機號碼通過短信獲取數(shù)字驗證碼,驗證碼輸入ATM認證通過后,按原程序進行后續(xù)業(yè)務辦理操作。短信數(shù)字碼驗證未通過,則重復一次數(shù)字碼驗證,第二次仍然未通過,則停止業(yè)務受理,退出銀行卡。
人證(臉)識別和短信驗證碼認證方式。ATM銀行卡業(yè)務辦理過程中,先由客戶確認是本人辦理還是委托辦理,再進行銀行卡密碼驗證,密碼認證通過后,客戶可選擇人證(臉)識別或短信驗證碼兩種方式之一。當客戶持身份證選擇人證(臉)識別后,先由ATM人證(臉)識別系統(tǒng)讀取客戶身份證信息,再由攝像機攝取客戶頭像進行比對,比對成功后,按原程序進入后續(xù)業(yè)務操作。如比對不成功,可退回進入短信驗證碼認證模式(二次認證機會)。當客戶沒有帶身份證或者放棄人證(臉)識別模式,可直接進入短信驗證碼模式。若既不能通過人證(臉)識別,也不能通過短信數(shù)字碼驗證識別,則停止業(yè)務受理,退出銀行卡。
(三)強化銀行賬戶、通信賬戶實名制和相關懲戒機制保障。一是嚴格審慎開立銀行賬戶和通信賬戶,確保銀行賬戶、通信賬戶實名制落實到位;二是對16至18周歲未成年人申請開立銀行賬戶或通信賬戶,除非其提供以自己的勞動收入為主要生活來源的輔助證明外,必須由其監(jiān)護人陪同到柜臺簽字等銀行和通信部門確認的有效方式確認;三是對16至18周歲未成年人,除非其提供以自己的勞動收入為主要生活來源的輔助證明,原則上不得為其開通網(wǎng)銀、手機銀行等非柜面業(yè)務,如需開通的,由監(jiān)護人陪同等銀行確認的有效方式或者由有關部門提供證明等作為輔助證明;四是加大社會誠信宣傳和防詐防騙知識宣傳,最大程度地減少買賣銀行賬戶、通信賬戶等違法行為參與者;五是督促落實合法開立和使用銀行賬戶、通信賬戶承諾機制,加大買賣銀行賬戶、通信賬戶或者冒名開立銀行賬戶、通信賬戶的懲戒力度。
我公司創(chuàng)建于2013年,主要從事精密鈑金結(jié)構件制造及成套組裝和系統(tǒng)集成的服務……
微信二維碼