移动支付网消息:近日,一则“1400名学生被莫名开立Ⅱ、Ⅲ类户”的新闻引起了行业的注意,我们一起来回顾一下事情的来龙去脉。
1400名学生被莫名开户,回应“不规范操作所致”
近日,据相关媒体报道,广西崇左幼儿师范高等专科学校(下称“崇左幼专”)多名毕业生反映,自己名下莫名被开了银行电子账户,有人名下的账户多达10余个,这些账户的开户行均为中国农业银行崇左江州支行。
被开户的学生表示,自己从未到该银行网点办理过开电子账户服务,怀疑自己的个人信息被泄露。
10日晚,崇左幼专发布声明称,学校没有通过任何渠道泄露学生的身份信息,没有代理学生开设银行账户或办理Ⅰ类、Ⅱ类、Ⅲ类卡账户的业务。
11日早上,中国农业银行广西区分行微信公众号发布说明称,此事确系农行辖属江州支行营业室未与客户充分沟通,内部审核把关不严、不规范操作所致。此说明承诺,将尽快与相关学生逐一取得联系,销掉多开立的账户。同时,将加强内部管理,对相关责任人进行严肃追责。
Ⅱ、Ⅲ类户开户的“五要素”验证
此事件中有两个关键问题,学生的个人信息是否被泄露?Ⅱ、Ⅲ类户又是如何在用户不知情的情况下被开立的?
对于个人信息是否被泄露,我们不得而知。不过对于被莫名开立的Ⅱ、Ⅲ类账户,显然不是“不规范操作”这么简单。
众所周知,自2015年底以来,中国人民银行陆续发文启动账户管理制度改革,包括2015年发布的392号文《中国人民银行关于改进个人银行账户服务加强账户管理的通知》,2016年发布的261号文《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》、302号文《中国人民银行关于落实个人银行账户分类管理制度的通知》,以及2018年发布的16号文《中国人民银行关于改进个人银行账户分类管理有关事项的通知》,前前后后将银行账户的分类和管理作了各种细致入微的要求。
其中,对于银行通过电子渠道非面对面开立Ⅱ、Ⅲ类户有着明确的要求,即“5要素”和“4要素”。
其中,银行通过电子渠道非面对面为个人开立Ⅱ类户时,需要验证的信息至少包括:开户申请人姓名、居民身份证号码、手机号码、绑定账户账号(卡号)、绑定账户是否为Ⅰ类户或者信用卡账户等5个要素。
银行通过电子渠道非面对面为个人开立Ⅲ类户时,需要验证的信息至少包括:开户申请人姓名、居民身份证号码、手机号码、绑定账户账号(卡号)等4个要素。
除此之外,两者还有一个共同的验证要求,即开立的Ⅱ、Ⅲ类户需要与绑定的账户为同一人开立。而且登记人的验证手机号码都需要保持一致。
另外据移动支付网了解,对于非法开立Ⅱ、Ⅲ类户的漏洞问题,中国人民银行也曾针对其作出过比较细致的开立要求,比如中国人民银行在《关于改进个人银行账户分类管理有关事项的通知》答记者问时表示:
从澎湃新闻报道信息可知,被开立的农行账户每个可用余额都为0.01元。实际上,此举即是银行为了Ⅱ、Ⅲ类户开立成功而增设的一个条件,需要用户通过绑定账户操作一笔1分钱的转账,以此来判定绑定账户的真实性,也是上图中国人民银行要求的第二点规定的体现。
农行账户列表截图
但是,这0.01元是如何在未经过用户同意的情况下就转入到开立账户的?开立的账户是否又真正落实了绑定账户为同一人的要求?
另外,规定曾明确表示,同一家银行通过线上为同一个人只能开立一个允许非绑定账户入金的Ⅲ类户,同时,同一银行法人为同一人开立Ⅱ、Ⅲ类户的数量原则上分别不超过5个。而此事件中部分学生的Ⅱ、Ⅲ类户总数甚至超过了10个。这一点而言显然已经不符合监管的要求。
关于个人银行账户分类管理的相关规定已经出台许久,各银行在相关开户流程上应该有着相当完善的开户流程以及验证要求,这个“不规范操作”是否为个人所为?是否涉嫌违法使用用户的个人信息?我们都需要打上一个大大的问号!
对此业内人士甚至认为,中国农业银行崇左分行对此事的处理反应迅速,态度诚恳,也有担当,但其声明仍有“避重就轻”之嫌。这件事显然不是一个“不规范操作”就可以解释的。无论是获取客户信息的途径,还是未经客户同意就批量开户的决策,直至开户时的具体操作,可能都存在违法违规行为,需要彻查。
Ⅱ、Ⅲ类户创新发展的“风险”
个人银行账户分类管理以及Ⅱ、Ⅲ类户出现,原本是数字经济时代格局下,银行业线上创新业务发展的一个缩影。但是Ⅱ、Ⅲ类户出现一方面给予了金融行业一些创新的业务模式,另一方面却也滋生了一些违法犯罪的风险。
2019年3月,平顶山银行落实账户管理机制不严格,未对持卡人开立Ⅱ类账户数量进行限制,造成某犯罪嫌疑人实名开立了11个Ⅱ类账户。由于银行系统版本更新导致系统缺陷,在执行Ⅰ类账户向Ⅱ类账户转账业务逻辑时,并未对资金转出账户进行余额验证和扣款,转账即可成功,且在交易过程中银行风控系统的可疑交易监测并未及时触发。最终导致该犯罪嫌疑人反复执行转账操作166次,从没有余额的Ⅰ类户向其Ⅱ类户累计转账3113631.83元。
2019年12月底,金华市婺城区人民法院的一份刑事判决书披露9人因妨害信用卡管理罪获刑。以薛某、黄某夫为首的9人团伙,利用他人身份信息非法开设银行Ⅱ、Ⅲ类户出售谋取暴利。判决文书显示,一个月的时间,薛某聚集7人的工作室开设银行账户,黄某夫负责远程教授非法开卡技术,工作室其它人具体实施“代跳”工作,即利用华润银行、温州民商银行、金华银行、浦发银行、中国银行、招商银行、建设银行等银行App漏洞和使用抓包软件,修改数据,利用薛某购买的公民信息,开设10000余个银行账户。
2019年10月,只有初中文化的00后田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元,其采用的便是同样的套路。田某在2019年1月5日至1月15日期间,通过软件抓包、PS身份证等非法手段,在厦门银行手机银行App内使用虚假身份信息注册银行Ⅱ、Ⅲ类户,非法销售获利。
这些案例几乎都是一个套路,犯罪分子利用非法获得的个人信息(银行卡、身份证、网银U盾和手机卡等“四件套”),通过银行的漏洞进行非法开立Ⅱ、Ⅲ类账户,然后进行兜售。
对此,2019年4月中国人民银行发布了《中国人民银行支付结算司关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》(55号文),对于全国范围内连续发生个人Ⅱ、Ⅲ类户异常开户风险事件,突出表现为不法分子利用手机银行或直销银行系统漏洞,非法开立虚假Ⅱ类账户,并以此作为鉴权源,跨行开立大量虚假Ⅲ类账户,造成账户风险交叉传染,蔓延扩大。此类风险事件反映出部分银行业金融机构存在业务系统安全隐患、未严格落实制度要求、账户验证应用不规范、风险监测机制缺失等问题。
于是“55号文”特别强调了,“5要素”的合规要求以及相关开户鉴权通道、接口应用的自检升级等等,要求各银行尽快上线和有效应用网络反欺诈的相关措施,完善风险监测系统。
结语
II、III类账户的创新发展给银行展业提供了诸多便利,但是也带来了诸多风险。
此前,更多的是由于银行在II、III类户的开设上有一些系统漏洞,而且没有按照规定的“5要素”去验证账户真实性,导致虚假账户开设。如今,在相关监管和流程相对完善的前提下,为何还会出现类似的问题,这一点需要深思。
,