國家金融監(jiān)督管理總局稽查局近期下發(fā)兩期案情通報，分別涉及金融機構(gòu)員工利用客戶預(yù)留手機號管理漏洞盜竊客戶資金及金融機構(gòu)員工違規(guī)開卡提高額度被不法分子用于洗錢犯罪。因此，要提高對案防工作重要性的認識，深入踐行合規(guī)文化理念，有效防范案件風險。

一、金融機構(gòu)員工利用客戶預(yù)留手機號管理漏洞盜竊客戶資金（《案情通報〔2024〕第 9 期）

    近期國家金融監(jiān)督管理總局福建監(jiān)管局成功處置一起銀行員工利用系統(tǒng)漏洞盜竊客戶資金的犯罪案件。該案件作案時間持續(xù)長、作案目標特定性明確、作案手法隱蔽 復(fù)雜、侵害客戶人數(shù)眾多，暴露出個別銀行科技風險管理薄弱、賬戶信息管理不到位、員工異常行為不敏感等突出問題，應(yīng)引起各銀行機構(gòu)充分關(guān)注。

（一）基本案情

    2023 年，某銀行發(fā)生一起客戶經(jīng)理利用系統(tǒng)漏洞盜竊客戶資金的刑事案件。經(jīng)排查，該名客戶經(jīng)理在近 3 年時間內(nèi)累計盜竊客戶資金達百萬元，涉及賬戶超 400 戶。一名客戶親屬發(fā)現(xiàn)，該客戶在去世后仍有刷卡消費記錄，向公安機關(guān)報案，案件暴露。主要作案手法：犯罪分子利用內(nèi)部管理系統(tǒng)重要客戶信息未脫敏、可批量導(dǎo)出的漏洞，大量竊取客戶基本信息，并從中選取年齡較大或死亡、不常使用賬戶、未綁定預(yù)留手機號的客戶作為侵害對象；通過竊取其他柜員賬號，辦理柜面業(yè)務(wù)操作，將私自購買的虛擬手機號綁定客戶銀行卡后，再將賬戶綁定到第三方支付平臺，以小額 虛假消費方式轉(zhuǎn)賬套現(xiàn)，侵占資金。

（二）暴露的風險及問題

    1.客戶信息泄露隱患大，給犯罪分子篩選目標創(chuàng)造可乘之機。一是重要客戶信息未脫敏，涉案系統(tǒng)未對存款客戶名稱、賬戶余額、聯(lián)系電話等重要客戶信息進行脫敏處理，并可無需授權(quán)批量導(dǎo)出。二是系統(tǒng)訪問控制不嚴，未按照最小必要原則，對客戶信息訪問、下載權(quán)限進行合理限制。三是系統(tǒng)操作日志未記錄訪問、下載等操作信息，難以用于日常 審計和問題追溯。

    2.客戶預(yù)留手機號管理不到位，給犯罪分子實施犯罪留下作案空間。一是柜面系統(tǒng)存在系統(tǒng)漏洞，個別交易操作可直接新增客戶預(yù)留手機號，無需身份證核驗、人臉識別等功能以及二次復(fù)核、后督檢查等措施，對客戶身份真實性和辦理意愿進行核實。二是預(yù)留手機號實名認證不到位，未對手機號進行強制實名認證。三是客戶信息系統(tǒng)未將新增客戶預(yù)留手機號納入關(guān)鍵信息管理，導(dǎo)致犯罪嫌疑人可通過非核心系統(tǒng)進行關(guān)鍵信息變更，客戶預(yù)留手機號信息的唯一性和不易篡改性大打折扣。

    3.基層機構(gòu)科技風險管理粗放，給犯罪分子持續(xù)作案提供了外部環(huán)境。一是系統(tǒng)用戶口令管理粗放，涉案系統(tǒng)中，有近一半用戶的密碼為同一數(shù)字初始弱密碼，系統(tǒng)啟用后始終未修改。二是系統(tǒng)權(quán)限變更不及時，該行未根據(jù)人員變動情況，及時做好系統(tǒng)用戶權(quán)限變更，對調(diào)離、退休員工用戶未及時做好清退。三是員工異常行為不敏感，犯罪分子任職客戶經(jīng)理期間，中午經(jīng)常獨自加班，并不時竄崗至柜面，網(wǎng)點負責人及同事均未引起重視。經(jīng)抽查，一個月內(nèi)，其利用中午非營業(yè)期間發(fā)起個人客戶信息維護交易達 82 筆，且多涉及跨地區(qū)客戶，存在明顯異常。

（三）防控對策

    1.強化責任落實，防范客戶敏感信息泄露。各機構(gòu)要落實客戶信息保護責任制，依法收集、使用和對外提供客戶信息。加強客戶信息的全生命周期管理，通過授權(quán)管理、訪問控制、數(shù)據(jù)脫敏、安全審計等多種措施，強化客戶敏感信息的查詢、下載和保存的管控。提升監(jiān)測預(yù)警能力，重點關(guān)注短時密集查詢、非營業(yè)時間批量查詢等異常操作。

    2.強化系統(tǒng)施治，加強客戶預(yù)留手機號碼等關(guān)鍵信息管理。各機構(gòu)要強化關(guān)鍵客戶信息錄入管理，采取身份認證、復(fù)核授權(quán)、系統(tǒng)預(yù)警等多種手段，確保客戶身份和辦理意愿的真實性。探索建立電話卡、銀行卡實名信息交叉核驗機制，提高客戶預(yù)留手機號碼核查能力。

    3.強化宣傳教育，維護數(shù)字弱勢群體合法權(quán)益。各機構(gòu)要重視保護老年人、殘疾人、農(nóng)村偏遠地區(qū)人群等數(shù)字弱勢 群體的賬戶合法權(quán)益。加強宣傳教育，提醒客戶綁定預(yù)留手機、變更初始賬戶密碼、注銷睡眠賬戶等。積極探索異常交易電話回訪等方式，防范客戶資金被竊風險。

二、防范銀行員工違規(guī)開卡提高額度被不法分子用于洗錢犯罪風險（《案情通報》〔2024〕第 9 期）

（一）基本情況

    2023 年 6 月以來，廈門市轄內(nèi)某銀行 3 名在職員工利用職權(quán)之便，在明知開辦并提高額度的銀行賬戶將被用于網(wǎng)絡(luò)犯罪轉(zhuǎn)移贓款活動的情況下，伙同該行 1 名離職人員，先后多次為洗錢團伙違規(guī)開辦新卡、開通大額網(wǎng)上轉(zhuǎn)賬額度并從中獲利。該 3 名銀行員工因犯“幫助信息網(wǎng)絡(luò)犯罪活動罪” 被公安機關(guān)刑事拘留。除該涉案銀行外，廈門市轄內(nèi)另有其他銀行的多名員工被公安機關(guān)傳喚，部分員工在未能做好盡職調(diào)查的情況下，為他人違規(guī)辦理開卡并提高轉(zhuǎn)賬額度業(yè)務(wù)，雖未非法獲利不構(gòu)成刑事犯罪，但被犯罪分子利用，造成資金被轉(zhuǎn)移的不良后果。

（二） 暴露出的問題

     1.內(nèi)控機制失效，業(yè)務(wù)盡調(diào)、審批流于形式。涉案銀行員工伙同他人內(nèi)外勾結(jié)，制造虛假材料、虛假盡職調(diào)查表等材料并提交審批，其余被傳喚的未涉案銀行員工雖未非法獲利，但也在未實地走訪、盡職調(diào)查的情況下，違規(guī)為他人開立賬戶并辦理提高額度操作，網(wǎng)點審批負責人未能對銀行客戶經(jīng)理所提供的材料進行嚴格審核審批，導(dǎo)致涉案銀行為犯罪嫌疑人開立賬戶，并將日轉(zhuǎn)賬額度違規(guī)提高至 300 萬以上，為不法分子實施詐騙提供便利。

    2.風險管控不力，事中監(jiān)測存在疏漏。涉案銀行員工在長達 6 個月的時間內(nèi)，開立 20 余個銀行賬戶轉(zhuǎn)移電信網(wǎng)絡(luò)詐騙贓款，但該行始終未能監(jiān)測到異常交易情況并及時進行管控，在履行對異常賬戶、可疑交易的風險監(jiān)測和處置義務(wù)上存在疏漏，相關(guān)風險管控措施未落實到位。

    3.員工管理不到位，案防意識薄弱。涉案銀行對員工的合規(guī)、警示教育不足；涉案人員法律意識淡漠，明知開辦并提高額度的銀行賬戶將被用于網(wǎng)絡(luò)犯罪轉(zhuǎn)移贓款活動，仍與他人內(nèi)外勾結(jié)，在利益驅(qū)使下突破道德和合規(guī)底線。

（三）防范對策建議

    1.完善流程控制，強化監(jiān)督審計。一是建立健全柜面開戶、提高額度等關(guān)鍵環(huán)節(jié)的全流程管控制度機制，明確盡職調(diào)查、資料提交、審核審批、柜面辦理等業(yè)務(wù)操作流程，嚴防內(nèi)部人員利用制度漏洞進行違規(guī)操作。二是完善重要業(yè)務(wù)事前事中事后的全流程監(jiān)督審核機制，有效壓實一線網(wǎng)點業(yè)務(wù)審查監(jiān)督主體責任，嚴格審核業(yè)務(wù)真實性和操作合規(guī)性，及時發(fā)現(xiàn)并有效防范化解風險隱患。三是進一步完善離職人員審計機制，加強對重點離職人員審計力度，摸清“風險”底數(shù)，及時“排雷”,防止“一走了之”。

    2.加強賬戶監(jiān)控，優(yōu)化監(jiān)測預(yù)警。 一是嚴格落實風險 管理主體責任，持續(xù)優(yōu)化異常交易監(jiān)測預(yù)警機制，進一步完善與電信網(wǎng)絡(luò)詐騙犯罪資金流轉(zhuǎn)特點相適應(yīng)的反洗錢可疑交易報告制度，強化賬戶動態(tài)監(jiān)測，不斷提高異常交易行為識別和攔截能力。二是充分發(fā)揮反欺詐、防電信詐騙等多系統(tǒng)聯(lián)動機制，對觸發(fā)一個或多個可疑交易特征的，及時采取核實交易、重新核驗身份、延遲支付結(jié)算、限制或中止有關(guān)業(yè)務(wù)等必要的防范管控措施。三是持續(xù)開展銀行異常賬戶倒查和延伸排查，及時識別異常賬戶的客戶身份特征、賬戶行為特征、資金交易特征，完善開戶真實性風險防控機制。

    3.根植合規(guī)文化，夯實員工管理。一是針對性強化員工反詐業(yè)務(wù)培訓，提升臨柜人員對客戶身份的識別以及應(yīng)對各種潛在威脅的能力。二是持續(xù)深化員工教育培訓，引導(dǎo)員工樹立合規(guī)經(jīng)營理念，嚴守法律底線，切實增強風險防范的敏感性和警惕性，及時發(fā)現(xiàn)風險苗頭，主動采取風險管控措施。三是以員工行為管理為切入點，建立完善異常行為監(jiān)控預(yù)警機制，綜合運用日常觀察、談心談話、外部走訪、業(yè)務(wù)檢查等傳統(tǒng)方式以及系統(tǒng)模型、大數(shù)據(jù)等新型技術(shù)手段，排查監(jiān)測員工異常行為，對員工違規(guī)失范行為及時予以糾錯糾偏和警示教育。四是對發(fā)現(xiàn)的員工違規(guī)違紀行為，持續(xù)加大問責力度，及時進行問責通報，增強警示和震懾作用。