突发!央行要求银行全面排查II、III类开户系统风险。
近日中国人民银行支付结算司发布关于加强II、III类银行结算账户风险防范有关事项的通知。通知要求,银行业金融机构(以下简称银行)应于2019年4月15日前对网上银行、手机银行、直销银行、手机app等电子渠道办理II、III类户业务的相关系统及后合系统开展全面自查,排查重点是否采取有效的技术手段保证通讯安全、是否具备足够强度的安全验证和反欺骗能力,是否正确反馈账户验证结果。
要求2019年4月20日前将排查结果上报当地央行分支机构。对存在风险隐患的银行采取责令整改,暂停II、III类户业务等监管措施。
根据近期业务风险事件,通知要求重点防范并及时阻断集中、批量开立II、III类户的异常情形,持续开展风险监测。
同时央行进一步细化了发卡银行对外提供服务账户类型,要求通过电子渠道开立后未发生入金的II、III类户,处于未激活、只收不付、不收不付、已冻结、已注销等非正常状态的银行账户及信用卡附属卡,不得作为其他银行账户的绑定账户。银行不得为上述账户提供账户信息验证服务(意味着目前银联四要素通道在改造后,变相得到五要素验证的能力),进一步从源头保障II、III类账户验证的安全性,监管政策落地后更有利于线上业务的开展。
最后,监管要求进一步做好消费者权益保护和问题妥善处理,出现II、III类户风险情形的银行,应切实维护客户合法权益,稳妥做好客户解释说明和投诉处置工作,应密切关注舆情信息并及时应对。
3月13日中国人民银行上海分行也发布关于切实防范个人II、III类银行结算账户风险的通知,具体通知如下:
国家开发银行、各政策性银行、国有商业银行、股份制商业银行、中国邮政储蓄银行上海(市)分行、自贸区分行,上海银行,上海农村商业银行,上海华瑞银行,其他法人银行上海分行,上海市各村镇银行,上海市各经营人民币业务的外资银行:
近期,全国范围内连续发生个人II、III类银行结算账户(以 下简称II、III类户)异常开户风险事件,突出表现为不法分子利用手机银行或直销银行系统漏洞,非法开立虚假II类账户,并以此作为鉴权源,跨行开立大量虚假III类账户,造成账户风险交叉传染,蔓延扩大。此类风险事件反映出部分银行业金融机构(以下简称“银行”)存在业务系统安全隐患、未严格落实制度要求、 账户验证应用不规范、风险监测机制缺失等问题。各银行应高度重视账户风险防控工作,切实防范账户风险。现将有关要求通知如下:
一、进一步加强个人账户实名制管理,切实落实个人账户分类管理制度
(一)各银行在开立II、III类账户时,应严格落实《中国人 民银行关于改进个人银行账户服务加强账户管理的通知》(银发 〔2015〕392号)、《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302号)等制度的相关要求,加强 身份信息核验工作。对于非柜面渠道开立的II、III类户,应对开户申请人提供身份证件的有效性、开户申请人与身份证件的一致性及开户申请人开户意愿进行有效核实,其中II类户的开立,还应当严格遵守“5要素”验证的要求,未达到 “5要素”合规要求 的,不得开立此类账户。
(二)针对存量II、III类账户,各银行特别是中小银行应进行全面风险排查。开户信息验证要素不全的,应及时进行补验, 经补验后,发现反馈结果不符合开户要求或查实为虚假账户的, 应迅速进行控制、冻结或销户处理,从源头上杜绝风险进一步蔓延;发现II、III类户使用状况异常的,应及时联系客户进行调查核验,并作妥善处理。
二、规范开户鉴权通道及接口应用
各银行应加强与鉴权通道提供方的沟通联系,根据鉴权通道提供方接口技术标准规范的版本变化情况,及时更新本行相关接口技术版本,确保接口标准调用准确。各银行应当满足受理行和发卡行进行鉴权时要素验证信息相匹配的要求。对于接口技术版本不匹配的鉴权请求,受理行应返回验证失败结果。
各银行应对上线的手机银行APP及直销银行进行全面的自检工作,特别是对开户过程中的相关风险点进行重点排查。发现APP或直销银行中存在风险隐患的,应执行功能下线并采取补丁 升级等措施。
四、建立健全客户身份持续性识别工作机制,完善风险监测系统
各银行应当尽快上线和有效应用网络反欺诈的相关措施,如联网身份核查、人脸识别、OCR技术等。同时,各银行应完善相关的账户风险监测系统,监测的可疑场景包括但不限于:同一账户(包括同一手机号码、身份证等)连续开立多个II、III类户; 同一终端设备(包括同一设备ID、同一网络地址等情况)连续开立多个II、III类户;开户行为偏离多数用户的一般习惯,如在异常时间段、异常网络地址、异常地理位置等申请开立II、III类户等。通过设置相关规则建立账户风险的预警模型,并通过及时阻 断、人工外呼等方式进行风险控制,最终控制并减少类似风险事件的发生。
各银行应立即对各风险点进行排查,并形成自查报告,于2019年3月29日前以书面形式上报我分行。
我分行将把辖内落实风险控制措施不力、发生账户风险事件、 引起较大舆情和投诉的银行列为重点检查对象,采取现场检查、 约谈、通报等监管措施,并在年度清算质量考核和综合评价中予以反映。
特此通知。
中国人民银行上海分行
2019年3月13日
2018年1月19日,央行发布《关于改进个人银行账户分类管理有关事项的通知》(银发〔2018〕16号,下称16号文)。
总的来看,16号文进一步便利了Ⅱ、Ⅲ类户开立和使用,重点推广应用Ⅲ类户,推动Ⅱ、Ⅲ类户成为个人办理网上支付、移动支付等小额消费缴费的主要渠道。
个人银行账户分类制度建立过程
2015年12月,央行发布《中国人民银行关于改进个人银行账户服务 加强账户管理的通知》(银发〔2015〕392号),将银行个人账户分为不同权限等级的三类账户。其中,Ⅰ类账户为全功能账户,即日常所用的借记卡或储蓄存折;Ⅱ类账户具备“理财+支付”功能,Ⅲ类账户则只能进行小额消费和缴费支付。
2016年9月,央行发布《关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号),规定自2016年12月1日起,每个人在每家银行只能开立一个I类账户,已开立Ⅰ类户,再新开户的,应当开立Ⅱ类户或Ⅲ类户。
紧接着,2016年11月底,人民银行紧急发布《关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302号,下称302号文),进一步落实个人银行账户分类管理制度。
2016年302号文
根据302号文,个人银行账户分为Ⅰ类银行账户、Ⅱ类银行账户和Ⅲ类银行账户,开户渠道也分为三种,分别为柜面、自助机具、电子渠道。
(一)开户
(二)功能
Ⅰ类账户:存款、购买理财产品、转账、消费和缴费支付、支取现金等。
Ⅱ类账户:存款、购买理财产品、限定金额的消费和缴费支付等。与Ⅰ类账户的区别在于不能支取现金,而且消费和缴费都是有限定金额的,单日最高额度不超过10000元。
Ⅲ类账户:限定金额的消费和缴费支付。Ⅲ类户账户余额不得超过1000元,账户剩余资金应原路返回同名I类户。
(三)特点:
1)Ⅰ类账户功能最全,也就是大家目前手中持有的银行卡账户类型,Ⅱ类账户只有部分功能,Ⅲ类账户只有一种功能,后两者都不可以存取现金。
2)Ⅱ类和Ⅲ类账户不能独立存在,必须依附在Ⅰ类账户之上,也就是说你要想开通Ⅱ类和Ⅲ类账户,前提条件是已经开通了Ⅰ类账户。
3)银行账户分三类对个人来说有两大好处:一来可以打击银行卡被盗刷、不法分子洗钱等金融犯罪事件;二来方便存款人支付,可以为家人开放Ⅱ类和Ⅲ类账户功能。
通俗点理解,Ⅰ类账户是“金库”。Ⅰ类账户是功能齐全,资金流入流出无限额。可以作为工资账户或个人财富主账户,主要用于大额消费、大额资金流转、储蓄存款及投资理财。Ⅰ类账户不必随身携带,也减小卡片遗失带来的风险。
Ⅱ类账户是“钱包”。Ⅱ类账户投资理财功能齐全,可以灵活地由Ⅰ类账户向其转入资金,无累计转入限额,既满足日常使用,又避免大额资金损失。
Ⅲ类账户是“零钱包”。Ⅲ类账户主要用于小额高频交易,账户余额不得超过1000元人民币,适合用于绑定支付账户,及日常小额高频交易(如二维码支付、手机NFC支付等)。可以随用随充,便捷安全。
2018年16号文
(一)便利开户:
16号文要求,2018年6月底前,国有商业银行、股份制商业银行等银行业金融机构(以下简称银行)应当实现在本银行柜面和网上银行、手机银行、直销银行、远程视频柜员机、智能柜员机等电子渠道办理个人Ⅱ、Ⅲ类户开立等业务。2018年12月底前,其他银行应当实现上述要求。
采用可靠验证方式登录电子渠道开立Ⅱ、Ⅲ类户时,如绑定本人本银行Ⅰ类银行结算账户或者信用卡账户开立的,开立Ⅱ、Ⅲ类户时无需个人填写身份信息、出示身份证件等。
但是,16号文中依然要求:对于开立Ⅲ类账户,必须绑定已经实名制验证的账户。当同一个人在本银行所有Ⅲ类户资金双边收付金额累计达到5万元(含)以上时,应当要求个人在7日内提供有效身份证件,并留存身份证件复印件、影印件或影像,登记个人职业、住所地或者工作单位地址、证件有效期等其他身份基本信息。
另外,同一银行法人为同一个人开立Ⅱ类户、Ⅲ类户的数量原则上不得超过5个。
(二)功能变动:
16号文指出,银行为个人开立Ⅲ类户时,应当按照账户实名制原则通过绑定账户验证开户人身份,当同一个人在本银行所有Ⅲ类户资金双边收付金额累计达到5万元(含)以上时,应当要求个人在7日内提供有效身份证件,并留存身份证件复印件、影印件或影像,登记个人职业、住所地或者工作单位地址、证件有效期等其他身份基本信息。
此外,同一银行法人为同一个人开立Ⅱ类户、Ⅲ类户的数量原则上分别不得超过5个;Ⅲ类户任一时点账户余额不得超过2000元。经银行面对面核实身份新开立的Ⅲ类户,消费和缴费支付、非绑定账户资金转出等出金日累计限额合计调整为2000元,年累计限额合计调整为5万元。
16号文还提到:银行可以向III类户发放本银行小额消费贷款资金并通过III类户还款,III类户不得透支。发放贷款和贷款资金归还,应当遵守III类户余额限制规定,但贷款资金归还不受出金限额控制。
而此前302号文规定:银行可以向II类户发放本银行贷款资金并通过II类户还款,II类户不得透支;发放贷款和贷款资金归还,不受转账限额规定。
