「健全的銀行保密法 / 防制洗錢法規遵循計劃的基礎是針對所有客戶，尤其是洗錢和資助恐怖活動風險較高的客戶，採取和落實風險為本的客戶盡職調查政策、程序和流程。」 1美國要求境內所有金融機構 (FI) 實施風險為本的客戶盡職調查 (CDD) 流程，其中的一個重要環節是對洗錢等金融犯罪風險較高的客戶進行識別和監控。雖然官方檢查指南明確規定了金融機構必須滿足的客戶監控要求，但具體的監控範圍和監控方式還要由各金融機構自行裁量決定。機構必須確保其銀行保密法 / 防制洗錢 (BSA/AML) 制度體系充分做到風險為本，且增強盡職調查 (EDD) 制度體系亦不會過於嚴苛，以致將中低風險客戶也一併納入調查，即使最經驗老到的《銀行保密法》專員也會對此感到棘手。 識別高風險客戶 簡而言之，高風險客戶是指給金融機構帶來較高洗錢、資助恐怖活動或其他金融犯罪風險的客戶。那麼，何謂「較高」呢？較高是指比中低風險更高，但這樣解釋仍然有些模糊。事實上，較高風險客戶會呈現若干與洗錢、資助恐怖活動或其他金融犯罪有高度相關性的特徵。而這些客戶具有此等特徵的數量或嚴重程度，超過了金融機構的風險承受能力。《銀行保密法》專員如果使用單一特徵作為增強盡職調查制度體系中高風險客戶的判定標準，例如北美行業分類系統 (NAICS) 中的某個編碼，或者某政治公眾人物 (PEP) 身分，則可能無法準確評估金融機構「高風險客戶」帶來的風險。 舉例而言，假設某位來自某高風險國家的外國留學生，每月都會收到位於該高風險國家，顯然是其親戚的人所匯過來的資金。儘管如此，銀行的防制洗錢制度體系可能會僅因為該客戶與高風險國家的關係，而將其定位為高洗錢風險客戶。現在，想像一位當地犬類美容師，本身與該高風險國家並無明顯關聯，但每月會收到來自該風險國家同等金額的電匯轉帳。該美容師可能也會因與高風險國家有關，而被定位為高風險客戶。這兩個客戶都被評為「高」風險客戶，但他們給金融機構帶來的洗錢等金融犯罪風險真的一樣高嗎？當然不一樣。要妥善評估客戶的風險，防制洗錢制度體系必須全面評估該客戶的多項特徵。 界定風險特徵 雖然銀行業的所有產品幾乎都會被洗錢分子利用，但某些產品的「利用率」尤其高。金融機構歷來都會參考美國聯邦金融機構檢查委員會 (FFIEC) 發布的《銀行保密法 / 防制洗錢檢查手冊》， 2以其中羅列的特徵為基礎來界定哪些是洗錢活動常見的特徵。手冊中列舉了 30 多種與洗錢和資助恐怖活動有關的風險特徵， 3涵蓋產品、服務、客戶類型等方面，具體風險特徵包括非美國居民和外國人士身分、借貸活動、信託和資產管理服務等。 這是否意味著，只要客戶不是美國居民，其洗錢風險就一定高呢？不是的。只要客戶參與借貸或信託活動，其資助恐怖活動風險就一定高？當然不是。還是，只要客戶是非美國居民同時又有借貸或信託行為，其洗錢或資助恐怖活動風險就必然是最高的？絕非如此。那麼，《銀行保密法》專員應該怎樣全面評估客戶的風險特徵，才能準確識別給機構帶來高風險的客戶？ 聯邦金融機構檢查委員會手冊中羅列的特徵非常容易辨別，金融機構在為客戶開戶時，可以據此評定客戶的風險等級。這一點非常重要，因為客戶盡職調查最終規則4 要求，所有適用範圍內的金融機構須實行「風險為本的程序，以持續開展客戶盡職調查，並了解客戶關係的本質和目的，以利制定客戶風險概況」。 5機構往往是依據開戶時收集的資訊及預期活動，來評估和界定客戶對機構帶來的洗錢風險。 雖然規則中並未要求，也未暗示金融機構就客戶風險辦理量化評估，但許多機構會借助風險評分來識別高風險客戶，然後針對較高風險客戶進行持續監控和增強盡職調查。 圖 1： 規避風險 稽核人員和檢查人員往往對圖 1 非常熟悉，且予以無條件認可，認為這是確定客戶洗錢風險的風險為本方法。不過，這並非唯一之法，更不是最有效的辦法，因為此種方法可能導致選定的高風險客戶過多。 我們可以將圖 2 中的要素與圖...

過去 10 年以來，貿易洗錢 (TBML) 無疑是全球各大防制洗錢會議中最受關注的詞彙。就像《兩傻雙人秀》(Abbott and Costello)，不管與談人說些什麼，最後總會有人說：「但是貿易洗錢……」無論是否熟悉這個詞彙，大家都經常使用，而關注重點總是金額龐大的全球貿易。但是，聽到有人掉進交易陷阱，的確令人不安。研究和經驗告訴我，在交易進行之時，早已過了洗錢階段。換句話說，可能即將發生其他犯罪，但不包括洗錢。 貿易洗錢到底是什麼？ 說貿易洗錢的重點是貿易，就像是說「賭徒三張」紙牌遊戲的重點在於紙牌。其實，貿易和紙牌只是干擾因素，貿易洗錢和「賭徒三張」紙牌遊戲的真正重點是—錢。更具體來說，貿易洗錢的重點是外匯以及規避外匯限制。犯罪組織將貨幣作為商品進行買賣，從而清洗犯罪所得。犯罪組織將其手中市場接受度較低的非法商品，兌換成市場廣泛接受的商品，亦即強勢貨幣。犯罪組織從非法物品或服務的提供者，搖身一變成為外匯交易商，藉以達到洗錢目的。 電視、手機等交易商品在洗錢過程中並沒有任何作用，因為洗錢活動發生於商品購買之前。沒錯，商品是用非法資金購買的。然而，一旦非法資金脫離非法斂財的犯罪分子，脫離賺取非法所得的商品，非法資金本身就會變成一種商品，作為常規交易的一部分出售給第三方。但這絲毫無法減輕購買非法外匯者的責任。兩個獨立的犯罪計劃為實現特定目的而相互連結，而外匯交易就是其匯聚的節點。在犯罪活動的大背景下，這些交易商品確實有其作用，它們成為了海關詐欺和走私計劃的一部分，而其實施者並非跨國犯罪組織，而是國際企業。這些國際企業購買犯罪組織出售非法商品所得之外幣，然後用以購買合法商品。 這一切是如何開始的？ 對外幣和外匯交易的需求會導致黑市出現，但這種需求並非來自犯罪組織，而是合法商品的進出口商 要瞭解貿易洗錢的實際運作原理，就必須瞭解其起源。貿易洗錢撮合了市場中的美元供應方與美元需求方。不論正規還是非正規（黑市）外匯市場，其貨幣價值均由供需關係決定。 全世界各地都有非正規外匯市場；因此，世界各地每天都有人使用非法外匯來購買合法商品。 現代的貿易洗錢一語源自於哥倫比亞黑市披索交易 (BMPE)。Robert Grosse1 認為，黑市披索交易其實是商人為因應政府經濟政策而創建的。1967 年，哥倫比亞政府通過第 444 號法令，對外匯和國際貿易實施諸多限制。頒布限制規定之目的在於打擊資本外逃，並穩定哥倫比亞披索的價值。當時哥倫比亞的最大出口產品咖啡價格下跌，導致披索急劇貶值。 無論哪國政府頒行此類政策，都會導致相同的意外後果。每次只要一國政府採取外匯交易限制措施，並要求將海外銷售所得立即匯回國內，就會催生非常規或黑市外匯交易。對外幣和外匯交易的需求會導致黑市出現，但這種需求並非來自犯罪組織，而是合法商品的進出口商。限制性政策屬於經濟政策，而非執法機關政策。這正是哥倫比亞頒布第 444 號法令後所發生的情況。 一方面，哥倫比亞出口商無法（或不願）將國外銷售所得匯回國內，而另一方面，進口商則無法向哥倫比亞中央銀行購得外幣來償付對外國供應商的債務。出口商在哥倫比亞境外持有外幣（美元），而進口商在境內持有當地貨幣（哥倫比亞披索）。為滿足彼此的需求，規避嚴格的外匯管制，哥國進出口商攜手合作，建立了龐大而有效的外匯黑市。此種黑市中，人們無需（以現金或電子方式）跨境轉移資金，亦無需依賴政府機構，即可進行價值轉移。因此，出口商可以藉由成為進口交易的第三方，來規避法令第五章第 54 條的規定，即「應將出口所得全部外匯存入 [ 中央銀行]」。出口商可根據進口商的指示，將本應匯回國內的外匯轉移給外國出口商。反過來，進口商則透過國內銀行交易，以哥倫比亞披索對出口商支付相應的外匯價值。如此則進口商取得所需外匯，而無需根據法令第六章第 67 條規定辦理進口登記。 此處值得一提的是，黑市體系建立的本意並非為了洗錢。黑市建立的原意在於規避法規，此等法規加重了出口商的負擔，並對進口商活動造成限制。 黑市披索交易的轉變 所以，商人用來促進合法商業活動的系統，為什麼會淪為最有效的黑錢清洗管道呢？答案就像黑市披索交易的創建一樣簡單而普通。隨著哥倫比亞的出口日盛，逐漸涵蓋合法與非法商品，兩種商品的出口商發現他們得在繁榮的黑市中競逐爭搶外匯買家。接下來發生的事情，就像商業教科書一樣順理成章，出口商為了提高在競爭市場上的影響力，將行業中利潤率最高的產品降價至競爭對手無法承受的最低水平。為了搶攻市場佔有率，犯罪組織採用了削價競爭的慣用商業手段。犯罪組織透過非法商品獲取高額利潤，因此能夠降低其外匯價格，提供既低於官方匯率，又低於合法商品出口商的匯率。 透過外匯洗錢 全球黑市的絕大多數待售外匯都受到某種犯罪活動的影響 黑市披索交易建立的初衷是為了滿足商業需求，之後卻被犯罪組織利用並接管，這是打擊犯罪工作時常常遭到忽略的事實。 「追蹤資金」是防制洗錢 (AML) 領域最常見的用語之一，已成為該領域許多相關實體的信條。但如果防制洗錢專業人士真的奉行此一信條，又為何會忽略購買商品的資金是如何獲得的？金融業防制洗錢專業人士甚少關注外匯在洗錢機制中的作用，而執法機關的策略則基本上對此完全無視。 外匯洗錢 (MLFX) 指出更明確的洗錢交易點，值得防制洗錢工作加以關注。外匯交易猶如洗錢的水坑，那是所有物種生存的必需之地，是暴力犯罪分子與白領犯罪分子同流合污之所。外匯洗錢的適用範圍也比貿易洗錢更廣泛，因為所有貿易都涉及外匯，但並非所有外匯都涉及貿易。人們基於各種理由在黑市購買外匯，從度假、支付大學學費、投資到儲蓄皆有。 打擊外匯洗錢的方式也比打擊貿易洗錢的推薦策略更加直截了當。這主要是因為現有的推薦策略（貿易資料分析、單價分析、價值高估 /...

印度是全球發展最快的經濟體之一，同時也面臨著各種各樣的洗錢和資助恐怖活動風險。印度在2019 年巴塞爾防制洗錢指數的 125 個國家中排名第 51 位，屬於防制洗錢風險重大的國家。印度的洗錢活動主要透過非法活動進行，例如毒品走私、偽造貨幣、跨國組織犯罪，人口販賣和貪污等。 2010 年，印度進行了該國首次也是目前唯一一次的防制洗錢金融行動工作組織 (FATF) 相互評鑑流程。根據該次評估結果，印度在 FATF 的建議中，有 4 項完全遵循，25 項為大致遵循。而 6 項核心建議中，有 5 項為部分遵循或未遵循規定。其中一項主要的未遵循項目，涉及了 DNFBP（指定非金融事業與專業社群）。2013 年的後續追蹤報告中指出該產業的主要問題如下： 第 5、6、8-11 項建議 除賭場外，2002 年頒布的《防制洗錢法》(PMLA) 並不適用於任何 DNFBP（指定非金融事業與專業社群）。 而適用於賭場的部分亦僅限於 PMLA 基本要求及附帶規則，並不滿足 FATF 標準規定的大部分細節。 將賭場納入 PMLA 規定中也是最近才有的措施，目前尚未見有效實施的充分證據。 監管、監督和監控 就賭場產業： 未針對業主、營運商和管理者設置法定「適當」測試。 監管機構制裁範圍不足，無法對發現的問題採取適當措施。 對監管機構強制執行 PMLA 及防制洗錢 / 打擊資助恐怖活動的法定權限存有疑問。...

2010 年代美國經濟和貿易制裁出現了前所未有的動盪與不確定性。從 2014 年對全球性俄羅斯企業集團的「新」產業制裁，到 2016 年俗稱「伊朗核協議」的《聯合全面行動計劃》(JCPOA)，再到 2018 年美國將世界第二大鋁生產商列入特別指定國民 (SDN) 名單，以及美國於同年單方面退出《聯合全面行動計劃》，制裁法規遵循專員 (SCP) 所面臨的局勢可謂困難重重。2020 年初，美國和伊朗之間的緊張關係上升到了前所未有的高度。美國暗殺伊朗少將兼伊朗精銳準軍事部隊負責人，隨後又針對更多伊朗產業發佈新的二級制裁措施，延續其高度施壓行動。因此，未來十年內經濟和貿易制裁仍將是重要的外交政策「工具」。以下策略有助於制裁法規遵循專員適應不斷變化的制裁環境。 評估常規監管期望和「市場慣例」 2019 年，美國海外資產控制辦公室 (OFAC) 創下十年來的最高紀錄：達成 26 項和解，總金額約 13 億美元。 1第二高記錄則在 2014 年，價值約為 12 億美元，包括具有里程碑意義的法國巴黎銀行和解案，幾乎占總和解金額的 80%，可見 OFAC 的制裁執法力度已有顯著提升。 此外，打擊非金融行業公司違反制裁規定的執法行動也有所增加。 2制裁執法行動通常集中於銀行故意刪除電匯支付中的敏感資訊，導致其美國通匯銀行違反美國制裁規定。 因此，制裁法規遵循專員必須及時瞭解監管部門對未來制裁控制措施的期望，以及從此類執法行動中推斷出的可接受產業規範或市場慣例，並據此調整法規遵循制度體系與相關報告。自 2017 年9 月起，OFAC 開始詳細闡述其執法行動的具體風險重點、此類風險的管理實務，並為明確指出制裁法規遵循專員的相關學習重點。2019 年 5 月，OFAC 發佈了《海外資產控制辦公室法規遵循承諾架構》3 ，闡釋制裁法規遵循制度體系的重要組成部分，以及當評估制裁違規行為時和解決導致和解的調查時，應如何考慮這些因素。制裁法規遵循專員應據此權衡調整其所屬機構的法規遵循制度體系。 我們回顧一下 2019 年...

作者按：我寫了兩篇文章解釋未受監管產業對受監管金融機構所帶來的複雜潛在風險，本文是第二篇。 如今，金融科技成為一種流行用語，各類公司將金融科技用於交易流程的不同階段，許多機構都自詡為金融科技公司只不過因為能提供更快或更遠的行動支付服務。然而，金融科技公司良莠不齊，其帶給核心銀行或金融機構合作夥伴的風險也各異。當美國貨幣監理署 (OCC) 於 2018 年 7 月宣佈發放金融科技公司特許執照時，認為所有金融科技公司都會樂於申請。然而，截至2019 年 12 月，美國貨幣監理署網站只顯示了 11 個新特許執照，而且其中大多數與金融科技公司無關。這種情況是不是因為大多數金融科技公司都合法使用了金融犯罪稽查局 (FinCEN) 對支付處理商提供的豁免條款？ 從技術上來說，大多數金融科技公司只不過是利用既有的支付手段來轉移資金，例如自動清算中心 (ACH)。這些公司也僅負責支付流程中的一部分而已。這種自動清算中心轉移，連同資金轉移的目的（支付商品或服務費用），使他們在聯邦層級上被視為非資金匯款機構。金融犯罪稽查局的多項行政規則提供了多種豁免情況，支付處理商、支付服務商、商戶支付公司和「收款人代理」公司得於此類情況下，依聯邦法規不納入貨幣服務業，亦無需遵守嚴格的防制洗錢計劃。在美國，一個規模達數十億美元的「影子借貸」金融科技市場正在蓬勃發展。這些借貸產品係透過各種方式提供，有些經由大型銀行承銷，有些來自私人貸款者，但都無需遵循防制洗錢要求。 本文討論各種不受監管並將潛在風險擴及其各自合作銀行的支付處理商和金融科技公司。金融科技公司的形式多不勝數，交易流程包含諸多部分，而交易類型亦包羅甚廣，因此金融科技公司得以借此加速支付，或代表商戶或電子商務網站提供支付流程。以下列舉一些金融科技公司類型加以說明。 協助不同電子商務網站賣家付款的支付公司（私人賣家提供無庫存控制的產品） 為租賃或購買服務平臺提供服務的支付處理商、服務商或聚合服務商（無庫存控制） 協助聚集型網站（群眾募資、活動網站等）支付資金的支付公司 承銷或提供貸款或替代融資（影子借貸）的支付公司 這些情況在防制洗錢金融行動工作組織 (FATF)的《貨幣或價值轉移服務 (MVTS) 指南》1 和《新型支付產品及服務 (NPPS) 指南》中均有描述與處理。 2上文所列並未包含所有情況，甚至在本文發表之前，就可能有科技公司發明了新的支付方法。 有哪些風險？ 讀到這裡，有些讀者可能會好奇美國以及提供方法使金融科技公司得以從事其業務的銀行需面臨哪些風險。最高層的潛在風險可以歸結為一個主要問題，即防制洗錢金融行動工作組織的產品相關主要風險因素：支付流程的分割階段。例如，資金流入、經過和流出電子商務平臺的銀行帳戶。然而，資金流的主要銀行關係並未涉及其他相關方的所有方面。從電子商務帳戶流出的資金可以整筆支付給金融科技公司，然後由金融科技公司代表電子商務網站對個人付款（參見下面的例子）。 新的金融科技支付流程會將交易從端到端予以分解，某些交易方受到監管，而有些則與交易流無關。根據所使用的手段（交易工具類型），金融科技公司可能獲得金融犯罪稽查局規定的豁免權。2003 年到 2014 年期間，該局已發佈四份公開信或規則，為金融科技公司整體或金融科技公司內部的一組支付類型提供各種豁免。例如，某些金融科技公司提供其客戶各類產品，如電子商務或實體店的支付處理。某些金融科技公司將產品與支付處理、錢包類產品和匯款轉帳等相結合。 一些金融機構甚至以貸款形式提供支付處理。以上支付類型都在金融犯罪稽查局的豁免範圍內。該等金融科技公司可以提供一種類似於匯款的計劃，但由於該計劃可協助商品或服務支付，且利用了自動清算中心系統，因此可以申請豁免聯邦防制洗錢要求。某些州則對此有不同看法，主要是佛羅里達州、加利福尼亞州和紐約州，因此金融科技公司在這幾州內可能會使用合法的「收款人代理」身份，或者成為該州的有照匯款機構。精明的金融科技公司利用豁免規定和諸如「收款人代理」等新定義，並非從事任何違法行為，他們只不過利用新的聯邦或州法規來獲取策略優勢罷了。下列例子可以更清楚地說明，為何並非所有金融科技公司產品都能或都會受到監管： 同樣，有些讀者可能會好奇淨風險是什麼。當合作銀行為金融科技公司開戶時，會要求提供防制洗錢制度體系相關資訊。金融科技公司應該提供完全規範且積極的監控要求。然而，如果只有部分金融科技支付流程符合防制洗錢監管要求，則合作銀行可能沒有足夠的時間或知識來了解科技公司及其各種支付類型。實際上整個國家面臨著更大的風險。當產品推廣至美國或加拿大以外的國家時，金融科技公司及其支付流程將面臨真正的考驗。如果支付產品在歐洲或包括澳大利亞在內的亞洲大多數國家推出，則相同的支付產品或流程將完全遵循防制洗錢要求。歐盟《防制洗錢指令》以及英國金融行為監管局 (Financial Conduct Authority) 法規並未對等同於美國全國自動清算中心協會系統的單一歐元支付區 (Single Euro Payments...

自多年前《今日 ACAMS》刊載「化整為零法」和「錢騾」 專文以來1 ，洗錢活動不斷升級，除手法翻新外，複雜程度和規模也持續提升。部分讀者可能並不了解「化整為零」這個術語。據稱，「化整為零」最初指哥倫比亞的販毒集團利用「藍髮」年長女性組成的洗錢大軍從事洗錢交易。根據美國國土安全部電腦緊急事件應變小組，錢騾是指「運輸和清洗黑錢或某種非法商品的人」。 2 但是，金融機構面臨的挑戰日益嚴峻，尤其是與高風險電子犯罪相關的洗錢活動，例如企業帳戶盜用、大規模信用卡詐欺、「勒索軟體」網路攻擊和虛擬貨幣竊盜等。 3此類犯罪通常由離岸犯罪分子發起，可能需要受害者所在地附近的國內資源及金融機構對資金進行匯總、「清理」，再退還給犯罪分子。因此，儘管隨著技術發展，轉帳和金融交易已進入新時代，從線上銀行到點對點 (P2P) 行動交易，再到數位貨幣和「數位錢包」等等，但如何區分犯罪分子的非法收入這個傳統問題依然存在。 21 世紀的錢騾 進入 21 世紀，錢騾的主要任務是加速清洗電子犯罪非法所得。越來越多的個人犯罪分子和組織犯罪集團選擇利用錢騾來進行洗錢， 以匯集和轉移非法資金。ACAMS 防制洗錢網站moneylaundering.com 近日發表的文章4 中，指出錢騾是網路犯罪活動最屬意的資源，因為藍精靈（跑腿人）和「化整為零法」已是 20 世紀清洗實體貨幣的過時手段，此種實體貨幣通常來自毒品走私等現金密集型犯罪。另外，美國司法部 (DOJ) 最近針對錢騾展開一系列刑事調查，其結果亦突顯了跨國犯罪分子與錢騾之間的協同合作關係。 5由於電子犯罪本質上由第三方對受害者所為，因此需要以同樣無定形且遠距的過程來取得與混淆非法收益。 建立無組織的個人匿名網路以促進非法資金轉移，有以下幾個優勢：首先，被招募成為錢騾的人有可能彼此相識（但更有可能並不認識）。使用遠程招聘工具，例如線上廣告「徵人啟事」，可以從任何地方雇用個人。參與者可能來自有組織詐欺集團、家庭主婦、大學生、待業者，或有意從事副業或「兼職」以賺些額外收入的人。因此，錢騾庫十分龐大。 第二，犯罪分子與非法資金流動之間的任何聯繫，從本質上而言具有合理的可推諉性。儘管主謀者可能從事前置犯罪，但並未直接參與洗錢，而是保持相對安全距離，藉此避免被逮捕和起訴。錢騾通常是利用現有或新開的銀行帳戶，透過轉帳服務（例如 MoneyGram 或Western Union 等第三方付款供應商）或是購買銷售點簽帳卡產品來進行交易。他們是負責從事銷售或交易的個人。當資金轉移至另一個主謀者控制下的目的地帳戶時（處置和多層化階段），他們的工作就完成了。此外，在主謀者看來，如果錢騾被逮捕，主謀者無論如何也絕不會與錢騾的洗錢活動扯上關係。 第三， 可以在犯罪之初時便將交易「分解」為較小的金額，分配給各個錢騾，意圖藉以躲避金融機構的報告要求、控制和預警機制。這些機制包括現金交易報告、一線「紅旗警訊」、內部控制警報流程，以及識別和監視可疑活動的自動化解決方案系統。一旦觸發機制致使金融機構採取行動，犯罪分子認為可將因此產生的損失歸為「營業成本」，用其他錢騾成功轉移的資金來抵消這些損失。資金隨後被轉移至犯罪分子網路控制下的帳戶，如透過電匯離岸轉帳，或者轉為各種貨幣化形式，令主謀者可於洗錢的重新整合階段中收回現金，這些形式包括預付卡、銀行本票等可轉讓票據，或買賣高價位零售產品，例如蘋果公司產品等。 問題的根源 欲深入了解 21 世紀錢騾發展的方式、方法和動機，就必須分析電子犯罪分子從事活動的結構。自網際網路誕生以來，犯罪分子和駭客，尤其那些位於境外地區者，不斷嘗試利用電腦技術的優勢，意圖跨越地理、語言和法律的障礙。隨著駭客發覺他們可以肆無忌憚地操弄政府、私營機構和個人網路 / 電腦，技術就顯而易見地成為了收入來源的手段。最初，此類犯罪活動主要集中於身份盜用及信用卡詐欺。 6除了其他層出不窮的詐欺相關重大犯罪（如醫療詐欺7 ）以及掩蓋不義之財的必要性外，也需要開拓更有效的非法經營手段。因此，詐欺、資訊科技（主要關於網際網路關聯防禦策略和法規遵循）和洗錢風險已經重疊，如今顯然已與電子犯罪活動掛鉤。 Venn 圖 1 在過去二十年中，隨著錢騾洗錢活動的興起，出現了透過所謂「漏斗帳戶」濫用零售金融帳戶的更先進技術。漏斗帳戶是指將資金存入某個地理位置的帳戶，使犯罪分子可以在短時間內於不同地理位置提款以獲取資金的帳戶。 8接下來的問題可能是，金融機構在繼續履行現有防制洗錢 /...

金融行業既是網路犯罪分子的目標，也是其從事網路犯罪的工具。年復一年，犯罪分子透過詐欺和身份盜用，從金融機構盜走數十億美元，受害客戶多不勝數。儘管已蒙受如此驚人的損失，網路犯罪依然是一種難以遏止的禍害，犯罪分子不斷地嘗試錯誤，藉以尋找更好的新方法來竊取、隱藏不義之財。 如何遏止此種潮流已成為一個重大問題。解決方案之一是更有效的調查。網路犯罪是一個特殊的犯罪活動領域，需要私營機構、執法機關和監管機構攜手共同展開調查，方能有效遏阻。 1 在阻止網路犯罪的眾多參與者和所需的技能中，防制洗錢專業人員至關重要。防制洗錢和金融詐欺調查員的工作即已涉及刑事、民事與監管規則；這些調查人員也站在最前線從事識別犯罪活動的工作。憑藉現有的經驗和知識，防制洗錢和金融調查員將成為防範網路犯罪行動中關鍵的一環。但是，我們需要更多經過培訓的調查人員，他們知道如何識別、追蹤和阻止網路犯罪和網路洗錢，並且完全了解如何以其工作來支持其他調查參與者，以及如何獲得其他參與者的支持。 網路犯罪的利潤、付款，以及財務和防制洗錢調查方面有待改進之處 大多數網路犯罪的目的是賺錢，其主要發生於邪惡的線上經濟之中，多半涉及金融竊盜和詐欺、資料竊盜、惡意軟體、文件偽造和身份盜用。數以千計的犯罪分子各憑本事，透過各種各樣的騙局或是提供違法商品或服務來謀利。網路犯罪一般都是遠距操作，通常跨國進行且利潤驚人。所有此等活動均仰賴付款、資金轉帳和資金儲存，這也能說明防制洗錢專員對網路犯罪調查的重要性。2 網路犯罪分子會利用各種有價形式，包括政府發行的貨幣（法定貨幣）和虛擬貨幣。 3只要有辦法竊取，他們就會嘗試。如果某種付款方式既方便又可匿名使用，他們就會使用。成功的網路犯罪分子可賺取暴利，也想使用這些錢，因此他們會利用各種便利且匿名的方式來洗錢。 網路犯罪技術可能十分複雜且難以追蹤。但是，防制洗錢專業人員的專業知識就直接涉及這些非法收入的流動。追蹤並減少非法收入流動是打擊網路犯罪的關鍵要素。 4防制洗錢專業人員在這場對抗中至關重要，其原因有三： 網路犯罪襲擊金融機構和貨幣服務業者，取得他們控制下的資料與資金。 網路犯罪以這些企業的客戶為目標。 網路犯罪分子利用金融機構和貨幣服務業者來轉移資金。 防制洗錢專業人士在調查和制止網路犯罪方面發揮著重要作用，是打擊這些犯罪的主力軍。 防制洗錢及其他金融專家著眼於網路犯罪的有價物相關問題處理，其他調查人員則從不同的角度來調查網路犯罪，包括數位鑑識以及犯罪策略和技巧檢視等。如果個人和機構重視不同調查者和組織的觀點、資源和專業知識，則網路犯罪調查可望大大改善。成功的網路犯罪調查既需要具備所有潛在調查管道的廣泛知識，也需要具備特定能力之調查人員的貢獻。從任何不同角度參與對抗網路犯罪的調查人員都能從中受益，得以全面了解各種方法及法規，整體把握相關流程。 網路犯罪調查的三個主要群體為：執法機關、私營機構（包括金融機構）和監管機構。法律和監管在網路犯罪調查的諸多方面均發揮舉足輕重的作用，原因有二。首先，對於像金融業這樣的受監管行業，可能需要根據監管標準進行一定程度的調查。其次，調查網路犯罪的機構必須考慮許多適用的刑法和民法。以下是如何從事網路犯罪調查的例子。 假想的網路犯罪調查 假設有一家由州政府和聯邦政府監管的紐約銀行。這家銀行保存客戶的資金，提供各種服務，並雇用了許多員工。該州發佈了一項普遍適用的新法律，加強對資料洩露通報的要求，並要求具備「合理的網路安全性」。 5該州與聯邦現行法規也要求銀行維護穩定且安全的資訊系統，並針對其機密性、完整性和可用性提供適當的安全防護措施。 6監管機構每年檢查金融機構的資訊安全方案，以確保其遵守這些法規。該銀行須防範身份盜用， 7並監督犯罪行為，包括網路犯罪以及向金融犯罪稽查局通報可疑或犯罪活動。8 金融機構及其客戶不斷遭受網路犯罪攻擊。即使未成功，然每次攻擊本身也構成犯罪（犯罪未遂），還會讓犯罪分子改進其戰術和技巧。攻擊方式主要包括： 試圖安裝惡意軟體，侵入電腦與網路，盜取客戶和金融資料 試圖控制客戶的帳戶 試圖通過非法轉帳或收費來竊取資金 該虛構銀行的資訊系統出現異常狀況。銀行需要做出一系列決策，包括是否啟用其防制洗錢、資訊技術、資訊安全、法律、通信等多部門成員所組成的事件應變小組，以及是否需要通報政府和受影響方。 要做出這些決策，銀行必須進行初步調查並確定某些事實。在此，初步調查顯示成功的網路犯罪（例如資料洩露或資金被盜）導致異常情況，必須報告與通知，且需進一步調查。銀行必須通知州和聯邦監管機構、執法機關以及那些資訊被盜的人。這並不意味著銀行調查的結束，而僅僅是重要的決策點和里程碑。 執法機關收到銀行報告後便開始調查。執法機關是唯一能逮捕、制止和懲罰網路犯罪分子的部門，因此希望有朝一日他們可以將犯罪者繩之以法。現今的資料洩露通報法規明確認知，過去許多公司受害者面對這些嚴重的網路犯罪時會保持沉默，選擇保護自己的聲譽而非舉報犯罪。執法機關的調查不僅需要用到業內各種不同的技能，也需要私營機構（包括金融機構）中的受害者和證人廣泛合作。為了掌握有關攻擊的技術本質，執法機關需依靠銀行對自身內部系統進行調查及審查而收集的資訊。欲了解非法資金的流動，執法機關需依靠受害銀行及其他金融機構的防制洗錢專業人員和金融調查人員。 銀行向州和聯邦監管機構通報此事件，並對金融犯罪稽查局提交可疑活動報告。監管機構接到報告並進行審查後展開調查。調查時的一項考量是報告是否及時、充分且符合要求。另一個考量則是犯罪事件發生前所採取的安全措施是否充足。 隨著調查展開，執法機關和監管機構會向銀行提出許多問題，包括攻擊何時何地如何發生，以及被取用或盜竊的資料為何等。客戶是詐欺的直接受害者，可能會要求銀行對於犯罪發生方式以及資金去向給個說法。如果攻擊涉及資料洩露（或造成客戶的直接財務損失），按規定通知受影響客戶可能會招致某些客戶控告銀行，指控其安全性不足以及違反法律規定。此外，媒體可能會報導相關事件，導致業務損失。出於這些原因，銀行必須自行持續進行調查，以發現必要事實，協助妥善解決問題。 網路犯罪調查的各個部分構成一個整體 這個例子顯示不同群體可以為網路犯罪調查帶來的不同觀點和目標，以及不同領域的必備專業知識。網路犯罪調查人員應對刑法、民法和監管法規有整體了解，包括如何以有助益且合法的方式保存證據。這也有助於了解一些基本的技術和資訊安全原則，以便與這些領域的專家有效交流。 重要的是，金融詐騙和防制洗錢專業人員應了解歸因技巧，這一技巧通過科學與藝術結合的方式，將線上行為與個人關聯起來。歸因與「了解您的客戶」、客戶盡職調查和其他防制洗錢流程相互連結，從而發揮重要的作用。網路犯罪調查人員仰賴金融機構的記錄，該等記錄可證明犯罪行為與犯罪者的身份。這些記錄一旦建立、保存且可存取，便可以成為識別網路犯罪分子的關鍵。有時，可疑活動報告會將執法工作指向可以連結這些點的相關金融記錄。 在一起大型網路犯罪和洗錢案件中，就是靠著財務分析證明了犯罪行為與罪犯身份，案件因而得以成立。金融機構的記錄和報告顯示了犯罪的真實程度：賺得的非法利潤、從事的交易以及資金流向被告方的路徑。銀行電匯、匯款、信用卡交易和虛擬貨幣支付在整個調查過程中都有其作用，這些記錄是審判中的重要證據，也能協助證明從事活動者的身份。 金融機構記錄中所留下的線索是歸因的關鍵證據。某椿線上信用卡詐欺未遂案件導致公司的記錄中留下了一個電子郵件地址、昵稱、姓名和實際地址。在記錄建立時誰也沒想到該等記錄日後會成為關鍵的線索，協助揭露了某個犯案累累的網路犯罪嫌疑人，且最終得以藉由這些記錄將其定罪。意識到保存記錄和防制洗錢流程日後可能會成為防範網路犯罪分子的證據，可以帶動更好的調查和預防效果，令各方受益。 透過了解歸因過程，金融和防制洗錢調查人員可以知道如何利用他們的分析、摘要、報告和保存記錄，來建立犯罪和犯罪嫌疑人之間的邏輯連結。 9金融調查再結合其他關鍵領域，包括電子通訊、數位鑑識證、資訊安全及適用法律領域等，在防範並減緩網路犯罪方面具有關鍵性的作用。 有效的調查可減少網路犯罪 網路犯罪對社會和個人的影響顯而易見。對於所有機構，法規要求逐漸增加，制定更多的規則來防止攻擊並改善報告機制。這些規定則進而增加了法規遵循成本。如果發生網路犯罪，組織將會蒙受直接的財務損失與成本，以及聲譽損失和其他間接成本。對於個人與小型企業而言，網路犯罪詐欺和身份盜用所造成的危害可能會改變生活，甚至導致喪失畢生積蓄。防制洗錢和金融詐欺調查人員可在網路犯罪調查和反擊方面發揮領導作用。 要打擊網路犯罪，必須始終堅持對這些犯罪行為進行調查。現在是擴大採取行動的時候了，因為與傳統的犯罪活動相比，打擊這些犯罪需要不同的方法和思維。由來自不同部門、機構與背景且知識豐富的調查人員共同協力調查，才能獲得最佳的效果。所有調查人員都可以經由了解網路犯罪經濟、適當的調查與證據收集步驟，以及不同調查部分可能吻合整體調查的方式，更成功地打擊網路犯罪。提升知識和合作有助於取得更良好的調查效果。防制洗錢專業人員處於第一線，勤奮不懈與團隊合作可以創造有效的協同作用，從而減少網路犯罪。 John Bandler 律師，CAMS， Bandler Law...

鑑於現代數位行動和金融技術現實面臨諸多內在挑戰，遠端客戶開戶（也稱為電子了解您的客戶 (eKYC)）程序成了監管機構、執法機關、金融機構和科技公司之間爭辯不休的核心話題。 1技術創新意味著，數位銀行交易和敏感個人資訊保護工作會變得越來越複雜，因為新興威脅、監管要求和防範金融犯罪所需網路安全控制措施之間存在重疊。犯罪分子透過新技術，利用資訊技術 (IT) 架構和法規遵循框架中的漏洞來規避控制措施，以免犯罪過程中被發現。 2本文旨在探討金融犯罪背景下的數位身份定義。 什麼是數位身份？ 據估計，全球有 11 億人（包括數百萬兒童、婦女和難民）沒有任何官方認可的身份證明，他們通常被稱為「無銀行賬戶人士」 數位身份由網上存在的用戶個人資訊按部就班衍生而來，其基礎在於用戶與網路瀏覽器、行動應用程式和其他裝置各種互動過程中在線上建立和儲存的中繼資料。對各數據點進行三角測定即可確定數位身份，其中包括下列各種中繼資料：IP 地址、用戶名和密碼、瀏覽器歷史記錄、GPS 坐標、線上搜尋活動、交易資料、出生日期和醫療資訊。但是，對於 eKYC、資料保護法和個人自由權至關重要的「基礎」身份系統和「功能」身份系統有什麼區別？ 3 基礎身份系統與功能身份系統 基礎系統 根據世界銀行的說法，數位基礎身份是「採取由上而下的方式所構建，其目的在於建立可以跨部門 / 領域使用的通用身份識別，促進國家或地區發展。」其提供者通常是國家或地區政府，他們希望為公民提供一種方式，以便透過戶籍登記冊、身份證、護照或出生證明來證明其身份。4 戶籍登記冊 戶籍登記冊是通常由國家或地方政府管理的紀錄，以記載一個國家公民的名字、姓氏、出生日期等重要資訊。這些戶籍登記和人口動態統計 (CRVS) 系統既有當地以紙本為基礎的分類系統，也有複雜的全國電腦化系統。戶籍登記意味著個人需要親自（利用紙本表格）或在線上向經過授權的政府機關提供詳細資訊。5 基礎身份證件通常由國家或地區政府或執法機關簽發，被視為公民可以隨身攜帶以證明其身份的「合法」身份證件。基礎身份證件是否屬於強制證件，則端賴政府是自動向適齡的註冊公民發放該證件，還是需要公民提出申請。 護照 護照是向國民簽發的合法政府文件，作為在國外旅行時使用的身份證件。通常，只有出國旅行的公民才會申請護照，因為護照簽發費用較高。 各類證件 諸如出生證明、結婚證明、死亡證明等合法證書屬 CRVS 的範疇，簽發給國家公民，作為生活事件發生的證據。要獲得這類證書，必須事先在戶籍登記冊登記詳細資訊。 功能系統 功能系統通常是旨在支援單一服務，如選舉登記、出生登記等。與基礎系統相反，Aadhaar 等其他系統的識別編號可用於多種用途。隨著技術的進步，一些新的方式正在取代傳統的紙本基礎身份系統，特別是在開發中國家。這使所有公民都能更輕鬆、更簡便地取得這些重要身份證件，尤其是一般上較不便利的新興國家。 以下一些地區已實施功能系統，向廣大人口簽發數位身份。這些地區由於經濟落後，大部分公民是社會弱勢族群，因此沒有基本的基礎身份文件。 全球身份系統 印度： Aadhar 數位身份證系統是供公民和「無銀行賬戶者」使用。6 巴基斯坦： 目前試用行動應用程式向地方政府申報新生兒，使出生登記率，特別是女童出生登記率大幅提高。7 撒哈拉以南非洲： 加納、象牙海岸、坦桑尼亞和烏干達正在使用行動技術登記新生兒出生情況，提高了出生登記率。 哥斯達黎加和印度： 這些地區目前正朝著數位證書的方向發展，如出生證明、結婚證明、死亡證明等。...

2019 年是紛亂的一年，各國在防制洗錢、打擊資助恐怖活動和制裁工作中都有卓越的進展。公認反洗錢師協會 (ACAMS) 在亞洲已擁有超過 2.5 萬名會員。這一年也受到了下列事件的影響： 不斷加劇的貿易緊張局勢和日益複雜的制裁形勢 銀行服務和產品的轉型 金融犯罪的防範能力要求升高，以及金融犯罪的法規遵循對象增加 對改進防制洗錢效力措施的迫切需求 回顧亞洲的重大執法行動，有兩件事需要進一步解釋： 由於國信證券實施的防制洗錢流程和控制措施成效不彰，香港監管機構因此懲處了負責人和管理階層。 中國人民銀行對四家中國實體開罰：交通銀行、平安銀行、上海浦東發展銀行、銀河證券和中國人壽因在防制洗錢 / 打擊資助恐怖活動工作的過程中，在驗證客戶身份、交易記錄和可疑報告方面存在疏忽。 這兩項執法行動顯示，整個大中華地區對相關工作的期望值不斷提高。總體而言，亞洲監管機構不僅對金融機構，同時對指定非金融事業與專業人士 (DNFBP) 的要求也已提高。 貿易緊張局勢和制裁 制裁是彼此不滿意的國家使用的經濟和政治手段。多邊貿易模式失靈轉而支持單邊行動，已使供應鏈更加複雜。因此，法規遵循專業人士必須適應不斷變化的制裁形勢。 亞洲似乎成為熱點地區。如何整合快速增加的新特別指定國民名單，以及形式繁多的二級制裁，都是令人應接不瑕的難題。 皇家聯合服務協會的 Tom Keatinge 從最根本層面觀察到，有許多公司和專業人士對聯合國的禁擴和制裁要求缺乏基本了解。由於私領域有許多企業不理解錯綜複雜的規則，因而產生規避制裁的行為。 同樣地，恐怖組織繼續透過金融和非金融系統取得資金和轉移資產，而未被偵測。菲律賓、斯里蘭卡、印度尼西亞和馬來西亞發生的資助恐怖活動凸顯了對熟練制裁專業人才的渴求。國際制裁合規師 (CGSS) 認證受到市場歡迎也就不足為奇了。 貿易緊張局勢加劇導致貿易洗錢活動增加，因為合法企業和不法企業均需自我調整以適應新貿易壁壘和關稅要求。企業和金融犯罪專業人士都努力加大對供應鏈、海上活動和貿易活動的監控力度，克服國際貿易規範失靈帶來的挑戰。全球經濟變得更加複雜。 銀行服務和產品的轉型 智慧銀行是金融機構、零售客戶以及企業客戶之間密切整合的平臺 一般觀察者會看到數位銀行、虛擬資產、加密貨幣和分散式帳務技術的魅力。然而，防範金融犯罪專業人士卻對新產品和服務感到日益焦慮。各種企業都急於向市場、客戶和股東展示他們在新興金融科技和監管科技領域的創新。而監管機構正在為各個行業制定新的指導方針和條例。 以正面的角度來看，監管機構和私營機構對金融領域有了更多的參與、指導和監管，但此進展也加劇了網路犯罪和緊急狀況的威脅。 數位銀行是透過網際網路、行動應用程式或 ATM 處理所有交易的金融機構。對香港而言，數位銀行是促進智慧銀行時代發展的一種創新手段，可加快支付流程，改善客戶體驗。智慧銀行是金融機構、零售客戶以及企業客戶之間密切整合的平臺。 2019 年 3 月，香港金融管理局宣佈向 Livi VB Limited、SC Digital Solutions...

分析最新一代遊戲機電子遊戲和智慧手機遊戲如何影響金融交易功能的運用，有助於深入了解用戶趨勢和數據分析結果。有些電子遊戲公司，尤其是支持小額交易的公司，需要處理大量的金融交易，但它們卻不在國家銀行或儲蓄合作社之列。因此，它們並不一定會受到《銀行保密法》或海外資產控制辦公室法規約束。但是，電子遊戲產業一直飽受金融詐騙之苦，數位商品和遊戲貨幣的銷售使其成為洗錢的媒介。 1儘管尚未立法強制規定，但強化透明度框架能確保遊戲貨幣僅用於合法交易，而數位商品的銷售是為了滿足現實需要，並非掩護非法資金轉帳，因而減少金融詐騙和洗錢活動。 2運用強化透明度框架，電子遊戲產業可以確保加強監督和盡職調查，降低金融詐騙和洗錢風險。 遊戲業的發展 過去幾十年，電子遊戲技術已飛速發展。不幸的是，藉由此媒介進行的金融交易有可能被犯罪份子利用，就像將遊戲內通訊功能用於私密通訊目的一樣。 3電子遊戲透過直播等方式與用戶群體互動，此類新的互動方式將更進一步改變使用電子遊戲洗錢的方式。Twitch 是一個提供數位貨幣的電子遊戲直播平臺。 4不法分子可能透過該媒介洗錢。電子遊戲產業盛行各種不同的交易方法，從微軟、任天堂、索尼等各大公司為代表的單機遊戲，到 Google Play 商店和 Apple 應用商店提供的大量遊戲，無一例外。這些不同的方法創造出有利於滋生金融詐騙和洗錢的環境。例如，不法分子開發虛假的智慧裝置應用程序，定價遠遠高於平均成本，其目的是產生交易活動，用以掩蓋洗錢活動，類似於在亞馬遜上銷售假書的模式。 5此外，透過非法接管用戶賬戶，不法分子可以輕鬆獲得 Xbox 或索尼用戶的財務憑證，或者取得 Apple 應用商店用戶資訊。6, 7 從過去的經驗看來，洗錢的方法有很多種，在電子遊戲產業中，洗錢也非新鮮事。有證據顯示，小額交易和遊戲貨幣都被當作洗錢手段。 8在「Fortnite」這款遊戲中，客戶可以使用透過非法資金建立的賬戶來洗錢。 9此外，洗錢犯罪分子會利用允許用戶花錢購買超能力（指提升遊戲角色威力的機制）的免費遊戲來洗錢。隨後轉售這些資源，以此洗白原有的非法資金。 10鑒於實際發生的金融交易數量巨大，洗錢犯罪分子有充足的機會，混淆非法交易和合法金融活動。 強化透明度框架的構成要素 隨著電子遊戲產業在金融和社會方面的自然發展，我們應當實施強化透明度框架（如上圖 1所示），以阻止犯罪分子利用各種洗錢方法洗錢。電子遊戲產業的強化透明度框架應包括五種支援功能，結合不同的個人身份資訊 (PII) 來源及最新自動化技術。 要素 1：來自技術裝置的個人身份資訊 個人身份電子遊戲資訊 (PIVGI)11 可從以下不同來源收集： 用戶所在時區 登錄時間 用戶持續時間 所玩遊戲 所用設備類型 設備序列號 MAC 地址 電子遊戲公司用此資訊確保賬戶未被攻破，或者在重設密碼時驗證用戶身份。 12例如，如果有人不幸忘了 Xbox 遊戲機上的用戶賬戶資訊，則需要冗長的程序讓...