金融机构在运营过程中常常面临各种风险，其中，与金融犯罪和反洗钱相关的风险危害最大。此类风险不仅会导致金融机构面临巨额罚款，还可能损害其声誉。金融机构在为高风险客户开户或与之开展业务时极易面临这一风险——此类客户可能或已经参与洗钱或恐怖融资活动。 哪些人员属于高风险客户？ 在深入探讨如何管理高风险客户带来的风险前，首先需要明确“高风险客户”的定义。简单来说，高风险客户是指由于其职业性质、背景或地理位置等因素，更有可能参与金融犯罪或洗钱 / 恐怖融资活动或受其影响的个人或实体。同样，在金融机构使用某些产品和服务，以便为洗钱和恐怖融资相关活动提供便利的人员也属于高风险客户。不同司法管辖区的银行法规和法律要求对高风险客户的分类略有不同，但通常包括以下几类： 政治公众人物 高净值人士 货币服务企业 来自高风险司法管辖区的客户 与高风险行业相关的客户（如加密货币、贵金属和宝石经销商、赌场等） 从事现金密集型业务的客户（如自助洗衣店、赌场、便利店等） 武器制造商 大麻生产商和分销商 使用代理行服务的客户 什么是风险为本的尽职调查？ 为防范高风险客户带来的洗钱、恐怖融资和金融犯罪风险，金融机构会开展风险为本的尽职调查或增强尽职调查 (EDD)，以管理与高风险客户的关系，并评估是否应维持或终止客户关系。 风险为本的尽职调查是金融机构采取的定制化控制措施，用于根据客户对机构构成的风险对其进行审查和评估。机构根据客户的个人资料和背景信息对其进行风险评级（高 / 中 / 低或数值），据此开展所需程度的尽职调查，至少包括负面新闻调查、交易活动审查、交易监控警报审查、制裁名单筛查、过往可疑活动和交易报告等。 关于高风险客户的监管要求 大多数国家或地区的银行监管机构要求金融机构在为新客户开户前实施风险为本的尽职调查，并对高风险客户定期复查，以确保其风险在机构的可承受范围内。要求金融机构落实此类控制措施的部分关键法规包括美国《银行保密法》和《爱国者法》，其中规定“金融机构须制定经合理设计的增强尽职调查政策、程序和控制措施，以检测并报告通过这些账户进行的[洗钱]活动”。1 同样，加拿大《犯罪（洗钱）所得和恐怖融资法》也有类似要求，英国则通过 2017 年《洗钱法规》明确规定了相关义务。 尽管监管法规早已明确要求金融机构采取充分的风险为本的尽职调查控制措施，但金融机构因执行不力而被处以高额罚款的新闻屡见报端。最近受到严厉处罚的机构包括币安 (Binance)、Klarna Bank、美国国民城市银行和 Starling Bank，原因详见下表 1。 表 1：管理高风险客户带来的风险 这些案例的共同之处在于，上述金融机构缺乏有效的风险管理措施，未能识别、评估和缓释高风险客户带来的风险。这凸显了在金融机构内部培育稳健的风险管理文化的重要性，这有助于强化风险为本的尽职调查控制措施，以便持续审查和评估高风险客户。 风险管理方法 风险管理是指金融机构董事会（包括风险委员会）和管理层采取的战略性综合措施，旨在识别风险、评估已识别风险对机构实现其目标和愿景的影响、评估现有控制措施的有效性、制定或强化控制措施，并持续监控和报告措施的执行情况。风险管理是一个持续的过程，图 1 展示了这一活动的动态循环特征。 图 1：风险管理周期 资料来源和制图：Gauri Bapat 大型金融机构大都设有“第二道防线”(2LOD)...

“包容”近年来成为热词。西方近期致力于让所有社会成员——少数群体、老年人、身心障碍人士、女性、男性及其他群体——享有平等地位。相关社会运动旨在赋予全人类平等机会，力求消除一切阻碍发展的歧视与壁垒。 金融自然不可能置身事外，普惠金融的目标在于让尽可能多的人获得金融服务。 “去风险化”则一反其道。对于金融机构 (FI) 或其他参与打击金融犯罪的经营主体，这意味着退出特定业务或地区，甚至拒绝为被视为高风险的特定客户提供服务。1在某些情况下，潜在的财务或声誉损失的风险确实可能远大于产品带来的利润。企业要维持生存，首要考虑的是利润。去风险化能避免企业采取成本高昂的预防措施，且通常被视为是有利于企业的举措。 包容政策能产生凝聚效应，去风险化则会引发相反结果；因此我们可以认为，去风险化是对普惠金融的威胁。 这只是理论推演。那么在欧盟，现实情况如何？我们能从中总结出什么规律？ 从现实角度看，去风险化对普惠金融构成威胁。 表 1：去风险化类型及其对普惠金融的影响 企业追求利润最大化，往往倾向规避风险，但须兼顾国际法规要求。部分法规迫使金融机构退出特定领域，而另一些则鼓励其促进普惠金融发展。 制裁下的“被迫去风险化” 国际制裁机制直接导致企业撤资，加剧金融排斥现象。各国（尤其是欧盟成员国）均须遵守相关要求，包括限制甚至禁止在某些国家 / 地区或与某些客户 / 公司开展业务。伊朗就是金融排斥的一个典型。4 欧盟成员国必须遵守欧盟的国际制裁规定，此外还有美国或其他国家的制裁规定，如禁止进出口的产品（包括某些金融产品）清单或要求扣押其金融资产的人员名单。 遵守普惠金融立法 促进普惠金融的立法业已存在，企业别无选择。例如，欧盟关于支付账户的指令赋予人们基本支付账户的权利，无论其居住地或财务状况如何。5 这一立法保障所有人均能获得银行账户相关的基本服务，即使银行拒绝为其开户。该机制旨在确保金融普惠和社会包容，让每个人都能享受基本的银行服务。在法国，此类请求可提交法国央行，由央行指定金融机构以提供相关服务。这一机制并非随处可见。但评估反洗钱措施特设专家委员会 (MONEYVAL) 审查的几乎所有国家或地区都表示已制定相关政策和计划，以确保社会弱势群体（即移民务工人员、低收入者等）能够获得进入金融系统的基本途径。6 这些基本服务包括支付账户，消费者可存取现金或与第三方进行收付款交易，包括信用转账。尽管欧盟内部存在有关基本账户权利的法律规定，但经验和研究已经开始让人们意识到，贫困家庭需要获得全面的金融服务。 7 金融行动特别工作组 (FATF) 似乎已就该问题采取相关措施。FATF 是反洗钱和反恐融资领域的最高决策机构，其建议会纳入全球大多数国家或地区的立法之中。FATF 正考虑适度修改其建议，以减少去风险化。8 过度去风险化弊大于利（如果客户、某些产品 / 地区得不到银行服务，就会使用非正式金融等替代解决方案）。 据 FATF 报告，“2021 年 2 月，FATF 全体会议同意设立项目小组，以更好地分析和理解 FATF 标准及其实施带来的意外后果。该项目研究了与四大主题相关的意外后果”，其中包括 (1) 去风险化和 (2)...

A recent briefing, “The Threat from Within: A Growing Concern,” jointly published by ACAMS and Cifas, offered a framework for understanding the shifting landscape of risks posed by insiders operating within both public and private sector organizations. ACAMS 与 Cifas1 近期联合发布简报《内部威胁：日益凸显的隐患》2，梳理了公共和私营机构所面临的内部人员风险的格局变化。 内部威胁此前仅限于奸诈的内幕人员或心怀不满的员工，如今其定义已扩展至更广泛的风险范畴，即包括与外部威胁行为主体（如有组织犯罪团伙）的勾结、长期潜伏的“内鬼”（有时由国家行为主体安插）以及导致重大金融犯罪或网络安全管控失效的内部懈怠。本文通过剖析若干近期案例，揭示了由内部人员参与的欺诈、洗钱、网络犯罪及其他恶意计划所具有的广泛性、复杂性和跨行业特征，深入探讨了这一令人担忧的现象。 ACAMS 与 Cifas...

多年来，“了解您的客户”/ 相关尽职调查措施与防范欺诈流程一直被视为相互独立的职能。“了解您的客户”主要关注遵守某些反洗钱 (AML) 相关监管要求，而防范欺诈则注重实时阻止不法分子的犯罪行为。但如今，随着金融犯罪的快速演变（部分动力来自技术进步），这种分隔已没有意义；诈骗分子开始利用两者之间的分隔实施犯罪，监管机构明确指出，若不将两者关联起来，将付出高昂代价。 仅在 2024 年，美国监管机构就基于反洗钱 (AML) 和“了解您的客户”不合规1 开出超过 40 亿美元的罚款，这警示我们，未能整合防范欺诈和合规措施的机构正面临创纪录罚款。 关联实际身份和数字身份：新标准 随着银行的数字化转型，越来越难以区分“好”客户和“坏”客户。传统的身份验证方法（如护照、驾照和面对面核查）仍很有价值，但仅靠这些方法已显不足。 诈骗分子可能从暗网购买被盗身份，伪造合成身份，并使用人工智能 (AI) 生成深度伪造身份，从而操纵开户流程。 长期以来，诈骗团队一直采用先进方法，将实际身份和数字身份的属性整合起来，例如行为生物识别（包括移动使用模式、交易模式）、设备数据情报（包括 IP 风险评分）和地理位置跟踪（包括根据预期行为来评估登录模式）。“了解您的客户”团队应整合并利用反诈骗团队收集的数据和见解，加强自身的验证和尽职调查流程，避免不必要的重复工作。 高级分析：弥合“了解您的客户”与防范欺诈之间的差距 人工智能和机器学习的进步正在彻底改变实时评估风险的能力。反欺诈和“了解您的客户”数据集的规模庞大，十分复杂——一度被视为局限，而如今却转化为机遇，通过模型可以发现数据集内的异常信息，并检测出人工几乎无法识别的可疑模式。此外，高级分析可通过有效评估行为模式、交易异常 / 行为，同时运用情境因素（产品使用情况、客户资料）来识别欺诈行为，从而改进风险侦测。 过去，基于批处理的反洗钱 /“了解您的客户”(AML / KYC) 侦测平台无法进行实时欺诈侦测，但通过整合来自欺诈实时系统的信息，可显著加强反洗钱 /“了解您的客户”的工作。这是通过“了解您的客户”团队和反欺诈团队之间的共享技术平台实现的，据此可简化运营，减少冗余检查，提高整体效率。 最终，反欺诈团队和“了解您的客户”团队共享数据和见解后，机构就能通过共享身份信息更有效地关联看似不相关的账户，从而发现隐秘的不法分子网络，犯罪分子正是利用许多机构内部各自为战的状况隐藏了下来。 寻找平衡：安全无忧 通过整合“了解您的客户”和反欺诈措施，可提高安全性，尽可能降低风险，但必须在防范风险和用户体验之间取得适当平衡，避免给合法客户带来非必要打扰。 在开户和验证过程中，为了减轻客户负担，主要采用被动验证技术——在无需客户积极介入的情况下收集客户的数据和文档。利用这种被动技术，并辅以风险为本的身份验证方法，可确保尽可能避免给合法客户带来非必要打扰，同时有力防范不法分子。 风险为本的身份验证方法可用于确保安全措施与客户 / 产品的潜在风险相匹配。 为此，可使用风险为本的智能身份验证方法，确保所采用的安全措施与每次互动和相关客户的风险级别相匹配。机构应以动态方式衡量风险，这既可减少不必要的干扰，还可在适用情况下有效威慑诈骗分子。 若能妥善地将主动欺诈侦测与“了解您的客户”结合起来，可增强客户的信任，从而巩固长期关系，并保护金融机构免遭金融犯罪侵害。 结论：立即整合“了解您的客户”与反欺诈工作 随着新技术的出现，金融世界正在发生变化，为了与时俱进，不能再将“了解您的客户”与防范欺诈相互隔离。监管机构要求加强监管，与此同时，犯罪分子的技术手段越来越先进，并学会规避传统控制措施。因此，金融机构需要适应这种情况。 一个实用的解决方案是，金融机构加强反欺诈团队和“了解您的客户”(KYC) 团队之间的协作和合作，在“了解您的客户”的过程中，应当能够利用欺诈侦测活动中获得的宝贵见解和数据。通过有效整合共享数据，促进更全面的风险评估，并堵住犯罪分子利用的漏洞。 通过将客户数据、交易监控和数字身份验证关联起来，金融机构就能领先一步。金融机构现在就应该整合防范欺诈和“了解您的客户”工作，否则会付出高昂代价。 Vasilios...

本文是关于可疑活动报告 (SAR) 创新、优化与合作的第三篇，旨在提高打击金融犯罪的效率和有效性，该系列文章共分为三个部分。第一篇文章分两部分，分别发表在《今日 ACAMS》2024 年 12 月至 2025 年 2 月刊以及 ACAMSToday.org,1 上，主要探讨了如何优化提交给执法部门的可疑活动报告，即从执法部门的视角说明如何从银行业提交的大量报告中确定最有价值的可疑活动报告。第二篇文章发表在 2025 年 3 月-5 月版《今日 ACAMS》2 上，主要探讨金融机构 (FI) 如何优化报告信息，最大限度地提高报告对执法部门的有用性。现在，我们主要结合这两个主题，探讨提高该领域效率和有效性的最关键因素：公私合作。 背景 可疑活动报告是指金融机构和其他机构编制的监管报告，用于向执法部门 (LE) 通报已知或可疑的洗钱和/或其他金融犯罪。可疑活动报告以电子方式提交至金融犯罪执法网络 (FinCEN) 管理的电子储存库。执法部门——通常是指设在联邦机构内的专门部门——是可疑活动报告的主要使用者。 问题 在提交可疑活动报告后，提交者就丧失该报告权限——例如由谁访问、阅读、使用该报告等——这实际上形成一个单向的信息“黑洞”。根据联邦保密法，金融犯罪执法网络可疑活动报告数据库的访问权限受到极大限制，大多数州和地方执法部门都无权直接访问报告内容。在法庭诉讼中，也不可披露或接纳可疑活动报告。此类报告可用作启动或确认案件的线索，但根据保护提交者的安全港条款，不得以其他任何方式提及这些报告。该等必要保护措施在无意中阻碍了可疑活动报告的使用以及相关金融犯罪的反馈。克服这些障碍的最佳方法是金融机构和执法部门设立“金融犯罪联络簿”，以便提交者和接收者及时沟通。鉴于美国政府正在实施人员重组，银行聘用的调查员又具有临时性质，该联络簿必须保存多种信息，并及时更新，以确保在必要时能够快速联系到对方。 解决方案 为了鼓励共享信息，打通与可疑活动报告相关的知识孤岛，需要开展公私合作。 作为最基本的方法，金融机构和执法部门通过可疑活动报告审查小组以及共同建立的网络，合作打击金融犯罪。一般而言，美国联邦层级的每个司法管辖区都设有一个可疑活动报告审查小组，通常由美国国税局刑事调查处 (IRS-CI) 牵头。这些小组负责定期审查可疑活动报告，审查内容涵盖其司法管辖区内发生的特定事项和活动。可疑活动报告审查小组的组成人员包括可访问金融犯罪执法网络可疑活动报告数据库的联邦特工，以及州和地方机构内部负责处理金融犯罪案件的工作组成员。 地区会议 可疑活动报告审查小组定期召开会议，一起讨论可疑活动报告，但根据可疑活动报告保密法，这些会议必须保密。许多审查小组增设了公开反馈环节，在此期间内，金融机构可与团队成员就当前话题（如诈骗、支付渠道和其他时事）进行互动。北卡罗来纳州东区设立的可疑活动报告审查小组就是这种合作的典范。他们设有专用电子邮件地址 reportitnownc@ci.irs.gov，以便金融机构紧急上报可疑活动报告中的“热点”案件。可疑活动报告审查小组和其他执法部门也会联系金融机构，并通过作证传票程序获取可疑活动报告支持文件。这些互动应记录到内部的“金融犯罪联络簿”。 除了与可疑活动报告审查小组相关的会议外，许多地区还定期（每月或每季度）召开内部会议，参会者包括当地金融机构反洗钱 (AML) 和反欺诈部门的员工，以及联邦、州和地方机构中的执法部门代表。这些会议通常冠以“银行警报”“银行警示”或其他类似名称，旨在促进同行机构共享信息，以侦查和防范金融犯罪。此外还经常使用电子邮件列表服务器，以管理参会人员，以及查找其他机构或部门的联系信息。 金融犯罪执法网络合作计划 金融犯罪执法网络促使银行保密法咨询小组 (BSAAG) 和金融犯罪执法网络交流平台开展公私合作。...

近期案例分析，如中国香港1 和印度2 备受瞩目的人工智能 (AI) 驱动欺诈事件，凸显了人工智能驱动的金融犯罪威胁日益严重，尤其是在亚太地区。与此同时，一些领先的金融机构 (FI)3 正在采取人工智能增强型反洗钱 (AML) 制度体系，使用自然语言处理技术进行合规监控，并利用深度学习模型来侦查复杂金融网络中的非法资金流动。 为应对这些不断演变的威胁，金融机构必须负责任地将人工智能整合到现有的反洗钱框架之中。这包括持续监控、采用监管技术 (regtech)、与执法部门 (LE) 开展合作，以及根据《银行保密法》和金融行动特别工作组 (FATF) 建议等全球合规标准定期评估风险。通过实施人工智能驱动的反洗钱策略，金融机构可增强欺诈侦测，提高合规效率，维护全球金融体系的完整性。 反洗钱合规中的人工智能 人工智能在反洗钱合规领域中的应用彻底改变了金融机构侦测和管理非法金融活动的方式。监管机构4,5 和金融机构6 正利用人工智能驱动工具来主动侦测异常情况并阻止非法金融活动，包括机器学习算法、实时交易监控、行为分析等。 机器学习算法：这些算法可以分析大量数据，识别出可能表明存在洗钱活动的异常模式和行为。通过从新数据中持续学习，机器学习模型可以适应新兴威胁，并逐渐提高侦测准确性。 实时监控交易：这些系统利用高级分析技术来标记偏离既定模式的交易，以便立即进行调查和采取行动。这种主动方法有助于在洗钱活动升级为更严重的金融犯罪之前加以阻断。 通过人工智能缓释风险：人工智能可高速处理海量数据，使其成为金融界缓释风险的宝贵工具。金融机构[1]正利用人工智能来增强其风险评估流程，确保及时发现和应对潜在威胁。 行为分析：人工智能驱动的行为分析可分析客户和员工的行为，发现可能表明存在欺诈活动的异常情况。对照正常行为模式，人工智能可侦测出可能表明存在洗钱企图的异常情况，以便金融机构采取防范措施。 增强尽职调查：借助人工智能驱动的增强尽职调查流程，金融机构能够对高风险客户实施深入的背景核实。通过交叉引用多个数据源，人工智能可全面了解客户风险状况，帮助金融机构就其业务关系做出明智决策。 本文探讨了将人工智能整合到有效反洗钱策略的四大关键支柱：合规与监管协调；培训与意识；持续测试与改进；以及事件响应与报告。 1. 合规与监管协调 为了维持合规与监管协调，建议金融机构按照金融行动特别工作组 (FATF)《反洗钱/反恐融资 (CTF) 合规手册》的规定8 ，记录人工智能驱动流程，以确保透明度，并遵守监管机构指南。 在设计人工智能系统时应遵守本地和国际反洗钱法规，包括金融行动特别工作组建议9 以及欧洲证券和市场管理局 (ESMA)《金融工具市场指令 II》(MiFID II)10 的要求，以确保遵守不断变化的合规要求。开发可解释框架至关重要，以便监管机构和利益相关者能够理解人工智能驱动决策，并遵循美国国防高级研究计划局 (DARPA)11 制定的可解释人工智能原则。此外，还必须定期更新人工智能系统，以反映监管变化和新兴洗钱威胁，并利用巴塞尔反洗钱指数12 等资源，及时应对不断变化的风险和合规期望。 作为良好实践，鼓励金融机构确保其人工智能驱动反洗钱策略符合监管要求和行业标准。这包括持续监控、采用监管科技，以及维持人工智能模型的透明度和可解释性。 例如，欧洲中央银行13 等金融监管机构要求金融机构提供人工智能决策流程的详细记录，以确保监管合规。一些司法管辖区要求建立可解释框架，确保人工智能驱动的反洗钱工具能够提供人类可解释的输出，以便实施监管监督和提交合规报告。 通过开发人工智能的可解释结构化框架，监管机构和利益相关者能够理解决策过程。此外，必须定期更新人工智能系统，以反映监管变化和新兴洗钱威胁，并利用来自全球金融情报机构的数据，及时应对不断变化的风险。...

随着金融犯罪形势的不断演变，对全球经济活动的威胁也在加速升级。对于反金融犯罪 (AFC) 领域的专业人士而言，携手应对这些挑战比以往任何时候都更加重要。今年年初，ACAMS 发布了第二份年度全球反金融犯罪威胁报告。本报告基于来自 200 多个司 本报告基于来自 200 多个司法管辖区和地区的反金融犯罪（AFC）专业人士的见解，重点分析了未来一年面临的关键风险和十大主要威胁。报告 Leverage industry insights to shape the future of financial crime prevention. 随着金融犯罪形势的不断演变，对全球经济活动的威胁也在加速升级。对于反金融犯罪 (AFC) 领域的专业人士而言，携手应对这些挑战比以往任何时候都更加重要。 今年年初，ACAMS 发布了第二份年度全球反金融犯罪威胁报告。本报告基于来自 200 多个司法管辖区和地区的反金融犯罪 (AFC) 专业人士的见解，重点分析了未来一年面临的关键风险和十大主要威胁。报告的见解来源于超过 1,500 名来自各行业和领域的反金融犯罪专业人士的调查反馈、会议对话以及在主要金融中心举办的高层圆桌会议。 作为全球反金融犯罪（AFC）社区的代表，ACAMS 致力于促进合作与知识共享，以应对不断变化的金融犯罪形势。 全球反金融犯罪主要威胁及趋势 一、电信新型网络欺诈呈高发态势 欺诈、技术手段与有组织犯罪深度融合，欺诈成为全球最严峻的金融犯罪威胁。犯罪分子借助社交媒体、即时通讯软件，利用生成式人工智能和加密资产等技术实施犯罪。如在杀猪盘、投资欺诈等案件中，通过精准的社会工程学手段锁定目标，诱导受害者主动转账，犯罪规模和复杂性剧增，全球涉案金额达数百亿美元。 二、制裁与出口管制规避手段复杂 制裁与出口管制规避涉及多方风险，位于诸多威胁的交叉点。犯罪分子利用复杂的交易结构和技术手段，通过多层法律实体、多个司法管辖区转移资金，伪造发票和文件掩盖交易的真实目的和参与方。在对俄制裁背景下，次级制裁风险的扩大使合规难度进一步提升。 三、地缘政治冲突影响加剧 地缘政治紧张局势、冲突和政治暴力加剧，导致全球经济和贸易关系碎片化，增加了“法律冲突”风险和声誉风险。不同国家法律规定存在差异，金融机构在开展跨境业务时，可能面临遵守一国法律却违反另一国法律的困境，同时，与特定客户或在特定地区开展业务可能引发负面舆论，影响机构声誉。 四、人工智能犯罪滥用风险凸显 犯罪分子利用人工智能提升犯罪活动的速度、规模和复杂性，恶意使用生成式人工智能进行深度伪造欺诈、开发恶意软件、实施社会工程攻击等。金融机构在客户身份认证、交易监测等环节面临巨大挑战，且与犯罪分子在人工智能应用上的差距逐渐拉大。 五、地下银行活动猖獗 地下银行通过多种形式协助非法资金转移，从传统的哈瓦拉网络、现金走私到现代的镜像交易、加密资产交易，切断了执法部门追踪资金的线索。在中国，地下钱庄常与跨境赌博、毒品犯罪等活动勾结，严重扰乱金融秩序。 登录以了解关键要点并阅读全文。...

当前，人工智能在提升效率和降低成本方面展现出了巨大潜力，成为各界广泛讨论的焦点。其在反金融犯罪流程中的应用同样备受关注。 “了解您的客户”(KYC) 和交易监控流程涉及海量数据，因此，将这些流程与 AI 的强大能力相结合有望带来显著的优势。AI 能够即时回答问题并分析大量文本和数值数据。 然而，人工智能大规模应用的挑战同样引发热议。利益相关方认为人工智能模型缺乏透明度，并表达了对数据保护和隐私的担忧。 早在 2017 年，麦肯锡公司就发布了一项研究1 ，指出合规团队中存在的各种低效问题，包括工作分散化、人工流程和海量数据。2 然而，采用人工智能技术的进展较为缓慢，直到最近，大型银行才开始探索和测试将人工智能整合至其反金融犯罪制度体系中的方法。相比之下，金融科技公司的举措更为大胆。3 随着欧盟在 2018 年和 2024 年分别颁布数据保护和人工智能法规，这些强有力的监管框架提供了必要的保障，预计未来几年金融行业将加快应用人工智能的步伐，实现快速且定制化的应用。 本文将探讨人工智能和数据隐私法规如何应对人工智能应用带来的问题，并分析义务实体如何针对人工智能模型和监管科技工具建立适当的治理机制，优化反金融犯罪制度体系，同时保护隐私权并降低与人工智能相关的其他风险。 欧盟《人工智能法案》及其在反金融犯罪制度体系中的适用性 欧盟《人工智能法案》于 2024 年 8 月 1 日正式生效，该法案将人工智能系统的一个关键特征定义为：系统通过机器学习具备学习、推理和建模的能力。它能够从输入的数据中推导出模型和算法，并生成能够影响物理和虚拟环境的预测、内容、建议或决策等输出。根据《人工智能法案》第 12 条，人工智能系统能根据其自我学习能力以不同程度自主运行，在运行过程中不断调整和优化自身。4 欧盟《人工智能法案》的附件三规定了人工智能系统的不同风险类别（见下图 1）。高风险人工智能系统包括“供执法部门或代表执法部门使用的人工智能系统，或供支持执法部门或代表执法部门的欧盟机构、机关、办公室或专业机构使用的人工智能系统，以评估自然人成为刑事犯罪受害者的风险”，如纳入反洗钱 / 反恐融资合规制度体系的系统。 5 用于反洗钱 / 反恐融资的人工智能系统属于高风险系统，因此在获准上市之前需符合相关要求。6 高风险人工智能系统的监管规定将于 2026 年至 2027 年间生效。7 风险类别详见下图 1。8 图 1：欧盟《人工智能法案》规定的人工智能系统风险类别 ...

本系列的前两篇文章分别发表在《今日 ACAMS》1 2024 年 12 月至 2025 年 2 月刊以及 ACAMSToday.org2上，主要探讨了如何优化提交给执法部门的可疑活动报告，即从执法部门的视角说明如何从银行业提交的大量报告中确定最有价值的可疑活动报告。现在，我们将重点转向可疑活动报告的主要来源——金融机构，探讨其如何优化报告信息，最大限度地提高报告对执法部门的有用性。 背景 从早期的“犯罪转交表”到如今电子提交的可疑活动报告，金融机构一直是美国打击洗钱和恐怖融资的中坚力量。尽管多年来金融机构及其产品和服务的规模和复杂性不断变化，但可疑活动报告提交要求和相关指导原则却停滞不前。金融犯罪执法网络 (FinCEN) 的统计数据3 显示，可疑活动报告提交数量近年来呈指数级增长，银行合规团队早已疲于应付反洗钱 / 银行保密法的监管和审计要求，引发了外界对报告实际价值的疑问。 金融犯罪执法网络《拟议规则制定公告》——“高度有用” 截至本文撰写时，一个尚未最终确定的希望来源是金融犯罪执法网络于 2024 年 7 月发布的《拟议规则制定公告》，题为《关于加强金融机构反洗钱 / 反恐融资制度体系并实现现代化的拟议规则》4 。该文件提出建立检查员培训机制，“关注反洗钱 / 反恐融资制度的整体有效性，并考虑其输出的高度有用性”。该规则的一项关键条款是，金融机构需要根据已知或检测到的威胁模式或趋势，审查和评估其向金融犯罪执法网络提交的报告，这一要求“有助于减少所谓的‘防御性’可疑活动报告，并专注于生成对相关政府机构高度有用的报告”。 如果发布最终规则并确立检查员培训机制，金融犯罪执法网络可以根据新规制定并发布更新的可疑活动报告提交指南，供金融机构参考。该指南还应纳入美国联邦金融机构检查委员会 (FFIEC) 的《银行保密法 / 反洗钱检查手册》5 ，以便金融机构按照最新标准和最佳实践开展检查。 在审查可疑活动报告以识别威胁模式和趋势时，联邦监管机构应鼓励金融机构重新评估当前的交易监控规则和模型，确保报告符合金融犯罪执法网络的国家优先事项6 和其他最近发布的公告类型7（如支票欺诈、老年人钱财诈骗和芬太尼贩运），从而“识别可疑金融活动，更有效地将银行资源集中于反洗钱任务，提高执法部门调查的成功率。”这将减少所谓的“防御性可疑活动报告”——此类报告虽然通过“照章办事”满足了监管或审计要求，但对执法部门而言没有实际价值，且相关活动对金融机构本身也不构成风险。最终目标是提交数量更少但质量更高的可疑活动报告，以避免信息泛滥对执法部门调查效率的负面影响。 可疑活动报告叙述内容 确定了需要提交的可疑活动报告后，金融机构下一步应优化报告内容（同时摒弃过时的做法）。根据与执法部门多次交流所收集的信息，执法人员认为叙述部分最有用的内容包括： 先前可疑活动报告提交文件控制编号、逮捕或定罪记录以及负面新闻搜索结果； 交易对手信息及其相关负面新闻搜索结果； 受益所有权信息； 实体的所有权结构和注册详情； 空壳公司信息； 受害者信息（人口统计信息，如姓名、社会保障号...

误报警示——即系统将正常行为标记为可疑的事件——是多数反金融犯罪专业人士面临的重大难题。即便活动本身正常，反金融犯罪工作人员仍需逐一审查并记录其正常性质。这项工作不仅会增加预算，而且枯燥乏味。审查成千上万笔常规交易容易导致职业倦怠，进而引发人员流失，而这又需要重新培训新员工，如此循环往复。因此，减少误报成为首要任务，误报越少，便能腾出越多资源用于高效的调查。 尽管误报存在诸多弊端，却也有积极作用。例如，误报是自动化交易监控系统的必然副产品。若无计算机化系统，银行只能人工审查交易以排查可疑活动，这将是一项极其繁琐的工作。此外，误报还是绝佳的培训工具。高级调查员的能力并非与生俱来，正是通过分析真实与误报警报，学会区分正常交易和犯罪行为的。 当然，银行也不希望反金融犯罪专业人员深陷繁杂事务，但完全消除误报绝非正确的目标。相反，银行应专注于采取策略加以管理。 Popper 的天鹅 要讨论误报，我们先从它们的起源说起。自动化交易监控工具旨在识别可疑活动，但会不可避免地产生两类错误。第一种被称为“第一类错误”，即我们所熟悉的误报。这一术语源于统计学中的假设检验。假设检验的基本前提是观察并非证明。要仅凭观察来证实某事，就需要在所有情况下、所有场景中都观察到该现象，这对人类或计算机来说都是不可能的。然而，人类可以通过单一观察来证伪一件事。正如哲学家 Karl Popper所解释的，观察到白天鹅并不能证明“所有天鹅都是白色的”，但只需发现一只黑天鹅就可以推翻这个说法。1 假设检验始于一个关于总体特征的假设或理论。就像 Popper 的白天鹅一样，我们试图推翻这个理论。这个可证伪的假设被称为“零假设”。当我们在假设检验中成功地推翻了零假设，检验便是成功的，就像 Popper 的黑天鹅一样。 我们可以把交易监控规则视为一种假设检验。如果我想识别通过现金存款拆分交易以逃避现金交易报告的犯罪行为，我的零假设便是这些结构化交易并不可疑。我的样本基于试图进行拆分交易的客户典型行为。这种行为可能包括客户在一天内进行了多次现金交易，每笔金额都低于 10,000 美元，但总额超过 10,000 美元。当我的交易监控系统生成警报时，它实际上是通过声称“这笔交易可疑”来拒绝零假设。当调查员处理警报并认定交易“不可疑”时，我们得出的结论是：系统产生了第一类错误，即误报，因为它错误地拒绝了零假设。 逆向错误 假设检验的一大优势在于，它能够在不观察总体的情况下得出关于总体特征的结论。这一过程被称为“抽样”，尽管有用，却也伴随着风险。我们如何确保样本能够充分代表总体？假设检验通过评估样本出错的可能性来应对这一风险。检验的设计部分包括确定检验错误拒绝零假设（即产生第一类错误）的频率。第一类错误的发生率被称为检验的阿尔法值 (ɑ)。预期阿尔法值与实际阿尔法值之间的关系能够告知研究者样本是否可靠。如果误报的数量低于检验预期阿尔法值，研究者便可以认为检验所用的样本是可靠的，其结论可以合理地推广至整体。一般假设检验的默认阿尔法值为 5%。 大多数反金融犯罪专业人士都希望交易监控检验能达到这一水平，因为多数反洗钱模型的误报率通常高达 95%。2 为何如此？金融行业对误报的高容忍度，源于这些检验还存在另一种错误：第二类错误，即“漏报”。漏报是指系统本应发出警报的交易却未触发警报，也就是说，检验在本应拒绝零假设时未能拒绝。 第二类错误的发生率被称为检验的贝塔值 (β)。检验的阿尔法值与贝塔值之间呈反比关系。检验产生的误报越多，出现漏报的可能性就越低。因此，金融机构在实践中容忍较高的阿尔法值，因为我们无法接受较高的贝塔值——我们不愿遗漏任何可疑活动。 遗憾的是，遗漏可疑活动的情况很容易发生。事实是，大多数银行交易都是正常的——零假设是正确的。当某一事件的发生概率很低时，例如数十万客户中仅有一名是犯罪分子，要发现这种低概率事件就需要足够大的样本量，而这必然包含大量误报。 遗憾的是，遗漏可疑活动的情况很容易发生。事实是，大多数银行交易都是正常的——零假设是正确的。当某一事件的发生概率很低时，例如数十万客户中仅有一名是犯罪分子，要发现这种低概率事件就需要足够大的样本量，而这必然包含大量误报。3 美联储在其模型风险管理指导中表示：“所有模型都存在一定程度的不确定性和不准确性，因为它们本质上是对现实的简化和模拟。”4 监管机构并不要求完美，而是希望银行清楚交易监控系统生成误报和漏报的方式。因此，作为终端用户，您的目标不应是消除误报或漏报，这是不现实的。相反，您应该了解工具产生的误报和漏报数量，并确保监控系统的误报率和漏报率保持在可控水平。 金融犯罪中的人工智能现实——人类判断仍然重要 您是否熟悉人工智能的炒作周期？Gartner 将其描述为围绕使用人工智能工具所产生的进展与兴奋情绪。5 其特点是先经历一段乐观期，随后出现不切实际的期望，最终达到与现实相匹配的平衡阶段。6 随着人工智能继续占据新闻头条并融入我们的日常生活，我们可能正接近“期望膨胀的顶峰”，即期望超出现实。 金融机构也不例外。银行正在广泛采用人工智能工具以辅助交易监控、欺诈检测和警报分类，期望去除人工监控并大幅减少误报。然而，现实是，人工智能并非万能，它也带来了一些关键问题。人工智能工具和传统的基于规则和人工的方法一样，容易产生误报和漏报。当人工智能进入理想化阶段时，金融机构必须谨慎行事，并评估用人工智能替代人类监控的趋势。 人工智能在打击金融犯罪的持续战斗中确实能发挥重要作用，特别是在模式识别方面。然而，一个主要问题是，人工智能缺乏资深反金融犯罪调查人员所具备的理解复杂背景信息和作出细致判断的能力。人工智能工具根本无法匹敌人类分析全局的能力。 例如，假设一位客户 John Doe 正在拆分交易一系列低价值现金存款，每笔都略低于 10,000 美元的阈值，将其分散在看似属于不同企业的账户中，如“John 家电”和“Doe...