随着金融犯罪形势的不断演变，对全球经济活动的威胁也在加速升级。对于反金融犯罪 (AFC) 领域的专业人士而言，携手应对这些挑战比以往任何时候都更加重要。今年年初，ACAMS 发布了第二份年度全球反金融犯罪威胁报告。本报告基于来自 200 多个司 本报告基于来自 200 多个司法管辖区和地区的反金融犯罪（AFC）专业人士的见解，重点分析了未来一年面临的关键风险和十大主要威胁。报告 Leverage industry insights to shape the future of financial crime prevention. 随着金融犯罪形势的不断演变，对全球经济活动的威胁也在加速升级。对于反金融犯罪 (AFC) 领域的专业人士而言，携手应对这些挑战比以往任何时候都更加重要。 今年年初，ACAMS 发布了第二份年度全球反金融犯罪威胁报告。本报告基于来自 200 多个司法管辖区和地区的反金融犯罪 (AFC) 专业人士的见解，重点分析了未来一年面临的关键风险和十大主要威胁。报告的见解来源于超过 1,500 名来自各行业和领域的反金融犯罪专业人士的调查反馈、会议对话以及在主要金融中心举办的高层圆桌会议。 作为全球反金融犯罪（AFC）社区的代表，ACAMS 致力于促进合作与知识共享，以应对不断变化的金融犯罪形势。 全球反金融犯罪主要威胁及趋势 一、电信新型网络欺诈呈高发态势 欺诈、技术手段与有组织犯罪深度融合，欺诈成为全球最严峻的金融犯罪威胁。犯罪分子借助社交媒体、即时通讯软件，利用生成式人工智能和加密资产等技术实施犯罪。如在杀猪盘、投资欺诈等案件中，通过精准的社会工程学手段锁定目标，诱导受害者主动转账，犯罪规模和复杂性剧增，全球涉案金额达数百亿美元。 二、制裁与出口管制规避手段复杂 制裁与出口管制规避涉及多方风险，位于诸多威胁的交叉点。犯罪分子利用复杂的交易结构和技术手段，通过多层法律实体、多个司法管辖区转移资金，伪造发票和文件掩盖交易的真实目的和参与方。在对俄制裁背景下，次级制裁风险的扩大使合规难度进一步提升。 三、地缘政治冲突影响加剧 地缘政治紧张局势、冲突和政治暴力加剧，导致全球经济和贸易关系碎片化，增加了“法律冲突”风险和声誉风险。不同国家法律规定存在差异，金融机构在开展跨境业务时，可能面临遵守一国法律却违反另一国法律的困境，同时，与特定客户或在特定地区开展业务可能引发负面舆论，影响机构声誉。 四、人工智能犯罪滥用风险凸显 犯罪分子利用人工智能提升犯罪活动的速度、规模和复杂性，恶意使用生成式人工智能进行深度伪造欺诈、开发恶意软件、实施社会工程攻击等。金融机构在客户身份认证、交易监测等环节面临巨大挑战，且与犯罪分子在人工智能应用上的差距逐渐拉大。 五、地下银行活动猖獗 地下银行通过多种形式协助非法资金转移，从传统的哈瓦拉网络、现金走私到现代的镜像交易、加密资产交易，切断了执法部门追踪资金的线索。在中国，地下钱庄常与跨境赌博、毒品犯罪等活动勾结，严重扰乱金融秩序。 登录以了解关键要点并阅读全文。...

当前，人工智能在提升效率和降低成本方面展现出了巨大潜力，成为各界广泛讨论的焦点。其在反金融犯罪流程中的应用同样备受关注。 “了解您的客户”(KYC) 和交易监控流程涉及海量数据，因此，将这些流程与 AI 的强大能力相结合有望带来显著的优势。AI 能够即时回答问题并分析大量文本和数值数据。 然而，人工智能大规模应用的挑战同样引发热议。利益相关方认为人工智能模型缺乏透明度，并表达了对数据保护和隐私的担忧。 早在 2017 年，麦肯锡公司就发布了一项研究1 ，指出合规团队中存在的各种低效问题，包括工作分散化、人工流程和海量数据。2 然而，采用人工智能技术的进展较为缓慢，直到最近，大型银行才开始探索和测试将人工智能整合至其反金融犯罪制度体系中的方法。相比之下，金融科技公司的举措更为大胆。3 随着欧盟在 2018 年和 2024 年分别颁布数据保护和人工智能法规，这些强有力的监管框架提供了必要的保障，预计未来几年金融行业将加快应用人工智能的步伐，实现快速且定制化的应用。 本文将探讨人工智能和数据隐私法规如何应对人工智能应用带来的问题，并分析义务实体如何针对人工智能模型和监管科技工具建立适当的治理机制，优化反金融犯罪制度体系，同时保护隐私权并降低与人工智能相关的其他风险。 欧盟《人工智能法案》及其在反金融犯罪制度体系中的适用性 欧盟《人工智能法案》于 2024 年 8 月 1 日正式生效，该法案将人工智能系统的一个关键特征定义为：系统通过机器学习具备学习、推理和建模的能力。它能够从输入的数据中推导出模型和算法，并生成能够影响物理和虚拟环境的预测、内容、建议或决策等输出。根据《人工智能法案》第 12 条，人工智能系统能根据其自我学习能力以不同程度自主运行，在运行过程中不断调整和优化自身。4 欧盟《人工智能法案》的附件三规定了人工智能系统的不同风险类别（见下图 1）。高风险人工智能系统包括“供执法部门或代表执法部门使用的人工智能系统，或供支持执法部门或代表执法部门的欧盟机构、机关、办公室或专业机构使用的人工智能系统，以评估自然人成为刑事犯罪受害者的风险”，如纳入反洗钱 / 反恐融资合规制度体系的系统。 5 用于反洗钱 / 反恐融资的人工智能系统属于高风险系统，因此在获准上市之前需符合相关要求。6 高风险人工智能系统的监管规定将于 2026 年至 2027 年间生效。7 风险类别详见下图 1。8 图 1：欧盟《人工智能法案》规定的人工智能系统风险类别 ...

本系列的前两篇文章分别发表在《今日 ACAMS》1 2024 年 12 月至 2025 年 2 月刊以及 ACAMSToday.org2上，主要探讨了如何优化提交给执法部门的可疑活动报告，即从执法部门的视角说明如何从银行业提交的大量报告中确定最有价值的可疑活动报告。现在，我们将重点转向可疑活动报告的主要来源——金融机构，探讨其如何优化报告信息，最大限度地提高报告对执法部门的有用性。 背景 从早期的“犯罪转交表”到如今电子提交的可疑活动报告，金融机构一直是美国打击洗钱和恐怖融资的中坚力量。尽管多年来金融机构及其产品和服务的规模和复杂性不断变化，但可疑活动报告提交要求和相关指导原则却停滞不前。金融犯罪执法网络 (FinCEN) 的统计数据3 显示，可疑活动报告提交数量近年来呈指数级增长，银行合规团队早已疲于应付反洗钱 / 银行保密法的监管和审计要求，引发了外界对报告实际价值的疑问。 金融犯罪执法网络《拟议规则制定公告》——“高度有用” 截至本文撰写时，一个尚未最终确定的希望来源是金融犯罪执法网络于 2024 年 7 月发布的《拟议规则制定公告》，题为《关于加强金融机构反洗钱 / 反恐融资制度体系并实现现代化的拟议规则》4 。该文件提出建立检查员培训机制，“关注反洗钱 / 反恐融资制度的整体有效性，并考虑其输出的高度有用性”。该规则的一项关键条款是，金融机构需要根据已知或检测到的威胁模式或趋势，审查和评估其向金融犯罪执法网络提交的报告，这一要求“有助于减少所谓的‘防御性’可疑活动报告，并专注于生成对相关政府机构高度有用的报告”。 如果发布最终规则并确立检查员培训机制，金融犯罪执法网络可以根据新规制定并发布更新的可疑活动报告提交指南，供金融机构参考。该指南还应纳入美国联邦金融机构检查委员会 (FFIEC) 的《银行保密法 / 反洗钱检查手册》5 ，以便金融机构按照最新标准和最佳实践开展检查。 在审查可疑活动报告以识别威胁模式和趋势时，联邦监管机构应鼓励金融机构重新评估当前的交易监控规则和模型，确保报告符合金融犯罪执法网络的国家优先事项6 和其他最近发布的公告类型7（如支票欺诈、老年人钱财诈骗和芬太尼贩运），从而“识别可疑金融活动，更有效地将银行资源集中于反洗钱任务，提高执法部门调查的成功率。”这将减少所谓的“防御性可疑活动报告”——此类报告虽然通过“照章办事”满足了监管或审计要求，但对执法部门而言没有实际价值，且相关活动对金融机构本身也不构成风险。最终目标是提交数量更少但质量更高的可疑活动报告，以避免信息泛滥对执法部门调查效率的负面影响。 可疑活动报告叙述内容 确定了需要提交的可疑活动报告后，金融机构下一步应优化报告内容（同时摒弃过时的做法）。根据与执法部门多次交流所收集的信息，执法人员认为叙述部分最有用的内容包括： 先前可疑活动报告提交文件控制编号、逮捕或定罪记录以及负面新闻搜索结果； 交易对手信息及其相关负面新闻搜索结果； 受益所有权信息； 实体的所有权结构和注册详情； 空壳公司信息； 受害者信息（人口统计信息，如姓名、社会保障号...

误报警示——即系统将正常行为标记为可疑的事件——是多数反金融犯罪专业人士面临的重大难题。即便活动本身正常，反金融犯罪工作人员仍需逐一审查并记录其正常性质。这项工作不仅会增加预算，而且枯燥乏味。审查成千上万笔常规交易容易导致职业倦怠，进而引发人员流失，而这又需要重新培训新员工，如此循环往复。因此，减少误报成为首要任务，误报越少，便能腾出越多资源用于高效的调查。 尽管误报存在诸多弊端，却也有积极作用。例如，误报是自动化交易监控系统的必然副产品。若无计算机化系统，银行只能人工审查交易以排查可疑活动，这将是一项极其繁琐的工作。此外，误报还是绝佳的培训工具。高级调查员的能力并非与生俱来，正是通过分析真实与误报警报，学会区分正常交易和犯罪行为的。 当然，银行也不希望反金融犯罪专业人员深陷繁杂事务，但完全消除误报绝非正确的目标。相反，银行应专注于采取策略加以管理。 Popper 的天鹅 要讨论误报，我们先从它们的起源说起。自动化交易监控工具旨在识别可疑活动，但会不可避免地产生两类错误。第一种被称为“第一类错误”，即我们所熟悉的误报。这一术语源于统计学中的假设检验。假设检验的基本前提是观察并非证明。要仅凭观察来证实某事，就需要在所有情况下、所有场景中都观察到该现象，这对人类或计算机来说都是不可能的。然而，人类可以通过单一观察来证伪一件事。正如哲学家 Karl Popper所解释的，观察到白天鹅并不能证明“所有天鹅都是白色的”，但只需发现一只黑天鹅就可以推翻这个说法。1 假设检验始于一个关于总体特征的假设或理论。就像 Popper 的白天鹅一样，我们试图推翻这个理论。这个可证伪的假设被称为“零假设”。当我们在假设检验中成功地推翻了零假设，检验便是成功的，就像 Popper 的黑天鹅一样。 我们可以把交易监控规则视为一种假设检验。如果我想识别通过现金存款拆分交易以逃避现金交易报告的犯罪行为，我的零假设便是这些结构化交易并不可疑。我的样本基于试图进行拆分交易的客户典型行为。这种行为可能包括客户在一天内进行了多次现金交易，每笔金额都低于 10,000 美元，但总额超过 10,000 美元。当我的交易监控系统生成警报时，它实际上是通过声称“这笔交易可疑”来拒绝零假设。当调查员处理警报并认定交易“不可疑”时，我们得出的结论是：系统产生了第一类错误，即误报，因为它错误地拒绝了零假设。 逆向错误 假设检验的一大优势在于，它能够在不观察总体的情况下得出关于总体特征的结论。这一过程被称为“抽样”，尽管有用，却也伴随着风险。我们如何确保样本能够充分代表总体？假设检验通过评估样本出错的可能性来应对这一风险。检验的设计部分包括确定检验错误拒绝零假设（即产生第一类错误）的频率。第一类错误的发生率被称为检验的阿尔法值 (ɑ)。预期阿尔法值与实际阿尔法值之间的关系能够告知研究者样本是否可靠。如果误报的数量低于检验预期阿尔法值，研究者便可以认为检验所用的样本是可靠的，其结论可以合理地推广至整体。一般假设检验的默认阿尔法值为 5%。 大多数反金融犯罪专业人士都希望交易监控检验能达到这一水平，因为多数反洗钱模型的误报率通常高达 95%。2 为何如此？金融行业对误报的高容忍度，源于这些检验还存在另一种错误：第二类错误，即“漏报”。漏报是指系统本应发出警报的交易却未触发警报，也就是说，检验在本应拒绝零假设时未能拒绝。 第二类错误的发生率被称为检验的贝塔值 (β)。检验的阿尔法值与贝塔值之间呈反比关系。检验产生的误报越多，出现漏报的可能性就越低。因此，金融机构在实践中容忍较高的阿尔法值，因为我们无法接受较高的贝塔值——我们不愿遗漏任何可疑活动。 遗憾的是，遗漏可疑活动的情况很容易发生。事实是，大多数银行交易都是正常的——零假设是正确的。当某一事件的发生概率很低时，例如数十万客户中仅有一名是犯罪分子，要发现这种低概率事件就需要足够大的样本量，而这必然包含大量误报。 遗憾的是，遗漏可疑活动的情况很容易发生。事实是，大多数银行交易都是正常的——零假设是正确的。当某一事件的发生概率很低时，例如数十万客户中仅有一名是犯罪分子，要发现这种低概率事件就需要足够大的样本量，而这必然包含大量误报。3 美联储在其模型风险管理指导中表示：“所有模型都存在一定程度的不确定性和不准确性，因为它们本质上是对现实的简化和模拟。”4 监管机构并不要求完美，而是希望银行清楚交易监控系统生成误报和漏报的方式。因此，作为终端用户，您的目标不应是消除误报或漏报，这是不现实的。相反，您应该了解工具产生的误报和漏报数量，并确保监控系统的误报率和漏报率保持在可控水平。 金融犯罪中的人工智能现实——人类判断仍然重要 您是否熟悉人工智能的炒作周期？Gartner 将其描述为围绕使用人工智能工具所产生的进展与兴奋情绪。5 其特点是先经历一段乐观期，随后出现不切实际的期望，最终达到与现实相匹配的平衡阶段。6 随着人工智能继续占据新闻头条并融入我们的日常生活，我们可能正接近“期望膨胀的顶峰”，即期望超出现实。 金融机构也不例外。银行正在广泛采用人工智能工具以辅助交易监控、欺诈检测和警报分类，期望去除人工监控并大幅减少误报。然而，现实是，人工智能并非万能，它也带来了一些关键问题。人工智能工具和传统的基于规则和人工的方法一样，容易产生误报和漏报。当人工智能进入理想化阶段时，金融机构必须谨慎行事，并评估用人工智能替代人类监控的趋势。 人工智能在打击金融犯罪的持续战斗中确实能发挥重要作用，特别是在模式识别方面。然而，一个主要问题是，人工智能缺乏资深反金融犯罪调查人员所具备的理解复杂背景信息和作出细致判断的能力。人工智能工具根本无法匹敌人类分析全局的能力。 例如，假设一位客户 John Doe 正在拆分交易一系列低价值现金存款，每笔都略低于 10,000 美元的阈值，将其分散在看似属于不同企业的账户中，如“John 家电”和“Doe...

金融犯罪执法网络 (FinCEN) 于 2020 年 9 月发布了标题为《反洗钱制度体系的有效性》的拟议规则制定预告 (ANPRM)，这标志着反洗钱 (AML) 制度体系的评价方式将发生重大转变，重点是实施“有效且设计合理”1 的反洗钱制度体系。根据该公告的具体内容，重点为反洗钱制度体系能够向政府当局提供有用信息。反洗钱 / 反恐融资 (CTF) 行业的专业人士热切等待拟议规则制定公告 (NPRM) 的发布，以了解金融犯罪执法网络的具体建议，即有效且设计合理的反洗钱制度体系应包括哪些要素。2024 年 7 月发布的标题为《关于加强金融机构反洗钱 / [反恐融资] 制度体系并实现现代化的拟议规则》2 的拟议规则制定公告明确规定，除其他质量要求外，有效、风险为本且设计合理的反洗钱制度体系即属于“向相关政府当局提供非常有用的报告或记录”的制度体系。3 反洗钱 / 反恐融资专业人士通常使用可疑活动报告 (SAR) 来记录相关信息，并通报给政府当局。 哪种报告对政府“非常有用”？ 通过查阅现有可疑活动报告指南可以发现，其明显已经过时，未能提供有关如何编制有效可疑活动报告的明确见解。2024 年 7 月发布的拟议规则制定公告 4 未对“有效”的含义做出界定，拟议规则也未提供衡量有效性或者可疑活动报告是否非常有用的标准。2003 年，金融犯罪执法网络曾发布多份文件5 ，其中提供了“有关编制完整充分的可疑活动报告叙述部分的指南”。此后 20 年来，金融产品不断演变，但未大幅更新向执法部门 (LE) 提供有用信息的指南。有时，金融犯罪执法网络会在叙述部分中增加一个新的“关键词”6，但并未改变叙述部分本身的格式和内容。联邦金融机构检查委员会 (FFIEC)《银行保密法 / 反洗钱检查手册》中的“附录...

首先让我们回顾一下 2023 年 3 月的一个古怪标题： “一名无家可归者使用 ChatGPT 准备简历和面试，最终找到工作——芝加哥一名 45 岁的无家可归者使用公共图书馆的电脑访问 ChatGPT，在它的帮助下制作了一份引人注目的简历，以用于求职面试。最终，他成功获聘为客户服务代表，人生迎来转折点。” 如果您对此感到怀疑，这就对了。原因如下： 我让配备了 Claude 3.5 Sonnet LLM1 的聊天机器人作为一名经验丰富的记者来搜索最近的新闻报道，其中涉及在现实生活中将 ChatGPT 用于职业相关活动的人士。我在提示词中指定以下要求： 只使用信誉良好、可信且权威的新闻来源 检索结果仅限过去 12 个月内发生的事件 确保新闻报道得到多个可靠信源的证实 提供文章的页面链接，以便我查看内容 图 1：聊天机器人的回答 资料来源：该实例由公认反洗钱审计师兼注册舞弊审查师 Jon Estreich 创作 这个回答令人印象深刻。甚至来源网址也是可信的——尽管该链接显示为 404 错误。在搜索标题和摘录详情后，我找到相关新闻，例如，一名加州网络开发人员制作了一个题为“无家可归者——渴望成功”的标语2 ，并分发简历，该消息于 2018 年在 Twitter（现称为“X”）上疯传，之后他获得了工作机会。 但是，我并未找到有关芝加哥无家可归者使用 ChatGPT 制作简历的信息。 在后续提示词中，我要求聊天机器人进行事实核查，以证实所供信息的准确性。然后，机器人真诚道歉，承认其捏造了该事件。 我接受了道歉，随即注意到了一个更重大的问题。 不可否认，大学习模型（LLM）是未来的发展方向。它们广泛应用于各行各业，并通过手机、浏览器以及汽车融入生活的方方面面。3...

全球金融和实体供应链的持续融合催生了新的监管态势。金融机构及其资助的供应链在实施和优化有关制裁及贸易管控合规的流程和程序的过程中可能面临挑战，尤其是适用严格责任测试的制裁和贸易管控措施。 严格责任不涉及知情标准 在刑法和民法中，严格责任标准是指无论是否存在过错或过失，也无论意图或精神状态如何，个人或公司都需要对某项活动造成的后果承担法律责任。1 根据严格责任规定，即使当事方间接参与违法行为，也可能需要承担责任。知晓违法行为并非承担责任的必要条件，因为公司本来就有责任知晓该等行为。为了充分认识严格责任测试对当今制裁和贸易合规团队的重要性，我们需要了解相关演变的历史。 初始责任标准：过失 在法律中引入严格责任之前，过失标准占主导地位。为了证明公司行为存在过失，必须确定责任、违约行为、因果关系和损害。一般来说，基于过失提起的索赔需要证明未达到合理的谨慎程度。有关过失的知情标准存在限制：“被告的所知范围，只限于在发生该行为时，理性人在被告立场上本应知晓的事情。被告只需按照理性人的标准行事。” 这导致执行人或原告面临挑战，毕竟，他们很难确定制造商或销售商当时知晓的事情，或者在特定情况下其本应采取的行动。监管机构也清楚地认识到，商业企业正在评估成本控制和相关责任之间的平衡问题，最终更倾向前者。因此，监管机构和法院开始认为，相比过失标准，应对商业企业适用更严格标准，以促使其提高合规水平。毕竟，制造商能够预见一些危险状况，并应投入必要资源防止再次发生危险。2 严格责任：摆脱了过错要素 基于企业有责任采取充分预防措施的理念，严格责任应运而生。从过失标准转向严格责任表明，合规责任不再基于合同，而是由法律强制规定。制造商有责任采取充分预防措施，这意味着不再根据其知晓的时间和内容来确定其责任范围，而是根据严格责任法律予以确定。 从历史上看，严格责任涉及制定有益的合规政策并采取此类行为，而与过错问题无关。严格责任制度可能并未期望公司知晓所有相关情况，但确实期望其利用所有可用资源以求知晓，从而采取一切可行的预防措施来防范被禁止的活动。严格责任通常仅限于固有的危险情况，或者亟需阻止鲁莽行为和其他有害行为的情况。3 鉴于其适用范围有限，在须接受严格责任测试的所有商业活动中，应谨慎行事，并积极实施增强尽职调查。 制裁和贸易管控领域的严格责任 一段时间以来，几乎所有出口国都对贸易管控措施实施了严格责任测试。例如，在美国，根据 1979 年以来的立法，如果任何人出口受限或禁运商品，则应适用严格责任。如果个人或公司故意违反限制或禁运令出口此类商品，则构成另一种更为严重的刑事犯罪。2022 年 7 月 8 日，美国上诉法院维持下级法院判决，驳回联邦快递集团的上诉，该货运公司声称其完全不知晓违法行为，但法院仍认定其违反 2018 年《出口管制改革法》，从而重申了严格责任制度的合法性。该判决表明，即使公司在不知情和无意的情况下“导致或协助、教唆、怂恿、指挥、诱导、促成、允许、批准实施出口管制措施所禁止的任何行为，或者疏于采取出口管制措施所要求的任何行动”，也可能被追究民事责任，并遭到严厉处罚。4 除美国之外，几乎其他所有国家都是最近才对违反金融制裁的行为适用严格责任测试。俄乌战争使制裁问题成为焦点，美英及其盟友协调并加强了制裁措施，以产生最大效果。作为该举措的一部分，英国政府快速通过立法，针对违反金融制裁的行为引入新的严格责任测试，自 2022 年 6 月 15 日起生效。5 英国的严格责任 在英国，个人或公司是否知晓或有合理理由怀疑其存在违法行为，现已无关紧要。换言之，英国现在适用严格责任标准。如果企业或其他实体须支付罚款，并且相关违法行为已征得其高级管理人员的同意或默许，或者因高级管理人员的过失而导致该等行为，则英国政府如今还可对高级管理人员处以罚款。高级管理人员包括董事、经理、秘书、其他类似高级管理人员或在表面上以该身份行事的人士。6 相关情节越恶劣，政府越可能处以罚款；违法行为越严重，个人或公司的行为越恶劣，罚款金额越高。此外，还存在减少罚款金额的情节，例如主动披露违法行为；但也存在加重情节，例如，受监管专业人士未达到标准要求、未按要求提供信息，以及同一个人或公司重复、持续或长期违法。 跨国公司受到的影响 为了满足严格责任测试，公司必须确保采取健全的控制措施、程序和最新的员工培训体系，以管控制裁和贸易风险。违法行为可能导致罚款、严重的运营中断、声誉受损、影响履约能力及资金安排，并可能需要花费大量时间和成本来善后。 组织的被禁行为与获准行为同样重要。公司为遵从任何制裁或贸易管控措施而采取行动的过程中，降低行政和运营成本并非主要考量因素，但在跨国企业内部讨论资源分配时，它们往往具有重大意义。7 严格责任基本不考虑节省行政开支，它旨在防范被禁止的违法活动。8 金融机构和保险公司越来越需要证明其金融和保险产品背后供应链的贸易合规。跨国公司也应基于独立决策框架来平衡风险与效用，同时按照严格责任的要求一并考虑所有潜在预防措施。 Anne Marie Lacourse，Sayari 全球贸易行业顾问，美国华盛顿特区，annemarie@sayari.com， Jenal Embry，Sayari 商业事务部总经理，美国华盛顿特区，jenal@sayari.com， Anthony Gray，“The...

金 融体系的一个主要风险是滥用商业实体掩盖非法活动和清洗非法所得。这可能表现为隐藏资金的最终来源和用途，以及隐瞒受益所有人的真实身份。虽然近期审查主要集中于空壳公司，但实际上，此类风险可能存在于特定司法管辖区内成立的任何商业实体，此类司法管辖区为了合法干预所有权权益的发行或转让，并不要求实体登记受益所有权。美国就属于此类司法管辖区。 历史上，美国在受益所有权透明度方面长期面临挑战，导致其在 2016 年互评估流程中只取得了金融行动特别工作组 (FATF) 第 24 项建议的较低评级。12018 年，美国实施客户尽职调查规则（CDD 规则），相关工作略有进展。2020 年，《公司透明度法案》(CTA) 进一步增强了政府识别特定实体受益所有人的能力。尽管仍有漏洞存在，但这两项努力帮助美国在 2024 年金融行动特别工作组第 24 项建议重新评级中达到了“基本合规”。2 尽管各类商业实体都可能被用于不法目的，但考虑到空壳公司目前受到高度关注，且为金融犯罪四大成因之一，本文将重点探讨空壳公司。3此外，本文还将分析基于背景和数据的方法对于打击利用空壳公司从事非法活动的重要意义。 空壳公司是什么？ 空壳公司通常是指特定的非上市公司、有限责任公司、有限合伙企业或信托公司，其主要以纸面形式存在，作为金融交易渠道，但不履行实际商业职能。尽管空壳公司的存在有充分正当理由，但由于缺乏实质性的商业活动和透明度，容易遭到不法分子滥用——通过非法途径隐瞒金融交易（见表 1）。 表 1：成立空壳公司的原因 资料来源和插图作者：Kim Lacey、Priyank Patel、Chris Bagnall 和 KeyBank 合法企业实体（例如子公司或关联公司）之间的联系通常公开透明、出于正当业务需求，并且呈现清晰的所有权结构。这些企业往往拥有实体办事处、生产设施和员工，并在业务活动相关地区运营。 相较之下，空壳公司往往采用中心辐射型结构，以中心实体或个人为枢纽，协调并控制多个空壳公司的活动。辐射部分通常从中央代理向外延伸，且主要与中央代理而非其他辐射部分互动。在这种结构中，特定地址（实体或虚拟）和所有权结构常由多个空壳公司共用，显现出高度互联公司的网状多层网络（见表 2）。 表 2：合法企业与空壳公司的区别 资料来源和插图作者：Kim Lacey、Priyank Patel、Chris Bagnall 和 KeyBank 成立空壳公司 成立空壳公司的流程非常简单。一般而言，披露要求极少，且可通过当地的注册代理人或专业的企业服务律师事务所完成注册。值得注意的是，并非所有注册代理人都会提供名义董事和股东的任命服务。 空壳公司可在不同国家、地区和州注册，但某些司法管辖区监管框架宽松且披露义务极低，特别受到青睐。多处离岸避税天堂因税收优惠和保密保护而备受欢迎，包括英属维尔京群岛、巴拿马以及某些加勒比岛屿（例如开曼群岛）。其中也包括美国——美国的联邦和州法律都不要求列出所有实体各个层面的受益所有人。因此，美国同样充满风险，尽管其设有客户尽职调查规则和《公司透明度法案》要求。 监管工作与全球影响 识别和缓释商业实体相关风险，需要各国政府、监管机构、执法部门及金融机构（即利益相关部门或机构）履行各自职能。相关工作在全球持续开展，而商业实体（尤其是空壳公司）的匿名问题也亟待解决。正因如此，监管要求和标准在过去数年不断发展，受益所有权登记制度得以建立（见图 1）。...

犯罪分子向来善于利用新技术的“前沿领域”。19 世纪中叶，有组织犯罪团伙通过刚刚诞生的电报，协调不在当地司法管辖范围内的犯罪活动。20 世纪初，有组织犯罪分子借助汽车快速逃离现场，还将其用作运输盗窃物品的“工具”。120 世纪 90 年代，儿童剥削及贩毒犯罪分子利用互联网传播儿童性虐待内容、销售非法毒品。2 在这三个案例中，犯罪网络先于“主流”社会运用相关技术，就是为了领先执法机关一步。 快速响应码与欺诈 快速响应码（二维码）是我们购买的产品上展示的一种通用产品代码。20 世纪 90 年代初，日本工程师原昌宏发明了二维码，并将这种代码格式用于追踪日本汽车制造供应链中的零部件。二维码主要分为两类：静态（存储固定信息）和动态（可变更信息）。在二维码中，数据被排列成黑白像素，只要经过智能手机摄像头或其他扫描设备扫描，就能完成解读。二维码为二进制形式，黑色部分表示 1，白色部分表示 0。静态二维码就像个人名片，而动态二维码则像个人网站（易于更新）。非接触式和简单便捷，通常意味着没有物理界限、中介机构等“阻碍”。物理界限和中介机构能在一定程度上保障安全，冻结或撤销安全性存疑的交易。 以自动柜员机 (ATM) 为例。银行客户可以通过自动柜员机提取现金，无需在“银行营业时间”亲自赶往银行办理。这为客户带来了便利，也为银行降低了人力成本。然而，这种操作流程简化也有其劣势。不法分子可能“踩点”自动柜员机的位置，然后瞄准银行客户实施抢劫，因此，客户的人身安全风险也随之升高。由于缺少银行柜员实时观察，犯罪分子得以避开相关人员（好人）视线并利用该系统。二维码也难逃这种趋势。需要说明的是，二维码不会遭到黑客攻击。黑客若要篡改，必须修改黑白二进制模式，而如果不了解实际二维码背后的明文，仅凭肉眼根本无法读取。3即便如此，犯罪分子仍有其他手段破坏二维码以达成其非法目的。 大量二维码相关欺诈通过二维码网络钓鱼实施。Security 报告称，相比 2023 年 1 月至 8 月的累计数量，2023 年 9 月的二维码网络钓鱼事件增长了 51%。4与其他金融相关欺诈类似，二维码网络钓鱼极易导致账户盗用和数字支付欺诈。 二维码欺诈的实际操作 肉眼无法直观辨别恶意二维码，这为不法分子提供了显著便利。 随着公众逐渐习惯忽略和删除电子邮件中（可能存在）的引导受害者跳转至欺诈网站的恶意统一资源定位符 (URL) 链接，犯罪分子开始利用条形码的“下一代”版本——二维码。鉴于配备摄像头的智能手机的广泛使用以及二维码的实用功能，二维码在活动门票、广告和餐厅菜单中随处可见。犯罪分子可将恶意二维码覆盖在合法二维码上，将扫描者引导至要求提供个人信息的网站，进而实施身份盗用。 2023 年 11 月，金融犯罪执法网络 (FinCEN) 发布警告，提醒人们注意不法分子发出的标注“重要合规通知”并附带二维码的电子邮件或实体通信。这起欺诈事件发生的背景是，金融犯罪执法网络根据 2024 年 1 月《公司透明度法案》(CTA) 规定，要求增加受益所有权信息...

在一次执法部门简报会后的随意交谈中，某地方警察局缉毒部门的一名主管抱怨称，他在尝试使用一款热门点对点资金转账应用创建卧底账户时遇到了很多难题。可惜的是，他和其他许多同僚一样，对反洗钱 / 银行保密法合规工作的现状及其可能提供的帮助了解甚少，但这恰好说明合规工作已经取得显著成效。如果我们静下心来思考，就会发现卧底行动本质上是一种欺诈行为，洗钱亦是如此。在卧底行动中，执法机构尽可能将虚假或欺诈性的人物或实体塑造成看似真实存在的人物或实体；而洗钱的核心要点和目标是将非法所得伪装成合法收入。这两种情况都非常接近或等同于欺诈的定义。 如果询问全国各地甚或多家海外同行的任何可疑活动报告审核团队成员，就会发现，欺诈嫌疑已成为许多报告的核心内容。对此，大多数人都归咎于新冠疫情应对措施，并不关注其为触发因素还是纯粹巧合。不可否认，疫情期间金融交易技术发展迅猛。似乎一夜之间，技术进步就将远程银行业务变为了新常态。这些技术进步还推动反洗钱 / 银行保密法合规领域与时俱进。该缉毒部门主管发现，得益于金融科技、人工智能和开源情报等技术的进步，了解您的客户尽职调查已经实现大幅改进。网络时代，任何试图插入难以验证或缺少其他合作的身份识别信息的行为，都会立即触发警报、生成危险信号并对申请予以拒绝。 区分洗钱与欺诈 长期以来，大量反洗钱 / 银行保密法合规专业人士默默地——有时甚至公开地——尝试区分洗钱与欺诈。金融机构有责任尽量避免与洗钱犯罪分子交易，而且他们也不希望与诈骗分子有业务往来，或令自身合法客户遭受欺诈。随着反洗钱 / 银行保密法的侦测和合规工作不断推进，那些可能暗示存在洗钱或欺诈的活动多次得到证实。 我们可以预见，新冠疫情期间，加快提供金融援助可能引发欺诈风险，而随着监控和报告技术的进步，侦测和消除这些欺诈行为的能力也将有所提升。如果上网查阅任何可疑活动报告审核团队所在区域的新闻稿，就会发现，涉及新冠疫情援助的欺诈案件中有许多成功的起诉案例。尽管资金可能已经流出，但仍有途径将其追回。 在洗钱被列入金融犯罪前，欺诈早已成为一种公认的金融犯罪。伪造支票、故意透支账户、挪用公款、诈骗钱财以及其他狡猾骗局都被视为白领犯罪。对此，执法机构设有完善的常规调查方法。这些欺诈行为本身具有明确的受害者 / 嫌疑人要素或关系，而许多洗钱机制往往缺失这种明确的受害者 / 嫌疑人要素。在常见的欺诈计划中，受害者的钱财或其他贵重物品会被窃取。这些“白领”受害者往往包括金融机构本身或其重要客户，他们有着强烈的动机和意愿，希望尽力找到犯罪分子并追回损失。在这些案件中，执法部门与私营金融机构之间存在开展合作的要素。双方都会努力逮捕或阻止犯罪分子，并有可能追回被欺诈盗取的资产。如果任何一方拒绝配合调查，案件就有可能受阻、暂停或结束。 反洗钱监控工作 过去，洗钱活动受害者 / 嫌疑人关系要模糊得多。表面上看，洗钱犯罪分子并未造成任何损失，甚至可能被视为带来盈利的客户。随着反洗钱监控工作的不断推进，我们发现，我们不可能且不应该将洗钱犯罪分子与诈骗分子或其他金融犯罪分子区分开来。导致提交可疑活动报告的初始“可疑活动”以现金为中心。无法解释的高额现金仍然且应当是反洗钱工作中的可疑活动报告重点之一。幸而，随着远程交易系统和应用日益占据主导地位，反洗钱 / 银行保密法合规工作得以推进。反洗钱 / 银行保密法的监控和侦测工作不断改进，紧跟技术进步节奏，往往能反映出区分洗钱犯罪分子和诈骗分子的尝试并无多大意义。洗钱犯罪分子常会从事欺诈活动，而诈骗分子也常从事洗钱活动，这类现象不足为奇。有意从事犯罪活动的人很少会专注于单一犯罪手段。如果深入分析交易数据，就会发现，依赖非法所得的任何生活方式在所有层面上都会显露可识别的异常现象。大多数情况下，只要任何层面存在欺骗系统的意愿，就意味着所有层面都存在此类欺骗行为。 毒贩经常参与以物易物和交易权衡。也常接受以赃物（可能包括枪支）作为违禁品付款。在欺诈领域，伪造或篡改支票的流通常被视为地方警察的关注要点，直到人们发现涉事个人属于更大的有组织团体。商店行窃也常被视为地方警察的关注要点，直到近期人们发现其属于复杂的有组织零售盗窃团伙。试图销售毒品、盗窃赃物或使用通过欺诈手段获得的资金，都会留下一系列相似的线索。提醒执法部门注意这些线索，一直是《银行保密法》的宗旨。在反洗钱 / 银行保密法工作中，有个问题日益突出——执法部门的培训和经验是否同样与时俱进。 在“街头”层面，毒贩也曾被视为地方缉毒警察的关注对象。反洗钱 / 银行保密法合规工作旨在应对芬太尼过量使用危机，许多点对点支付应用现在能够识别销售致命剂量毒品的人，这一过程可能挽救无数生命。常附于支付方式的短信和表情符号甚至可以明确揭示活动实质。如果缉毒主管不太了解反洗钱 / 银行保密法合规进展对卧底行动的影响，人们就会担心其是否同样不太了解其可用于调查其他方面的信息和情报。 或许在初始构想中，人们认为反洗钱工作只针对涉及金额高达数百万美元的有组织犯罪集团。但是技术进步和经验表明，体现犯罪分子参与的任何金融交易活动都可以被识别出来，无论交易规模大小。人们常常忽略，即使是参与最高层级犯罪活动的人，也会在日常和例行交易活动中留下可识别的蛛丝马迹。 例如，杀猪盘老年受害者，尝试通过加油站自动柜员机购买加密货币的不知情钱骡，点对点支付中附带的暗示毒品交易的表情符号，用于支付常规账单的结构松散的定期现金存款，或者向已知协助掩盖潜在犯罪活动（包括儿童性虐待内容贩卖）的网站或应用支付的款项。无论有意还是无意，反洗钱 / 银行保密法监控工作都已达到较高水平。这一切进一步证实，“以资金为线索”的传统调查策略至今依然行之有效。 Steve Gurdak，CAMS，华盛顿巴尔的摩贩毒高发地区项目北弗吉尼亚州金融行动经理，美国弗吉尼亚州，sgurdak@wb.hidta.org  免责声明：本文观点仅为作者的个人观点，不代表华盛顿特区 / 巴尔的摩贩毒高发地区项目的观点。