金融行業既是網路犯罪分子的目標，也是其從事網路犯罪的工具。年復一年，犯罪分子透過詐欺和身份盜用，從金融機構盜走數十億美元，受害客戶多不勝數。儘管已蒙受如此驚人的損失，網路犯罪依然是一種難以遏止的禍害，犯罪分子不斷地嘗試錯誤，藉以尋找更好的新方法來竊取、隱藏不義之財。 如何遏止此種潮流已成為一個重大問題。解決方案之一是更有效的調查。網路犯罪是一個特殊的犯罪活動領域，需要私營機構、執法機關和監管機構攜手共同展開調查，方能有效遏阻。 1 在阻止網路犯罪的眾多參與者和所需的技能中，防制洗錢專業人員至關重要。防制洗錢和金融詐欺調查員的工作即已涉及刑事、民事與監管規則；這些調查人員也站在最前線從事識別犯罪活動的工作。憑藉現有的經驗和知識，防制洗錢和金融調查員將成為防範網路犯罪行動中關鍵的一環。但是，我們需要更多經過培訓的調查人員，他們知道如何識別、追蹤和阻止網路犯罪和網路洗錢，並且完全了解如何以其工作來支持其他調查參與者，以及如何獲得其他參與者的支持。 網路犯罪的利潤、付款，以及財務和防制洗錢調查方面有待改進之處 大多數網路犯罪的目的是賺錢，其主要發生於邪惡的線上經濟之中，多半涉及金融竊盜和詐欺、資料竊盜、惡意軟體、文件偽造和身份盜用。數以千計的犯罪分子各憑本事，透過各種各樣的騙局或是提供違法商品或服務來謀利。網路犯罪一般都是遠距操作，通常跨國進行且利潤驚人。所有此等活動均仰賴付款、資金轉帳和資金儲存，這也能說明防制洗錢專員對網路犯罪調查的重要性。2 網路犯罪分子會利用各種有價形式，包括政府發行的貨幣（法定貨幣）和虛擬貨幣。 3只要有辦法竊取，他們就會嘗試。如果某種付款方式既方便又可匿名使用，他們就會使用。成功的網路犯罪分子可賺取暴利，也想使用這些錢，因此他們會利用各種便利且匿名的方式來洗錢。 網路犯罪技術可能十分複雜且難以追蹤。但是，防制洗錢專業人員的專業知識就直接涉及這些非法收入的流動。追蹤並減少非法收入流動是打擊網路犯罪的關鍵要素。 4防制洗錢專業人員在這場對抗中至關重要，其原因有三： 網路犯罪襲擊金融機構和貨幣服務業者，取得他們控制下的資料與資金。 網路犯罪以這些企業的客戶為目標。 網路犯罪分子利用金融機構和貨幣服務業者來轉移資金。 防制洗錢專業人士在調查和制止網路犯罪方面發揮著重要作用，是打擊這些犯罪的主力軍。 防制洗錢及其他金融專家著眼於網路犯罪的有價物相關問題處理，其他調查人員則從不同的角度來調查網路犯罪，包括數位鑑識以及犯罪策略和技巧檢視等。如果個人和機構重視不同調查者和組織的觀點、資源和專業知識，則網路犯罪調查可望大大改善。成功的網路犯罪調查既需要具備所有潛在調查管道的廣泛知識，也需要具備特定能力之調查人員的貢獻。從任何不同角度參與對抗網路犯罪的調查人員都能從中受益，得以全面了解各種方法及法規，整體把握相關流程。 網路犯罪調查的三個主要群體為：執法機關、私營機構（包括金融機構）和監管機構。法律和監管在網路犯罪調查的諸多方面均發揮舉足輕重的作用，原因有二。首先，對於像金融業這樣的受監管行業，可能需要根據監管標準進行一定程度的調查。其次，調查網路犯罪的機構必須考慮許多適用的刑法和民法。以下是如何從事網路犯罪調查的例子。 假想的網路犯罪調查 假設有一家由州政府和聯邦政府監管的紐約銀行。這家銀行保存客戶的資金，提供各種服務，並雇用了許多員工。該州發佈了一項普遍適用的新法律，加強對資料洩露通報的要求，並要求具備「合理的網路安全性」。 5該州與聯邦現行法規也要求銀行維護穩定且安全的資訊系統，並針對其機密性、完整性和可用性提供適當的安全防護措施。 6監管機構每年檢查金融機構的資訊安全方案，以確保其遵守這些法規。該銀行須防範身份盜用， 7並監督犯罪行為，包括網路犯罪以及向金融犯罪稽查局通報可疑或犯罪活動。8 金融機構及其客戶不斷遭受網路犯罪攻擊。即使未成功，然每次攻擊本身也構成犯罪（犯罪未遂），還會讓犯罪分子改進其戰術和技巧。攻擊方式主要包括： 試圖安裝惡意軟體，侵入電腦與網路，盜取客戶和金融資料 試圖控制客戶的帳戶 試圖通過非法轉帳或收費來竊取資金 該虛構銀行的資訊系統出現異常狀況。銀行需要做出一系列決策，包括是否啟用其防制洗錢、資訊技術、資訊安全、法律、通信等多部門成員所組成的事件應變小組，以及是否需要通報政府和受影響方。 要做出這些決策，銀行必須進行初步調查並確定某些事實。在此，初步調查顯示成功的網路犯罪（例如資料洩露或資金被盜）導致異常情況，必須報告與通知，且需進一步調查。銀行必須通知州和聯邦監管機構、執法機關以及那些資訊被盜的人。這並不意味著銀行調查的結束，而僅僅是重要的決策點和里程碑。 執法機關收到銀行報告後便開始調查。執法機關是唯一能逮捕、制止和懲罰網路犯罪分子的部門，因此希望有朝一日他們可以將犯罪者繩之以法。現今的資料洩露通報法規明確認知，過去許多公司受害者面對這些嚴重的網路犯罪時會保持沉默，選擇保護自己的聲譽而非舉報犯罪。執法機關的調查不僅需要用到業內各種不同的技能，也需要私營機構（包括金融機構）中的受害者和證人廣泛合作。為了掌握有關攻擊的技術本質，執法機關需依靠銀行對自身內部系統進行調查及審查而收集的資訊。欲了解非法資金的流動，執法機關需依靠受害銀行及其他金融機構的防制洗錢專業人員和金融調查人員。 銀行向州和聯邦監管機構通報此事件，並對金融犯罪稽查局提交可疑活動報告。監管機構接到報告並進行審查後展開調查。調查時的一項考量是報告是否及時、充分且符合要求。另一個考量則是犯罪事件發生前所採取的安全措施是否充足。 隨著調查展開，執法機關和監管機構會向銀行提出許多問題，包括攻擊何時何地如何發生，以及被取用或盜竊的資料為何等。客戶是詐欺的直接受害者，可能會要求銀行對於犯罪發生方式以及資金去向給個說法。如果攻擊涉及資料洩露（或造成客戶的直接財務損失），按規定通知受影響客戶可能會招致某些客戶控告銀行，指控其安全性不足以及違反法律規定。此外，媒體可能會報導相關事件，導致業務損失。出於這些原因，銀行必須自行持續進行調查，以發現必要事實，協助妥善解決問題。 網路犯罪調查的各個部分構成一個整體 這個例子顯示不同群體可以為網路犯罪調查帶來的不同觀點和目標，以及不同領域的必備專業知識。網路犯罪調查人員應對刑法、民法和監管法規有整體了解，包括如何以有助益且合法的方式保存證據。這也有助於了解一些基本的技術和資訊安全原則，以便與這些領域的專家有效交流。 重要的是，金融詐騙和防制洗錢專業人員應了解歸因技巧，這一技巧通過科學與藝術結合的方式，將線上行為與個人關聯起來。歸因與「了解您的客戶」、客戶盡職調查和其他防制洗錢流程相互連結，從而發揮重要的作用。網路犯罪調查人員仰賴金融機構的記錄，該等記錄可證明犯罪行為與犯罪者的身份。這些記錄一旦建立、保存且可存取，便可以成為識別網路犯罪分子的關鍵。有時，可疑活動報告會將執法工作指向可以連結這些點的相關金融記錄。 在一起大型網路犯罪和洗錢案件中，就是靠著財務分析證明了犯罪行為與罪犯身份，案件因而得以成立。金融機構的記錄和報告顯示了犯罪的真實程度：賺得的非法利潤、從事的交易以及資金流向被告方的路徑。銀行電匯、匯款、信用卡交易和虛擬貨幣支付在整個調查過程中都有其作用，這些記錄是審判中的重要證據，也能協助證明從事活動者的身份。 金融機構記錄中所留下的線索是歸因的關鍵證據。某椿線上信用卡詐欺未遂案件導致公司的記錄中留下了一個電子郵件地址、昵稱、姓名和實際地址。在記錄建立時誰也沒想到該等記錄日後會成為關鍵的線索，協助揭露了某個犯案累累的網路犯罪嫌疑人，且最終得以藉由這些記錄將其定罪。意識到保存記錄和防制洗錢流程日後可能會成為防範網路犯罪分子的證據，可以帶動更好的調查和預防效果，令各方受益。 透過了解歸因過程，金融和防制洗錢調查人員可以知道如何利用他們的分析、摘要、報告和保存記錄，來建立犯罪和犯罪嫌疑人之間的邏輯連結。 9金融調查再結合其他關鍵領域，包括電子通訊、數位鑑識證、資訊安全及適用法律領域等，在防範並減緩網路犯罪方面具有關鍵性的作用。 有效的調查可減少網路犯罪 網路犯罪對社會和個人的影響顯而易見。對於所有機構，法規要求逐漸增加，制定更多的規則來防止攻擊並改善報告機制。這些規定則進而增加了法規遵循成本。如果發生網路犯罪，組織將會蒙受直接的財務損失與成本，以及聲譽損失和其他間接成本。對於個人與小型企業而言，網路犯罪詐欺和身份盜用所造成的危害可能會改變生活，甚至導致喪失畢生積蓄。防制洗錢和金融詐欺調查人員可在網路犯罪調查和反擊方面發揮領導作用。 要打擊網路犯罪，必須始終堅持對這些犯罪行為進行調查。現在是擴大採取行動的時候了，因為與傳統的犯罪活動相比，打擊這些犯罪需要不同的方法和思維。由來自不同部門、機構與背景且知識豐富的調查人員共同協力調查，才能獲得最佳的效果。所有調查人員都可以經由了解網路犯罪經濟、適當的調查與證據收集步驟，以及不同調查部分可能吻合整體調查的方式，更成功地打擊網路犯罪。提升知識和合作有助於取得更良好的調查效果。防制洗錢專業人員處於第一線，勤奮不懈與團隊合作可以創造有效的協同作用，從而減少網路犯罪。 John Bandler 律師，CAMS， Bandler Law...

鑑於現代數位行動和金融技術現實面臨諸多內在挑戰，遠端客戶開戶（也稱為電子了解您的客戶 (eKYC)）程序成了監管機構、執法機關、金融機構和科技公司之間爭辯不休的核心話題。 1技術創新意味著，數位銀行交易和敏感個人資訊保護工作會變得越來越複雜，因為新興威脅、監管要求和防範金融犯罪所需網路安全控制措施之間存在重疊。犯罪分子透過新技術，利用資訊技術 (IT) 架構和法規遵循框架中的漏洞來規避控制措施，以免犯罪過程中被發現。 2本文旨在探討金融犯罪背景下的數位身份定義。 什麼是數位身份？ 據估計，全球有 11 億人（包括數百萬兒童、婦女和難民）沒有任何官方認可的身份證明，他們通常被稱為「無銀行賬戶人士」 數位身份由網上存在的用戶個人資訊按部就班衍生而來，其基礎在於用戶與網路瀏覽器、行動應用程式和其他裝置各種互動過程中在線上建立和儲存的中繼資料。對各數據點進行三角測定即可確定數位身份，其中包括下列各種中繼資料：IP 地址、用戶名和密碼、瀏覽器歷史記錄、GPS 坐標、線上搜尋活動、交易資料、出生日期和醫療資訊。但是，對於 eKYC、資料保護法和個人自由權至關重要的「基礎」身份系統和「功能」身份系統有什麼區別？ 3 基礎身份系統與功能身份系統 基礎系統 根據世界銀行的說法，數位基礎身份是「採取由上而下的方式所構建，其目的在於建立可以跨部門 / 領域使用的通用身份識別，促進國家或地區發展。」其提供者通常是國家或地區政府，他們希望為公民提供一種方式，以便透過戶籍登記冊、身份證、護照或出生證明來證明其身份。4 戶籍登記冊 戶籍登記冊是通常由國家或地方政府管理的紀錄，以記載一個國家公民的名字、姓氏、出生日期等重要資訊。這些戶籍登記和人口動態統計 (CRVS) 系統既有當地以紙本為基礎的分類系統，也有複雜的全國電腦化系統。戶籍登記意味著個人需要親自（利用紙本表格）或在線上向經過授權的政府機關提供詳細資訊。5 基礎身份證件通常由國家或地區政府或執法機關簽發，被視為公民可以隨身攜帶以證明其身份的「合法」身份證件。基礎身份證件是否屬於強制證件，則端賴政府是自動向適齡的註冊公民發放該證件，還是需要公民提出申請。 護照 護照是向國民簽發的合法政府文件，作為在國外旅行時使用的身份證件。通常，只有出國旅行的公民才會申請護照，因為護照簽發費用較高。 各類證件 諸如出生證明、結婚證明、死亡證明等合法證書屬 CRVS 的範疇，簽發給國家公民，作為生活事件發生的證據。要獲得這類證書，必須事先在戶籍登記冊登記詳細資訊。 功能系統 功能系統通常是旨在支援單一服務，如選舉登記、出生登記等。與基礎系統相反，Aadhaar 等其他系統的識別編號可用於多種用途。隨著技術的進步，一些新的方式正在取代傳統的紙本基礎身份系統，特別是在開發中國家。這使所有公民都能更輕鬆、更簡便地取得這些重要身份證件，尤其是一般上較不便利的新興國家。 以下一些地區已實施功能系統，向廣大人口簽發數位身份。這些地區由於經濟落後，大部分公民是社會弱勢族群，因此沒有基本的基礎身份文件。 全球身份系統 印度： Aadhar 數位身份證系統是供公民和「無銀行賬戶者」使用。6 巴基斯坦： 目前試用行動應用程式向地方政府申報新生兒，使出生登記率，特別是女童出生登記率大幅提高。7 撒哈拉以南非洲： 加納、象牙海岸、坦桑尼亞和烏干達正在使用行動技術登記新生兒出生情況，提高了出生登記率。 哥斯達黎加和印度： 這些地區目前正朝著數位證書的方向發展，如出生證明、結婚證明、死亡證明等。...

2019 年是紛亂的一年，各國在防制洗錢、打擊資助恐怖活動和制裁工作中都有卓越的進展。公認反洗錢師協會 (ACAMS) 在亞洲已擁有超過 2.5 萬名會員。這一年也受到了下列事件的影響： 不斷加劇的貿易緊張局勢和日益複雜的制裁形勢 銀行服務和產品的轉型 金融犯罪的防範能力要求升高，以及金融犯罪的法規遵循對象增加 對改進防制洗錢效力措施的迫切需求 回顧亞洲的重大執法行動，有兩件事需要進一步解釋： 由於國信證券實施的防制洗錢流程和控制措施成效不彰，香港監管機構因此懲處了負責人和管理階層。 中國人民銀行對四家中國實體開罰：交通銀行、平安銀行、上海浦東發展銀行、銀河證券和中國人壽因在防制洗錢 / 打擊資助恐怖活動工作的過程中，在驗證客戶身份、交易記錄和可疑報告方面存在疏忽。 這兩項執法行動顯示，整個大中華地區對相關工作的期望值不斷提高。總體而言，亞洲監管機構不僅對金融機構，同時對指定非金融事業與專業人士 (DNFBP) 的要求也已提高。 貿易緊張局勢和制裁 制裁是彼此不滿意的國家使用的經濟和政治手段。多邊貿易模式失靈轉而支持單邊行動，已使供應鏈更加複雜。因此，法規遵循專業人士必須適應不斷變化的制裁形勢。 亞洲似乎成為熱點地區。如何整合快速增加的新特別指定國民名單，以及形式繁多的二級制裁，都是令人應接不瑕的難題。 皇家聯合服務協會的 Tom Keatinge 從最根本層面觀察到，有許多公司和專業人士對聯合國的禁擴和制裁要求缺乏基本了解。由於私領域有許多企業不理解錯綜複雜的規則，因而產生規避制裁的行為。 同樣地，恐怖組織繼續透過金融和非金融系統取得資金和轉移資產，而未被偵測。菲律賓、斯里蘭卡、印度尼西亞和馬來西亞發生的資助恐怖活動凸顯了對熟練制裁專業人才的渴求。國際制裁合規師 (CGSS) 認證受到市場歡迎也就不足為奇了。 貿易緊張局勢加劇導致貿易洗錢活動增加，因為合法企業和不法企業均需自我調整以適應新貿易壁壘和關稅要求。企業和金融犯罪專業人士都努力加大對供應鏈、海上活動和貿易活動的監控力度，克服國際貿易規範失靈帶來的挑戰。全球經濟變得更加複雜。 銀行服務和產品的轉型 智慧銀行是金融機構、零售客戶以及企業客戶之間密切整合的平臺 一般觀察者會看到數位銀行、虛擬資產、加密貨幣和分散式帳務技術的魅力。然而，防範金融犯罪專業人士卻對新產品和服務感到日益焦慮。各種企業都急於向市場、客戶和股東展示他們在新興金融科技和監管科技領域的創新。而監管機構正在為各個行業制定新的指導方針和條例。 以正面的角度來看，監管機構和私營機構對金融領域有了更多的參與、指導和監管，但此進展也加劇了網路犯罪和緊急狀況的威脅。 數位銀行是透過網際網路、行動應用程式或 ATM 處理所有交易的金融機構。對香港而言，數位銀行是促進智慧銀行時代發展的一種創新手段，可加快支付流程，改善客戶體驗。智慧銀行是金融機構、零售客戶以及企業客戶之間密切整合的平臺。 2019 年 3 月，香港金融管理局宣佈向 Livi VB Limited、SC Digital Solutions...

分析最新一代遊戲機電子遊戲和智慧手機遊戲如何影響金融交易功能的運用，有助於深入了解用戶趨勢和數據分析結果。有些電子遊戲公司，尤其是支持小額交易的公司，需要處理大量的金融交易，但它們卻不在國家銀行或儲蓄合作社之列。因此，它們並不一定會受到《銀行保密法》或海外資產控制辦公室法規約束。但是，電子遊戲產業一直飽受金融詐騙之苦，數位商品和遊戲貨幣的銷售使其成為洗錢的媒介。 1儘管尚未立法強制規定，但強化透明度框架能確保遊戲貨幣僅用於合法交易，而數位商品的銷售是為了滿足現實需要，並非掩護非法資金轉帳，因而減少金融詐騙和洗錢活動。 2運用強化透明度框架，電子遊戲產業可以確保加強監督和盡職調查，降低金融詐騙和洗錢風險。 遊戲業的發展 過去幾十年，電子遊戲技術已飛速發展。不幸的是，藉由此媒介進行的金融交易有可能被犯罪份子利用，就像將遊戲內通訊功能用於私密通訊目的一樣。 3電子遊戲透過直播等方式與用戶群體互動，此類新的互動方式將更進一步改變使用電子遊戲洗錢的方式。Twitch 是一個提供數位貨幣的電子遊戲直播平臺。 4不法分子可能透過該媒介洗錢。電子遊戲產業盛行各種不同的交易方法，從微軟、任天堂、索尼等各大公司為代表的單機遊戲，到 Google Play 商店和 Apple 應用商店提供的大量遊戲，無一例外。這些不同的方法創造出有利於滋生金融詐騙和洗錢的環境。例如，不法分子開發虛假的智慧裝置應用程序，定價遠遠高於平均成本，其目的是產生交易活動，用以掩蓋洗錢活動，類似於在亞馬遜上銷售假書的模式。 5此外，透過非法接管用戶賬戶，不法分子可以輕鬆獲得 Xbox 或索尼用戶的財務憑證，或者取得 Apple 應用商店用戶資訊。6, 7 從過去的經驗看來，洗錢的方法有很多種，在電子遊戲產業中，洗錢也非新鮮事。有證據顯示，小額交易和遊戲貨幣都被當作洗錢手段。 8在「Fortnite」這款遊戲中，客戶可以使用透過非法資金建立的賬戶來洗錢。 9此外，洗錢犯罪分子會利用允許用戶花錢購買超能力（指提升遊戲角色威力的機制）的免費遊戲來洗錢。隨後轉售這些資源，以此洗白原有的非法資金。 10鑒於實際發生的金融交易數量巨大，洗錢犯罪分子有充足的機會，混淆非法交易和合法金融活動。 強化透明度框架的構成要素 隨著電子遊戲產業在金融和社會方面的自然發展，我們應當實施強化透明度框架（如上圖 1所示），以阻止犯罪分子利用各種洗錢方法洗錢。電子遊戲產業的強化透明度框架應包括五種支援功能，結合不同的個人身份資訊 (PII) 來源及最新自動化技術。 要素 1：來自技術裝置的個人身份資訊 個人身份電子遊戲資訊 (PIVGI)11 可從以下不同來源收集： 用戶所在時區 登錄時間 用戶持續時間 所玩遊戲 所用設備類型 設備序列號 MAC 地址 電子遊戲公司用此資訊確保賬戶未被攻破，或者在重設密碼時驗證用戶身份。 12例如，如果有人不幸忘了 Xbox 遊戲機上的用戶賬戶資訊，則需要冗長的程序讓...