【明報專訊】金管局今日向銀行發出通函,推出3項加強網銀安全新措施(「網銀安全ABC」)(見表),其中要求客戶綁定或重新綁定其流動裝置(如更換手機)時,須通過人臉識別技術認證,或親身到分行驗證客戶身分,將於第三季實施。金管局助理總裁(銀行監理)朱立翹指出,措施取代以短訊單次密碼(SMS OTP),改在銀行手機應用程式內認證,即使銀行過去未曾有客戶人臉識別資料,亦可如遙距開戶,辨認身分證防偽特徵,從而驗證客戶身分。
金管局要求人臉識別驗證是銀行以其紀錄或客戶身分證件做比對,而非依靠客戶裝置的臉部辨識功能。朱立翹指出,過去曾有騙徒取得受害人資料後,將受害人流動理財帳戶綁定在自己手機,因此重新綁定手機有相當高的風險。另外,為防止騙徒登入受害人網上銀行帳戶後提高轉帳限額和新增騙徒本人為收款人、短時間內轉走大量金錢,金管局要求銀行可讓客戶選擇停用上述兩項網上銀行功能,若要重啟亦需人臉識別或到分行做身分認證,措施將於第二季落實。
金管局亦要求銀行,在客戶登入網上銀行和做高風險交易,不能再以SMS OTP而要透過銀行應用程式驗證;客戶作高危交易發出的「可疑帳號警示」需顯示至少10秒,讓客戶有時間慎重考慮。
現時部分海外地區會將高風險交易,例如初次向第三地匯款、金額佔其帳戶相當大比例的匯款,延遲執行轉帳的時間,讓銀行有機會接觸客戶了解情况,例如巴西延遲60分鐘、印尼可延遲5天。
金管局副總裁阮國恒表示,留意國際監管機構亦有類似安排的討論,金管局亦會納入考慮範圍,但暫時未有實際做法,需要顧及社會是否接受,釐定準則也要非常小心。助理總裁(法規及打擊清洗黑錢)陳景宏補充,現時銀行察覺交易有可疑時,也可以暫停以聯絡客戶了解情况。
金管局去年底公布推出「智安存」措施,客戶可按自身需要設定受保護的存款額,不能經任何渠道及方式轉出,以防止受騙客戶輕易向騙徒轉走金錢,增加銀行向客戶了解情况的機會。助理總裁(銀行操守)區毓麟表示,由於涉及銀行系統改動,所有零售銀行會在今年底前全面落實措施,不過當局希望盡快推行防騙工作,因此本季內約一半零售銀行和數字銀行會推出暫行措施,其中3間發鈔行會在本月內推出,暫行措施均能向65歲或以上零售個人客戶提供,其他推行細節在暫行階段會因應各間銀行自身情况略有不同,例如措施未能涵蓋全數支票、儲蓄、定期帳戶。
