面对一系列复杂的威胁,支付提供商需要采用传统和新兴方法相结合的方式。
面对一系列复杂的威胁,支付提供商需要采用传统和新兴方法相结合的方式。
根据麦肯锡全球支付地图,全球支付行业规模达2.4万亿美元,从2018年到2023年以每年7%的速度增长,预计到2028年将继续以每年5%的速度增长。届时,支付将占银行总收入的35%。然而,在这种强劲增长的背景下,支付提供商也处于日益充满风险的前沿。
在本文中,我们着眼于影响支付生态系统的三个关键风险因素——新型且快速增长的欺诈形式、令人担忧的洗钱活动增加以及支付渠道的激增——并研究支付提供商如何应对这些重大且不断升级的威胁。
支付欺诈正在扩大且日益复杂
鉴于欺诈类型的范围以及跟踪数据的众多组织,很难提供关于支付欺诈增长的确切数字。然而,很明显的是,损失一直在增加,并且普遍预计将继续增加。Juniper Research 的一份报告预测,2023 年至 2028 年期间,在线支付欺诈将超过 3620 亿美元。2024 年,TransUnion 指出,在其调查的来自 18 个国家/地区的消费者中,超过一半的人表示他们曾是欺诈企图的目标。另一来源估计,2024 年消费者因欺诈造成的总损失略高于 1 万亿美元。
大多数类型的支付欺诈事件都在增加,包括源于合成身份、实时支付、深度伪造/人工智能驱动的攻击、社会工程/网络钓鱼攻击、账户盗用欺诈 (ATO) 和支票欺诈的欺诈(参见侧边栏,“新兴欺诈趋势”)。
新兴欺诈趋势
支付提供商正在应对三种特别具有挑战性的新型欺诈形式,其中一些由人工智能驱动。
深度伪造: 深度伪造——一种合成身份欺诈——使用人工智能来创建极具说服力的虚假身份和交易。合成欺诈身份通常用于建立新账户,并且足够复杂,可以绕过传统的欺诈检测系统。这种类型的欺诈增长迅速,因此支付提供商必须采用先进的技术和算法来识别和减轻风险。
诈骗: 虽然提供商开始使用生成式人工智能来减轻欺诈,但诈骗者正在使用该技术来保持领先地位。在美国,投资诈骗造成的货币损失高于 2024 年的任何其他类别(见附图),其次是冒名顶替诈骗,这是报告最多的诈骗类别。
投资诈骗造成的损失在美国迅速增长。
与信贷申请相关的欺诈: 正在将其贷款流程数字化的银行有时会遇到与遗留系统的集成问题,并且无法记录收到的分期付款。因此,他们可能会错误地认为申请人比实际拥有更多的还款能力——这是欺诈者可以利用的盲点。
支付欺诈增长背后有许多驱动因素。首先,在线商务的快速增长和全球化使支付成为欺诈者的关键途径。其他因素包括:
人工智能在欺诈创新中的作用日益增强,尤其是在电子邮件、短信、电话诈骗和盗用企图中。
大量个人身份信息 (PII)/账户数据在暗网上出售,并由先进的犯罪分子支持,他们收集和重新包装这些详细信息以用于欺诈用途。
欺诈者的日益复杂,使得不太精明的消费者越来越容易受到诈骗和 ATO 的影响。
客户对导致购买中断的摩擦的敏感性。保护客户并惩罚金融机构的法规使这种动态变得复杂——使客户不太警惕,金融机构不太愿意中断交易。
实时支付的增长——与大多数欺诈类型相比,实时支付的控制和可恢复性最差。
在打击欺诈方面,支付提供商面临着相互制衡的必要性:他们需要投资于先进的算法,以更好地检测欺诈活动,并投资于数字流程,使内部团队能够更轻松地标记可疑活动。然而,过度关注欺诈预防可能会对客户体验产生负面影响(例如,出现触发不必要警报的误报)并限制收入潜力(例如,通过客户满意度下降或购物车放弃率增加)。因此,结合强大的欺诈检测和无缝的客户体验的平衡方法至关重要。例如,欺诈管理策略可以将与欺诈损失率、客户影响(拒绝率)以及欺诈决策的风险/收入偏好相关的绩效目标结合起来。
最后,虽然欺诈正在增加,但客户对获得补偿的期望也越来越高。如今,客户倾向于认为提供商不仅会保护他们,而且会在发生欺诈时赔偿他们,即使他们自己授权了交易。在一项调查中,四分之三 (77%) 的客户表示,如果银行未能退还诈骗损失,他们将离开该银行,而在另一项研究中,只有 6% 的金融机构表示他们打算赔偿所有诈骗(许多是根据具体情况而定)。
随着欺诈策略的演变、被盗 PII 的可用性增加以及责任框架的转变,支付机构将需要重新思考他们的方法——不仅通过控制,而且通过让客户参与管理风险。以下是一些建议的措施:
确保实施精心设计的身份验证。 大多数机构都拥有一系列身份验证技术,包括生物识别、行为分析(例如用户如何键入或导航)、自拍和 ID 匹配、卡交易的 3D 安全身份验证、收款人确认以验证收款人详细信息、一次性密码以及用于文档扫描的光学字符识别。然而,为了使这些工具充分发挥作用,它们必须无缝地协同工作。作为实现这种集成的第一步,支付提供商可以使用声誉数据来识别可疑活动(例如,来自入职流程或来自外部账户的账户链接)。第二步是分析链接以识别与风险评级的欺诈详细信息的连接。最后,支付提供商可以将上述指标纳入评分/规则集或其他评估方式中,以便在汇款前进行审查。
构建欺诈解决方案。 银行和其他支付提供商必须解决打击欺诈的所有角度,这应包括教育资源和为客户提供的其他产品。例如,花旗集团的“Citi Verify”为客户提供银行账户验证,以防止账户被意外使用。像这样的解决方案可以定位为独立产品,集成到客户入职流程中,或者作为每次交易的检查(在资金释放或服务提供之前进行额外验证)。银行可以内部构建工具,也可以与不断增长的欺诈供应商领域的提供商合作。
在欺诈决策中纳入声誉数据,以打击第一方欺诈。 对于银行账户支付,经验丰富的参与者会跟踪来源银行和目的地银行的风险评级和指标——例如,他们会标记某些来源银行的欺诈或退回请求水平较高,或者资金被发送到选定的目的地银行。卡提供商对商户风险评级采取类似的方法。声誉数据还包括支付提供商拥有的关于客户的信息(例如,拒付、争议)以及来自 LexisNexis 或 Telesign 等第三方声誉数据参与者或 Early Warning Services 等联盟的信息。一些建模提供商收集和使用联盟数据(通过共享各种客户原型的干净数据)来提高其模型和规则集在不同地理区域的不同欺诈类型的准确性,从而帮助支付提供商抢先应对不良行为者。
设计基于人工智能/机器学习的欺诈模型来检测特定类型。 大多数支付提供商目前对欺诈检测采取一种粗略的、一刀切的方法,导致大量的误报。一种更有效的方法是针对同一组交易和数据运行多个针对特定欺诈向量量身定制的独立模型。支付提供商应按产品、渠道和欺诈类型(例如,第一方欺诈、合成身份、账户盗用)设计欺诈模型,以提高建模在区分欺诈者和非欺诈者方面的精度。支付提供商可以将交易监控与微行为分析、收款人确认、联盟数据和客户挑战相结合。人工智能和机器学习可以在识别触发因素方面发挥支持作用。
使用“好客户”检测功能来抵消误报。 许多机构的误报率高达 90%,而一流的参与者则在 60% 左右。这些参与者通过纳入“好客户”评分来抵消误报并加强客户关系和体验来破解密码。“好客户”评分可以基于账户活动(例如,账单支付、直接存款、安全余额);提供商还可以使用生成式人工智能通过分析非结构化数据(例如,长支付文件)以及客户旅程和导航历史来发现好客户。
让客户成为第一道防线。 在打击欺诈方面,客户可能是最薄弱的环节——或最强大的资产。提供商可以通过让客户能够直接识别和应对风险来加强他们的防御。该方法从有针对性的教育和干预开始:例如,包含常见诈骗类型的安全门户、交易期间基于风险的提示以及关于高风险时刻的推送消息。一些提供商现在允许用户报告可疑内容以进行基于人工智能的诈骗评估。随着开放银行的成熟,客户将越来越期望不仅控制对其数据的访问,还控制其支付活动周围的护栏。帮助客户安全地塑造自己的保护姿态(例如,通过自定义限制或同意偏好)——而不牺牲体验——的机构将能够更好地建立信任,同时继续减少欺诈损失。
反洗钱活动正在增加,期望也在加强
每年有多达 2 万亿美元通过全球金融系统进行洗钱。围绕反洗钱 (AML) 的监管期望有所加强(尽管美国可能会暂时放松),相关的罚款,包括与违反制裁相关的罚款,在 2023 年全球超过 60 亿美元——创历史新高。金融机构和支付提供商面临着越来越大的压力,需要提高其合规框架的检测和问责制。
然而,值得注意的是,加强反洗钱、了解你的客户 (KYC) 和制裁合规系统也可以成为重要的增长杠杆和弹性的来源。一流的合规性可以减少“笨拙”的客户旅程区域(例如入职)中的摩擦,从而改善客户体验和转化率。强大的反洗钱/KYC 系统还可以提供进入新的高风险和受到严格监管的市场所需的合规保证,并可以提高声誉和信任度,从而吸引股东、客户和合作伙伴。
支付提供商可以通过关注以下三个主题来应对洗钱威胁和反洗钱合规挑战:
扩大 KYC 和尽职调查在整个支付生态系统中的范围。 在当今的支付领域,KYC 和筛选责任扩展到范围广泛的第三方,每个第三方都会带来不同的风险。这些第三方包括发卡机构、商户收单机构、金融科技公司和非银行服务提供商、支付促进者和终端商户。根据他们在价值链中的作用,组织可能负责对多个交易对手执行或验证尽职调查,但通常对底层客户或商户数据的可见性有限。但是,提供商仍然可以使用可用的数据进行交易监控(例如,基于风险的警报生成和调查、可疑活动报告备案),同时还可以采取措施来提高交易对手正在执行适当 KYC 措施的保证。提供商可以采取分层方法来获得保证,范围从请求证明和计划文档到定期进行风险和合规“同行”访问,以及对于更高风险的情况,通过现场审查或第三方评估行使审计权。
加强持续监控。 强大的尽职调查只是第一步。支付组织还必须实施机制,在可行的情况下进行持续的交易监控,特别是对于高风险细分市场。即使无法进行直接监控,实体可能仍然有义务识别危险信号并报告可疑活动。随着监管期望的扩大,行业必须从时间点检查转向持续监督和实时情报共享。
投资于效率和现代化。 随着金融犯罪分子变得越来越复杂,提供商必须对其能力进行现代化改造,以跟上步伐。然而,尽管经过多年的投资,反洗钱和金融犯罪合规计划仍然成本高昂且效率低下。例如,欧洲、中东和非洲 (EMEA) 的金融机构在 2023 年花费了大约 850 亿美元用于金融犯罪合规,这主要是由专业劳动力驱动的——81% 的 EMEA 金融机构计划减少这一数字。尽管进行了投资,但全球范围内,只有不到 1% 的国际犯罪金融流动被执法部门拦截。支付提供商在应对这些挑战时需要提高效率,从手动、基于规则的引擎转向用于交易监控和调查的人工智能和生成式人工智能驱动的解决方案。领导者正在使用机器学习来识别复杂的行为模式和异常情况,但广泛采用仍然有限。
支付系统的激增正在增加威胁“面”
在一个日益多极化的世界中,支付系统变得越来越复杂,涌现出令人眼花缭乱的新型国家、跨国和全球支付渠道。这些包括全新的支付渠道(例如,稳定币或中央银行数字货币,例如数字欧元)或国内即时支付渠道的交叉(如在印度、马来西亚和新加坡,支付可以在一个系统上开始并在另一个系统上结束)。随着国家当局推动增加主权和支付运营商寻求提高弹性,这种趋势可能会继续下去。
除了增加本地化之外,一些政府还在寻求使其货币使用多样化(例如,中国对以人民币支付沙特石油的兴趣),以减少对外部系统的依赖。
随着新策略和支付计划的出现,传统的保护机制(例如,针对欺诈或反洗钱)可能并不总是随之而来。为单一国内支付渠道构建的系统和控制现在面临着更广泛的威胁。
展望未来,金融机构必须集成强大、与渠道无关的风险控制和监控,以确保一致的安全性并减轻新兴风险,这一点至关重要。这些可以从现有的成熟能力中汲取(例如,电汇的反洗钱控制或银行卡的反欺诈控制)。
这种方法利用了经过验证的有效性,维护了客户信任,并有助于所有支付产品的监管合规性。采取这种途径的机构可以防范新技术中的漏洞,同时保持其支付系统的完整性。
驾驭 2025 年的支付风险
更广泛地说,在驾驭不断变化的支付风险格局时,银行和支付提供商应采取积极主动的战略姿态,这种姿态基于一套适用于各种风险的必要措施:
承担适当的风险。 承担客户风险可以开辟新的收入来源。正如更好的信用模型有助于更有效地管理风险,同时优化业务成果一样,更好地识别和管理支付风险不仅可以减少客户摩擦,还可以提供竞争和经济优势。
多元化。 多元化既可以减轻风险,又可以开辟新的增长机会。支付提供商可以使交易流程多样化(通过建立新的代理银行关系并引入替代支付渠道)、货币选项(支持替代货币计价的商品或替代货币结算选项)和商户细分市场(通过新的和未得到充分服务的行业)。他们还可以探索替代支付渠道(例如,与数字钱包合作,而不是与标准商户收单机构合作)并支持新的跨境清算机制,以实现与传统代理银行网络的多样化。
利用经过验证的方法并加强基础推动因素。 为了确保全面的安全和合规方法,应将来自已建立系统的强大欺诈保护集成到新的支付模型中。基础风险管理实践也可能需要加强;例如,为商户建立明确的风险偏好政策。
制定基于旅程的方法。 改进支付客户旅程中最关键但通常繁琐的领域的流程,例如入职和争议管理,可以提高客户保留率和满意度,同时降低运营风险。流程越手动和笨拙,就越有可能出现难以以自动化方式减轻的风险(见附图)。
运营最密集的反洗钱功能通常会带来最大的风险。
利用人工智能和先进技术发起进攻: 在欺诈方面,人工智能是一把双刃剑,它为支付提供商提供了一种对抗诈骗的工具,但也允许欺诈者进行创新。银行和支付提供商应利用人工智能和先进技术来更好地检测和预防欺诈,并保持领先于不良行为者。
在日益复杂的支付运营环境中,预计会出现更大的风险。上述策略不仅可以减轻风险,还可以开辟新的收入机会,为长期的成功和增长铺平道路。
关于作者
Ishanaa Rambachan 是麦肯锡旧金山办事处的合伙人,Uzayr Jeenah 是多伦多办事处的合伙人,Susan Scavone 是纽约办事处的顾问。
作者感谢 Olivia Conjeaud、Rich Dentura 和 Tim Natriello 对本文的贡献。
本文由纽约办事处的编辑总监 Mark Staples 编辑。
咨询行业正面临数十年来最剧烈的变革。这场地震般的转型甚至让行业巨头们都在重新审视自身定位。
作为近一个世纪来为《财富》500强CEO提供建议的蓝筹咨询公司,麦肯锡正是其中之一。...
六项战略可以促进增长并改善美国农村居民的福祉和经济流动性。...
企业为麦肯锡的人力专业知识支付高昂费用,近百年来这完全合理:这家顶尖咨询公司的顾问军团帮助数代CEO应对最棘手的挑战,整合复杂信息并规划行动方案。如今麦肯锡正试图引领自身的生存转型。人工智能正日益胜任该公司高...