最近接触到了一些关于反诈骗洗钱的工作,对电信诈骗洗钱等有了比较直观的认知。电商平台很容易被犯罪份子利用,作为产品经理,设计产品时一定要有风险意识,否则产品上出现犯罪情况,轻则有自责感、负罪感,重则接受行政处罚,双罚制实施后上至平台下至负责人均会受罚,打击犯罪,人人有责。
相关资料
充值提现平台,缘何沦为诈骗犯“洗钱工具”? //zhuanlan.zhihu.com/p/151289531
中华人民共和国反电信网络诈骗法(全文) //zhuanlan.zhihu.com/p/560714960
风控系统设计
对于电商平台的账户系统,一般会有开户、储值、交易、提现几个主要功能。在设计之初,每个功能都需要针对业务场景做限制,功能上线后,需要考虑可能被利用或存在风险的场景,对用户数据做监控,及时识别异常用户行为,做对应的限制、告警、以及拦截。
开户环节,要充分落实KYC,非目标用户无需开放开户入口,如果账户权限有多种类别,则对用户也要严格分类对应,满足指定条件用户可开对应账户。不要为了后期功能改造的灵活性,或者为了业务的快速扩张,而放松限制,设计时务必要在业务和安全方面做好衡量,追求业务指标而忽视安全可能导致严重后果。
储值环节,要考虑支持哪些支付渠道储值,一般来说信用卡支付要禁止,公私账支付也要根据平台虚拟账户性质做对应处理。另外,用户是否有储值的需要?一般需要储值多少额度?用户一般在什么时间操作储值?这些特征都需要研究并做对应风控,比如限制储值额度,禁止部分用户储值,禁止部分业务使用余额支付,异常时间储值告警等。
交易的监控是电商平台的核心工作之一,一般来说平台对用户和商家入驻已经做了限制和审核,平台仅需要核对买卖双方的交易真实性即可。从分账系统的角度看,交易的概念更为广泛,从A账户到B账户的转账,即是一笔交易,在用户购买商品行为之外,其他业务场景也可能出现交易。这里我们需要检查交易的合理性,不仅针对正常的用户购买行为,还需检查用户账户之间和商家账户之间可能的转账行为。对于特殊业务场景导致的和购买行为不对应的交易,应该做严格限制,最低程度的满足业务场景需求即可,超出此场景的交易一律禁止。对于用户购买产生的交易,则要检查其购买频次、金额,以避免用户和商家串通,伪造交易利用平台洗钱,必要时需要校验付款用户身份以防范盗号、卖号等情况。
原路退款一般没有风险,提现是用户账户出金的唯二路径(不含平台转账扣费等),不管前面出现了哪些问题,最后一道防火墙如果拦住了,就可以避免资金损失。提现本身需要做安全校验,另外提现还需要严格限制资金去向。对于提现金额、笔数、到账时效都需要做风控,如果是提现次数不多的B端平台,交给人工审核也是个好主意。
总的来说,风控既要防竞对,又要防内鬼,还要防未知的犯罪份子,设计产品时不能只想到一方,不同坏人做坏事,手段会有所区别,做产品的,对于本身存在较大风险的业务,能不做尽量别做,一定要做的话,还是想想清楚什么方案风险最小。