近月發生了一宗用偽造身份證在手機銀行成功開戶口洗黑錢的新聞,因此,筆者想和大家分享一下應用在遙距開戶,或者簡稱eKYC(認識你的客戶)的金融科技,和其中衍生的風險。
遙距開戶不離3個步驟:真證、真人、人證合一。要檢查證件真偽,就是透過手機拍攝證件,然後上載到銀行系統,利用人工智能判別。因為香港沒有數據庫可查詢身份證資料,所以一般做法,是根據入境處公布的身份證防偽特徵檢查。
然而,以手機拍攝難以辨別某些防偽特徵,如觸感、紫外光圖案、縮微文字等;同時,要在有限像素的手機照片上,訓練人工智能能準確判斷證件真假,需要用大量的正反測試案例,才能幫助人工智能有效學習。
由於香港目前正通行新舊兩種智能身份證,新證在2018年才發出,未必能找到足夠的正反測試案例,因而會令辨別真假證件的準確度有偏差。上述案件,騙徒將自己的相片換到假身份證上,最後在3間銀行成功開戶,顯示其技術方案抵擋不了換相的假證。
要解決手機開戶辨識真假證件問題,可以有多種方法。其中之一是政府開放數據,在需要應用身份證實名的各種場景,可供查詢身份證資訊。例如內地公安部屬下的全國公民身份證查詢服務中心,就能為政府部門及社會公眾,提供全國公民身份資訊及辨別證件真偽服務。
另一方法是使用電子護照的防偽設計。電子護照是符合國際民用航空組織所訂立的標準,包括載有聚碳酸不碎膠的個人資料數據頁,以及用以儲存容貌圖像和個人資料的非接觸式晶片。個人資訊同時存於護照的數據頁上和晶片中。晶片的數據,以公開金鑰基礎建設(PKI)加密存儲,可以用特定的流動應用程式讀取和驗證,而且因成本高昂而難以偽造;香港特區護照就採用了電子護照標準。
此外,亦可利用數碼身份證。香港政府推出的「智方便」,就很接近數碼身份證。但如果用於金融服務級別的身份實名,網上登記的「智方便」可能保安強度未足;而必須親臨自助登記站登記的「智方便+」,就具有更高級別的防偽,會更適合作為銀行開戶的身份證明。然而,目前全港的登記站只有179個,政府須增加數量方便市民登記。
金融科技的商業應用發展一日千里,相對的風險防範和合規措施,亦要同步跟上。這方面需要政府部門與商業機構一同合作,否則在客戶體驗改善的同時,詐騙和犯罪的風險也上升,這絕對不是一個智慧城市發展所樂見的情況。
香港電腦學會金融科技專家小組執行委員會成員 陳頴峯