基金公司电信诈骗监控模型初探

电信诈骗等新型网络违法犯罪严重危害人民群众的财产安全和合法权益，犯罪分子实施电信诈骗获取非法资金后，利用金融机构通过一系列交易将资金转移，形成洗钱风险。据公安部提供的数据，2019年全国共破获电信网络诈骗案件20万起、抓获犯罪嫌疑人16.3万人。

从近期监管发布的洗钱案列来看，基金业、证券业正逐渐成为进行洗钱犯罪活动的新领域。在对异常交易进行监测、分析以及配合公安机关对相关案件调查取证的过程中，我们均发现了犯罪分子将电信诈骗的非法所得通过基金业务进行资金隐匿的真实案例。为了及时发现并切断不法分子转移非法资金的链条，以风险为本，以金融科技力量为辅，易方达基金（以下简称“我司”）对基金业务中涉及电信诈骗的风险监控进行了一些尝试，希望通过对真实案例的深入分析来探索符合行业风险特征的可疑交易监测分析指标和模型。现就我司针对涉嫌电信诈骗的洗钱监控模型构建做一些介绍和交流。

一、基金行业电信诈骗洗钱风险基本情况

根据《中国洗钱和恐怖融资风险评估报告（2017）》，金融理财诈骗、赌博博彩诈骗、虚假兼职诈骗和冒充身份诈骗是被害损失资金最多的四类电信诈骗类型。由于普惠金融的推广，客户只需在基金销售网点开立账户、申请网上银行后就可以进行购买，互联网金融所带来的便利性使犯罪分子将目光转向基金行业，通过基金的申赎转换将电信诈骗的非法所得进行藏匿和转移。中国人民银行发布的《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》总结了25条涉电信诈骗犯罪可疑特征清单，但由于基金业务运作时资金流转相对封闭，基金公司本身并不掌握资金来源、去向信息，基金公司监测这类洗钱风险的难度加大。

二、基金行业电信诈骗监控模型初探

01基金行业电信诈骗涉案客户画像特征分析

我司将所有过往处理的电信诈骗案例进行归整，剖析、梳理并尝试归纳案件特征，总结分析涉嫌电信诈骗的基金客户所具有的主要身份特征以及交易特征。总结分析如下：

（1）身份特征

● 银行卡归属地域分布较为集中。从客户绑定的银行卡归属地来看，涉嫌诈骗的客户多来自华南、华东以及东北等地，异地开户较为普遍。这与《中国洗钱和恐怖融资风险评估报告（2017）》的结论存在一致性，该报告认为，电信诈骗作案源头地、输出地具有相对集中性，福建省、湖北省、广西自治区、海南省、广东省的部分县市是电信网络诈骗重点地区，辽宁省、河南省、湖南省、四川省、河北省、江西省、安徽省也有个别县市电信网络诈骗犯罪情况突出。

● 预留地址存疑。客户预留地址不完整或者虚假，隐匿身份的意图明显。甚至存在诸如“客户健康和第三个”等明显无效信息。

● 身份证、手机号码地址、银行卡归属地址不一致。

（2）行为特征

● 同一手机设备同时操纵多个账户。涉嫌诈骗的客户常存在同一手机设备同时操纵多个不同客户账户的现象。

● 被操纵的多个账户信息具有一定的关联性。疑似被批量操纵的账户，账户信息往往具有同质的特征，例如客户的身份证件号码以及地址信息均显示来自同一地域等，涉嫌批量购买或收集客户身份信息的可能性较大。

（3）交易特征

● 申购模式。涉嫌诈骗的客户在开户后，有时会在一个月至三个月内无操作，然后先申购10元或100元等小额金额进行测试，一日会进行多次测试。随着测试频率的增加，金额也逐渐提升，以100万元、50万元、1万元以及5000元居多。

如我司2019年1月上报人行的一笔可疑交易涉及客户X某案例中，某公司报案称其农行卡被盗刷，资金转入我司X某客户的账户，交易金额近900万元。检查X某的交易记录发现，该客户从上年年底开始，连续尝试申购超过几十次，均未成功，每笔申购交易金额均为整数，如10000元、5000元等。我司接到警方通知后立即对该客户账户进行了冻结以防止犯罪分子将资金再次转移，并配合警方完成后续调查取证工作。

● 申购基金类型。涉嫌诈骗的客户申购尝试的基金产品基本上是货币型基金。这与货币型基金低风险、高流动性的特质密切相关，犯罪分子很可能出于对资金流动性的需求而偏好此类产品。

02基金行业电信诈骗监控模型指标的设定

遵循案例特征化、特征指标化、指标模型化的监控模型分析构建要求，为了从较为零散的客户特征中构建出比较完善的监控模型，我司进一步从涉嫌电信诈骗案例的客户画像特征中提炼相关核心指标。

（1）客户特征的归类与筛选

从总结客户画像特征到设定相关指标，将初步的业务需求转化为技术方案的落地。在将客户画像特征提炼为模型、进行特征指标化之前，还需要对上述特征进行进一步的归类和筛选，找出特征之间可能存在的看似矛盾但确实存在的隐藏信息。

例如，我们发现，部分客户的地址、银行卡归属地以及手机号码来自不同地域，看似存在矛盾，但这个“看似存在矛盾”的特征，实则指向了部分犯罪嫌疑人之间可能为同乡，或通过批量买卖客户身份信息或盗取他人账户信息开户，隐匿账户实际操纵人的真实身份的电信诈骗洗钱犯罪模式。

（2）核心指标的覆盖与结合

例如，前文提到我司发现涉嫌从事电信诈骗的客户交易的产品基本上都是货币基金，且由于货币基金产品申赎的便捷性，产品结构简单，是广大投资者进行短期现金管理的主要产品工具，如果仅仅排查货币基金交易客户，被排查客户的覆盖率一定会提升，但相应的，命中正常客户的概率也会大幅度提高，特征的准确率将受到影响，也增加了可疑交易人工分析的压力。但假若把交易的产品类型、交易金额以及交易频次结合起来，加入更多的限制性条件或对多个特征进行合并，便能够使得原本低指向型特征转化为高指向型特征，就可以有效提高可疑交易监测指标有效性。

通过以上一系列探索，我司提炼出涉嫌电信诈骗监控的五个核心指标，用以捕捉日常基金交易中涉嫌电信诈骗的犯罪行为，这五个核心指标分别为：交易类型、金额、频次、银行扣款失败原因标识和历史成功/失败扣款次数。

03基金行业电信诈骗监控模型参数设定

我司对围绕五个核心指标建立的涉嫌电信诈骗监控模型动态调整、持续跟踪、不断优化。

（1）实时验证反馈，取舍模型因子

从案例特征过渡到指标设定再到参数的设定，是从业务需求到技术方案的转换。我们在考虑模型指标参数的时候必须考虑公司现有的应用架构以及基础数据是否支持相关监测指标和参数的设定。在涉嫌电信诈骗监控模型设立的初期，我们认为该模型的筛查结果需能提供实时反馈，以便可疑交易监控工作人员能够在第一时间对该监控模型筛选出的涉嫌电信诈骗交易进行跟踪排查，将风险暴露降至最低。因此，我们对自动化监测指标的选择以及参数设定进行了一定的取舍。

例如，我司总结涉嫌电信诈骗的客户画像特征时候发现客户尝试金额相对固定，或为某个金额的整数倍。我们原计划将该特征纳入监控指标，并试图运用申购金额的最大公约数来实现，但在随机数据的验证下，该指标的有效性不如预期，误报率偏高，且由于每日交易的客户数量及客户交易信息的不可预测性，该方案将加大系统运算负荷，技术人员评估后反馈实时预警将很难实现，最终在模型监控指标中，我们剔除了这个对于整数倍监控的考虑，转而将该特征列入后续人工分析的参考因子。

（2）借助金融科技，选定合理参数

为了使监控模型的参数设定更为合理，我司借助金融科技的力量，在海量历史交易数据的基础上，先对参数进行一个预设，然后通过系统真实数据对参数的有效性进行验证，并对显示异常的参数指标进行相应的调整，最终确定系统模型监控参数。

例如，涉嫌金融诈骗账户的交易记录显示，账户一般存在短时间内进行连续交易的行为，但是由于账户余额造成扣款失败。然而，对于连续申购扣款失败的次数参数的设定，并没有一个现成的答案。通过运用金融科技对不同统计分位点的考察和论证，结合剩余风险的考量，我司最终将该指标值设定为连续申购5次及以上的交易。近一年的实践验证情况表明，该指标参数的设定是适合的。

三、涉嫌电信诈骗监控模型实践效果

我司2019年3月开始部署实施该涉嫌电信诈骗监控模型，经过一年多的实践和摸索，共筛查出预警客户800余名，并对其中约20名客户的账户的交易类权限进行限制。该批客户中仅一名客户在账户交易权限被限制后致电我司了解了一般情况，其余客户没有对限制交易提出任何异议。实践证明该模型为我司发现电信诈骗案件线索、打击电信诈骗犯罪作出了一定的贡献。

四、不断优化涉嫌电信诈骗监控模型

综上，我司通过客户画像特征分析提炼出五个核心指标，搭建出基金公司涉嫌电信诈骗监控模型，并通过“人工+科技”的手段对模型参数不断调整。该模型的监测成果表明，模型整体具有合理性与有效性。但需要注意的是，我司对涉嫌电信诈骗监控模型的完善仍在探索过程中。涉嫌电信诈骗资金的交易环节复杂、交易层级较多，要有效发现相关涉案账户，必须结合多种可疑特征，进行综合判断。后续我们会密切跟踪电信网络诈骗的新手法、新案例，及时总结防范要点并对现有模型进行不断的优化和完善，与其他金融机构一起构建反诈的“第一道防线”，以风险为本深入推动整个反洗钱工作提质增效。

专家点评：易方达基金打破了基金行业广泛存在的认为客户资金属于同名账户划转，反洗钱工作中只重客户身份信息的获取、轻客户异常交易监测的惯例，从客户身份、行为、交易特点等维度，初步构建符合本公司特点的电信诈骗监控模型，在基金行业客户异常交易行为监测方面做了很好的尝试。