金管局推新10招加强电子银行保安　望明年3月全落实

为加强电子银行保安，使银行有效抵挡骗徒从电子渠道骗取客户存款的手法，金管局参考外国经验，推出新一轮共10项措施，重点加强可疑活动或交易监测、身份认证及客户通知，主要措施包括动态诈骗监测机制、突击及额外身份认证、可疑或异常活动通知、暂停电子银行帐户、降低预设跨境转帐限额，及限制帐户同时登入。金管局银行监理助理总裁陈景宏表示，今日（31日）推出相关指引后，由于涉及银行系统改动，料需时4至5个月，希望明年3月能够全面落实。

仅发现零星电子银行帐户被操控骗案

陈景宏表示，根据警方数字显示，尽管在今年上半年，涉及本地电子银行帐户被操控的骗案只有零星个案，但金管局留意到不少海外地区的相关骗案，均有所增加（如英国、新加坡、日本），而且诈骗手法越趋高明。

他举例，有骗徒编写针对Android作业系统的恶意程式，透过社交平台卖广告或假的Google Play Store网页，装扮成游戏、电影或购物优惠的应用程式，诱骗公众以连结或二维码方式下载，安装后便能记录客户输入的电子银行密码，以及读取一次性短讯密码，但客户却难以发现。

据现行电子银行指引，其实已有防范恶意程式的要求，例如银行在提供电子银行服务前，须检查客户的手机安全情况，如是否为已“越狱”的手机或有否被安装恶意程式的迹象，若有关装置并不安全，便不应提供相关服务。此外，如银行的流动应用程式有提供流动保安编码器等重要功能，更须进一步加强防范恶意程式的保安措施，如检查手机屏幕有否被恶意程式录影等。

要求银行进行突击及额外身份认证

陈景宏表示，在加强监测可疑交易及额外身份证认证方面，要求银行设立动态诈骗监测机制，更全面考虑客户以往的交易模式及数据，迅速辨识可疑的帐户活动。银行并会突击及额外身份认证，当发现客户的帐户有异常活动或可疑的高风险交易，要求客户进行突击身份认证，或在双重认证外多加一重认证，确认帐户并非由他人操作。

在提升客户监控能力方面，除高风险交易外，银行也应通知客户其帐户的异常活动，如地点变更、新装置绑定或登入等。同时，客户可透过专属热线电话或电子银行平台即时暂停帐户。银行也应根据风险评估，降低客户跨境转帐的预设限额，并禁止同一时间多于一个装置登入电子银行帐户。

降低客户跨境转帐的预设限额

陈景宏表示，新措施针对常见和新的骗案手法，进一步保障客户，例如骗徒操控了客户帐户后，会有些可疑活动，如从海外以另一手机同时登入，或会将资金转至海外户口，因此新措施要求银行比对客户以往的数据加强监测，从而辨识和通知客户这些可疑活动，作出突击或额外认证，并禁止不同装置同时登入，确保帐户并非由骗徒操控，以及降低客户跨境转帐的预设限额。

在减低损失方面，加强客户监控异常活动的能力，并有便捷的渠道暂停银行帐户，令未授权转账交易更易被发现，更难被执行。同时，客户可透过24小时渠道，报告异常交易并获得支援。