純網銀即將開張,未來消費者不需要走進分行填表單,利用手機螢幕即可完成所有手續,真正全年無休的讓人隨時隨地可以進行金融活動,讓金融科技監理與資安技術比起以往更顯其重要性,如何找出事半功倍的方法,值得業者與相關單位多加謹慎規劃。
本文先談監理科技,來日再說自動科技監理。沒有監理科技,合規金融科技也無法健全發展,監理目標是達成純網銀資安及生態中立性。但監理往往是事後監理,對消費者傷害已經造成,事前自律及自動科技監理才是事半功倍的方法。
不同於傳統銀行的用戶有實體分行可去,純網銀用戶主要是從手機來認識這個新銀行,24小時都可從手機或桌機操作,用戶體驗依賴好用、感動人心、激勵人心的App。因此,純網銀後台系統必須符合現有資安規範,如ISO27001(資訊安全管理系統認證),但強度是24小時線上等級。銀行前台變化尤大,不只是量變,而是質變:用戶不再是到分行在表單上簽名蓋章,而是數位簽章,體驗與資安態樣完全不同。
純網銀第一要務「獲客」
在應用五花八門的AI及區塊鏈金融科技之前,純網銀第一要「獲客」,在短時間內,客戶數目要達到各家宣示的百萬級,又不想用戶碰到如日本7pay近日之用戶盜用問題,純網銀的挑戰不小。純網銀的起手式是身分認證,如何成功獲客則是馬上面對的痛點。
法規「銀行受理客戶以網路方式開立數位存款帳戶作業範本」的第三條定義了銀行如何受理開立數位帳戶。但我國自然人憑證普及率不高,手機開戶者往往隨身沒有自然人憑證,內政部規劃的晶片身分證將於2020年10月開始導入,到時用戶可以手機NFC(近距離無線通訊)讀取身分證晶片裡的憑證,並可數位簽章,這對純網銀緩不濟急。難道要各家網銀去開模,打造一個手機USB dongle(轉接器)以在過渡期間時,用戶可插入自然人憑證接上手機?
我們只能說,克難式讀卡機之手機版,並不是最好解法。
根據法規「金融機構辦理電子銀行業務安全控管作業基準」及其作業範本,金融作業的中心思想是實名制,跟網際網路不同,而欲符合安控基準高風險場景,關乎資安之私鑰管理更是重中之重,不能放在App或網頁瀏覽器,必須有「第三方認證」確保金鑰儲存安全。
日本金融廳(FSA)今年對Sub-SIM的實驗結果報告指出,FSA認證除對中間人攻擊、瀏覽器惡意程式攻擊防護度高外,在身分認證上也沒有問題。相對OTP(One-Time Password,一次性密碼)之低安全性,FSA認證之FPoS(FinTech Platform over Sub-SIM,薄膜卡金融科技平台)值得台灣借鏡。
在台灣過渡到晶片身分證期間,FPoS也能讓各網銀發卡,此卡即含薄膜卡,用戶不需換SIM卡或換手機,純網銀就能獲客,以達成電信及手機中立。
科技金融的開放金融時代到來
筆者觀察四周年輕人往往是使用科技金融的服務,而不是坐等金融科技的產品。從國外coinlend.org的存放款服務利率來觀察,很多學生使用這所謂「開放金融」,不傾向接近網銀來滿足他們的金融需求。DeFi(Decentralized Finance,去中心化金融)用戶與純網銀的客群重疊。個人期許,任何純網銀不應走到國外網銀的老路:「高利吸存款、低利放款以及亂投資搶回報。」
DeFi雖號稱Decentralized(去中心化),但往往比CeFi(Centralized Finance)還中心化(Centralized)。最後領錢常不在智能合約上,手動式風險大。政府對此的態度為何?筆者相信DeFi在洗錢防制、反資恐的國際趨勢中,還是需要適度監理才走得久遠。
金融科技監理與資安有眾多挑戰。本文末提出兩項待解答的疑慮:第一,政府對金融科技監理是否像美國一樣開放積極;第二,我們如何面對DeFi中存借放款的金融服務?不必等待政府的時程表,事前自律及自動科技監理將事半功倍,也不牴觸政府監理。適度監理才能更健康長遠,而自律及自動科技監理則可作為日後監理的參考。