純網銀如何克服 監理與資安兩大痛點

純網銀即將開張，未來消費者不需要走進分行填表單，利用手機螢幕即可完成所有手續，真正全年無休的讓人隨時隨地可以進行金融活動，讓金融科技監理與資安技術比起以往更顯其重要性，如何找出事半功倍的方法，值得業者與相關單位多加謹慎規劃。

　本文先談監理科技，來日再說自動科技監理。沒有監理科技，合規金融科技也無法健全發展，監理目標是達成純網銀資安及生態中立性。但監理往往是事後監理，對消費者傷害已經造成，事前自律及自動科技監理才是事半功倍的方法。

　不同於傳統銀行的用戶有實體分行可去，純網銀用戶主要是從手機來認識這個新銀行，24小時都可從手機或桌機操作，用戶體驗依賴好用、感動人心、激勵人心的App。因此，純網銀後台系統必須符合現有資安規範，如ISO27001（資訊安全管理系統認證），但強度是24小時線上等級。銀行前台變化尤大，不只是量變，而是質變：用戶不再是到分行在表單上簽名蓋章，而是數位簽章，體驗與資安態樣完全不同。

純網銀第一要務「獲客」

　在應用五花八門的AI及區塊鏈金融科技之前，純網銀第一要「獲客」，在短時間內，客戶數目要達到各家宣示的百萬級，又不想用戶碰到如日本7pay近日之用戶盜用問題，純網銀的挑戰不小。純網銀的起手式是身分認證，如何成功獲客則是馬上面對的痛點。

　法規「銀行受理客戶以網路方式開立數位存款帳戶作業範本」的第三條定義了銀行如何受理開立數位帳戶。但我國自然人憑證普及率不高，手機開戶者往往隨身沒有自然人憑證，內政部規劃的晶片身分證將於2020年10月開始導入，到時用戶可以手機NFC（近距離無線通訊）讀取身分證晶片裡的憑證，並可數位簽章，這對純網銀緩不濟急。難道要各家網銀去開模，打造一個手機USB dongle（轉接器）以在過渡期間時，用戶可插入自然人憑證接上手機？

　我們只能說，克難式讀卡機之手機版，並不是最好解法。

　根據法規「金融機構辦理電子銀行業務安全控管作業基準」及其作業範本，金融作業的中心思想是實名制，跟網際網路不同，而欲符合安控基準高風險場景，關乎資安之私鑰管理更是重中之重，不能放在App或網頁瀏覽器，必須有「第三方認證」確保金鑰儲存安全。

　日本金融廳（FSA）今年對Sub-SIM的實驗結果報告指出，FSA認證除對中間人攻擊、瀏覽器惡意程式攻擊防護度高外，在身分認證上也沒有問題。相對OTP（One-Time Password，一次性密碼）之低安全性，FSA認證之FPoS（FinTech Platform over Sub-SIM，薄膜卡金融科技平台）值得台灣借鏡。

　在台灣過渡到晶片身分證期間，FPoS也能讓各網銀發卡，此卡即含薄膜卡，用戶不需換SIM卡或換手機，純網銀就能獲客，以達成電信及手機中立。

科技金融的開放金融時代到來

　筆者觀察四周年輕人往往是使用科技金融的服務，而不是坐等金融科技的產品。從國外coinlend.org的存放款服務利率來觀察，很多學生使用這所謂「開放金融」，不傾向接近網銀來滿足他們的金融需求。DeFi（Decentralized Finance，去中心化金融）用戶與純網銀的客群重疊。個人期許，任何純網銀不應走到國外網銀的老路：「高利吸存款、低利放款以及亂投資搶回報。」

　DeFi雖號稱Decentralized（去中心化），但往往比CeFi（Centralized Finance）還中心化（Centralized）。最後領錢常不在智能合約上，手動式風險大。政府對此的態度為何？筆者相信DeFi在洗錢防制、反資恐的國際趨勢中，還是需要適度監理才走得久遠。

　金融科技監理與資安有眾多挑戰。本文末提出兩項待解答的疑慮：第一，政府對金融科技監理是否像美國一樣開放積極；第二，我們如何面對DeFi中存借放款的金融服務？不必等待政府的時程表，事前自律及自動科技監理將事半功倍，也不牴觸政府監理。適度監理才能更健康長遠，而自律及自動科技監理則可作為日後監理的參考。