核心观点 - 欧洲经济区支付欺诈金额在2024年达到42亿欧元 较2023年的35亿欧元有所增长 凸显了强客户认证的重要性以及持续警惕新威胁的必要性 [1] - 2020年引入的SCA法律要求有助于降低总体欺诈水平 但新型欺诈不断涌现 要求安全措施持续调整 [2] - 监管机构将继续监测和发布支付欺诈数据 为政策决策及监管行动提供依据 [7] 欺诈总体趋势与金额 - 欧洲经济区支付欺诈总额从2022年的34亿欧元 增至2023年的35亿欧元 并在2024年进一步增至42亿欧元 [1][2] - 报告分析了支付交易总量及欺诈交易子集 涵盖了交易价值和笔数 [3] - 报告提供了按支付方式（如信用转账、直接借记、卡支付、现金提取和电子货币交易）和国家划分的详细数据细分 [3] 强客户认证的影响与局限 - 经SCA认证的交易（尤其是卡支付）不易受欺诈 [4] - 对于信用转账等其他支付类型 SCA的防护效果较弱 [4] - 当收款方位于欧洲经济区以外（该地区无SCA法律要求且通常不使用）时 卡支付欺诈率高出十七倍 [4] - 源自PSD2和EBA技术标准的SCA要求已产生积极影响 但新型欺诈正瞄准SCA豁免交易或诱骗用户认证欺诈交易 [5] 按支付工具划分的欺诈损失 - 2024年 信用转账造成22亿欧元损失 同比增长16% [6] - 2024年 由欧盟/欧洲经济区发行的卡片进行的支付造成13.29亿欧元损失 同比增长29% [6] - 对于信用转账 支付服务用户承担了约85%的损失 主要原因是诱使用户发起欺诈交易的骗局 [6] - 不同支付工具的欺诈损失分布存在差异 且在欧洲经济区各国家间差异显著 [5]

当前应付账款欺诈的主要类型与手法 - 虚假银行账户变更请求是增长最快的威胁，欺诈者冒充合法供应商要求“更新”银行信息，导致付款被转至犯罪账户 澳大利亚联邦警察报告此类攻击在两年内激增43%，单次损失常达六至七位数 [1] - 人工智能生成的欺诈技术，如深度伪造语音通话和合成发票，使欺诈更难被察觉，这些骗局利用了应付账款部门对熟悉声音和文件格式的天然信任 [2] - 商业电子邮件入侵是主要手段，攻击者使用相似域名冒充供应商或高管 美国联邦调查局报告过去五年BEC骗局累计造成超过140亿美元损失，应付账款部门是最常见目标之一 [2] - 重复和篡改发票，欺诈者提交经微小调整的合法发票，如新号码、略改日期或变更银行账户，指望工作过度的员工忽略差异 [3] - 利用手动流程的内部欺诈，能够接触供应商数据的员工可在无审计追踪的情况下操纵银行信息或创建虚假供应商 注册舞弊审查师协会估计账单欺诈事件的中位损失为每起14万美元 [3] 欺诈激增的驱动因素与现状 - 欺诈频率、复杂性和财务影响正以前所未有的速度加速 根据2025年AFP支付欺诈与控制调查，71%的组织去年成为支付欺诈目标，超过三分之一的攻击涉及虚假银行账户变更请求 [8] - 有限的员工培训是薄弱环节，根据普华永道2025年全球经济犯罪调查，不到三分之一的财务员工接受定期的反欺诈教育 [4] - 薄弱或不一致的控制措施，许多组织仍依赖手动验证或分散的供应商入驻流程 [5] - 数据泄露助长了针对性攻击，为诈骗者提供了冒充真实供应商所需的一切信息 [5] - 犯罪手段日趋复杂，当今欺诈者使用AI生成文本、克隆标识甚至深度伪造音频来制造令人信服的虚假请求 [5] - 对电子邮件的依赖构成风险，近90%的发票和付款通信仍通过不安全的电子邮件渠道进行，为欺骗创造了无尽机会 [6] - 美国联邦调查局互联网犯罪投诉中心报告2024年商业电子邮件入侵损失超过30亿美元，较前一年增长近20% [6] 传统流程的缺陷与挑战 - 传统供应商入驻和主数据流程存在诸多漏洞，手动流程引入错误和延迟，缺乏验证意味着欺诈者可未被察觉地通过，分散的数据隐藏了危险信号 [15] - 缺乏实时检查增加了合规风险，未对OFAC、制裁或纳税人识别号数据库进行实时检查会带来合规风险，通过电子邮件收集的银行详细信息容易被截获，无审计追踪则无法追溯批准人与时间 [15] - 全球验证的复杂性，对于向全球供应商付款的公司，银行账户验证更为复杂 不同国家使用不同系统，如IBAN、SWIFT代码、本地路由号码，使得标准化检查困难 据LexisNexis Risk Solutions研究，仅约40%的全球银行系统提供实时验证 [14] - 手动检查方式已难以应对，随着交易量增长，依赖电话和电子邮件确认的方法无法扩展 每次手动检查需15-30分钟，大量请求下难免有疏漏 [17][19] - 人为错误不可避免，在压力下，即使经验丰富的员工也可能错过一位数的更改或点错按钮 根据PYMNTS 2024年AP效率研究，58%的应付账款专业人士承认因时间限制至少偶尔跳过验证步骤 [20] - 无审计追踪即无问责，口头确认不留记录，无法证明合规性 [18] 欺诈事件的后果与影响 - 财务损失仅是开始，注册舞弊审查师协会估计支付欺诈的中位损失为每起15万美元，但许多实际案例损失更高 [21] - 声誉受损，供应商对公司的控制失去信心，可能要求更严格的付款条件 [23] - 运营中断，调查、追回工作和返工消耗资源 [23] - 监管风险，缺失审计追踪可能导致合规罚款 [23] - 员工士气受挫，欺诈事件后的压力和内疚可能导致倦怠和人员流动 [23] 防范欺诈的最佳实践与解决方案 - 标准化银行变更流程，用正式、有记录的工作流程取代临时更新，使用安全在线门户处理所有供应商银行账户变更请求，要求提供作废支票或银行信函等官方文件，并建立明确的审批角色 [24] - 独立验证银行账户所有权，绝不只依赖供应商提供的信息，使用第三方数据或自动化工具确认账户属于供应商的法律实体 [22][25] - 标记并升级高风险变更，并非所有请求都相同，应优先审查高价值或高频供应商、国际账户以及标准程序外提出的请求 [26][30] - 自动化验证流程，自动化将供应商验证从反应性控制转变为预防性控制 根据AFP数据，通过自动验证每笔付款，可消除人为错误并将欺诈尝试减少60%以上 所有操作都有时间戳，每次批准和验证都有记录，形成完整的审计追踪 [28] - 自动化工作流程的典型环节包括：通过安全门户进行供应商注册、结构化数据提交、基于可信数据库的实时验证、自动审批路由以及与ERP系统的无缝集成 [30] 自动化验证解决方案的关键能力 - 评估自动化银行账户验证工具时需关注：与ERP系统的无缝集成、对国际银行账户的支持、实时所有权验证、针对不匹配情况的内置警报与升级功能以及全面的审计文档 [29][31]

法律诉讼事件 - 纽约总检察长Letitia James对富国银行旗下的热门支付系统Zelle提起诉讼 [1][2] - 诉讼指控Zelle未能充分保护其众多用户免受欺诈 [2] - Zelle运营商Early Warning Systems被指控在设计该支付网络时缺乏关键安全功能 [3] 指控的具体内容 - 调查发现Zelle的设计缺陷使诈骗者能够轻易锁定用户 在2017年至2023年间窃取金额超过10亿美元 [3] - 指控指出EWS从一开始就知晓Zelle网络的关键特性使其特别易受欺诈 但未能采取基本保障措施来解决这些明显缺陷 [3] - EWS还被指控未对其合作银行执行任何有意义的反欺诈规则 [3] 相关公司背景 - Early Warning Systems由七家美国顶级银行和金融服务提供商共同拥有和控制 [4] - 除富国银行外 其所有者还包括摩根大通 美国银行和第一资本金融 [4] 市场与公司反应 - 诉讼消息导致富国银行股价当日下跌2% 而同期标准普尔500指数上涨0.3% [1] - Zelle回应称该诉讼是旨在制造舆论的政治噱头 并指责总检察长应关注制止犯罪活动而非提出无根据的指控 [5] - 该事件对Zelle及其背后银行的声誉造成负面影响 [5]

文章核心观点 美国消费者金融保护局（CFPB）驳回对摩根大通、美国银行和富国银行未能保护消费者免受Zelle支付网络欺诈的诉讼，同时也撤销对Zelle官方运营商Early Warning Services LLC的诉讼 [1] 分组1：Zelle支付应用介绍 - Zelle网络于2017年推出，旨在成为Venmo和Cash App等转账巨头的替代选择，由包括摩根大通、美国银行和富国银行在内的七家主要银行所有 [2] - 该应用通过关联电子邮件地址或美国手机号码创建“令牌”实现近乎即时的电子货币转账，这使消费者易受欺诈 [3] 分组2：诉讼详情及CFPB驳回情况 - 2024年12月，CFPB指控Early Warning Services及其三家最大的Zelle运营商（摩根大通、美国银行和富国银行）在推出网络时未有效实施消费者保护措施 [4] - 诉讼称数十万客户寻求帮助被拒，部分被要求联系诈骗者追回损失，三家银行未妥善调查投诉或提供法定赔偿，自Zelle推出以来客户损失超8.7亿美元 [5] - 周二，CFPB向亚利桑那州美国地方法院提交文件，有偏见地驳回对Zelle运营商及三家最大运营商的诉讼 [6] 分组3：各方对诉讼驳回的回应 - Early Warning Services发言人Eric Blankenbaker称诉讼“毫无根据，在法律和事实上存在缺陷”，期待继续为1.51亿美国消费者和小企业账户提供Zelle服务 [7] - 摩根大通发言人表示银行在预防诈骗和消费者教育中起关键作用，但这是国家安全问题，需要公私部门共同努力 [8]