業界団体がAuthorized Push Payment（APP）詐欺の払い戻し対応に追われている。なぜか？それは、数字が物語っています。2022年上半期に、英国だけで2億5千万ポンド近くがAPP詐欺の損失となりました。クレジットカード詐欺による損失を、初めて上回った昨年からは若干減少していますが、APP詐欺は依然として犯罪者の主要な手口となっています。

最近では、詐欺の啓発に関して、画期的な取り組みが行われるようになっています。私は職業と関係なく、一消費者として、ラジオを聞き、SNSで動画を視聴し、銀行から定期的にメールを受信していますが、いずれの広告も、詐欺への警戒を喚起する内容です。しかし、残念ながら、こういった啓発活動だけでは対策が十分ではないということを、数字が物語っています。私たちが詐欺に対する意識を高めようと最善を尽くしても、犯罪者はソーシャルエンジニアリングの手法を進化させ続け、常に脆弱な顧客を搾取し続けるのです。

詐欺やマネーロンダリングにスポットライトが当たるようになったことで、金融機関はより一層、対応を迫られています。しかし、今のような払い戻しの体制が整うに至るまで、決して簡単な道のりではありませんでした。現在のように、英国で発生したAPP詐欺の半数強（56%）が払い戻されるまでに、7年近くを要しています。

折り返し地点までの道のり

今年で、詐欺被害に対する払い戻しが半数を超えましたが、ここに至るまでの道のりは非常に長く、長年にわたる数々の大きな改革の結果であると言えます。

2016: ペイメント・サービス・レギュレーター（PSR）は、拡大するAPP詐欺の問題を注視していると発表しました。PSRは2016年9月に消費者団体から、消費者保護の欠如に関する膨大な数の苦情を受け、決済サービスプロバイダー（PSP）と決済システムオペレーターは、詐欺のリスクを管理するべく、より効果的な対策を講じるべきだと述べました。

2018: 2月、PSR App Scams Steering Groupが設立され、Contingent Reimbursement Model（CRM） 規約が策定されました。この規約は、APP詐欺の発生率を引き下げるためだけでなく、消費者がAPP詐欺の被害に遭った場合に、払い戻しを受けられるという安心感を担保するためのものでもあります。また、2018年には、金融オンブズマンが、APP詐欺にも対応すべく、その管轄を拡大しました。これら2つの大きな動向だけでも、十分に多くの金融機関の注目を集めることとなりました。

2019: CRMコードの最終版の発行が有効となり、これが一部の英国の小口銀行にとって小さなドミノ効果を与えることとなりました。例えば、TSB詐欺返金保証が開始され、顧客を詐欺から保護することが約束されました。また、その1年後、Nationwide Building Society（英国最大の住宅金融組合）は、銀行が対処すべきような内容であっても、大きな損失が発生する前に、消費者が詐欺を特定できるようにするための「Scam Checker Service（詐欺検知サービス）」を開始しました。

2021: 政府は「金融サービス・市場法案」を発表しました。2023年春頃施工を予定するこの法案が成立すると、PSPにAPP詐欺の被害者への弁済を義務付ける権限の行使が可能になります。また、ソーシャルフィードが詐欺の発端となることが多いため、ソーシャルテクノロジーの大手企業は、APP詐欺の防止に積極的な役割を果たすことを余儀なくされることになります。

「Which?」の消費者調査によると、10人中8人の消費者がソーシャルメディア上で詐欺の広告を見たり、ターゲットにされたりしたことがある、ということが明らかになりました。バークレイズが発表したデータでは、詐欺の75％がソーシャルメディア、オークションサイト、出会い系アプリから発生していることが示されており、詐欺広告による詐欺被害の増加を裏付けています。

また、2021年には、貴族院詐欺法2006・デジタル委員会が報告書「詐欺と戦う」を発表しました。この報告書には、特定の高リスクの支払いにおいて遅延を生じさせ、支払いが詐欺であるかどうかを、銀行が分析する時間を増やすなど、多くの提言が含まれており、多くの団体から好意的に受け止められています。

PSRの法律案がもたらす主な影響とは？

2022年9月、私がこのブログを書く最も大きな動機となったのは、PSRによる、詐欺の払い戻しに関する法律案の概要を示したAPPコンサルテーション文書の公表です。この法律案が現実のものとなりそうな来年に向けて、コンサルテーションペーパーには、金融機関に大きな影響を与える重要なポイントが２つあります。

1. APP詐欺の被害者に対し、被害者に重大な過失があったことが証明されない限り、損害賠償が義務化されます。重大な過失とは、消費者が詐欺に遭っていることに気づく機会が何度もあり、それを防ぐ機会も十分にあったということです。

2. より課題になりうるのは、送金側と受取側の銀行の間で、責任を半々に分担することです。これは、特にマネーロンダリングの問題を抱えていることに気づいていない、多くの銀行にとっては驚きでしょう。突然、何も知らない、受取側である銀行が、顧客が失った金額の半分を負担することになるのです。

この点、犯罪者の不正な口座は、悪用されるまでに発見することが極めて困難であるため、金融機関が不正口座問題に積極的に取り組む動機付けとなることでしょう。

PSR法制案は金融機関にとって何を意味するのか？

PSR法制案が承認され、規制が発生する場合、英国の銀行に対し、2つの非常に大きな影響を与えることになります。

1. 先に述べたように、今年、APP詐欺の被害者に払い戻されたお金は半分強に過ぎません。これが2023年以降になると、かなり違った数字になり、90%～95%の払い戻しになる可能性もあるため、英国におけるAPP詐欺の全体的な損失額はほぼ倍増し、史上初めて年間10億ポンドに近づくと予想されます。

2. 責任を半々に分担するという案は、より多くの金融機関が、より多くの詐欺事例に対して責任を負うということを意味します。受取側の銀行は、不正な支払いを受けた不正口座を抱えているだけで、請求額の半分を負担するということになります。

APP詐欺に対処するために、金融機関は何をすべきか？

APP詐欺の課題は、顧客が自分の口座から、コントロールできない別の口座に送金するよう強要されることです。そのため、従来の啓発による詐欺対策は、最終的に顧客の知識に依存してしまうことから、金融機関は支払い防止に介入することができません。APP詐欺を未然に防ぐ唯一の方法は、送金の前に顧客がどのように行動しているかを見ることです。Behavioral Biometricsは、以下のようないくつかの点を調べ、リアルタイムでAPP詐欺を検知します。

• セッションの全体的な長さ
  通常、不正な支払いが行われようとしているときは、セッションが長くなり、目的のないマウスの動きが多くなるため、顧客が銀行の担当者でないような、何者かからの指示を待っていることがわかります。

• セグメント化されたタイピング
  セグメント化されたタイピングは、非常に分かりやすいです。口座番号を自分で入力する方法と、誰かが読み上げて入力する方法を考えてみてください。タイピングのリズムに違いがあり、後者のようなパターンは何者かの口述に従って、タイピングをしていることを示しています。

• 操作の躊躇
  顧客が詐欺に遭っている場合、ためらいの様子を示すことがよくあります。顧客は、直感的に何かおかしいと感じる一方で、よく訓練された詐欺師は、説得と安心感を与えることのエキスパートです。簡単な操作を行う前の、通常時よりも長い操作停止は、顧客が詐欺の被害に遭っているということを示しているのです。

• デバイスの転移
  携帯電話の連続的な動きは、ユーザーが携帯電話を手に取って指示を受け、詐欺師が指示した行動を行うために携帯電話を置いているということを示唆しています。

マネーロンダリング口座を把握するために、金融機関は何をすればよいのか？

金融機関がマネーロンダリング口座を特定する際に抱える課題は、実際に詐欺に関連したお金が出入りするようになるまで、それが悪意のある口座であるかどうかを見分けることができないことです。

このような口座を事前に検知するために、行動バイオメトリクスを使用することは、悪質な口座を排除し、堅牢なプラットフォームを築くための、重要な要素になっています。複数のユーザーがアクセスするなど、長期間使用されていない口座がマネーロンダリングに利用されるまでの間には、典型的な振る舞いが存在します。行動を元に分析を行えば、例えば、左利き、右利き、典型的なマウス操作のパターンなど、口座のユーザーを区別することができます。口座開設から不正取引に至るまでの間に、こうした危険信号を認識することができれば、金融機関は被害が拡大する前に、こうした口座の閉鎖を成功させることができます。こういった措置を講じるべく、行動バイオメトリクスを導入した金融機関では、既存の制御装置に先んじて、90%以上の悪質な口座が検出されています。

＜参考資料＞

Financial APP Scams: Proposed PSR Legislation Has UK Banks on Alert Over Reimbursement and Liability Shifts (biocatch.com)