内鬼,一直是网贷行业的毒瘤。
无论是独自作案,还是勾结羊毛党、骗贷团伙及流量中介等,基本上涉案规模较大的风险案件,总少不了内鬼的身影,无他,致命的攻击通常来自于内部。面对内鬼们的猖獗,网贷平台多在内控层面加强事前防控,但由于缺乏具有威慑力的事后处罚手段,内鬼作案的违规成本非常低,行业毒瘤难以根除。
日前,深圳市上线全国首个“网络借贷信息中介机构从业人员违规违纪信息共享平台”,通过特定范围内曝光违规员工(内鬼)名单,寄希望从制度层面促使网贷从业人员爱惜自己的羽毛。共享平台的上线增加了内鬼作案的违规成本,具有一定的威慑力。但“不守规矩便曝光”的做法,又能在多大程度上缓解这一行业难题呢?
内鬼作案:花样繁多、防不胜防
内部员工最熟悉平台的规则与漏洞,所以内鬼作案其实可以基于不同的业务流程、不同的场景灵活“定制”作案手法,花样繁多、防不胜防。接下来,本文主要挑选两个典型的场景进行介绍。
内外勾结,骗贷没商量
一个完整的信贷流程涉及到贷前、贷中、贷后等前中后台,任何一个关键的环节被突破,都会大幅降低全面风控流程的有效性,为骗贷行为大开方便之门。从当前已经公开披露的一些案例来看,买通风控人员获取风控模型的规则漏洞以及联合营销人员在贷款申请阶段造假骗贷等成为最常见的内外勾结手法。先来看一个已经公开的案例。
2017年6月,某地警方接到一批“逾期”借款人报案,声称某平台向他们催收贷款,问题是自己并未在该平台借过钱。经过警方的侦查,揭开了一起内外勾结骗贷的骗局。
这则骗贷案由平台业务人员自导自演,先是以每笔800-1000元的好处费为诱惑,“说服”申请人配合“演戏”,即这些申请人到平台合作线下商家以买手机、买电脑的名义申请消费分期,在此场景下完成拍照片、填资料等贷款申请环节,若贷款获批,借款人得到一笔好处费,商家老板也会有一笔好处费收入,而其他资金便被业务人员瓜分。
买通了申请人和线下商家,计划得以顺利实施,短短4个月内骗取公司贷款300余单,涉案价值高达150余万元。而事情之所以爆出,在于业务人员不仅骗平台,还骗了其合作伙伴——贪图好处费的群众。在这些申请人眼中,自己只是配合演戏,并得到保证不需要实质性还款,没想到平台最终以借款逾期的名义向自己催债,躲不过便只好报警,寻求一个“公道”,事情这才大白于天下。
其实,这个案例中的骗贷方法还非常初级,从一开始便埋下了“曝光”的种子。随着平台风控框架的日益完善,这种由业务端发起的欺诈风险案件比例大幅下降,而核心风控人员开始成为内部欺诈的主角。无他,抓贼的工具便是他们参与设计的,他们知道怎么成功骗过系统与机器,成功实施骗贷行为。
优质客户信息泄露
网贷行业而言,数千家平台同台竞技,产品高度同质化,考验的便是获客能力,优质客户名单无疑成为平台最宝贵的资产之一,谁掌握了更多的优质借款用户,便掌握了在竞争中发展壮大的主动权。
为了获取优质借款用户,业务人员会认真对待各个渠道的用户信息源,其中便包括黑产。有了需求端的供养,黑产得以发展壮大,而平台的存量优质用户成为黑产的重要攻击目标。而站在平台的角度,其核心用户信息泄露主要出在两方面原因,一是系统被黑客从外部攻破,二是被内鬼利用管理机制的漏洞从内部攻破。
对于大平台而言,普遍开始重视自身IT系统的安全性防护,系统被黑客拖库的概率大幅下降,而内鬼从内部窃取信息依旧防不胜防。同时,由于社会整体个人信息保护意识的缺失,很多人对于“信息泄露”缺乏足够的敏感性,结果是很多“内鬼”其实并不知道自己的行为所面临的法律后果,某种程度上使得黑产人员从平台内部发掘一个参与泄露信息的“内鬼”相对容易,内鬼更是无处不在。
不妨从某公开案件中截取两个片段,大家感受一下。
“我负责贷款业务,所以我是部门里唯一一个可以查询征信系统的员工。”甄某说,邹某了解他的工作业务,就找到他帮忙查一些人的征信信息,“她说一个朋友是做小额贷款的,想让帮忙查一些客户的贷款情况,没想到后来越查越多。”——在某倒卖信息案中被抓的银行员工
“一个叫牛牛的从朋友那知道我后加我,他说要找老赖,给我手机号让我帮忙查快递地址,每条给我30块钱。”王某今年25岁,原是某快递上海站的仓库管理员。王某说,“他已经在快递行业干了五六年,知道给别人查快递信息违反公司规定,但并不知道这么做违法。”——某在某倒卖信息案中被抓的快递公司员工
数据显示,2016年4月公安部曾部署开展了打击整治网络侵犯公民个人信息犯罪专项行动,全国公安机关共侦办各类侵犯公民个人信息案件1886起,抓获犯罪嫌疑人4261名,其中,银行、教育、工商、电信、快递、证券、电商网站等行业内部人员391人、黑客98人;共侦办实施拒绝服务攻击、非法入侵控制网站等各类黑客犯罪案件828起,抓获犯罪嫌疑人1747名。
其实,除了上述两类典型的内鬼作案之外,市场部运营人员与流量中介及羊毛党的内外勾结、理财顾问的飞单销售(即拿着公司的工资向客户推介其他平台的产品)、销售人员私设资金池进行非法集资、财务人员利用职务之便卷款跑路等等,也都不乏先例。
网贷平台缺乏核心“威慑手段”
内部欺诈风险的防控,不外乎事前防控和事后处置两个方面,前者重在完善内控制度、减少漏洞,后者重在威慑,从而确保各项制度的落地执行。
在事前防范中,P2P平台大可借鉴银行业的做法。在银行业全面风险管理框架中,对内部欺诈的防控力度并不弱于信用风险,在上百年的经营实践中,银行业发明的诸如科学的考核指标设计、强制轮岗、审贷分离、绩效延期发放、分级授权、常规内控检查等制度规范,对于防范内部欺诈风险起到很好的效果。
实践中,已经有很多P2P平台实施拿来主义政策,并结合行业特点做了一些改进和创新。比如,不少平台不仅会考核客户经理的放贷金额,还要考核其发放贷款的逾期率,从而降低客户经理一味做大业绩而参与联合骗贷的概率;一些平台则会区分业务员的工作年限,对年限长的员工实施分红,增强其主人翁意识;一些平台则会着重考核存量贷款余额,为稳定踏实的员工提供长期激励,减少员工流动性,降低“一锤子买卖”心态下的短期行为。
而在事后处置等方面,除了个别影响恶劣案件诉诸法律手段之外,P2P平台还缺乏有效的措施。
一方面,从平台声誉的角度考虑,为避免事情闹大对品牌带来负面影响,对于一些内部违规行为,P2P平台多选择适当追回损失并将涉事员工内部辞退并,不愿作过多追究,使得员工实施内部欺诈的成本很低;另一方面,在P2P行业层面,尚未构建有效、透明的内外部问责机制,使得涉事员工被离职后依旧可以活跃在行业内部,继续“祸害”其他平台。
反观银行业,则已经初步建立了一套包括内部问责、监管问责和司法问责在内的违规行为问责体系,可以对潜在的违规行为形成有效威慑。
举例来讲,在监管层面,银监会出台了《银行业金融机构案件问责工作管理暂行办法》、《银行业金融机构从业人员处罚信息管理办法》等一系列制度,从问责手段、标准、程序以及违规信息报送等方面作为全面部署,一些地方银监局还建立了银行从业人员处罚信息管理系统,为监管部门准入审核和银行招录把关提供信息查询服务,杜绝银行业员工的“带病”流动。
信息共享会是终极杀招吗?
在此背景下,P2P网贷从业人员违规违纪信息共享系统出现了。对于进一步防范“内鬼”,该系统会发挥怎样的作用呢?
应该说,威慑力是有的,毕竟,从无到有,是个重要的进步。不过,鉴于接入平台数量有限,该共享系统能发挥的作用也着实有限。既便随着接入平台越来越多,其威慑力的增加也存在明显的天花板,毕竟,网贷行业之外,还有各种各样的消费分期和现金贷平台,既便不能在网贷就业,这些从业者依旧可以轻松地“带病”流入其他借贷类机构。
所以,信息共享系统只是第一步罢了,只是实现了防范“内鬼”的篱笆从无到有,接下来还需要越筑越高、越筑越密。
不过,篱笆高到和密到一定程度,业务流程将变得非常复杂繁琐,此时机构会主动放缓修建篱笆的脚步,以便在用户体验和管理成本等方面取得一个综合的平衡。
作者:薛洪言,苏宁金融研究院互联网金融中心主任
微信公众号:洪言微语