金融机构，也是诈骗分子们肥美的“被宰羔羊”。

2020年10月，四川警方查处了一个上百人的诈骗团伙，他们通过收购“僵尸企业”“空壳公司”等方法，掌控了多地公积金缴存渠道，为6千人包装公积金信息，通过手机在线上向多家银行申请公积金贷款，给银行带来10亿多坏账。

无独有偶，2022年，某国有大行人脸识别系统被攻破，6次人脸识别比对成功，储户近43万元被盗走；同年，某股份制银行转账系统被质疑，储户86万存款被陆续盗刷。

道高一丈，魔高一尺。

在当前社会中，人们越来越依赖AI技术，但诈骗活动和身份冒用现象也越来越普遍，骗局越来越难以辨别。尽管技术的升级和人们对风险的意识提高了，但是被骗的人和机构却越来越多。人脸识别技术作为一种常见的身份验证方式，也变得越来越容易被诈骗分子攻破。

面对失控的人脸识别，银行业该如何去做？

不仅仅要识别——TA是真人吗？

更重要的是——TA是本人吗？

令牌云创始人、移动支付专家陈建伟提出一个关键词：差异性。他表示，AI是对的，但不能完全依赖AI，要选择一条AI不能走的路。例如，端侧可信加密计算+DID分布式身份，基于智能芯片的黑盒计算能力，每笔身份认证中嵌入密钥特征值等。简言之，AI的防控完全是基于软件的，在软件之外，还要再加一层硬件，因为硬件是AI软件没有办法破解的。

明“诈”难辨，暗“骗”更难防

世界上没有两片一模一样的叶子，但是会有两张“脸”成功认证识别出成一个“你”。

2022年，李红（化名）陷入了诈骗分子的圈套，一通以公安机关名义的电话告知李红涉嫌反洗钱案，为了获取“羊”的信任，提供了权威的“官网公文”以及其本人的隐私信息，再加以“威逼利诱”，受骗人的防范红线很快就瓦解了。于是，“人脸识别+动态密码”被骗子悉掌控后，43万存款如入无人之境。据银行系统后台显示，在进行密码重置和大额转账时，李红进行了6次人脸识别比对，均显示“活检成功”。

很多人都有这样的疑问：为什么技术升级了，防范风险意识提高了，但被骗的人甚至机构更多了？

令牌云创始人、移动支付专家陈建伟向记者举了一个生动的案例，一个T型眼镜就能让人脸识别系统破防，而眼镜的成本只有3到5元，几乎可以忽略不计。当然，这前提是诈骗方对风险系统做了大量的攻击测试，在知晓了系统的弱点后，用他们自己的AI技术去攻击内设系统。

AI能够实现人脸识别，从基本逻辑上来讲，就是采集现在的人脸信息，再根据权重与银行系统里的人脸信息的特征进行对比。采集特征是一套算法，特征值和特征值的比对是另外一套算法，相似比例超70%系统就可以判定是本人了。换个角度来想，剩下30%给AI诈骗方留出了富余的发挥空间。无论是采集眼部、鼻子、还是下巴等部位，采集的算法都是大同小异，诈骗方通过不断试错，探出防线漏洞。

“这个没法防，每个人的忽略点都不同，而他们私人订制策略，识破不了什么方法都没用。”

陈建伟表示，至少在两年内，AI的技术一定可能会被不法分子应用于欺诈。AI的本质是预测和模拟，无论是诈骗还是反诈，都是基于AI技术，但技术上还未能找到防护手段，因其防护技术具有延后性，目前只能逐一击破。当然AI的防护能力也在提升，新型诈骗模型得以采样后，可以在两周内去部署面向这个模型的防御。

从前述AI诈骗案例中，我们可以看到，这类合成身份诈骗与一般的诈骗截然不同，AI诈骗信息真真假假迷了眼，七分真，三分假，就能骗过银行的风控系统。

一般来说，银行在对贷款申请进行审核的时候，面对的资料几乎是天衣无缝的，几乎所有的信息都是真的，身份信息真实可查、公积金存缴信息真实可查、征信信息真实可查，唯一的破绽在于这些信息都不是本人所拥有的，是由诈骗分子虚假伪造而来。

而几乎所有操作都可以通过线上完成帮助了骗子掩盖自己的行为。事实证明这样的手段很成功，银行很难进行有效防范。

银行需要喘息的空间

在案例中，李红以“借记卡纠纷”为案由起诉所在的国有银行后，要求银行赔偿存款损失，但北京市某区人民法院一审驳回了她的诉求。法院认为，李红在42.9万元被盗过程中“过错明显”，银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。

用户无责，用户真的无责吗？我们不妨看一下这起案件的法院判决。

判决文书中明确标明本案的需要关注的两个重点：

一是，案涉交易的性质。

结合当事人陈述的被骗过程及知晓案涉交易后挂失、报警以及在本案诉讼过程中的表现，符合他人盗取并使用持卡人银行卡网络交易身份识别信息和交易验证信息进行网络交易，导致持卡人账户发生非因本人意思的资金减少的网络盗刷交易行为法律特征。

二是，该行辛店支行是否应对李某案涉借记卡内的资金损失承担民事赔偿责任。

法院认为，银行作为金融机构，确应当采取适当的加密措施和采取适当的技术、识别与验证使用电子银行服务客户的真实、有效身份，但保障金融交易安全和账户资金安全的义务，不应当全部依赖转嫁给银行，根据权利义务相一致原则，银行在不断优化系统安全防护、加大系统技术支持的同时，银行客户也应当对个人银行账户尽到力所能及的审慎管理义务。

依照《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第七条第三款：“持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，发卡行主张持卡人承担相应责任的，人民法院应予支持。”

第十五条第二款：“网络盗刷交易，是指他人盗取并使用持卡人银行卡网络交易身份识别信息和交易验证信息进行网络交易，导致持卡人账户发生非因本人意思的资金减少或者透支数额增加的行为。”

《最高人民法院关于适用《中华人民共和国民事诉讼法)的解释》第九十条规定：“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实，应当提供证据加以证明，但法律另有规定的除外。”

其判决结果——法院认为原告 “未就其案涉银行账户尽到力所能及的审慎管理义务”，被告无需对原告案涉借记卡内资金损失承担民事赔偿责任。

值得注意的是，换句话说，银行在符合监管的要求下，承担了相应责任。虽然这起诈骗纠纷案主责不在银行，但官司赢了，口碑却丢了，成为金融圈里的“眼中钉，肉中刺”。银行与用户之间的信任，又被拉远了，客户的留存自然流失了。

骗与被骗只有0和无数次，只需要一个不经意间的接触，你的隐私信息就能被诈骗分子掌握。陈建伟在这里通过生动的例子，讲出骗与被骗的逻辑。假设你是一个独居老人，遇到街边扫码送礼的活动，但是手机操作太复杂，于是你把这个操作权利交给了伪装成工作人员的骗子，接下来你的手机就埋下了木马，任何一点风吹草动，监控背后的人都知道。这时候，只需要切断你与外界的联系，他们就可以对你的存款为所欲为。

所以说，在被骗的第一个关键环节，用户自身出了不少力。

银行其实很冤，但也难逃其咎。

验证码被泄露了，于是用户找到了银行，但个中原因银行难以向客户表达，只能吃哑巴亏。

说到底，银行在风控环境中加入了人脸识别机制，登录刷脸、转账支付刷脸，当客户完全依赖于人脸认证，加之前面短信验证码的流失，一单又一单的诈骗案就来了。

据《网络数据安全管理条例（征求意见稿）》，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

尤其对于金融行业来说，不允许生物识别作为判断身份单一依赖。OPEN AI的创始人山姆·阿尔特曼在sam altam -world ID 项目中，提出人类身份证明的概念，即通过虹膜认证机器orb，能够明确知道当前跟我对话的这个“人”究竟是不是一个人类，以及TA是不是就是本人。

正如一枚硬币有着正反面，AI科技的应用也是一把双刃剑。我们享受着技术变革给我们带来的红利，同样也要意识到并承担相应的风险。当前银行面临着诈骗活动的挑战，尤其是人脸识别技术的失控。在确保识别用户真实性的同时，银行需要更多地关注用户的本人性，以免受到诈骗的侵害。同时，银行也应加强技术的研发和改进，以提供更可靠的防范措施。

对于AIGC生产时代，信息归属是谁，隐私性怎么保障？您怎么看，欢迎留言评论~

点击文末【阅读原文】下载传播星球APP

本文首发于微信公众号：看懂经济。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。