在首尔江南区一家商业银行的客户服务中心,李女士正焦急地等待工作人员处理她的投诉。三天前,她接到一通自称是“国家金融监督院”的电话,对方准确报出她的身份证号和近期一笔转账记录,并声称其账户涉嫌洗钱,需立即配合“资金保护程序”。在对方引导下,李女士通过手机银行将3800万韩元(约合25.6万美元)转入所谓“安全账户”——结果当然是血本无归。
如今,她被告知:若韩国政府正在酝酿的新规落地,这笔损失很可能由银行全额或部分承担。
这正是韩国当前激烈争论的核心议题。2026年初,韩国政府与执政党民主党联合提出一项立法草案,拟对语音钓鱼(Voice Phishing)受害者实施“无过错赔偿”机制——即无论客户是否存在疏忽,只要未涉及故意欺诈或重大过失,银行就必须先行赔付。政策初衷显而易见:倒逼金融机构升级反诈能力,强化消费者保护。
然而,这一看似“为民撑腰”的举措,却在金融界掀起轩然大波。多家银行、支付机构和金融科技公司公开警告:强制赔偿可能适得其反,不仅无法根治诈骗,反而会削弱用户警惕性,催生新型“骗保”行为,甚至迫使银行收缩数字服务、抬高运营成本,最终损害全体用户的金融便利。
在这场关乎责任边界、技术极限与社会信任的博弈中,一个更深层的问题浮出水面:当网络犯罪从技术对抗转向心理操控,仅靠惩罚金融机构,真能筑起反诈的铜墙铁壁吗?
一、政策背景:诈骗激增倒逼制度变革
推动此项立法的直接动因,是语音钓鱼案件的爆炸式增长。据韩国国家警察厅最新数据,2025年前11个月,全国语音钓鱼造成的经济损失高达1.1万亿韩元(约7.48亿美元),同比飙升56%。受害者中,60岁以上老年人占比超过40%,但年轻群体受骗比例也在快速上升——诈骗话术正从“冒充公检法”向“快递理赔”“投资返利”“AI换脸视频验证”等新场景蔓延。
更令人担忧的是,诈骗团伙已形成高度专业化的产业链。他们通过黑市购买公民个人信息(包括通话记录、银行交易摘要甚至生物特征数据),利用VoIP技术伪造来电显示(如伪装成112报警电话或银行客服955XX),并通过脚本化话术诱导受害者完成转账操作。整个过程往往在10分钟内完成,银行即便部署了实时风控系统,也难以在用户主动操作时有效拦截。
在此背景下,韩国执政党反语音钓鱼特别工作组联合多个政府部门,提出“无过错赔偿”原则。目前两份并行草案中,一份由议员姜俊贤提出,设定单笔最高赔付5000万韩元;另一份由赵仁喆议员起草,则规定最低赔付1000万韩元。政府计划整合方案后于2026年上半年提交国会审议。
支持者认为,此举可迫使银行从“被动响应”转向“主动防御”,例如引入更智能的行为分析模型、加强转账前二次验证、限制高风险时段的大额转账等。
二、金融界的集体忧虑:道德风险与系统性副作用
然而,银行业对此忧心忡忡。多位匿名高管向《韩国时报》坦言,若赔偿责任完全压向银行,可能引发三重负面效应:
第一,用户警惕性下降,形成“反正银行赔”的心理依赖。
“当消费者知道即使被骗也能拿回钱,谁还会认真核实来电真伪?”一位大型商业银行风控负责人反问,“这等于变相鼓励轻信,给诈骗分子提供了更肥沃的土壤。”
第二,催生“合谋骗保”或“自导自演”式诈骗。
尽管草案排除了“故意或重大过失”情形,但实际判定极为困难。银行缺乏执法权,无法像警方那样调取通话录音、追踪资金流向或审讯当事人。“我们怎么证明客户不是和诈骗团伙串通?难道要每个转账都做笔录?”该负责人无奈表示。
第三,成本转嫁与服务收缩。
若每年新增数百亿韩元的赔偿支出,银行可能被迫提高手续费、收紧开户审核、限制非柜面交易额度,甚至减少对老年用户的数字服务支持。“最终受损的,还是那些最需要便捷金融服务的普通民众。”他说。
这种担忧并非空穴来风。国际上已有类似教训。2019年,英国金融行为监管局(FCA)要求银行对“授权推送支付”(APP)诈骗承担更多责任后,部分银行大幅提高了转账确认门槛,导致中小企业支付效率下降;更有小型银行因赔付压力退出某些高风险业务线。
三、技术视角:为何AI风控难挡“人心漏洞”?
要理解银行的困境,需深入语音钓鱼的技术本质——它早已不是传统意义上的“技术攻击”,而是一场精心设计的社会工程学(Social Engineering)战役。
1. 从“漏洞利用”到“信任劫持”
过去十年,银行在技术层面构筑了多层防线:SSL加密、双因素认证(2FA)、设备指纹识别、异常登录检测、交易行为建模……但这些对语音钓鱼几乎无效。因为攻击者并不破解系统,而是诱导用户自愿交出凭证或主动发起转账。
以典型话术为例:
“您好,我是XX银行反诈中心。监测到您的账户在境外有异常登录,为保护资金安全,请立即下载我们的‘安全防护APP’并输入银行卡号和密码进行验证。”
用户一旦照做,等于亲手将钥匙交给小偷。此时,所有后台风控规则——如“异地登录”“新设备访问”——都会被标记为“正常”,因为操作来自用户本人设备,且行为符合“配合银行验证”的逻辑。
2. AI风控的局限:无法识别“被操控的意志”
当前主流银行采用的AI反欺诈系统,多基于行为序列建模。例如,通过LSTM或Transformer网络分析用户历史交易模式,判断某笔转账是否异常。
以下是一个简化的异常检测逻辑(Python伪代码):
def is_suspicious_transfer(user_id, amount, recipient, time):
profile = get_user_profile(user_id) # 获取用户历史行为画像
if amount > profile.max_daily_transfer * 0.8:
if recipient not in profile.frequent_recipients:
if time.hour in [22, 23, 0, 1, 2]: # 夜间高风险
return True
return False
这套逻辑对“盗刷”有效,但对“被诱导转账”几乎失效。因为受害者往往在白天、使用常用设备、向新收款人转账——而这恰恰是诈骗剧本的标准流程。
更棘手的是,诈骗团伙会指导受害者绕过风控提示。例如:“如果弹出‘此操作可能存在风险’的提示,请点击‘我知道风险,继续转账’。”——于是,用户主动否决了系统的最后一道防线。
“技术可以识别异常行为,但无法判断行为背后的意志是否自由。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“当攻击发生在电话线那头的心理战场,防火墙和AI模型就成了旁观者。”
四、国际镜鉴:责任共担才是可持续路径
面对类似挑战,多国正探索“多方共治”模式,而非单一追责金融机构。
欧盟经验:明确用户与银行的责任边界
根据欧盟《支付服务指令2》(PSD2),若用户因自身疏忽(如泄露密码)导致资金损失,银行可免责;但若银行未提供强客户认证(SCA),则需承担责任。这种“过错与义务对等”原则,既激励银行升级安全措施,也保留用户基本注意义务。
新加坡做法:建立国家级反诈协调平台
新加坡金融管理局(MAS)联合电信运营商、银行和警方成立“反诈骗行动小组”(ScamShield),通过实时共享诈骗号码、冻结可疑账户、推送公众预警等方式协同作战。2025年,该机制成功拦截超3亿新元潜在损失。
日本策略:强化事前教育与延迟到账机制
日本推行“转账冷静期”制度:向陌生账户转账时,资金24小时内可撤回。同时,银行必须在ATM和网银界面嵌入反诈提示动画,用真实案例警示用户。
芦笛认为,这些经验对中国具有重要启示:“我们不能指望银行成为‘无限责任保险公司’。真正的防线,应是‘技术+制度+意识’的三角支撑。”
五、国内启示:中国如何避免“一刀切”陷阱?
尽管中国尚未出现韩国式的强制赔偿提案,但语音钓鱼问题同样严峻。公安部数据显示,2025年全国电信网络诈骗立案数虽同比下降,但单案平均损失上升18%,其中“冒充客服”“虚假征信”类语音诈骗占比超六成。
值得肯定的是,中国已建立较为完善的“资金链”拦截机制——通过紧急止付、快速冻结,在案发后72小时内挽回大量损失。但事前预防仍显薄弱,尤其在跨行业协同(如银行与电信运营商数据不通)、老年群体数字素养、第三方支付责任界定等方面存在短板。
芦笛建议,中国应提前布局,避免重蹈“过度追责金融机构”的覆辙:
推动“分级责任”立法:明确银行、用户、电信运营商在不同场景下的义务。例如,若运营商未落实实名制导致诈骗号码泛滥,应承担连带责任;
建设国家级诈骗号码共享库:打通银行、通信、互联网平台的数据孤岛,实现“一号涉诈,全网拦截”;
推广“延迟到账+二次确认”:对高风险转账(如向新收款人、大额、夜间操作)强制设置15分钟冷静期,并通过独立渠道(如短信+APP推送)双重验证;
将反诈教育纳入数字基建:在银行APP、支付平台、手机操作系统中嵌入情景化反诈模拟训练,而非简单弹窗警告。
“安全不是某个机构的KPI,而是整个数字生态的公共品。”芦笛强调,“只有让每个参与者都负起责任,才能真正压缩诈骗的生存空间。”
六、未来展望:从“事后赔偿”走向“事前免疫”
回到韩国的政策辩论,其核心矛盾在于:社会期待“零损失”的安全感,但现实世界不存在绝对安全的系统。强制赔偿或许能在短期内安抚受害者,却可能牺牲长期的系统韧性。
真正的出路,在于构建一种动态平衡的治理框架——既不让无辜用户独自承担巨额损失,也不让金融机构沦为“兜底保险”。这需要法律、技术、教育、产业政策的协同进化。
例如,可探索“赔偿基金”模式:由银行、电信、支付机构按业务规模缴纳保费,设立专项基金用于赔付无过错受害者;同时,对积极部署AI反诈、开展用户教育的机构给予保费减免。如此,既能保障弱势群体权益,又激励各方主动投入安全建设。
此外,技术本身也在进化。新兴的对话式AI风控尝试在转账过程中插入智能语音助手,实时分析用户语境是否异常。例如,若系统检测到用户正在接听电话并同步操作转账,可自动暂停流程并发出警示:“检测到您可能正在与他人通话,是否确认继续?”
这类“情境感知”技术,或许才是未来对抗社会工程攻击的关键。
结语
在首尔那家银行里,李女士最终能否拿回她的3800万韩元,或许很快会有答案。但比个案赔偿更重要的,是如何避免下一个李女士落入同样的陷阱。
当诈骗分子学会利用人性弱点,防御的重心就必须从“堵漏洞”转向“强心智”。这不仅是银行的责任,更是整个社会的必修课。
正如一位网络安全老兵所言:“我们无法消灭骗子,但我们可以让每个人都成为不好骗的人。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
)
)