萬幼筠：臺灣純網銀將帶來7大趨勢，但銀行得先具備6項資安能力才不怕Fintech新風險

「純網銀的核心是建構數位化的金融服務業。」勤業眾信聯合會計師事務所董事萬幼筠在一場活動中表示，純網銀的數位轉型不只在於技術的應用，還包括經營管理流程的優化、貼近顧客需求的個人化服務、以及串聯網路金融生態系的商業模式。另外，仰賴資訊技術平臺與工具所帶來的風險，也是純網銀經營者必須面對的挑戰。

臺灣銀行網路化發展，歷經了四個階段，從銀行上網、服務與交易網路化、數位化銀行（數位帳戶整合服務）、到現在的純網銀及網銀集團（生態圈），象徵著，銀行由集中式的臨櫃交易處理，走向消費者賦權、分散於各場景的金融服務。

不過，傳統銀行近年雖然積極推動數位化，但萬幼筠觀察，但他們多半只是實驗性地測試市場水溫，或仍以舊思維描繪數位化的樣貌，「純網銀的出現可能帶來一些典範移轉的改善。」

尤其，金管會預計在今年要發放兩張純網銀執照，要讓沒有包袱又帶動異業合作的純網銀發揮鯰魚效應，回頭提升傳統銀行的競爭力。他建議純網銀業者，要積極結合各類生活服務與社群能量，要利用生態圈內複合的通路與數位化功能來推廣金融服務，但萬幼筠也提醒主管機關，新的商業模式需要摸索，因此法規也需要與時俱進來提供更多開放空間。

不同於傳統銀行，純網銀要將金融服務延伸到不同場景、發展更多通路來建立生態系，因此，「運用API串接跨域服務很重要。」他解釋，以歐盟新支付法規（PSD2）為例，為了讓金融服務結合生態系發展更多創新應用，各會員國的金融業者被強制得將顧客資料，透過開放API授權給第三方業者使用。萬幼筠表示：「開放API的核心理念是把資料服務的主權還諸消費者，促進銀行服務走向消費者端，並透過網路建構新的生態圈，達到普惠金融的目的。」

純網銀不只是對外發展生態圈環境，對內也要改用生態圈思維來調整，萬幼筠舉例，純網銀未來可能的IT架構，是透過跨金融業務的微服務容器架構（Container-based Microservices），讓業務平臺更容易開放API、與第三方業者串聯應用數據服務，「與傳統銀不同的是，純網銀的組織和架構不是以提高業務績效或行政效率為目的，而是要讓每個服務更容易與生態圈串聯。」

未來幾年，萬幼筠認為，臺灣純網銀發展，可能出現7種新趨勢，首先是網站介面改造趨勢，開始發展出各種「自動化的客戶引導」設計，也會藉助AI、大數據、雲端、區塊鏈技術來提供各類「增值的內容與功能」，第三則是「金融服務導航」能力的強化，可以精準投放金融服務，或讓顧客更容易取得客製化資訊與金融服務建議。更多創新的網路金融服務出現後，第四個趨勢是，純網銀得提供各種因應網路與虛擬金融環境的資安功能。在生態經營上，純網銀也會與生態系合作者發展新商業模式，或是透過生態系的資料掌握新興客戶的未決信用。最後一項新趨勢則與顧客經營有關，純網銀不只追求新顧客，他認為，也會深入分析金融帳戶關閉的原因來強化客戶黏著度等。

面對新興科技的資安風險及網路犯罪供應鏈的威脅，純網銀必須做好準備

萬幼筠特別針對第四項趨勢，也就是純網銀得具備的資安能力，進一步說明，他強調：「由於純網銀的數位轉型迅速，傳統銀行的資安防護不能解決新興金融科技衍伸的資安問題。」尤其像AI、區塊鏈、雲端與大數據，雖然能用來加值金融服務，但也存在了更高的資安風險。

舉例來說，不夠精準穩定的AI技術可能遭到有心人士的利用，造成民眾隱私或權益遭到侵犯，例如匯豐銀行新推的人工智慧帳戶語音系統，就曾遭一對雙胞胎兄弟互相模仿彼此的聲音，而成功地騙過語音驗證機制；也有國外開發者利用生成式對抗網路產生以假亂真的人臉圖片，可能被拿來作為蒙騙人臉辨識的工具，引發身分盜用或詐欺的風險等。

而分析顧客消費行為來提高銷量的大數據應用，開始出現許多濫用，客戶隱私資料外洩的風險更高了。因此，他認為，純網銀得更重視資料去識別化，確保資料無法被破解或重新識別，甚至得事前擬定數據遭到非預期性揭露時的應變機制。

大量運用新興科技的純網銀，他觀察，未來必須面對更高頻率與更複雜的網路攻擊，甚至是得面對整個網路犯罪的黑色供應鏈的威脅。從上游的攻擊服務提供者製作惡意軟體、出租殭屍網路，再由中游的釣魚者、垃圾郵件發送者、駭客發動攻擊，進一步盜取銀行資料或用戶個資來詐騙、盜竊財務，最後再透過下游的洗錢騾子、虛擬貨幣賣方來洗錢等。

面對精緻化的網路犯罪供應鏈，萬幼筠建議，純網銀需要掌握6大網路安全管理能力：治理（Governance），先依據目標規劃組織架構，並訂立安全目標與資訊交換政策，其次是溝通（Communication），這是指建立內外都能有效溝通的資訊傳遞方式，接著要擁有能見度（Visibility），確保組織能瞭解關鍵基礎設施的管控。另外，也得完整瞭解各種威脅來源的情資（Intelligence），才能規劃弱點管理、來提升事件應變處理能力。蒐集到情資後，要進一步建立回應（Response）能力，進一步識別、分類、調查來減緩威脅事件。最後一項純網銀必須具備的資安能力是量測（Metrics），才能掌握資訊安全管理流程的有效性。

建立這六大能力後，他認為，持續對純網銀所有業務進行360度的威脅掃描分析，一旦發生網路資安事件，可以即時通報、應變處理，如此一來，才能維持純網銀的平臺基礎安全、保護資料與隱私、並抵禦金融科技服務帶來的風險。