浅析SWIFT发展动态及商业银行应对

摘 要：近来，SWIFT组织大力推动ISO20022标准迁移，GPI标准实施，客户安全计划等工作，本文对SWIFT相关工作的进展情况进行介绍分析，并提出商业银行的应对策略。

关键词：SWIFT;ISO20022标准;GPI;客户安全计划

一、SWIFT简介

SWIFT全称“环球银行金融电信协会”，成立于1973年，总部位于比利时，是一个国际银行间合作组织。SWIFT成员包括银行及非银行金融机构、金融市场基础设施及大型企业，总数超过11000家，覆盖200多个国家和地区。目前，SWIFT中国社区有500多家商业银行会员。

SWIFT核心功能是制定报文标准、为成员提供安全可靠的报文传输服务，此外也提供代理行身份调查、数据分析报告及反洗钱黑名单过滤等产品。

二、SWIFT最新发展动态

（一）ISO20022标准迁移

近期，SWIFT组织确定2022年11月至2025年11月实施用户SWIFT FIN跨境支付类报文标准向ISO20022报文标准迁移工作，并通过跨境支付和报告（简称CBPR+）工作组制订新旧标准对应规则，以及新建一个报文转换平台支持用户在共存期内新旧报文标准平滑转换，最大限度避免用户重复的工作投入。

本次ISO20022报文标准迁移计划，仅涉及支付类FIN报文（1、2和9类报文，FIN报文是Financial Message的缩写）。FIN报文采用的是文本格式;ISO20022报文标准采用的是XML格式，XML格式较FIN报文更便于计算机解读。

（二）GPI标准实施

为实现透明、可追踪的跨境支付服务，2017年SWIFT推出全球支付创新（GPI）服务。该服务允许GPI成员银行，通过传统的SWIFT报文或者API接口（适用于计算机高效处理），向SWIFT云服务器（Tracker）更新其收到汇款的入账状态及收费情况，同时，获取其发送汇款在他行的入账状态及收费情况。据SWIFT统计，目前，全球已有3500多家GPI签约银行，其中，中资银行130多家。全球主要国家和地区的清算系统均已在报文格式（新增唯一识别编号栏位等）和业务流程上支持GPI标准，包括美国FEDWIRE、CHIPS系统，日本BOJ-NET系统和我国CIPS系统等。

（三）客户安全计划

为提升全球金融系统的安全性，有效应对金融业持续面对的网络安全威胁，2016年5月SWIFT推出客户安全计划（CSP），通过制定SWIFT用户安全控制框架，规定针对所有SWIFT用户的强制性安全措施，明确行业安全基准线。所有用户必须在本机构的SWIFT系统满足这些安全控制措施要求并每年完成一次自我鉴证工作。

三、商业银行应对

（一）ISO20022标准迁移

考虑到支付类报文约占SWIFT整体报文量的80%左右，ISO20022标准实施对商业银行的影响是巨大的。商业银行需要配合SWIFT标准迁移计划，分析梳理现有报文流程和业务使用规范，制定符合本行特点的实施方案。一般来说，以下几个方面工作需考虑。一是专项工作团队的组建。专项工作团队需积极跟进研究SWIFT报文标准迁移工作实施进度，研究报文标准变化，熟悉掌握SWIFT提供的报文转换及验证工具;行内各支付类业务系统项目组也应派员参加专项工作组，在组织保障形式上确保行内各相关方均无遗漏。二是改造实施方案的确定。大型商业银行因开发能力较强，一般无需采购SWIFT报文转换工具，自行完成行内系统改造;中小型商业银行则可研判是否需要。在对标准变化充分研究的基础上，针对编号长度标准、汇款信息栏位等产生变化的地方，制定行内业务系统改造方案。同时，考虑到外汇汇款一般均联动制裁名单筛查系统，则制裁名单筛查系统需同时支持新的报文标准。三是确定迁移时点。为支持商业银行用户在共存期内新旧报文标准平滑转换，SWIFT计划建设报文转换平台，如果该平台如预期一样运转良好，确实能大大简化全行业的报文标准转换工作，甚至可以灵活选择迁移方案（例如，收发报在不同时点转化），实现用户无感转换。对于海外机构较多的商业银行，需在厘定各机构制裁名单筛查系统合规要求的基础上，确定各机构切换时点。对于小型商业银行，建议不必急于实现报文标准转换，在SWIFT报文标准转化平台运转成熟，业界转换经验相对丰富后，再实施转换。

（二）GPI标准实施

长期以来，商业银行跨境汇款基于SWIFT网络和代理行清算模式进行。典型的跨境汇款流程为：汇款人汇款指令从汇款银行发出，经由SWIFT网络，发至汇款银行的代理清算银行，由代理清算银行再经由SWIFT网络或本地清算系统网络转发至收款银行，解付收款人。由于汇款处理环节各自独立，存在汇款处理进程及费用收取不透明，查询效率低、成本高的问题，影响客户体验。

GPI汇款标准和服务，将原本孤立的汇款环节串联起来，使银行能够向客户提供透明、可跟踪的跨境汇款服务，有利于银行改善客户体验，提高服务效率，减少客户纠纷，同时增进精细化管理水平， 降低作业成本。此外，通过建立当日处理及信息完整传递的GPI业务规范，保证汇款处理时效和合规性，有利于提高全球银行跨境支付处理整体水平，促进跨境支付业务合规运营。该服务推出后，获得业界高度认可，逐渐成为跨境汇款服务的新常态。

在落地实施方面，大型商业银行因业务量大，处理效率要求高，建议采用API交互方式，中小型商业银行则可根据自身业务及系统情况确定，延用传统SWIFT报文交互方式亦无不可。围绕GPI功能，银行一般推出外汇汇款的汇款进度、收费情况查询，汇款到账短信通知等服务。笔者所在银行依托本行中间层智能管控架构，实现全渠道、跨渠道向客户展示外汇汇款的处理流程和状态，例如，客户从柜面发起的汇款，可以在网银端查询状态，反之亦然。从而给客户“一个银行”的体验，算是比较有特色的一点。此外，GPI匯款主动止付服务对于银行控制操作风险，提升客户体验也有显而易见的好处。GPI汇款账号验证服务正在推广阶段，但因向对手主动校验账号、户名存在是否符合本地监管合规要求的问题，很多银行都持观望态度。

（三）客户安全计划

2016年2月，孟加拉国银行成为基础设备与SWIFT连接的众多银行中网络攻击目标中的受害者。此次攻击过后，SWIFT组织迅速启动客户安全计划，旨在努力推动全行业针对网络的协作以抵抗威胁和帮助加强和维护网络系统安全。建立专门的客户安全情报团队（CSI）提供相关且及时的情报是SWIFT采用的众多手段之一。CSI团队专注于客户安全取证和分析，对潜在威胁和客户安全事件进行调查，并通过SWIFT ISAC信息共享门户与社区共享由此产生的信息。在CSI团队发布的报告中，涉及多种多样的关于操作方式、战术、技术和程序的更新进展， 为网络预防和检测措施的发展提供了宝贵的见解。例如，一是目标方面，在大多数情况下，目标银行都位于巴塞尔反洗钱不利国家清单中风险评级非常高的国家。大多数袭击针对的是非洲、中亚、东南亚和拉丁美洲的金融机构。通常， 目标机构在跨境交易方面都是规模较小的银行。二是金额方面，发送欺诈性的高价值支付指令可能会带来巨额回报，但指令的价值越高，触发欺诈检测系统的风险就越高。自从孟加拉国发生网络事件以来，个人欺诈交易中发送的金额不断变化，使其难以被发现。到2018年初，通常看到每笔交易的金额为1000万美元或数千万美元，但自那时起，攻击者已将每笔交易的平均金额显著降低至25万美元和200万美元之间，这可能有助于避免检测。三是侦察行为方面，受到潜在获利回报的诱惑，攻击者会坚持不懈;他们通常会穿透目标，在发起攻击前等待数周甚至数月，利用时间学习模式和行为，并策划欺诈行为。虽然他们将在这个侦察期间“无声”地行动，但这是一个关键时期，在这期间也是可以被发现的。

对于各会员银行的具体职责方面，焦点之一是自我鉴证工作报告的有效性，是聘请第三方独立机构进行“自我鉴证”，还是仅仅自查即可。2020年初，SWIFT发布《独立评估框架（IAF）》，对此作出明确规定。根据IAF要求，需由内部合规、审计等独立部门或聘请第三方开展评估，评估人员应具有相应资质，自评估将不再被接受。

作者简介：马腾、1980年、男、汉、河北衡水、硕士研究生、经济师、商业银行支付结算。