基于洗钱特征分析的网络赌博犯罪资金流查控研究
——以C市“1·10”网络赌博案为例

谢 玲， 彭曦瑶

(西南政法大学刑事侦查学院， 重庆 401120)

0 引言

当前，跨境网络赌博犯罪高发频发，严重影响我国的经济安全和正常金融秩序。每年国内数千亿赌资外流，不仅对地上经济产生难以预估的影响，也滋生出金融洗钱的地下“温床”[1]。境外网络赌博集团利用包网公司、服务器商、洗钱团伙等黑灰产业为其提供网站搭建、上线运营和赃款洗白等非法业务，形成了跨区域、有组织、多个环节参与的链条式犯罪结构。为避开国内金融系统的反洗钱监管，境外网络赌博平台将面向非法市场的网关支付作为赌客充值、盈利洗钱的犯罪工具，利用第四方支付、“跑分”平台为网络赌博提供充值、交易服务。

网络赌博平台一般通过“抽水”、向赢家收取“佣金”和“庄家收益”等方式获取赌博收益，而赌场的各种盈利正是来源于赌客充值所得。由地下钱庄提供银行资金账户接口供赌客充值是过去传统的网络赌博充值渠道。随着网络金融和电子支付的快速发展，普及度高、操作简便的第三方支付成为洗钱团伙最主要的网络交易手段。而第四方支付通过调用各种第三方支付工具接入唯一的支付入口为赌客提供聚合充值服务[2]，扩大了第三方支付效用。同时增加“跑分”模式，通过“跑分”平台雇佣人员提供其私人收款码帮助赌客充值，导致网络赌博洗钱模式出现多种支付渠道内外嵌套的复杂结构。

在第四方支付及其延伸出的“跑分”平台赌资充值模式下，大量“跑分”人员的收款账户被轮换使用，赌资的进出隐藏在看似正常的个人消费流水中。要从大量代付订单、个人收款交易、商家收款交易中发现异常的资金流动款量、路径和频率，查找团伙成员的特征账户，就必须结合第四方支付的洗钱特征对涉案资金数据进行多维度的分析和穿透，从而实现资金流查控目标。

1 网络赌博犯罪的洗钱模式

网络赌博案件中，赌客下注方式与赌资洗钱模式具有时间上的重合性与过程上的同一性。赌资进入洗钱团伙控制的资金账户就同时开启了涉案资金的清洗。作为网络赌博常用洗钱方式，第四方支付在聚合第三方支付接口的赌客充值模式基础上，延伸出一些新的洗钱渠道。

1.1 “跑分平台+第四方支付”洗钱模式

“跑分”，又称“跑码”，是指第四方支付平台利用非法整合的第三方在线支付接口和他人提供的第三方支付收款码或银行卡，为赌诈犯罪提供代收款服务以赚取佣金的非法金融交易模式。“跑分”平台通常以招收代理兼职或高额返利的名义在网上招募 “跑分”人员注册平台账号，并收取“保证金”；赌客充钱时，“跑分”平台向“跑分”人员发布同等金额的“跑分”任务，“跑分”人员以后台抢单的方式接单，将私人支付宝、微信二维码上传平台供赌客扫拍充值，“跑分”平台从其缴纳的“保证金”中直接扣除赌客充值金额，由此完成“一进一出”的“跑分”。在“跑分平台+第四方支付”洗钱模式下，第四方支付招募若干“代理”对接更多的“跑分”平台与赌博平台，“代理”在后台向第四方平台添加“跑分”人员和“码商”“卡商”控制的“人头卡码”，赞赏码、打赏码等各类新型二维码和电商平台红包等也成为“跑分”平台的代支付工具。

1.2 “网络购物平台+虚假商品交易”洗钱模式

网络购物是借助互联网实现商品或服务由卖家转移到个人用户的活动，包括资金流、信息流和物流等各个环节的参与。网络赌博团伙利用网络购物平台洗钱，本质上是一种移除了实物交割环节的虚假商品交易。具体行为模式有两种：一是网络赌博团伙技术团队在网络购物平台批量注册若干虚假商户，利用接口跳转方式，将赌资充值伪装为平台商户购物交易；二是在网络购物平台借助虚假商户生成的“代付”订单二维码，推送给赌客进行等价充值，而“商品或服务订单”最终不会发货。这两种方式都是借助虚假的商户数据和交易数据，将赌客充值行为嵌入 “网络购物”的交易数据中逃避侦查发现。

1.3 “第三方支付平台+企业商户收单或个人转账”洗钱模式

第四方支付平台掌握了若干第三方支付通道、虚假对公账户和“人头”个人账户作为赌博平台进出账的渠道。以支付宝为例，第四方支付平台从网络黑灰产购买大量企业对公账户和个人账户，或使用“企业八件套”注册“皮包”公司开立金融账户，然后将支付宝接入网络赌博平台，在充值页面发布收款账号；或者是通过技术手段直接跳转至支付宝APP的付款页面，由赌客扫拍二维码或在支付宝APP手动转账。赌客充值完毕后，第四方支付平台抽取佣金并向赌博网站转账，实现赌资的中转、分流和归集。

2 网络赌博犯罪的洗钱特征

违法资金流查控是通过网络赌博链条中赌客充值、赌资转移、赢家返现等关键环节发现和打击网络赌博犯罪的重要侦查手段。网络赌博最核心的案件要素是“钱”，所谓的“上下分”“抽水”“玩家收益”都反映了资金的转移和出入账特征。通过对赌博充值渠道和方式的分析发现网络赌博平台的组织架构、运作模式、参与人员，透过各账户之间的资金交易情况，查找符合网络赌博资金流动特征的重点账户，是网络赌博案件侦查的关键环节。

2.1 实案情况

本研究以C市一起利用“跑分”平台洗钱的网络赌博实案为例，对网络赌博犯罪的洗钱特征做出分析和说明。在该案件中，第四方支付平台洗钱团伙大量运用支付宝收取和兑现赌资。

老年高血压患者超敏C反应蛋白和糖化血红蛋白水平与颈动脉粥样硬化之间的关系……………………… 陈莉 戴朦 李红旗 等（4）433

2020年1月10日,C市某派出所接到被害人报案，称其在手机下载了某网络赌博APP。公安机关通过技术手段破解了该网络赌博APP的数据库,获取了账户信息、账户绑定手机号、充值记录和提现记录等交易数据。案件涉及115个账户，其中企业账户40个，累计交易流水近2亿元，为中间账户；个人账户75个，累计交易流水近6 700万元，其中包含1个入账账户、60个出账账户、12个中间账户和1个普通生活账户。账户记录以个人支付宝和企业支付宝两种类型为主，大部分为个人支付宝账户。

2.2 实案洗钱特征分析

洗钱特征分析是以网络赌博洗钱的犯罪特点和资金交易规律为基础，对调单的资金流水数据、字段进行筛选，发现符合高风险交易特征的重点账户，以确定下一步资金分析方向的调查手段。在实案中，围绕网络赌博APP开展侦查，分析赌博充值、洗钱涉及的进出账情况和交易对手关系，理清赌客充值和返现方式，逐一对重点账户的资金流动数量、频率、路径和流动目的进行交互迭代分析，从而判断该案洗钱特征和资金归集方式。

2.2.1 洗钱运作模式特征

涉案数据中收款账户以个人支付宝账户居多，企业账户或网购平台代付订单较少，初步符合“跑分平台”的收款账户特征。其中，企业账户充当了资金流追溯的第一道“物理隔断”。在“跑分”平台洗钱模式下(图1)，赌客登陆网络赌博平台的充值入口，跳转至支付宝页面向企业支付宝账户充值赌资。洗钱团伙以该企业支付宝账户为中间账户，再将赌资转入梁某、区某和吕某等团伙头目的个人银行卡、赌客和“跑分”人员支付宝账户。“跑分”人员在收到由企业账户转入的赌资后采取“购买物品”“转账给他人”“花呗、借呗还款”、转账等方式对赌资进行清洗，将支付给“跑分”平台的“抢单押金”转化为赌客的赌资转入网络赌博平台或赢资转入赌客的金融账户。

图1 C市“1·10”网络赌博案“跑分平台”洗钱模式

2.2.2 洗钱转账IP地特征

网络赌博团伙往往依附于赌博合法化的国家，购买或者租赁境外服务器搭建网络赌博平台，其洗钱交易数据存在大量跨境特征。在“1·10”网络赌博案中，通过对资金数据的分析抓取转账IP较为密集的地点，发现杨某等人的IP地址符合境外赌博网站聚集地特征(表1)，显示为韩国首尔、新加坡、菲律宾等赌博合法化的国家或地区。结合犯罪团伙为搭建平台、资金清洗的租赁、购买犯罪工具行为，发现胡某和梁某购买服务器、支付网关的跨境交易记录，锁定窝点技术人员身份角色(表2)。

表1 异常IP登录人员表

表2 支付软件跨境购买记录

2.2.3 “奖金池”账户特征

资金“即进即出”是账户异常的显著标志。除了在“双十一”等特定时期，资金账户的交易流水呈现快速出账的特征外，资金账户内正常的交易活动往往存在时间间隔。结合实案的交易流水进行分析，实际活跃着大批单笔大金额入账后立即快速支出的过渡账户。过渡账户的出账可能被转入多个支付对端拆分赌资，也可能作为“奖金池”返还赢资给赌客，赢资支付的出账金额多带有整数特征(表3)。

表3 “即进即出”模式转账示意图

实案资金流水中，企业支付宝、个人支付宝和个人银行卡显示为主要支付渠道，分别充当了过渡账户、出账账户和入账账户。正常的个人金融账户的购买记录往往反映为“衣、食、住、行”等日常生活消费，在交易时间上较为连贯，极少出现账户“休眠期”。分析实案中的企业账户发现，其交易时间段主要集中在2019年11月至2020年1月，然后出现停止交易的“休眠期”，停滞半月之后交易频率突然增大(表4)。账户出现“休眠期”与第三方支付公司的风控机制运作有关，例如金融风控模型发现账户使用人的登陆地点、操作习惯、浏览内容、按键频率等存在不符合常规的操作，系统将启动用户身份核实；企业账户单日交易过于频繁、夜间操作超出资金流动频率，该风险账户在一定时间内不能使用。资金流动的停滞性与爆发性频率变化特征应被列入风险点分析。

表4 资金账户“休眠期”示意图

2.2.5 洗钱“测试”行为特征

小金额转账是洗钱团伙测试过渡账户安全性的常用伎俩。在频繁交易、异常时间交易或是度过账户“休眠期”之后，洗钱团伙往往通过向收款账户转入一笔小金额资金的方式确认账户的安全性，再继续进行批量资金转移。按照作案规律，个人账户“测试”交易金额在1元以下，企业账户“测试”交易金额在10元以下。例如，刘某尾号为8876的账户交易流水显示，在25天的“休眠期”之后出现小金额出账交易记录，判断属于账户测试行为(表5)。

表5 资金交易“测试”行为

3 网络赌博犯罪的资金流查控

在网络赌博案件中，无论是赌资充值、返利还是赃款清洗，每一个环节都围绕着资金流转，对违法资金的分析在案件侦查过程中处于重要地位。在“案-资金-信息-人”的侦查模式下，以赌资充值、返利与流向为起点，结合资金数据洗钱特征分析、资金数据追踪分析、信息流扩展分析以及资金数据定位分析，从庞大的资金交易数据中截取符合洗钱特征的异常数据，研判和追踪资金流动的款量、方式、频率、时间、去向等，可以发现网络赌博洗钱的资金链路和返款的资金环路，进而揭示每一笔资金流动的性质和目的，最后获取侦破网络赌博犯罪案件的重要线索。

3.1 “案-资金-信息-人”侦查模式

“案-资金-信息-人”侦查模式是指依据涉案信息进行资金流、信息流分析以落地打击窝点的侦查策略。根据情报线索或已知案情，对作为涉案数据载体的服务器及其指向的“资金池”账户展开侦控，能够获取庞大的资金流数据作为分析基础。如果从网络赌博投注行为发生着手，赌客进入赌博网站注册、充值或缴纳赌资，到赌资进入银行多级账户、第三方平台、第四方平台等各类电子汇款结算通道，赌资走向能够形成一个较为完整的资金流通闭环体系。

为了穿透这一资金流闭环，需要对涉案资金数据进行提取，依据“即进即出”、24小时交易但以深夜或凌晨交易为主、多笔交易对端、多笔小金额转账、“测试”行为等洗钱特征筛查出资金流水中的可疑交易，掌握资金流向的“来龙去脉”，从而发现隐藏在资金交易背后的网络赌博团伙组织架构。然而追踪和穷尽可疑账户及其对手账户的最终目的，不能“止步”于赌资的中转账户和最终流入账户，还要查明赌资被层层转移的平台和工具，从而根据设备IP溯源窝点位置并追踪团伙成员身份。因此，查证资金转移过程中犯罪人遗留下来的电子信息流，是伴随资金流去向追踪的另一条侦查路径。通过对资金账户的交易额度、频率、时间、对端与转账IP密集登录地、账户资金密集汇总地、作案工具购买记录等资金流、信息流、物流数据进行比对碰撞，可以获取网络赌博平台的 IP地址、端口号及其运行时间，从而初步判断网络赌博窝点的运营地点。再结合 IP地址下用户社交软件和资金账户使用情况，落查团伙成员真实身份。

3.2 资金账户类型化调查

资金账户类型化调查是指对调单账户在洗钱活动中承担的角色和作用进行类型化分析、研判的活动。网络赌博案件所涉及的第四方支付账户、核心账户、庄家账户成百上千，洗钱的涉案数据包括微信交易、支付宝交易、银行卡交易和话单等多种维度的交易、通信和生活数据。面对庞大且杂乱的数据集群，如果对每一条记录都进行对手扩展、迭代分析，将会耗费大量时间和警力，还可能遗漏案件调查真正需要的信息。因此，在梳理涉案资金流去向过程中，结合网络赌博平台的层级结构，辨别资金账户基本类型是资金流查控的重要内容。

网络赌博的金融账户按照交易对端的资金净和情况分为入账账户、出账账户和中间账户三类。以实案为例，入账账户的资金净和远大于0，交易对端表现为多对端转入而极少转出，该账户可能是网络赌博犯罪团伙头目使用的专门收款账户，入账账户有可能为庄家账户。相反，出账账户的资金净和远小于0，在交易对端上表现为较少的对端或固定对端向其转账，而该账户以各种形式累计大金额出账，并且具有一定的“即进即出”个人消费特征，例如充值话费、商品购入、转账给他人等，该账户可能是“跑分”人员的“跑分”账户；过渡账户是连接赌客与第四方平台或“跑分”人员与第四方平台的“桥梁”，其通常由企业账户充当，出入账金额往往持平，是受第四方支付平台控制的核心账户。准确辨别账户的类型，区分庄家账户、核心账户、“跑分”账户，可以助益于侦查人员快速梳理团伙组织结构及洗钱模式，对洗钱账户进行冻结；通过重点账户的主要进出账分析，可以确定主要出账账户和庄家账户以及需要进一步调取的未调单账户。

3.3 “跑分”平台数据建模分析

通过对大量洗钱交易数据及其产生的电子信息流数据进行分析，能够发现包括“跑分”在内的洗钱活动规律性特征。对洗钱特征数据进行整理和系统归纳，利用算法生成风险指标，可以建立网络赌博案件反洗钱可疑交易模型，批量识别可疑资金账户和异常交易行为。

第一，根据异常交易金额发现下注账户。实案表明，线上充值的赌金数额多为整数，但投注金额往往是在“一注”基准数之上的N倍数。依据网络赌博倍数投注规律，可以查找具有整倍数关系的资金交易及其进账次数，梳理出赌客的资金账户和入账账户。

第二，根据异常活跃时间查找“跑分”账户。网络赌博的开奖没有时间限制，方便赌客24小时任意时间充值下注。相较于普通人凌晨入睡的作息时间，赌客的交易行为活跃在夜间，侦查人员需要关注凌晨1～6点出现的重复交易对端，其往往是“跑分”人员账户。

第三，根据异常大金额交易映射归集账户。为逃避资金风险监控，拆分转账流水通常具有5万元以下小金额、多次交易特征。通过分析重点账户的进出账情况，如果发现账户向一个对端频繁进行大金额转账，该对端账户可能为第四方平台的归集资金账户。

第四，根据资金转移伴随的信息流定位洗钱窝点。记录资金交易过程中伴随的设备登陆IP地址，将其与资金流水中境外服务器、阿里云服务器、境外手机号和境外交易软件等购买记录信息、多个转账设备出现在同一位置等多个条件进行数据碰撞，可以追踪发现洗钱窝点所在地的物理地址。