Martín Perucca：“预防欺诈，会让组织的价值主张更有竞争力”

二十多年来，Martín Perucca 一直致力于打击欺诈和洗钱。在阿根廷乃至整个拉丁美洲，他都是该领域的权威声音——不仅因为资历深厚，更因为他反复强调的一句话：安全本身必须成为一种价值主张。

“这是笔划算的投入——甚至足以说服最怀疑的 CFO。”他坚持认为，视角不能停留在“满足监管要求”，而是要保护真实的人和组织。同时他也提醒，真正的预防文化不是几天就能建立的，而是用几年时间一点点沉淀的。这种思维方式也在重塑我们今天看待“合规”的方式。

问：你的职业经历横跨咨询、教学和金融服务。是什么让你聚焦在反欺诈和安全上？如今最驱动你的问题是什么？

答： 我最早在阿根廷科尔多瓦一家金融机构的信贷分析部门工作。但很快，我就被“欺诈”这个议题深深吸引。我发现自己很擅长识别欺诈行为——每一次成功阻止欺诈，我都会有双重的成就感：一方面帮机构减少损失，另一方面也保护了那些可能被盗用身份的人。

那还是 2000 年左右，当时的证件造假非常原始——贴个标签、改几行字，手法很粗糙。即便如此，我已经意识到，预防欺诈不仅能避免企业亏损，更是对整个社区的正向贡献。这种“使命感”直到今天都还在，而且也是我持续前行的动力：这不只是我的工作，更是一件“有益公共利益”的事。

问：你共同创立了 Mooy，其中合规是重点之一。你怎么看待当今企业的合规要求？

答： 监管规定的存在是有原因的——“要不要遵守”从来不是可以讨论的话题，企业必须适应。但现实是，我经常在新规落地后才被叫去：“出了新规，请帮我们设计一套防欺诈策略。”遇到这种情况，我会尝试转换话题：合规是不可谈判的底线，但防欺诈则可以直接增强企业的价值主张。如果从这个角度来设计，合规就会自然而然发生。

问：如果把安全放在价值主张的核心，你会如何改造典型的开户或交易流程？

答： 安全必须从关系一开始就介入——开户、产品申请、客户开户/onboarding 全流程都要有。企业要以“端到端”的视角来做身份识别、验证和核实，没有任何一款工具可以包打天下。

最关键的是：要有一支经过训练的团队，配套清晰的政策和流程、合适的工具，以及管理和预防潜在欺诈所必需的授权。

Onboarding 阶段

• 生物识别（人脸、指纹或声纹）。
• 黑名单/监控名单核查。
• 客户数据一致性检查。
• 与内部客户数据库交叉比对。
• 与官方权威数据库进行验证。

交易阶段

• 将各类技术控制进行编排整合，纳入以风险为基础的管理策略中，实现多渠道、多产品的实时监测与预防性拦截。

还有一点非常重要：安全是“所有人的责任”。从董事会到一线员工，每个人都能做出贡献。当然，企业需要明确指定一个负总责的职能部门，但预防文化一定是“自上而下”建设的。

要实现这一点，至少需要：

• 一个清晰的组织使命，把员工的日常行动与实际影响联系起来
• 按岗位定制的培训，而不是“一套培训打天下”
• 专门用于工具和流程的预算
• 明确责任与边界的道德与行为准则
• 一个匿名、充分宣传并长期运营的举报渠道

最关键的是领导力。文化绝不是一夜之间形成的；凭我的经验，至少需要三年才能看到明显成效。而且这些工作必须持续、稳定地进行，并始终以“人”为中心：既包括员工，也包括客户。当员工明白“遵守流程”不是走形式，而是在保护客户体验和公司声誉时，他/她的投入度会完全不同。

问：有些公司仍然把合规当成“打勾式任务”，这种思维给业务带来什么代价？

答： 如果只是把它当成一笔会计费用，你就错过了创造价值的机会。当它被纳入价值主张的一部分时，合规就变成了一项投资。在咨询项目中，我们一定会做一份商业论证（business case）：能避免多少损失？对客户体验和资产组合有什么影响？数据一算出来，结论几乎总是正向的。

ACFE 的估算显示，企业每年大约会损失 5% 的收入在欺诈上——光这一点，就足以证明投资防欺诈的必要性。再看技术工具的投资回收期，一般在 12–14 个月之间。除此之外，还有更难量化的“声誉”：你希望外界如何看待你的机构？如果一个产品一开始就和欺诈挂钩，流失的信任成本远远高于预防投入。

根据 KPMG 的调查，83% 的消费者在选择金融机构时把安全作为关键因素，而 76% 的受骗客户会离开自己的银行。这些数据非常直接地说明，安全与业务表现是强相关的。

问：你在现有防控模型中，看到的主要“盲区”是什么？

答： 最大的盲区是忽视内部欺诈。很多机构坚信自己“没有内部欺诈问题”，但只要我们进去做评估，几乎都会发现相关案例。规模和严重程度可能不同，但内部欺诈存在于各类组织：工厂、诊所、金融机构……业内有句话：只有两种组织——已经发生过内部欺诈的，和未来会发生内部欺诈的。

问：企业应如何着手弥补这些“盲区”？

答： 第一步是承认问题、做出诊断：索取数据、梳理客户投诉、分析损失情况。只要认真做，发现的问题通常都会比报表里多。

接下来，要围绕三个支柱来规划：

1. 技术（Technology）——对 100% 的业务操作进行监测，包括结构化和非结构化数据。
2. 安全流程（Secure Processes）——设计时要注意平衡。流程锁得太死，产品就会失去可用性。目标是“足够好”，而不是“完美无缺”。
3. 人员（People）——预防文化是根基。欺诈管理团队要与网络安全、反洗钱（AML）、技术团队深度联动。多条战线统一策略，预防才真正高效。

如今超过 90% 的欺诈都是数字化场景下发生的，所以“各自为政的孤岛”模式必须打破。还有一点极其重要：每一起欺诈背后都是一个具体的人。在和受害者的访谈中，我看到的是真实的恐惧、羞愧和不安。很多人不愿报案，因为他们不相信司法体系会有所作为。这种人性层面的体验会不断提醒我们：防欺诈不仅是保护资产负债表，更是在保护一个个真实的人。

问：如何在不制造过度摩擦的前提下，平衡合规要求与用户体验？

答： 关键是让安全、网络安全、产品和技术团队坐到同一张桌子上。当各部门各自为政时，摩擦就会出现；一旦形成协同，平衡点自然就更容易找到。而这一切都必须与组织的使命保持一致。

如果一家金融机构对外宣称自己的使命是“用科技产品让生活更轻松”，那么欺诈事件的发生就是在当众撕毁这个承诺。在这种使命的指引下，你会更容易设计出既合规、又能防护、同时不增加用户负担的解决方案。

问：你认为这种思维方式会成为行业主流吗？还是说永远会有例外？

答： 几年前，这种想法听上去还有点理想化，但现在已经不再如此。在像阿根廷、巴西这样的国家，很多机构都在围绕“使命”和“目的”来重塑业务，把整家公司对齐到同一个方向。那些不这样做的企业，竞争力会逐渐被蚕食。例外肯定会存在，但大趋势已经很清楚：从“为了应付监管而合规”，转向“把预防当作核心价值”。

问：你提到“以风险为基础的策略”，这在实践中意味着什么？

答： 这种方法在反洗钱（AML）领域很常见，在欺诈防控中也越来越流行，但它绝不只是个流行术语。它意味着：深入理解业务，识别关键痛点，把这些痛点转化为具体风险，进行排序，然后把资源优先投入到剩余风险最高的环节。

欺诈是高度动态的风险。你不能完全忽视低风险环节，因为它们随时可能“重新活跃”。你必须对所有风险进行监控，只是监控力度可以有所差异。

在我与 Mario Ader 共同负责的防欺诈专业课程（这是拉丁美洲首个专注于防欺诈的文凭项目）中，我们把这套模型总结为三大支柱：理解、介入、衡量并改进。这应该成为任何防欺诈策略的根基。

问：你会给刚进入合规或欺诈防控领域的新人什么建议？

答： 第一，要确认自己真的喜欢这份工作。它并不适合所有人。你可能会在凌晨四点因为一场风险事件被叫醒，这时候你必须做好随时“冲上前线”的准备，所以你需要足够的使命感和热情。

第二，坚持每天学习，至少一小时。我现在每天的学习时间，比我在大学时还多。

第三，主动拓展人脉。多用好 LinkedIn，积极参加线上研讨会（webinar）、阅读行业资料、勇于提问。

第四，学会协作。欺诈者之间是高度协同的，而金融机构之间在这方面做得还远远不够。我们需要更加团结。

问：现在金融机构之间是真正的协作，还是“雷声大、雨点小”？

答： 真正的跨机构协作正在不断增加，尤其是在拉丁美洲。阿根廷、巴西、厄瓜多尔等地都有相关论坛。随着时间推移，那些从不参与的人，正在被整个系统慢慢边缘化。当然，我们还有很多工作要做，但整体趋势是积极的。而且，协作不一定要共享个人数据——只要共享欺诈类型、作案模式、攻击路径等信息，就已经能够起到很大的帮助。

问：如果把时间拉长到未来五到十年，你最希望看到金融行业出现什么样的文化转变？

答： 最关键的变化，是把防欺诈真正视为价值主张的一部分。一旦这一点在内部被普遍接受，其他事情都会顺势展开。

从更宏观的层面看，我们需要加强公私部门的对话。监管方有时会提出不切实际的要求，并不是出于恶意，而是因为对金融体系的运作方式和未来方向缺乏足够理解。他们需要更深入地了解金融系统是如何运作的，以及它要走向何处。

同时，我们也需要在欺诈犯罪方面拥有更有力的刑事立法。现在很多犯罪分子知道如何“进出自如”。司法系统往往被更严重的犯罪占满精力，欺诈案件所获得的关注度就显得严重不足。这一点必须改变。