识别可疑金融活动：关键预警指标 (ZH)

九笔存款，都略低于申报门槛。不同的日期，不同的账户。账本上一切看似正常——除了这种模式。这就是拆分交易。这本应是一份早已提交的可疑活动报告（SAR）。

识别可疑金融活动意味着要系统地解读交易模式、客户行为和地理信号——并了解何时需要履行报告义务。本文将详细介绍各个维度的关键预警指标，解释可疑活动报告（SAR）的提交义务，并涵盖Didit的交易监控、反洗钱筛选以及设备和IP分析模块如何支持实时检测。

主要内容

• 拆分交易——将转账拆分成小额以规避报告门槛——在大多数司法管辖区本身就是犯罪，与资金来源的犯罪行为无关。
• 资金快速流动和交易量激增是洗钱链中“分层”阶段最明显的信号。
• 客户行为和地理信号会增强交易标记：不匹配的IP、不情愿的客户、新开账户立即进行高价值活动——单独来看每个信号都很弱；结合起来则能构成一个案件。
• 可疑活动报告（SAR）在大多数受监管的司法管辖区都是一项法律义务。其门槛是“怀疑”，而非“证据”。

交易模式预警指标

拆分交易和“蚂蚁搬家”

拆分交易是指将交易拆分成小额以规避货币申报门槛（美国《银行保密法》的门槛是10,000美元；欧盟、英国及其他地区也有类似的门槛）。“蚂蚁搬家”是指将相同的模式分散到多个人或多个账户上。

指标包括：

• 在短时间内有多笔略低于申报门槛的存款——9,900美元、9,700美元、9,500美元
• 许多小额存款累积成大额资金
• 客户询问申报门槛或要求拆分交易
• 没有明确理由地在数周或数月内重复出现的模式

在大多数司法管辖区，拆分交易本身就是犯罪，与资金来源的犯罪行为无关。

资金快速流动

洗钱遵循“放置 → 分层 → 融合”的阶段。分层意味着快速转移资金以模糊审计追踪：

• 资金在数小时内进出——账户只是一个过桥
• 以一种货币电汇进来，短时间内兑换成另一种货币并汇出
• 快速转账给无关的第三方，没有明确的商业目的
• 资金返回原始账户或实体的“循环交易”模式

交易量激增

每月三笔交易，然后一周内三十笔——即使每笔金额都很小。交易量聚合会衡量每个客户、交易对手和时间窗口的交易次数和金额。没有已知商业事件解释的激增值得审查。

客户行为预警指标

不愿提供信息

当客户出现以下情况时，预警指标出现：

• 对资金来源或业务目的提供模糊或不一致的回答
• 在被要求提供额外文件时中断会话
• 提交的文件来自与其声明地址或国籍不符的司法管辖区
• 当问题转向受益所有权或交易对手时变得闪烁其词

资料不符

常见模式：

• 声明收入与交易量或价值不符
• 一个商业账户处理消费者模式的交易
• 一个新账户立即开始高频率或高价值活动，没有逐步增长的过程
• 所有权结构相对于其表面商业目的过于复杂

政治公众人物和负面媒体

政治公众人物（PEPs）——政府官员、其亲密伙伴和家庭成员——由于其接触公共资金的机会而具有较高的腐败风险。他们的存在不一定使交易可疑，但会触发强化尽职调查。负面媒体报道——制裁、刑事诉讼、执法行动——是更强烈的信号。

地理预警指标

高风险司法管辖区

金融行动特别工作组（FATF）维护着一份在反洗钱（AML）和反恐怖融资制度方面存在战略缺陷的司法管辖区名单。与这些司法管辖区进行的交易、注册在那里的受益所有人，或与这些司法管辖区实体的代理银行关系都带有较高的基线风险。

IP地址与文件国家不符

客户提交了一份来自德国的身份证件，但却从一个位于高风险司法管辖区的VPN出口节点完成会话。任何单一的不匹配都可能有无辜的解释；但文件国家、声明地址和IP国家都指向不同地点则构成一种模式。

此信号需要将身份层数据（提交了什么文件）与会话层数据（连接来源、是否被掩盖）进行关联。当这两个信号出现分歧时，Didit的设备和IP分析会自动标记COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP。

提交可疑活动报告的义务

可疑活动报告（SAR）是向金融情报机构（美国是FinCEN，英国是国家犯罪局，西班牙是SEPBLAC）提交的秘密报告。大多数受监管机构在有合理理由怀疑交易涉及犯罪收益时，都有法律义务提交报告。

每个合规团队都应了解的四件事：

• 门槛是“怀疑”，而非“证据”。
• “通风报信”——告诉客户已提交SAR——在大多数司法管辖区本身就是刑事犯罪。
• 在有合理依据的情况下未能提交报告，将使机构和个人合规官员面临执法行动。
• SAR是保密的。它们提交给金融情报机构，并不会自动触发执法调查。

SAR的叙述需要经得起审查——这意味着其背后的案件档案必须结构化、完整且可审计。

Didit如何提供帮助

交易监控 — 每笔交易0.02美元

Didit的实时规则引擎预置了11个规则包——涵盖拆分交易检测、交易量聚合、快速移动警报——适用于法定货币和加密货币。规则可配置：调整阈值，组合条件，添加自定义规则。

当规则触发时，交易进入案件管理，其中包含客户的完整历史记录和所有规则匹配项。SAR工作流程内置其中——合规分析师无需切换工具即可起草和提交。AWAITING_USER循环自动处理信息请求案件：当客户需要提供资金来源证明文件时，该循环会暂停交易并路由请求，无需人工分类处理。

反洗钱筛选 — 每次筛选0.20美元

Didit对照1,300多个全球名单（包括OFAC、欧盟综合名单、联合国、国家观察名单、政治公众人物登记册和负面媒体）检查个人和实体。筛选在入职时运行；持续反洗钱监控（每年每用户0.07美元）会随着名单更新持续重新筛选您的用户群——捕获在注册时未被标记的受制裁个人或政治公众人物。

设备和IP分析 — 每次检查0.03美元

当身份信号和会话信号相关联时，地理预警指标最强。设备和IP分析在每次验证会话中自动运行，返回IP地理位置、VPN/代理/Tor状态以及设备指纹，同时还有提交身份证件上的国家。当这些信号出现分歧时，COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP警告会触发——可配置为批准、审查或拒绝。

常见问题

拆分交易标记和SAR义务有什么区别？

在大多数司法管辖区，拆分交易本身就是犯罪。SAR义务更广泛：当您有合理理由怀疑任何交易涉及犯罪收益时，您必须提交报告——拆分交易是产生这种怀疑的一种模式，但不是唯一的模式。监控警报是支持SAR的证据；它不能取代合规部门对是否提交报告的判断。

Didit的交易监控包含多少个规则包？

预置了11个规则包，涵盖最常见的反洗钱和欺诈模式类别，所有这些规则都可配置——无需从头构建即可调整阈值和添加自定义规则。

Didit的反洗钱筛选是否涵盖政治公众人物和负面媒体，还是只涵盖制裁名单？

三者都涵盖。1,300多个名单包括OFAC、欧盟综合名单、联合国安理会、国家观察名单、政治公众人物登记册和负面媒体。持续反洗钱监控会随着名单更新重新筛选您的用户群。

AWAITING_USER自动修复循环是什么？

当某个案件（可以通过客户提供额外信息解决，例如资金来源证明）触发规则时，该循环会暂停交易并将请求直接路由给客户，无需合规分析师手动处理每个低复杂度的案件。

Didit可以代表我提交SAR吗？

不能。SAR的提交义务在于受监管机构。Didit提供案件管理和SAR工作流程工具——结构化的案件档案、交易证据、审计追踪——您的合规团队可以使用这些工具来准备并向相关金融情报机构提交报告。

准备好开始了吗？

可疑活动检测是一个多层问题。仅凭交易规则会遗漏行为背景；仅凭身份检查会遗漏入职后发生的情况。Didit在一个可组合的API中连接了这些层。

• 了解模块 → 交易监控文档
• 查看平台 → didit.me/products/transaction-monitoring
• 查看价格 → didit.me/pricing
• 免费开始 → business.didit.me — 每月500次免费KYC验证