5亿美元安全缺口：Bank of Ireland UK的关键失误

Source: Dev.to

“收款人确认”制度的失败

背景

2026年2月20日，爱尔兰银行英国分行（BOIUK）正式致歉，承认未能实施“收款人确认”（CoP）发送请求。CoP 将账户名称与账户号码进行交叉核对，以防止授权推送付款（APP）诈骗——这一犯罪在最近的年度报告周期中导致英国消费者损失 4.597 亿英镑。

对客户的影响

缺少 CoP 功能使 BOIUK 客户面临更高的“恶意重定向”诈骗风险。英国金融数据表明 77 % 的 APP 诈骗案件起始于社交媒体，最终的失败点始终是银行转账。错过实施窗口后，BOIUK 实际上在一个 每四位成年人中就有一位 曾被金融诈骗盯上的环境中，留下了未上锁的大门。

监管背景

英国支付系统监管机构（PSR）最初要求 2020 年前为第 1 组银行实施 CoP，但中等规模机构仍在推进中遇到困难。PSR 可对系统性支付安全失误的银行处以 相当于年营业额 10 % 的罚款。根据新的 PSR 规则，除非能够证明“严重过失”，银行通常需向 APP 诈骗受害者赔偿，单笔最高上限为 £415,000。

行业对比

巴克莱、汇丰等第 1 级银行已维持 CoP 功能超过五年。BOIUK 的延迟使其处于“马子”账户活动的高风险区间，而该类活动去年为英国银行业带来了约 12 亿英镑 的总诈骗损失。

财务影响

当银行未能核实收款人身份时，责任往往转移至机构本身。未提供 CoP，BOIUK 在一个诈骗成本以 年复合增长率 5 % 上升的市场中，增加了自身资产负债表的潜在负债。随着 PSR 向更严格的赔偿要求迈进，致歉的成本很快将被潜在罚款的费用所超越。

结论

在 92 % 的英国成年人 使用移动银行的金融生态系统中，无法实时核实收款人已不再是“疏忽”——而是结构性责任。爱尔兰银行英国分行的致歉标志着一家传统机构碰到了技术壁垒，未来将面临显著的监管和财务后果。