A最大风险点 

　　互联网金融的经营者包括联网运行的银行、证券、保险、期货、基金、私募、网贷、众筹、结算中心等金融机构，其兴衰沉浮与广大用户休戚相关。

　　首家网络银行被收购1995年10月18日，经美国联邦银行管理机构批准，由美国三家银行Area Bank、Wachovi、Hunting Bancshares和两家IT公司Secure ware与Five Space联合推出的网络安全银行（Security First Network Bank，SFNB）诞生。这是全球首家网络银行，完全依赖互联网运营，服务范围包括电子支票、利息支票、货币、储蓄、信用卡及CDS等多种银行业务，其每天24小时×365天不间断营业，通过电子邮件或免费热线为客户提供全天候服务支持。

　　由于成本低，SFNB通过免费或低收费和较高的存款回报，成立一年就吸引约7000账户，存款总额逾2000万美元，三年后存款总额已高达4亿美元，股价扶摇直上。

　　因未能克服网络银行资金运作渠道少、营业网点及从业人员受限等天生缺陷，SFNB无法像传统大银行那样以专业的金融服务形成核心竞争力，无法灵活运用各种金融工具获利，只能以便捷性和高利率吸引客户，从而导致客户黏性不足，始终未实现盈利。随着竞争者增多和大银行加快电子银行布局降成本，SFNB优势消耗殆尽，至1998年终于难以为继，除技术部门外所有金融业务被加拿大皇家银行以2000万美元收购，转型为传统银行提供网络服务。

　　货币市场基金PayPal退出网上平台货币市场基金曾在美国1980—1986年利率市场化期间爆炸式扩张，美国版“余额宝”PayPal早在1999年就推出了将日常余额存入货币市场基金的服务。作为第三方支付平台，PayPal在财政部注册，受联邦及州两级政府和联邦存款保险公司FDIC的监管，在2005—2007年利率上行期其规模曾高达10亿美元，但2008年次贷危机后美联储降息接近零利率，PayPal的流动性、高利率、保本三大优势烟消云散，最终于2011年“寿终正寝”。

　　 网络信用卡NextCard破产 总部设在旧金山的NextCard公司通过VISA卡网上信用审批系统，在线发放并提供互动服务，其特色在于信用资料较少的申请人只需将定额存款存入NextCard，就可通过网络快速获得授信并领取信用卡。NextCard的成本比传统方式低70%，从1996年推出到2001年三季度高速积累了120万信用卡账户，未偿余额达20亿美元。但其客户主要是被其他信贷机构拒绝的低授信消费者，导致欺诈和坏账激增，只好大量增补储备金应对信用损失，造成流动资金枯竭，于2002年宣布破产，可见有效的风险管理对互联网金融机构生死攸关。

　　互联网保险电商InsWeb长期亏损

　　1995年2月创立于美国加州的网络保险电商InsWeb完全从事在线业务，在纳斯达克上市后被福布斯誉为网上最优秀的保险公司，获评雅虎全球50个最值得信赖和最有用站点之一，业务涵盖汽车、房地产、医疗、人寿甚至宠物保险等。InsWeb的盈利模式一是提供各保险公司产品报价，帮助消费者遴选决策并收取佣金；二是为保险代理人提供消费者信息和投保意向并收取费用。2005年逾100万用户在InsWeb投保汽车险；2006年InsWeb营业收入2850万美元，连年实现两位数增长。但保险产品绝大多数较复杂，需当面讲解而无法仅靠互联网销售。相对简单的车险和意外险难以维持生计，长期亏损终导致InsWeb股价狂跌，于2011年被个人理财网站Bankrate收购，其最后报表中前三季收入仅3900万美元，与全美万亿美元的保费相比微乎其微，证明并非所有金融产品都适于网上销售。

　　谷歌钱包进退维谷2011年推出的谷歌钱包，采用10厘米半径内无线通信NFC技术，用户可绑定信用卡直接刷手机消费。尽管谷歌钱包支持万事达卡、VISA、Discover、运通卡等，但市场上不足15款智能手机硬件支持NFC。全美四大移动运营商仅Sprint Nextel支持谷歌钱包，商家不愿承担销售终端升级费用。复杂的利益链最终导致谷歌钱包负责人Bedier辞职。之后谷歌钱包取消了对NFC的硬件要求，兼容更多的Android手机。之后又推出与谷歌钱包捆绑的“类借记卡”供提现和购物，但能否东山再起仍需拭目以待。

　　B风险源 

　　2016年10月21日，美国东部突发互联网瘫痪，推特、华尔街日报、纽约时报、星巴克等大批站点无法访问，不少网络金融平台紧急暂停服务。此次瘫痪起因于域名服务商Dyn Inc.的服务器遭受DDOS即“拒绝服务”攻击。黑客使用智能工具，在用户完全不知情中操控逾千万数量级的联网相机、家庭路由器等IP设备，汇聚巨大的流量向同一目标同时发送海量数据包，集中冲击Dyn Inc.，令其IT资源瞬间被挤爆，从而自动拒绝所有域名解析服务，用户上网被统统拒之门外，无法访问所点击的网站。

　　黑客攻击成为互联网金融的最大隐患早在2007年8月18日，荷兰银行就出现部分客户资金网上被盗。2009年11月10日，美国司法部起诉俄罗斯/东欧一黑客团体伪造信用卡，入侵苏格兰皇家银行旗下信用卡公司，不到12小时在全球280个城市2100台ATM机提取逾900万美元现金。

　　“史上最大银行网络盗窃案”发生于2016年2月，孟加拉国央行在美联储的账户被黑客盗取上亿美元，随后转至斯里兰卡和菲律宾。其中2000万从斯里兰卡被追回，其余8100万分别存入菲律宾中华银行（RCBC）朱庇特大街支行4个美元账户。这些账户2015年5月以500美元初始存款开户后一直处于“僵尸”状态，直到去年2月4日入金后，2月9日分5次被取出，现只剩近7万美元。事发后央行行长拉赫曼辞职。3月8日孟加拉向美联储追讨损失立遭拒绝。后经美国联邦调查局（FBI）长达一年的调查，路透社今年3月22日透露，检方正准备起诉策划并导演了这起网络盗窃案的“凶手”。现全球已形成“黑客产业链”，普通黑客年收入十几万欧元，网络黑客已从最初的个人行为发展为有组织的犯罪。

　　病毒传播黑客制造的病毒通常利用木马、系统漏洞、远程控制等方式入侵。一旦某程序被感染则殃及整个交易联网。2017年3、4月，美国中央情报局（CIA）和国家安全局（NSA）的黑客工具包被揭秘公布，其攻击对象包括微软、Android、iOS、Apple OS X和Linux等操作系统以及智能电视、路由器等网络节点单元和智能设备，其中Windows漏洞EternalBlue（永恒之蓝）的泄露，直接导致5月12日WannaCry勒索病毒在全球爆发，百余国包括医疗、电力、机场、交通、教育等公用事业和知名大公司数十万用户中招。病毒对电脑文档、图片、程序等实施高强度加密锁定，勒索以比特币支付高额赎金，否则不予开锁甚至将信息“撕票”。

　　WannaCry是全球首款通过武器化系统漏洞实现传播的病毒，用户只要开机联网且EternalBlue漏洞存在，WannaCry就能入侵电脑。相比传统病毒依附下载安装的被动式传播，其主动扫描的网段式传播一举刷新蠕虫速度新纪录，好比爬行蠕虫登上了飞机。紧接着陆续出现了更多以NSA泄露的武器化漏洞为基础，实施远程攻击并传播的蠕虫变种。由于勒索用比特币支付赎金，在支持匿名收付的区块链系统中，警方很难查到收款人。

　　用户信息泄露 2005年6月18日，美国万事达、VISA和运通公司主要服务商的数据中心遭遇入侵，4000万账户信息外泄，客户资金处于高危状态。2009年1月8日，黑客入侵万事达“信用卡第三方付款处理器”网络系统，再次造成万事达、VISA等多种信用卡4000多万用户数据资料被窃。紧接着2月5日澳大利亚ANZ网上银行警告：“一种计算机病毒入侵了银行系统，使部分登录ANZ网银的用户受到影响。”病毒假冒网站诱使用户输入用户名、密码和身份证号。3月10日，英国Prevx安全公司破获的犯罪网站通过“僵尸网络”大肆散布病毒指令，以每天递增5000台的速度从感染的电脑里吸取数据。8月17日一名迈阿密居民盗取1.3亿张信用卡和借记卡数据，受害者包括哈特兰支付系统、7天连锁公司和汉纳福德兄弟公司等，成为美国历史上最严重的数据泄露案件。2014年2月，一名英国黑客入侵美联储并盗取用户数据后竟然在互联网上公布，凸显互联网金融数据安全面临严峻挑战。

　　形形色色的网络诈骗虚假宣传。如网站用“内幕消息”等虚假信息误导投资人错误决策，骗取咨询费后由投资人后果自负。

　　集资诈骗。如网贷目前行业年化收益率在10%上缘波动，一些P2P平台声称年化收益率超20%—30%，还发放各种奖励，实际往往是自融资。

　　套取隐私。如钓鱼网站拐弯抹角套取个人隐私，转走受害人账户资金。

　　公告异常。有的投资平台直接发布跑路公告，或公告遭遇不可抗力却不给出实际兑付办法；或声称网站系统升级然后一拖再拖。投资人索回资金只能起诉，周期长且成功率低，即使抓到人也追不回资金。

　　境外服务器。普遍存在躲避监管、技术服务不专业、环境和配套设施不达标、防火墙漏洞等风险。

　　IT技术与系统故障。软硬件缺陷、操作失当和自然灾害都可能引发技术风险。中国国家互联网金融风险分析技术平台显示：截至今年5月底其收录的18712个互联网金融平台中，1960个存在系统异常，发现网站漏洞1078个，仿冒网页4.5万张，累计网站攻击120.3万次。

　　C科学监管 

　　2013年年末，乌克兰首都基辅一台ATM机在既没插入银行卡又未触碰按钮的情况下，时不时自动吐出现金。监控录像显示只要ATM机吐钱，总有人准时前去取走现金。

　　俄罗斯著名反病毒机构卡巴斯基实验室介入调查后，发现这是一起由欧亚多国黑客团体利用“Carbanak”病毒入侵约30个国家逾100家金融机构的网络盗窃案。黑客们先向银行员工发送普通邮件，一旦点开邮件“Carbanak”病毒就入侵。无论配备何种防火墙或杀毒软件都无法阻挡其获取资金信息同时入侵银行系统管理员账号，从而获取权限，通过内部视频监控镜头观察员工的一举一动。

　　经数月“卧底”，黑客对银行业务流程了如指掌，可以轻松模仿员工手法将资金转移到指定的虚假账户，或通过程序操控ATM机在指定时间地点吐钱。他们修改报表方式只盗取差额，令银行很难及时发现，还采取“蜻蜓点水”和“少吃多餐”的分散作案手法，从每家银行窃取的资金不超过1000万美元，以长期保持“低调”。

　　2015年2月16日卡巴斯基报告称该黑客团体所窃总金额已高达10亿美元，凸显网络安全形势日趋严峻。

　　互联网金融代表着当代金融与科技发展的方向，监管既要防范风险，也要引导和推进全行业健康创新发展。

　　监管立法。英美等国最早立法对互联网金融实施监管，目前已经出台了第三方支付、P2P平台及众筹的相关监管法规，对违规行为动辄处以上亿美元巨额罚款，甚至吊销从业执照。由于互联网金融功能未脱离储蓄、支付、金融产品销售、投融资、交易等传统范畴，国外成熟市场依托较健全的现行监管体制，涵盖互联网金融基本无盲区。如美国证监会（SEC）对P2P贷款公司实行注册制，对信用登记、额度实施评估和管控。英国将P2P、众筹等业务纳入金融行为监管局（FCA）监管，德、法则规定参与信贷业务的互联网金融机构申办传统信贷牌照。

　　按业务实际性质归口监管。如美国、意大利、西班牙将互联网融资分为股权、借贷两种模式，分属金融市场或银行系统实施监管。法国按众筹机构是否从事支付和信贷，确定分管的金融审慎监管局是否参与。

　　根据发展态势及时调整完善监管。针对可能出现的监管漏洞，通过新增立法、补充细则等手段延伸监管体系。如美国、澳大利亚、意大利新增立法给予众筹合法地位。英国FCA推出涵盖众筹、P2P等一揽子监管细则。加拿大修订《反洗钱和恐怖活动资助法》，增补打击网络虚拟货币从事洗钱和恐怖融资等内容。发达国家多将虚拟货币纳入反洗钱监管。

　　行业自律与企业内控互补。如英国三大P2P平台建立了全球首家小贷协会，美国、英国、法国等成立众筹协会制定自律规范。很多企业通过内部制度规范并监控交易，如澳大利亚众筹网站ASSOB严控筹资流程管理，为长期安全运行发挥了关键作用。

　　结合征信体系双向沟通完善。如美国、英国利用3家征信公司共同完善征信体系，美国P2P平台Lending Club与多家银行共享征信数据，将客户信用等级与本系统中的信用评分挂钩。德国、法国则发挥政府主导征信体系的权威性和完备性，有效减少了市场违约风险。

　　开展国际合作执法。互联网无国界，单纯的国内监管根本无法应对境外策动、跨国攻击，防范互联网金融风险必须像防恐反恐那样开展国际合作。只有切实有效的国际合作，才能从根本上防范网络风险，确保互联网金融安全。