致持牌法團的通函 檢視有關保障客戶資產的內部監控措施

證券及期貨事務監察委員會（證監會）發出本通函，旨在闡述在某些挪用資產個案中發現的預警跡象和監控缺失，並提醒持牌法團對此保持警惕。本通函亦分享了證監會最近就選定的中小型證券經紀行的客戶帳戶狀況進行的確認工作，及對這些經紀行為保障客戶資產而設的內部監控措施進行的檢視（統稱“有關工作＂）的主要發現，同時亦載述了持牌法團應達到的相應監管標準。更多詳情載於附錄1及附錄2。

保障客戶資產依然是證監會的首要重任。為此，證監會定期發出通函¹，就其在監察工作中識別到的監控問題分享觀察所得，以及就持牌法團應達到的監管標準向它們提供指引。然而，證監會近年繼續收到持牌法團有關客戶資產被騙徒（包括持牌法團內不誠實的職員）挪用的報告，以及相關的公眾投訴。因此，證監會在外聘顧問的協助下，於2024年展開有關工作²。

針對近期某些持牌法團發生的重大網絡保安事故，以及一些持牌法團客戶收到仿冒詐騙短訊的情況，持牌法團應參考證監會發出的相關指引，以了解其應達到的監管標準³。此外，持牌法團亦應密切留意證監會不時發布的其他通函及指引。 

從有關工作及舉報的挪用資產個案中之觀察所得 

這些舉報個案涉及騙徒冒充持牌法團的客戶發出詐騙指示，或持牌法團的職員操控公司銀行帳戶以執行未經授權付款。個案中的預警跡象和監控缺失載列於附錄1，其中包括以下內容：  

1.   騙徒使用與客戶的真確電郵地址甚為相似的偽冒電郵地址，或入侵客戶的電郵帳戶，藉以冒充客戶發出詐騙指示。

2.   騙徒偽冒客戶的簽名並透過郵寄、電郵或傳真方式向持牌法團發出偽造的書面指示。

3.   這些指示通常包括：

• 更改客戶資料，例如電話號碼、電郵地址及通訊地址，以截取客戶的戶口結單；
• 要求持牌法團執行涉及大額客戶資產的交易；
• 將客戶證券轉移至第三者證券帳戶，或提取實物股票並由第三者領取；及／或
• 將客戶款項轉移至第三者銀行帳戶，或聲稱以客戶名義開立，但由騙徒操控的非指定銀行帳戶。

4.   在一宗舉報個案中，一名職員同時獲指配輸入及批准的權限，使他能夠獨自執行網上銀行付款，將資金從持牌法團的銀行帳戶轉移至其個人銀行帳戶。在另一個案中，一些獲授權簽署人未有妥善保管持牌法團的網上銀行帳戶的登入密碼及保安編碼器，令不誠實的職員有機可乘，竊取登入密碼及保安編碼器並執行未經授權的資金轉移。

有關工作中的觀察所得及以上舉報個案顯示，持牌法團在更改客戶資料、處理電郵要求及涉及第三者的交易，以及銀行帳戶的操作方面的內部監控存在缺失。騙徒及不誠實的職員利用這些持牌法團的監控缺失謀利，不僅損害了客戶的利益，亦導致持牌法團蒙受重大的財務損失。識別及監察不動的客戶帳戶是另一個需要加強監控的範疇，以緩減未經授權交易的風險。

有關工作的主要發現及持牌法團應達到的相應監管標準的詳情載列於附錄2。 

應達到的監管標準

證監會再次提醒持牌法團，它們有責任制定妥善的內部監控措施，以保障其運作及客戶免因偷竊、欺詐及其他不誠實的行為而招致財政損失⁴。持牌法團應實施充分的監控措施，以保障客戶資產，尤其是需要注意以下範疇： 

a)    更改客戶資料：在接獲更改的要求時，持牌法團應核實要求者的身分及簽名式樣，以確保該要求者是真正的客戶。即使更改指示上看似附有客戶的簽名，仍應進行核實，因這些簽名可能是由騙徒偽冒而成。此外，持牌法團應至少以合理的抽樣方式或在不確定更改要求是否來自客戶時，透過其正式紀錄內客戶的其他登記聯絡資料，與客戶進行獨立核實。另外，持牌法團在接獲更改要求時及在作出更改後，應迅速透過未經更改的客戶登記聯絡資料向客戶發送確認通知。

b)    處理電郵要求：由於客戶的電郵帳戶可能已被騙徒入侵或盜用並用作發出詐騙指示，持牌法團應實施政策及程序，以應對接納電郵指示所帶來的風險。除了將要求者的電郵地址與持牌法團的正式紀錄核對外，持牌法團應採取額外步驟，以核實可疑電郵指示及交易金額超過合理門檻的電郵要求的真實性，例如透過客戶的其他登記聯絡資料向客戶確認指示，而非直接回覆相關電郵要求。此外，持牌法團應向職員提供充分指引及定期培訓，以提高他們對識別電郵騙案的警覺性。

c)    第三者存款及付款，以及由第三者收取實物股票：正如以上所述，證監會觀察到挪用資產個案通常涉及第三者交易，而此類交易具有較高的資產挪用、洗錢及其他嚴重失當行為的風險。因此，持牌法團應盡量拒絕第三者存款及付款，並應僅在特殊及合法的情況下，和在通過適當的盡職審查及獲得管理層的批准時才可接納有關交易。此外，為防止客戶資產被挪用，在客戶所提取的款項和證券轉移予第三者，或由第三者代客戶領取實物股票之前，持牌法團應與客戶直接確認有關要求的真實性，及核實代客行事的第三者的身分。

d)    銀行帳戶的操作：為防止未經授權的銀行付款，持牌法團應實施適當的獲授權簽署人安排，並考慮規定銀行付款必須由兩名或以上獲授權簽署人共同執行。此外，獲授權簽署人不應向他人披露網上銀行用戶的登入資料，並應妥善地保存他們的保安編碼器。

e)    不動帳戶：不動帳戶容易招致未經授權交易或其他欺詐活動。若帳戶在一段時間內（不超過24個月）並無任何由帳戶持有人發起的交易及資產活動，持牌法團應將該帳戶歸納為不動帳戶以進行密切監察。

客戶的防範意識

除上述事項外，證監會亦謹此提醒持牌法團，它們應採取適當措施以提高客戶對保障自身利益的意識。舉例來說，持牌法團應定期提醒客戶：

• 妥善保護他們的重要個人資料（例如簽署式樣、帳戶登入名稱和密碼、投資及銀行帳戶資料等等）；
• 適時就其個人資料的任何變更通知持牌法團；及
• 盡快核對他們的交易文件（包括戶口結單），並在帳戶出現任何差異時，向持牌法團的管理層或獨立人員（而非他們的客戶主任）作出跟進。

高級管理層的責任

證監會謹此強調，持牌法團的高級管理層（包括負責人員及核心職能主管）承擔的首要責任，是確保公司維持適當的操守標準，並實施適當的政策及程序以充分保障客戶資產及勤勉盡責地監督其職員⁵。 

證監會尤其關注到，某些持牌法團在若干重要範疇上屢次犯下監控缺失，令人質疑它們在保障客戶資產方面的成效，以及對它們繼續持牌的資格和適當性產生懷疑。持牌法團應採取一切必要措施以遵從本通函所載列的標準。如某持牌法團屢次犯下內部監控缺失，以致嚴重損害其客戶及公司的利益，證監會將毫不猶豫地對該持牌法團及其高級管理層採取適當的行動，包括對該持牌法團的牌照施加條件⁶以管理或限制其進行受規管活動的方式。

如對本通函內容有任何疑問，請聯絡你的個案主任，或致電2231 1707與麥珍女士聯絡。

證券及期貨事務監察委員會
中介機構部

連附件

SFO/IS/017/2025