美国跨境支付：Nacha 2026年3月生效，ACH合规大考！

全球支付网络的安全与合规性一直是跨境行业关注的焦点。新媒网跨境获悉，美国国家自动清算所协会（Nacha）近日宣布，将自2026年3月起分阶段实施两项新的欺诈监控规则。此举旨在应对日益复杂的授权推送支付（APP）欺诈和商业邮件泄露（BEC）诈骗，这些新型欺诈往往诱骗合法账户持有人授权欺诈性支付，给金融机构和用户带来巨大损失。Nacha此次规则更新，旨在从交易全生命周期加强欺诈检测和资金追回能力，对参与美国ACH网络的所有银行、信用合作社及其他金融机构的合规义务产生深远影响。

新规则实施：分阶段推进与覆盖范围

Nacha新规的实施将依据金融机构2023年的交易量分阶段进行，旨在为部分规模较小的机构提供充足的准备时间。第一阶段将从2026年3月20日正式生效，届时以下ACH网络参与方必须遵守新规：所有发起存款金融机构（ODFIs）、年ACH转账发起量达到或超过600万笔的发起方（包括第三方），以及年ACH接收量达到或超过1000万笔的接收存款金融机构（RDFIs）。

Nacha方面表示，针对接收存款金融机构（RDFIs）的交易量门槛，将覆盖大约175家机构。这些机构在ACH网络总接收交易量中占据了约70%的份额。这一分阶段、有侧重的实施策略，体现了监管机构在提升网络安全水平的同时，也兼顾行业参与者实际承压能力的考量。

欺诈监控核心要求：构建与持续优化风险流程

新规则的核心要求在于，所有受影响的参与方必须建立并实施基于风险的流程和程序，旨在合理识别因欺诈行为发起的ACH交易。这些流程和程序需每年至少进行一次审查和更新，以适应不断演变的欺诈风险。Nacha明确指出，任何认为无需进行监控的结论都是不可接受的。然而，机构也无需对每一笔ACH交易进行单独筛选，更不要求在处理交易前进行监控。这意味着，金融机构需要建立一套动态调整的风险管理体系，而非静态的、一劳永逸的解决方案。

发起银行（ODFIs）的新职责：识别“虚假借口”欺诈

新规要求发起存款金融机构（ODFIs）及其第三方发起人，需对未经授权或在“虚假借口”下授权的支付进行监控。“虚假借口”一词是此次新规中的关键定义，它明确涵盖了常见的欺诈场景，例如商业邮件泄露（BEC）、供应商或工资发放冒充，以及冒充他人身份或授权行为。

这些欺诈场景均属于广义的授权推送支付（APP）欺诈范畴。发起存款金融机构（ODFIs）必须优化其现有的监控流程，以识别可疑的ACH贷记和借记交易。一旦监控发现可疑活动，可采取的措施包括停止进一步处理、与发起方协商，或联系接收存款金融机构（RDFI）请求退回或冻结资金。

Nacha强调，这些新规不会修改或取代发起存款金融机构（ODFI）现有的ACH交易担保责任，也不会改变联邦法律下欺诈或诈骗的责任分配。发起存款金融机构（ODFIs）仍需确保其客户，包括发起方和第三方发送方，遵守欺诈监控规则。这一规定意味着，尽管监控责任扩大，但核心责任划分保持不变，金融机构在合规方面仍需承担最终的督导责任。

接收银行（RDFIs）的新角色：从被动到主动的转变

在此次规则调整中，接收存款金融机构（RDFIs）的角色将从传统的被动接收方，转变为在打击贷记推送欺诈中承担额外的监控职责。接收存款金融机构（RDFIs）对传入交易、账户资料和历史交易拥有独特的视角，这使得它们在发现欺诈方面具有天然优势。

根据Nacha新规，接收存款金融机构（RDFIs）的风险识别方法应包括监控特定的“危险信号”，例如交易速度异常、与接收账户不符的大额交易，以及涉及新开、不活跃或潜在“洗钱”账户的活动。

其他潜在的“危险信号”包括在短时间内收到多笔类似的贷记交易（如多笔工资支付），以及所谓的标准交易分类（SEC）代码不匹配。SEC代码不匹配发生在交易指示类型与涉及方，以及资金发送到的账户类型不符时。

Nacha特别强调的一个主要不匹配示例是，当企业代码被用于个人消费者账户时。如果接收存款金融机构（RDFI）发现一笔ACH交易被编码为在两个企业实体之间进行，但接收方却是一个消费者账户，这将被视为可疑交易。

Nacha同时鼓励接收存款金融机构（RDFIs）与发起存款金融机构（ODFIs）在风险管理和资金追回策略方面进行合作。在调查潜在欺诈或请求退回资金时，应使用ACH联系人注册表，其中包含了ACH运营、欺诈和风险领域所需的联系方式。

刻不容缓：金融机构的应对策略

为银行和信用合作社提供风险和金融犯罪监控服务的供应商强调，金融机构必须迅速行动，超越最低限度的合规要求，采纳先进的欺诈保护策略。

金融犯罪管理供应商Nasdaq Verafin的产品管理副总裁科林·帕森斯（Colin Parsons）指出，这些规则变化反映了金融机构迫切需要采取更主动、更全面的欺诈预防策略。他警告称，持续疏忽的机构可能面临罚款或声誉受损。

企业风险顾问LSEG Risk Intelligence的产品策略和集成服务总监布莱恩·霍尔布鲁克（Brian Holbrook）表示，如果一个机构尚未开始实施新规，那么根据其规模，它“可能已经落后了”。

合规供应商LexAlign的创始人兼首席执行官特雷弗·莱恩（Trevor Lain）认为，这项规则是一项战略性转变，它将欺诈监控职责正式化，并扩展到银行以外的参与方。但他同时强调，对于银行，特别是发起存款金融机构（ODFIs）而言，新规则并未转移其责任；金融机构仍必须确保其客户遵守规定。
Nacha Larimer Jane