2026年3月中旬,国际商会(ICC)发布政策报告《防范在线与信息通信技术赋能型欺诈》。这份报告传递出一个十分鲜明的信号:今天的线上诈骗,早已不是零散、偶发的技术风险,而是依托数字基础设施、跨境支付网络和监管碎片化环境扩张的系统性经营风险。ICC指出,在线与信息通信技术赋能型欺诈已成为增长最快、最普遍的跨国犯罪形态之一,不仅造成直接经济损失,也在侵蚀数字服务信任、抬高企业经营成本,并削弱数字经济参与意愿。
一、这份报告最值得重视的判断:诈骗已从“网络问题”变成“经营问题”
ICC对“在线与信息通信技术赋能型欺诈”的界定非常明确:凡利用数字技术、互联网工具、通信技术或人类行为弱点,以骗取金钱、财产或敏感信息为目的的欺骗行为,都属于这一范围。报告特别强调,这类犯罪的本质并不只是“盗窃”,而是通过模仿可信品牌、可信服务和可信沟通环境,诱导受害者“主动”交出钱财或信息。常见形式包括冒充诈骗、网络钓鱼、账户接管、商业邮件欺诈、技术支持诈骗、在线市场诈骗、电信诈骗、虚假广告以及情感诈骗等,而且这些手法在现实中往往交叉叠加、协同实施。
更关键的是,ICC指出,过去看似孤立的骗局,如今已经演变为由有组织犯罪集团操盘的“工业化运作”。这些团伙利用数字技术、全球连通性和监管差异,在跨境范围内大规模实施欺诈、转移赃款,并快速重建作案基础设施。报告还指出,这些犯罪网络会借助恶意软件、被攻陷的数字身份、快速支付系统和全球金融渠道来执行并清洗欺诈所得,造成的伤害远不止财务损失,还包括对公众信任和数字经济秩序的侵蚀。
这意味着,对出海企业而言,诈骗不再只是消费者保护问题,而是品牌治理问题、渠道治理问题、支付安全问题,也是国际化经营能力问题。
二、人工智能、深度伪造与“欺诈即服务”,让风险全面升级
ICC报告的一个重要观察,是诈骗正在快速技术化、产业化。生成式人工智能正被广泛用于制作更逼真的钓鱼邮件、深度伪造音视频、仿真客服语音和高度个性化的诈骗内容;与此同时,“恶意软件即服务”“欺诈即服务”等地下黑产模式降低了犯罪门槛,使更多作恶者能以较低成本获得攻击工具、数据资源和虚假身份。被盗邮箱、社交账号乃至政府数字身份,正成为现代欺诈活动的重要基础资源。
报告还指出,攻击者越来越善于实施复合型攻击:一场诈骗活动,可能同时包含品牌仿冒、钓鱼链接、账号接管、假广告投放和资金转移。这也解释了为什么传统“分部门治理”的方式越来越失效。一个骗局往往同时涉及网络安全、金融风控、品牌保护、消费者保护和跨境执法多个领域,仅靠单一部门、单一平台、单一行业,已无法有效应对。
对于中国企业来说,这一点尤其值得警惕。当前企业出海越来越依赖独立站、社交媒体营销、跨境电商平台、海外支付、本地化客服和电子签约体系,而这些恰恰是诈骗分子最容易嵌入的链条。品牌越国际化,越容易被仿冒;交易越线上化,越容易遭遇信任劫持。
三、ICC提出的应对逻辑:不是单点防守,而是跨境协同
ICC在报告中提出了几项高度概括的政策方向。第一,默认跨境治理。报告明确提出“欺诈是跨国的,执法也必须跨国”,主张加强国际法律协作、简化跨境数据请求、开展联合调查,打击的不只是单个案件,而是背后的犯罪网络、数字基础设施和资金流。第二,重预防,而非只重响应。ICC建议将防诈骗提升为优先事项,投入专项资源,提升数据分析、追踪和执法能力。第三,修复法律和监管碎片化。报告认为,不少法域规则边界不清、责任划分模糊,结果反而让合法企业承担了更多成本,因此需要推动消费者保护、网络安全、隐私和数据保护等规则的协调与互操作。第四,把公私合作从“交流”变成“联动作战”,包括实时情报共享、联合行动、标准化报告和联合公众教育。
这套框架对企业同样适用。它说明,反欺诈不是“买一套系统”就结束,而是要建立跨部门、跨平台、跨国别的风险治理体系。
四、ISO 37003:2025的意义:把“反欺诈”从零散措施变成管理体系
值得特别指出的是,国际标准化组织发布的 ISO 37003:2025《欺诈控制管理体系——组织管理欺诈风险指南》,为企业应对上述在线与信息通信技术赋能型欺诈提供了一个更具可操作性的标准化框架。根据ISO官方介绍,ISO 37003为各类组织提供指导,用于建立、实施、保持并持续改进欺诈控制管理体系,覆盖欺诈风险的完整生命周期,包括预防、识别、响应和持续改进,适用于公共、私营和非营利组织,也同时关注内部和外部欺诈风险。
这正好弥补了很多企业在实践中的短板。ICC报告更多回答的是“为什么必须系统应对在线欺诈”,而ISO 37003进一步回答了“企业应如何把反欺诈机制嵌入治理、业务和控制体系”。对于跨境电商、平台企业、金融科技企业、品牌出海企业和高频跨境交易企业而言,ISO 37003的价值不在于新增一套文件,而在于把域名与账号治理、身份验证、交易审查、内部举报、调查处置、持续改进等环节整合进统一框架,使“反欺诈”从单点措施升级为组织能力。
因此,应鼓励中国企业积极导入和实施ISO 37003。一方面,大型出海企业可将其与现有的合规、风控、内控和信息安全体系协同衔接,例如与ISO 37001反贿赂管理体系、ISO 37301合规管理体系以及风险管理实践形成联动,构建覆盖治理层、业务层和技术层的一体化反欺诈框架。另一方面,行业协会、贸促机构、园区平台和专业服务机构也可加强标准宣贯、培训、试点和案例推广,把ISO 37003纳入企业出海合规能力建设的重要内容,引导企业从“出了问题再补救”转向“事前识别、事中控制、事后改进”的全过程治理。
五、对中国企业“走出去”的四点启示
第一,要重写“出海安全”的定义。过去企业出海更重视地缘政治、汇率、税务和供应链风险;未来还必须把数字欺诈风险列入核心经营风险清单,因为它直接影响品牌声誉、客户信任和交易安全。
第二,企业不能只做被动合规者,还要做主动的信任治理者。域名管理、账号认证、邮件认证、品牌仿冒监测、渠道身份核验、异常支付识别,都应成为国际化经营的基础能力。ICC报告特别强调,许多诈骗利用的不是单纯的技术漏洞,而是“弱身份”和“假身份”。
第三,出海企业要形成跨行业联动思维。ICC总结的最佳实践表明,平台、银行、运营商、云服务商、监管机构和品牌方只有建立机制化合作,才能提高识别率和处置效率。报告特别强调跨行业情报共享、联合技术方案和政府参与的重要性。
第四,中国企业应尽快建立统一的全球反欺诈框架,而不是在不同国家“头痛医头”。ICC反复强调规则互操作、信息共享和统一分类的重要性,这本质上是在提示企业:谁先把多法域风险映射到一套内部治理体系中,谁就更能降低全球运营成本。
六、观察和思考:对中国企业“走出去”的建议
这份政策报告对中国企业最大的提醒是:未来企业国际化竞争,不只是产品竞争、渠道竞争和价格竞争,还将是信任竞争、治理竞争和风险控制竞争。
因此,建议中国企业重点做好五件事。第一,把反欺诈上升到董事会和高管层面,形成品牌、法务、技术、支付、客服和公共事务协同机制。第二,优先补强“身份层”能力,包括官方域名、账号、邮件和高风险交易的验证机制。第三,利用数据和人工智能把防线前移,从投诉处理转向实时识别。第四,在重点市场建立本地联动网络,确保出现问题后能快速下架、冻结、取证和沟通。第五,把用户教育嵌入品牌运营,清楚告诉海外消费者“官方不会怎么联系你、不会要求你做什么、如何核验真伪”。这些做法,与ICC提出的身份验证、人工智能检测、情报共享、快速处置和联合教育逻辑是一致的。
归根到底,ICC这份报告讨论的,不只是“怎么防诈骗”,而是在问一个更深层的问题:在一个诈骗高度工业化、跨国化、数字化的时代,企业还能不能持续让客户相信——你是真的、你的渠道是真的、你的交易也是真的。对中国企业来说,这已经不是附属安全议题,而是“走出去”能否走得稳、走得远的核心命题。与此同时,ISO 37003:2025也提供了一条更清晰的落地路径:谁能更早把反欺诈上升为管理体系、把风险控制嵌入组织治理,谁就更有可能把安全能力转化为国际化经营的长期竞争力。
【作者简介】姚歆,高级工程师、国际注册管理咨询师,毕业于法国巴黎第一大学企业管理硕士。现任中国贸促会商业行业委员会秘书长、国际标准化组织管理咨询技术委员会(ISO/TC 342)主席、国际标准化组织联络中心技术委员会(ISO/TC 351)秘书、亚洲营销联盟(AMF)主席(2024-2026)、RCEP工商咨询理事会中国委员会服务贸易行业联络办公室主任、中国—东盟商务理事会(CABC)服务贸易委员会主席、商务部管理咨询行业标准化技术委员会(SW/TC 1)主任委员、工业和信息化部科技服务业标准化技术委员会(MIIT/TC6)委员、瑞士国家标准机构(SNV)质量管理与质量保证全国委员会(INB/NK 140)委员、环境与可持续全国委员会(INB/NK 174)委员、运输、物流与邮政服务全国委员会(INB/NK 192)委员。
两次获得国际标准化组织(ISO)卓越奖获(2023年、2024年),五次获评《中国标准化》杂志标准化新闻人物(2019年、2021年、2022年、2023年、2024年)。曾荣获第九届中国管理科学学会管理科学奖(个人奖)、中国标准化协会2019年标准化助力奖(个人奖)、全国服务业科技创新人物(2025年)。曾任亚洲中小企业理事会(ACSB)主席(2020-2023)。
在电子商务、数字贸易、人力资源管理、校企合作、直播营销、共享经济、在线旅游、商务会展等领域牵头制定ISO国际标准20余项。从2023年至2025年,牵头推动中国成功申请ISO/TC 342(管理咨询)、ISO/TC 351(联络中心)、ISO/TC 352(数字营销)等3个国际标准化技术机构秘书处落户中国。