銀行依法必須打電話確認你的身份。詐騙集團也最愛假冒銀行打電話給你。問題是:電話響起的那一刻,你根本分不出來是誰。
你的手機響了,來電顯示是一組你不認識的號碼。對方說:「您好,這裡是○○銀行,我們依照洗錢防制法規定,需要對您的帳戶進行定期審查,想跟您確認一些基本資料⋯⋯」
然後他開始問你:現在的職業?任職的公司?年收入大概多少?帳戶主要的用途?
這是合法的。金管會規定,所有金融機構都必須執行 KYC(Know Your Customer,認識你的客戶)。銀行對久未交易的帳戶、交易模式異常的帳戶,都必須定期重新審查——不做會被罰。有些銀行會寄掛號信請你到分行,有些會直接打電話來。
你的手機響了,來電顯示是一組你不認識的號碼。對方說:「您好,這裡是○○銀行安全中心,我們偵測到您的帳戶有異常交易,需要立即確認您的身份資料⋯⋯」
然後他也開始問你:現在的職業?帳戶用途?最近有沒有大額交易?
這兩通電話開頭聽起來幾乎一模一樣。
這是一個幾乎沒有人公開討論的結構性矛盾:
第一層問題:相同的流程,無法區分的體驗。
銀行的 KYC 電話和詐騙集團的冒充電話,使用的是同一套問答框架——自報銀行名稱、說明法規依據、詢問個人資料。當銀行長年透過電話執行 KYC,民眾逐漸習慣了「接到銀行電話就配合回答」這個行為模式。心理學上這叫做框架效應(Framing Effect):當一個行為被包裝成「正常的流程」,人的警覺心會大幅下降。
第二層問題:銀行的 KYC 電話,反而在幫詐騙集團「暖場」。
這才是最危險的地方。每一次你接到銀行真正的 KYC 電話並順利配合,你的大腦就強化了一次「銀行打來問資料 → 我應該配合」的神經迴路。詐騙集團不需要發明新話術——他們只需要複製銀行已經幫他們建立好的流程,就能讓你毫無戒心地交出資訊。
換句話說,銀行每做一次電話 KYC,就等於替下一通詐騙電話鋪了一層信任基礎。民眾不是因為「太笨」才分不出來,而是因為兩者在體驗上根本沒有差異。
第三層問題:即使是真銀行打來,你連查驗都沒辦法。
很多銀行的 KYC 電話是透過節費電話系統或內部分機號碼撥出的。來電顯示可能是一串你完全不認識的號碼,沒有標示分行名稱,沒有標示單位,甚至回撥過去是空號或語音總機迷宮。
這意味著,即使你想要驗證「這通電話是不是真的銀行打來的」,你也無從查起。你不知道是哪個分行打的、哪個部門打的、承辦人的工號有沒有辦法核實。銀行告訴你「請回撥客服專線確認」,但客服專線的人員不一定能查到是誰剛才打給你——因為 KYC 外撥可能是由不同分行、不同後台單位各自執行的。
結果就是:你既無法在接聽當下辨別真偽,也無法在掛斷之後回溯驗證。
雖然流程相似,但內容還是有一條明確的紅線:
⚠️ 一旦對方開始索取密碼、驗證碼,或要求你執行任何交易操作——不管他說得多像銀行,100% 是詐騙。
但問題是,高段的詐騙集團不會一開始就問這些。他們會先用標準的 KYC 問題建立信任(職業、帳戶用途),等你放下戒心之後,才「順便」帶入敏感問題。而這時候你的大腦已經進入「配合模式」,很可能不假思索就回答了。
很多人對 KYC 有一個根本性的誤解,以為 KYC 就是「銀行問你問題,你回答」。
不對。正規的 KYC 流程應該是這樣的:銀行已經持有你的個資(開戶時你就提供過了),他們打來是「核對」,不是「蒐集」。
也就是說,銀行應該先報出他們手上的資料——「我們這邊的紀錄顯示您的通訊地址是○○路○○號,請問是否正確?」——然後你只需要回答「對」或「不對,我已經搬家了」。
個資的交代方向應該是銀行 → 客戶,而不是客戶 → 銀行。 你需要主動告知的,只有銀行無法預先掌握的異動資訊——例如你換了工作、收入來源有變化、帳戶用途改變了。這些是 KYC 審查中「更新」的部分,需要你補充。
此外,銀行在進行 KYC 時,有義務確認他們正在跟客戶本人對話,而不是你的配偶、家人、或任何第三人。你的帳戶資訊屬於你的個人隱私,即使是最親近的家人也不應該代替你接聽 KYC 電話並回答問題。如果銀行沒有驗證通話對象是本人就開始核對個資,這本身就是銀行的作業疏失——因為他們可能正在把你的個資洩漏給不相關的人。
所以,如果一通自稱銀行的電話打來,劈頭就問你「請問您的身分證字號是?」「請報出您的地址」——這不是正規的 KYC 流程,這是在蒐集你的個資。 正規的做法是銀行先報出來讓你確認,而不是要你從頭提供。
這個問題不是詐騙集團做的——是某些金融機構自己做的。
部分銀行或保險公司會指示理專以「KYC 定期審查」或「您的定存即將到期需要處理」為名義打電話給客戶,但電話接通後,實際的目的卻是推銷理財商品、基金或保單。
他們的話術通常是這樣的:「○○小姐您好,我是○○銀行的理專,依照法規我們需要跟您做一下帳戶的定期審查⋯⋯(幾個簡單問題之後)⋯⋯對了,我看到您帳上有一筆定存下個月到期,最近有一個報酬率比定存好的方案,要不要我幫您介紹一下?」
KYC 的問題只是敲門磚。真正的目的是後面那句「要不要介紹一下」。
關鍵在於:你有沒有簽署行銷同意書。 依照《個人資料保護法》和金管會規範,金融機構要對客戶進行商品行銷,必須事先取得客戶的行銷同意。如果你在開戶時沒有勾選「同意接受行銷資訊」,銀行理論上不能主動打電話推銷。
在實務上,民營銀行對行銷同意書的管控相對嚴格——因為民營銀行更在意客訴率和主管機關的裁罰,違規成本明確。但公股銀行的狀況就比較複雜了。
部分公股銀行的經理人為了追求個人業績指標的達成,會採取一種迂迴策略:經常利用「同心集思會」等內部會議要求行員,以金管會或央行規定為名義,告知客戶不得承做大額定期儲蓄存款、不能存長天期(例如超過一年)的定存、不能拆單(例如超過 500 萬不能拆成多筆小金額)——實際上這些「規定」並不存在或被刻意曲解,真正的目的是不讓定儲把資金「鎖住」,好讓理專有機會接觸這筆錢。等客戶的定存到期或只做了短天期之後,再安排理專藉故打電話,以「定存到期通知」或「帳戶審查」為名義聯繫客戶,實際上是引導客戶把定存轉為購買理財商品。
這種做法的問題在於:它不是直接違規推銷,而是透過流程設計製造「客戶主動詢問」的假象。表面上是客戶的定存到期、銀行通知你來處理,但背後的劇本從你存錢那天就寫好了。
這種做法的問題在於:
第一,它混淆了致電的主旨。 客戶以為這通電話是法定義務的 KYC 審查或定存到期通知,因此配合回答——但他不知道自己同時被當成了銷售對象。這不是客戶「自願」聽取商品介紹,而是在 KYC 的名義下被引導進入銷售情境。
第二,它進一步破壞了 KYC 電話的可信度。 當客戶發現所謂的「KYC 電話」其實是推銷電話之後,他對下一通真正的 KYC 電話會更加不信任——「上次說是 KYC 結果是要賣我東西,這次大概也一樣吧」——然後直接掛掉。這讓真正需要執行的 KYC 審查更難完成,銀行的合規工作也因此受阻。
第三,它讓詐騙集團的冒充更容易成功。 當客戶已經習慣了「銀行打來的電話都會順便推銷」,詐騙集團只需要在假冒的 KYC 電話裡也「順便」推薦一個「投資方案」,客戶反而覺得「嗯,銀行都這樣」——完全不會起疑。
如果你接到的 KYC 電話在審查結束後開始推銷商品,你可以直接說:「謝謝,KYC 的部分我已經配合完成了,商品介紹我不需要。」 你沒有義務在 KYC 電話中聽取任何商品說明。如果對方堅持,你可以向銀行客訴,也可以向金管會反映這種混淆 KYC 與銷售的行為。
先說清楚:依照《洗錢防制法》規定,你有義務配合銀行的 KYC 審查。 如果拒絕配合,銀行有權限制你的帳戶功能,甚至關閉帳戶。這不是銀行在刁難你——這是國際反洗錢規範的要求,全球所有合規金融機構都必須執行。
但「配合」不等於「必須在電話中配合」。你完全有權選擇一個你能確認對方身份的方式來完成 KYC。以下三個方法,都是合法、合規、銀行應該配合的:
這是最安全的方式。你帶著雙證件走進你帳戶所屬的分行,在櫃檯完成 KYC 作業。面對面的環境下,你能確認對方是銀行行員、確認你在真正的銀行裡、確認你提供的資料不會被第三方截取。
如果銀行打電話來說要做 KYC,你可以直接回覆:「我了解,我會找時間到分行辦理。」 這是你的權利。
臨櫃的缺點是需要跑一趟銀行,但它提供的是電話無法比擬的安全性——你能親眼看到你在跟誰對話。
你可以要求銀行把 KYC 的確認表格以掛號信方式寄到你的通訊地址,並附上回郵信封讓你填完寄回。
這個方式的安全性在於:掛號信有收件紀錄、寄件單位是銀行的官方地址、你可以慢慢核對內容不會被話術壓迫。你不需要在電話中被時間壓力驅動,可以在自己舒適的環境下,確認每一個問題的合理性後再填答。
如果銀行說「沒辦法寄」或「太慢了必須現在處理」——這本身就是一個警訊。正規的 KYC 審查有合理的作業期限,不會要求你在電話中「立即」完成。
金管會在 2023 年發布的《金融服務業辦理數位身分驗證指引》已經明確鼓勵金融業者採用 eKYC(電子化 KYC)。越來越多銀行提供了透過官方 APP 或網銀系統完成 KYC 更新的功能。
你可以在電話中直接問:「請問我可以透過你們的 APP 或網銀來完成這個審查嗎?請告訴我操作路徑。」
eKYC 的優勢是:你是在銀行的官方 APP 或官方網站上操作,不是在一通來路不明的電話裡回答問題。你能確認自己登入的是真正的銀行系統。而且整個過程有數位紀錄,比電話口頭確認更有證據力。
如果銀行目前還沒有 eKYC 功能——那這也是銀行應該盡快建置的。因為在這個詐騙猖獗的時代,繼續用電話做 KYC,等於把民眾推進一個他們無法分辨真偽的灰色地帶。
當你接到一通自稱銀行的電話,但來電號碼是你不認識的節費電話、內部分機、或任何你無法確認的號碼時,你應該這樣做:
禮貌但堅定地說:「謝謝通知,但我無法確認這通電話的來源,我會自己撥打貴行客服專線處理。」然後掛掉。
接著,用你自己查到的銀行客服電話(信用卡背面、銀行 APP、官方網站)回撥,詢問:「請問你們最近有沒有需要對我的帳戶做 KYC 審查?」
如果客服確認有 → 請他們安排你方便的方式完成(臨櫃、書面或 eKYC)。
如果客服說沒有 → 你剛才接到的就是詐騙電話。
同時,你可以順便跟客服反映:「你們的外撥電話號碼無法辨識,我建議貴行改用可辨識的號碼或事先透過 APP 通知,否則客戶根本無法分辨你們和詐騙集團。」 當越來越多客戶反映這個問題,銀行才會有壓力改善外撥流程。
現在的 KYC 流程是單向的——銀行驗證你是誰,但你沒有辦法驗證打來的人是不是銀行。這不合理。
對你比較有保障的做法是:銀行在撥打 KYC 電話的同時,在官方 APP 中同步推播一則通知,顯示「您目前正在與本行○○分行進行通話」。 客戶只要打開 APP 確認有沒有這則通知,就能即時驗證,但多數銀行目前沒有提供這方面的機制。
這不是什麼高科技——它的技術門檻極低,銀行現有的 APP 架構就能做到。關鍵只在於銀行願不願意把「客戶驗證銀行」這件事放進流程設計裡。
如果你的銀行拒絕提供 eKYC 線上路徑、拒絕書面作業方式、繼續用無法辨識的電話號碼外撥、也不願意建立任何雙向驗證機制——而你認為這樣的做法讓你的個資暴露在風險中——你有權向金管會提出建議或申訴。
金管會是所有金融機構的主管機關,負責制定和監督 KYC 相關法規。當客戶的合理需求(用安全的方式完成 KYC)被銀行忽視時,向主管機關反映是推動改變最有效的管道。
金管會金融消費者服務專線:1998(按2轉接金管會)
金管會銀行局民眾陳情信箱:可透過金管會官網線上填寫
這是很多人心裡的疑問:「既然電話分不出真假,我全部不接不就好了?」
不行。《洗錢防制法》明確規定,客戶有義務配合金融機構的客戶審查。如果你持續不配合,銀行依法可以採取以下措施:
所以「完全不理」不是選項。你必須配合——但你有權選擇用你能確認對方身份的方式來配合。這就是前面說的臨櫃、書面、eKYC、回撥確認、雙向驗證這些方法。
不管你用的是 Android 還是 iPhone,手機上都應該安裝一個來電辨識 APP。這類工具能在電話響起的當下顯示來電者的身份標記——是銀行、是推銷、還是已經被其他用戶回報的詐騙號碼。
這不能 100% 杜絕風險,但它能幫你在接聽前多一層判斷:如果來電辨識顯示「○○銀行」的標記,至少比一組完全不認識的號碼多了一個參考依據。反過來說,如果一個自稱銀行的號碼被標記為「疑似詐騙」,你就知道該直接掛掉了。
目前市面上有多款免費的來電辨識工具可以選擇,挑一個評價好的安裝即可。重點是記得定期更新號碼資料庫——詐騙集團的號碼每天都在變,如果你的資料庫是三個月前的版本,新的詐騙號碼就會漏網。大部分來電辨識 APP 都有自動更新功能,安裝後確認它有開啟。
如果你回想起來,發現自己在一通不確定的電話中提供了超出 KYC 範圍的資訊(例如密碼、驗證碼、卡號):
1. 立刻更改網銀密碼——透過官方 APP 或自己在瀏覽器輸入官網網址操作
2. 打銀行客服確認帳戶狀態——確認有沒有異常交易或設定變更
3. 撥打 165 反詐騙專線通報
4. 開啟帳戶交易即時通知——任何交易你都會收到推播
銀行的 KYC 是合法的、必要的、你應該配合的。但你有權選擇配合的方式。
在一個連銀行電話都會被仿冒、連來電號碼都可以被竄改、連節費電話號碼都無法回查的時代,要求民眾「靠直覺判斷這通電話是不是真的」是不合理的。
保護個資最有效的方式不是學會分辨——而是從一開始就不要在無法驗證身份的管道上提供個資。
臨櫃、書面、eKYC。選一個你能確認對方身份的方式,安心地完成你的義務。
*本文參考資訊:金管會《金融服務業辦理數位身分驗證指引》(2023)、金管會《金融業運用人工智慧指引》(2024)、金管會《金融資安行動方案 2.0》、《洗錢防制法》相關規定、165 全民防騙網。*
收到一封可疑的 Email 或簡訊裡有奇怪的連結? 在你點擊之前,用 TrustInt 查一下那個網域的信任度。免費、不需註冊、不收集你的個資。前往 trustint.org →
覺得這篇有用?分享給需要的人 👇