€1 Mỗi Lần: Hệ Thống Không Tuân Thủ Pháp Luật Tài Chính Được Xây Dựng Để Nhìn Thấy

Những khoản thanh toán này mua được gì

Mỗi lần chuyển tiền tương đương một euro. Đôi khi là hai. Chúng rời khỏi cùng một tài khoản theo trình tự liên tiếp nhanh chóng, trong suốt một tháng. Chúng đến với hàng chục người nhận khác nhau — những tài khoản không có bất kỳ mối quan hệ nhìn thấy nào; trong một số trường hợp là qua biên giới.

Những khoản thanh toán này đã được ghi nhận — trong các báo cáo quản lý của FATF, FinTRAC và AUSTRAC — là được sử dụng để mua quyền truy cập vào tài liệu lạm dụng tình dục trẻ em: các video, ảnh chụp và các phiên phát trực tiếp được người gửi chỉ đạo theo thời gian thực.

Đây không phải là giả định. Theo báo cáo năm 2024 của FATF về việc khai thác tình dục trẻ em trực tuyến, đây là kiểu thanh toán đã được ghi nhận cho một nhóm tội phạm tài chính cụ thể và đang ngày càng gia tăng — nhóm mà chủ yếu diễn ra qua mạng tiền di động và các nền tảng chuyển tiền, chứ không phải ngân hàng. FinTRAC đã cập nhật hướng dẫn vận hành vào năm 2025 để phản ánh mức tăng đo lường được của mẫu này. AUSTRAC đã đưa nó thành một hạng mục riêng để báo cáo các vấn đề đáng ngờ.

Cơ sở hạ tầng đã tồn tại. Các khoản thanh toán đang xảy ra. Điều phần lớn còn thiếu là năng lực phát hiện chúng một cách tự động, ở quy mô lớn, trong dữ liệu giao dịch mà các đơn vị vận hành đã nắm giữ.

Vấn đề không ai giải quyết

Hãy xét một tài khoản duy nhất được quan sát trong vài ngày. Nó đã gửi 396 giao dịch. Giá trị trung vị: €1.00. Tổng khối lượng đi ra: €485. Số dư tiền vào ngang hàng (peer-to-peer) của chính nó: bằng không — toàn bộ thanh khoản đến từ nhiều hoạt động nạp tiền mặt (cash-in).

Tài khoản này không phải là một bên thu gom. Nó là một bên phân phối. Nó nhận tiền từ bên ngoài mạng, rồi ngay lập tức phân tán chúng ra bên ngoài thành các khoản cực nhỏ cho một số lượng lớn người nhận riêng biệt.

Mẫu này — một nút trung tâm nạp tiền qua cash-in và lan tỏa thành hàng chục giao dịch chuyển giá trị thấp — chính là thứ chúng tôi gọi là Mẫu Chuyển Tiền Vi Mô Có Phối Hợp (CMTP). Nó có một cấu trúc mạng (topology) cụ thể, một dấu hiệu thời gian (temporal signature) cụ thể, và một tổ hợp các đặc trưng có thể đo lường cụ thể giúp phân biệt nó với hoạt động hợp pháp có khối lượng lớn.

Các hệ thống AML truyền thống không phát hiện được nó. Không phải vì dữ liệu không tồn tại — nó tồn tại. Mà vì các hệ thống này không được thiết kế để nhìn thấy cấu trúc. Chúng được thiết kế để nhìn các giao dịch.

Tội ác không nằm ở bản thân giao dịch. Nó nằm ở cấu trúc.

Vì sao các hệ thống hiện tại bị mù

Hạ tầng tuân thủ dựa trên quy tắc vận hành theo một logic đơn giản: đặt ngưỡng, giám sát khi có vi phạm, gắn cờ các lệch lạc so với các mẫu đã biết. Điều này được xây dựng cho một mô hình mối đe dọa khác — số tiền lớn, ít tài khoản, hướng đi rõ ràng.

Nó thất bại ở đây vì bốn lý do cụ thể.

Số tiền được thiết kế để nằm dưới ngưỡng. Một euro không phải là giao dịch đáng ngờ. Cũng không phải là hai euro. Hành vi sai phạm không nằm trong bất kỳ khoản thanh toán riêng lẻ nào. Nó nằm trong tổng hợp hành vi của hàng trăm giao dịch từ một tài khoản tới nhiều người nhận, trong một khung thời gian bị nén. Các quy tắc đánh giá theo từng dòng. Mẫu này tồn tại trong hình dạng của dữ liệu.

Phân tích giao dịch cá nhân bỏ sót topology. Một cán bộ tuân thủ xem một nhật ký sẽ thấy một danh sách. Dữ liệu tương tự, khi được biểu diễn như một đồ thị (graph), sẽ lộ ra một hình “ngôi sao” (star): một nút trung tâm với hàng chục cạnh đi ra (outbound edges), được cấp vốn bởi một hoạt động cash-in, gửi các khoản vi mô đồng nhất (uniform micro-amounts) theo trình tự liên tiếp nhanh chóng. Hình dạng đó lập tức là bất thường. Ở dạng bảng, nó là vô hình.

Các ảnh chụp tĩnh bỏ lỡ các chuyển tiếp hành vi. Các tài khoản liên quan đến mẫu này không hành xử nhất quán theo thời gian. Chúng thể hiện các điểm đổi cấu trúc thống kê (statistical changepoints) — những khoảnh khắc mà các thuộc tính của chuỗi thời gian giao dịch thay đổi đột ngột. Trước cash-in: gần như “ngủ yên”. Sau: hoạt động chuyển tiền đi ra tần suất cao trong vòng vài phút. Sự chuyển tiếp này là một dấu hiệu hành vi. Nó không xuất hiện trong bất kỳ báo cáo tuân thủ tĩnh nào.

Các mô hình tập trung vào danh tính bỏ sót các mẫu tập trung vào dòng chảy (flow). Câu hỏi “người này có vẻ đáng ngờ không?” kém mạnh hơn câu hỏi “cấu trúc này có vẻ đáng ngờ không?” Câu hỏi thứ hai khó lẩn tránh hơn, nhất quán hơn giữa các khu vực pháp lý, và có thể phát hiện mà không cần thông tin danh tính.

Hai cấu trúc, một tội ác

Dữ liệu cho thấy không chỉ một mẫu mà là hai cấu trúc bổ sung thường xuất hiện cùng nhau trong cùng một mạng giao dịch.

Nút phân phối. Người nắm giữ tài khoản thực hiện cash-in, rồi ngay lập tức tỏa ra (fan out) các chuyển vi mô tới nhiều người nhận. Đây là bên mua — hoặc bên trung gian hành động thay cho người mua.

Nút thu gom. Một tài khoản nhận các chuyển vi mô từ nhiều nguồn và tích lũy chúng mà không phân phối lại. Đây là hạ tầng người nhận — một tài khoản do một bên trung gian (facilitator) nắm giữ, thu các khoản thanh toán từ nhiều người mua trước một sự kiện cash-out đơn lẻ.

Cả hai cấu trúc đều là bất thường. Cả hai đều có thể phát hiện thông qua phân tích đồ thị. Cả hai đều xuất hiện trong kiểu hình (typology) đã được tài liệu hóa cho các giao dịch tài trợ lạm dụng và khai thác tình dục trẻ em. Một hệ thống phát hiện hiệu quả phải nhận diện cả hai — và biết khi chúng tồn tại gần nhau trong cùng một mạng giao dịch.

Chiều kích thời gian

Tài khoản được mô tả ở trên đã được quan sát trong khoảng một tháng. Hành vi của nó không phải lúc nào cũng giống nhau.

Tiền được nạp bởi người nắm giữ tài khoản trước khi phân phối lại. Điều xảy ra sau mỗi lần cash-in, trong vòng vài giờ, là một chuỗi (cascade) các chuyển vi mô đi ra. Thời gian trôi qua giữa cash-in và giao dịch chuyển đi ra đầu tiên được đo bằng phút. Số lượng giao dịch chuyển tiếp theo không phù hợp với bất kỳ mẫu chi tiêu cá nhân bình thường nào.

Để phát hiện điều này cần phân tích không phải tài khoản trông như thế nào tại một thời điểm, mà là cách và khi nào hành vi của nó thay đổi. Phát hiện điểm đổi cấu trúc (changepoint detection) áp dụng cho các luồng giao dịch tiền di động sẽ tự động lộ ra sự chuyển tiếp này, ở quy mô lớn, trên hàng triệu tài khoản — trả về đúng tập con kết hợp topology cấu trúc được mô tả ở trên với sự thay đổi hành vi nhìn thấy được trong chế độ xem theo thời gian (temporal view).

Những gì các đơn vị vận hành cần có

Các doanh nghiệp dịch vụ tiền tệ (money service businesses) chịu sự điều chỉnh bởi Khuyến nghị 16 của FATF, yêu cầu giám sát giao dịch tương xứng với các kiểu rủi ro đã được tài liệu hóa. Các chuyển tiền giá trị thấp tần suất cao có chữ ký CMTP nằm trong hướng dẫn cụ thể do FATF, FinTRAC và AUSTRAC ban hành liên quan đến việc tài trợ lạm dụng và khai thác tình dục trẻ em.

Việc đáp ứng nghĩa vụ này đòi hỏi năng lực trả lời năm câu hỏi về bất kỳ tài khoản nào trong mạng:

2. Tài khoản này có thể hiện hành vi xòe tỏa (fan-out) hoặc “hút gom” (sink behavior) không tương thích với hồ sơ tài khoản của nó không?

3. Việc phân bổ các khoản tiền của giao dịch có bất thường về mức độ đồng đều — hệ số Gini cao không?

4. Đã xảy ra một điểm đổi cấu trúc (changepoint) có ý nghĩa thống kê trong tốc độ giao dịch trong một khung thời gian xác định chưa?

5. Thời gian giữa các lần đến (inter-arrival time) có phù hợp với hành vi người độc lập hay với việc gửi có kịch bản và được phối hợp không?

6. Hàng xóm mạng (network neighborhood) của tài khoản có biểu hiện hoạt động được phối hợp không?

Đây không phải là những câu hỏi mà các hệ thống dựa trên quy tắc, như hiện đang được triển khai trong hầu hết hạ tầng tuân thủ của MSB, được thiết kế để trả lời. Chúng đòi hỏi phân tích cấu trúc dựa trên đồ thị, phát hiện điểm đổi cấu trúc theo thời gian, và lập hồ sơ hành vi đa đặc trưng — được áp dụng liên tục, ở quy mô lớn, trên toàn bộ đồ thị giao dịch.

Khoảng trống về hạ tầng

Những mẫu được mô tả trong bài viết này không phải là lý thuyết. Chúng hiện hữu — đã được ghi nhận, đo lường được, và phân biệt rõ về mặt cấu trúc — trong dữ liệu giao dịch tiền di động. Các phương pháp phân tích để phát hiện chúng đã tồn tại. Nghĩa vụ điều tiết phải hành động là không mơ hồ.

Điều còn thiếu là một khoảng trống về hạ tầng: khoảng cách giữa thứ mà các hệ thống tuân thủ được xây để tìm ra và thứ mà dữ liệu, khi được phân tích đúng cách, thực sự cho thấy.

Câu hỏi không phải là liệu các mẫu này có tồn tại trong mạng của bạn hôm nay hay không. Câu hỏi là liệu có ai đang nhìn vào chúng không.

Tài liệu tham khảo

• FATF — Detecting, Disrupting and Investigating Online Child Sexual Exploitation (2024)

• FinTRAC — Operational Alert: Indicators of Online Child Sexual Exploitation (2025)

• AUSTRAC — Financial Crime Guide: Child Sexual Exploitation Transactions (2024)

• University of Nottingham Rights Lab — Payment Methods and Investigation of Financial Transactions in OSEC Cases (2023)

• ACAMS — How Human Traffickers Exploit the Financial System for Child Sexual Abuse (2025)