香港强积金管理制度遭遇成立以来最严重的网络安全冲击。警方网络安全及科技罪案调查科本月17日成功捣破一个高度组织化的跨境诈骗及洗钱犯罪集团，该团伙利用技术精湛的伪造身份证与电子身份认证系统漏洞，在过去九个月间大规模入侵「积金易」平台，冒用市民身份非法开立账户并盗取强积金存款。截至案发，已有12名市民的个人信息遭盗用，其中3名受害人合共损失约180万港元强积金存款，而犯罪集团通过操控多个傀儡银行账户清洗的非法资金总额更高达7800万港元，暴露香港在数码金融转型过程中的系统性风险。

    警方于12月17日采取代号「雷霆2025」的收网行动，在港九新界多处地点同步搜查，拘捕5名年龄介于28至65岁的本地男子。落网人员包括犯罪集团首脑、两名负责策划执行的骨干成员，以及两名提供银行账户协助洗钱的傀儡户口持有人。据悉，该集团主脑具有丰富金融犯罪经验，两名骨干成员分别负责技术伪造与招募管理下线，三人分工明确，形成严密的犯罪链条。被捕5人涉嫌干犯串谋诈骗及洗钱罪，其中三名核心成员已被落案控告一项「串谋诈骗」罪，将于明日上午在观塘裁判法院首次提堂。另外两名傀儡账户持有人已获准保释候查，须于2026年1月中旬向警方报到，并冻结其名下所有涉案账户。

    警方调查显示，该犯罪集团运作呈现高度专业化与工业化特征，整个犯罪流程可划分为五个精密环节。第一环为情报搜集，不法分子透过暗网及其他非法渠道，批量收购曾在数据泄露事件中流出的市民个人信息，或购买遗失身份证的完整资料档案。第二环为证件伪造，集团聘请专业伪证技师，采用高端打印设备与特殊材料，制作保留受害者真实姓名、身份证号码、出生日期等核心数据，但将身份证照片替换为傀儡成员样貌的「混合型」伪造香港身份证，仿真度足以迷惑常规光学识别系统。

    第三环为账户入侵，傀儡成员持伪造证件通过「积金易」平台的电子客户身份验证程序（eKYC）进行远程开户。该程序依赖光学字符识别（OCR）、人脸识别及文件扫描技术，但未能有效辨识身份证芯片防伪特征，导致伪证成功通过认证。账户开立后，犯罪分子随即链接受害人的强积金账户，掌握完全控制权。第四环为资金转移，犯罪集团以「提前退休」或「永久离港」为由提交提款申请，将强积金存款转入早前以同样手法冒充受害人开立的傀儡银行账户。为避免追踪，赃款随即进行多层次跨行转账，分散至数十个二级、三级傀儡户口进行清洗。第五环为现金提取，经过复杂的资金流动掩饰后，集团成员最终在银行分行柜台或自动提款机提取现金，完成犯罪闭环。

    警方科技罪案组总督察李俊岷透露，犯罪集团在2025年3月至11月期间，曾试图为12名香港身份证持有人开设「积金易」账户，其中3宗成功盗取存款，其余9宗或因强积金账户余额较低、或因提款验证环节触警而未能得手。令人震惊的是，单单在2025年10月至11月短短两个月内，集团操控的傀儡户口网络已清洗高达7800万港元的非法所得，资金来源不仅包括强积金诈骗，亦涉及其他网络诈骗、非法赌博等犯罪活动。这些傀儡户口由集团以每月数千元报酬招募的边缘人士开立，部分账户持有人甚至不清楚自身行为已触犯严重罪行。

    面对重大安全危机，积金易平台有限公司立即启动应急响应机制。公司总经理郭礼辉在昨日召开的联合记者会上表示，公司在获悉诈骗事件后已即时向警方报案并全力配合调查，同时迅速暂停所有新用户通过eKYC电子认证方式注册账户的功能，进行全面风险评估。现有用户仍可继续使用接驳入境处数据库的「智方便」系统进行身份验证开户。郭礼辉强调，案件源于犯罪集团利用高超伪造技术实施诈骗，而非「积金易」平台系统被入侵或资料外泄，平台所有敏感数据均经多重加密保护，符合政府资讯安全政策及国际标准。

    为弥补安全漏洞，积金易已实施多项强化措施。首先，公司正积极研究取代eKYC的其他身份认证方案，短期内将公布详细安排。其次，针对提取强积金申请，平台已大幅提高验证门槛，大额提款必须通过「智方便」进行额外身份确认，或要求用户亲临服务中心办理。第三，积金易已对过往所有通过eKYC注册的账户进行回溯审查，主动联系受影响用户，并在核实情况后全数复原其基金单位结余。郭礼辉表示，截至今日中午，除警方公布的3名受害人外，未发现其他用户账户出现异常，公司已设立专线1832622供市民查询及举报。

    香港资讯科技商会荣誉会长方保侨分析指出，此次事件揭露香港金融界普遍采用的eKYC电子认证存在根本性缺陷。现行系统主要通过光学扫描验证身份证文字信息与人脸比对，但缺乏识别智能身份证多重防伪特征的能力，例如身份证上的微型文字、彩虹印刷、触觉浮雕及芯片数据等。伪证集团正是抓住这一弱点，制作外表高度相似但芯片数据缺失或错误的伪造证件，成功穿透认证防线。更严重的问题是，商业机构包括银行及金融平台，在开户时并不会拍摄或留存客户的容貌照片建立档案，导致无法进行二次比对核实。当傀儡成员持伪证开户时，系统只能比对证件照片与现场人脸，无法辨识证件真伪，也无法确认开户者是否为证件真正持有人。方保侨形容，「换相」做法已完全穿透eKYC的防护机制。相比之下，「智方便」系统直接接驳入境处中央数据库，可实时比对申请人容貌与身份证签发时的原始照片，准确率高达99%以上。处理大额转账等高风险交易时，系统更要求用户启用手机NFC功能触碰身份证芯片，读取加密数据验证真伪，实现「人证合一」的双重保障。方保侨建议，所有金融平台应全面转用「智方便」作为标准认证工具，市民亦应主动采用该系统开立「积金易」账户并定期检查强积金动向。

    警方在行动中检获的伪证样本显示，新一代伪造香港智能身份证技术已臻化境，不仅外观几可乱真，更能通过部分光学验证程序。科技罪案组警司张巧仪指出，伪证完全复制了受害者真实个人资料，唯独照片替换为傀儡成员，这种「半真半假」的伪造方式大幅降低了系统警觉性。然而，由于身份证内置的两组芯片中，一组仅入境处可读取，另一组需向政府数字政策办公室申请授权，犯罪集团无法获取芯片内的加密生物特征数据，这正是「智方便」NFC验证能够识破伪证的关键。方保侨进一步解释，即使银行应用程式加入NFC芯片读取功能，若无政府授权亦无法访问核心数据，因此单纯的技术升级无法解决问题，必须依赖官方认证渠道。他呼吁尚未开立「积金易」账户的打工一族尽快使用「智方便」完成注册，并定期查看强积金结余及交易记录，防范于未然。

    积金易平台发言人强调，事件发生后，公司已联同财经事务及库务局、警务处、数字政策办公室、积金局以及金管局、证监会等相关金融监管机构成立专责小组，全面检讨全港金融业的身份认证及防伪措施，预计将在短期内推出更严格的行业标准。发言人重申，资讯安全是积金易平台最重要的基石，公司已实施多层级保安架构，所有重要资料包括个人身份信息、交易记录及基金数据均经多重加密处理，并定期接受第三方安全审计。

    警方在记者会上严正警告，串谋诈骗及洗黑钱均属严重刑事罪行，一经定罪最高可判处14年监禁。根据香港法例第455章《有组织及严重罪行条例》，任何人士若明知或有合理理由相信某项财产代表犯罪得益，仍处理该财产即属洗钱，刑罚同样最高14年。警方呼吁市民切勿为贪图小利出租或出售个人银行账户，亦不应在不明来历的网络平台泄露身份证、住址证明等敏感资料。

    此次诈骗案对香港正在推行的「金融科技2025」策略造成重大打击，特别对依赖远程开户的虚拟银行及网上保险公司带来深远影响。市场担忧监管机构将收紧电子开户政策，增加合规成本并降低用户体验。有金融科技业界人士私下表示，事件凸显现行eKYC技术已落后于犯罪手段，业界有必要投资更先进的生物识别及区块链验证技术，但这将大幅增加初创企业的运营负担。

  对于普通市民而言，保护个人资料成为当务之急。警方建议：第一，妥善保管身份证，遗失后应立即报警及向入境处报失，并密切留意个人信贷报告；第二，定期检查所有金融账户包括强积金、银行账户及投资户口的交易记录，发现异常即时联络机构；第三，优先使用「智方便」等政府认证系统进行重要金融交易；第四，切勿点击来历不明的超链接或附件，防范钓鱼网站窃取个人资料；第五，如接获可疑电话或讯息声称涉及强积金账户问题，应主动向积金局或相关金融机构核实。

    积金易平台已承诺，将在未来三个月内完成所有安全强化措施，并会主动向全港超过400万强积金计划成员发送安全提示。财经事务及库务局局长发言人表示，政府高度关注事件，已要求所有强积金受托人立即检视自身的客户身份验证流程，确保符合最新安全标准。今次案件无疑为香港数码金融发展敲响警钟，在便利与安全之间如何取得平衡，将成为监管机构与业界未来必须共同面对的严峻课题。