Fintech雙周報第269期：AI工程師進駐瑞穗證券，紐約和倫敦證交所用區塊鏈打造全天候交易平台，臺灣金管會2026有多項資安監理新規定

#密碼禁用身分證號 #年底全面汰換
新加坡個資委員會要求企業不能用身分證號當密碼，新加坡銀行公會宣布未來幾個月將全面汰換身分證號碼驗證做法

許多金融機構提供給用戶的帳單、保單檔案，大多用身分證號碼作為打開檔案的密碼，新加坡個人資料保護委員會在今年2月2日宣布，要求企業在年底前停止使用完整的身分證號碼作為驗證顧客身份的方式，來減少個人的資料未經授權的存取。新加坡銀行公會（ABS）表示，多數銀行在非交易性的業務，已經不再使用身分證號碼來驗證，尤其是電子郵件附件的開啟密碼，已經不會使用身分證號。目前仍使用身分證號碼驗證的場景，未來幾個月，會改用其他替代驗證方式。

#AI軟體工程師 #證券IT長期缺人
IT長期缺人，日本瑞穗證券決定改採用AI工程師Devin緩解，4月報到

瑞穗金融集團積極運用GenAI來提高營運效率和生產力，已經宣布未來3年要投入1千億日圓投資AI。瑞穗證券IT也因此致力於AI輔助開發。今年初1月底時，瑞穗證券宣布，今年4月開始正式導入AI軟體工程師Devin，希望從根本來改革整套系統開發的流程，緩解工程師長期缺人，無法快速回應業務需求的問題。Cognition AI新創打造的AI軟體工程師Devin服務，可以操作必要的工作，自動執行開發、設計、測試和部署等任務，瑞穗證券看好已有多家國外銀行如高盛採用，所以，也決定跟進。瑞穗證券去年9月開始試用，在SI公司協助下，經過3個月測試確定可行性後，實測也可以在符合瑞穗證券嚴格的安全標準下，有效建立專用環境等工作。瑞穗證券決定正式導入。目前正在上線準備中，預計今年四月正式上線。

#美股24小時交易關鍵 #區塊鏈中介交易
瞄準美股24小時交易，紐約證交所打造區塊鏈證券交易平臺

紐約證交所在1月下旬時宣布，已經打造了一款全鏈結算（On-chain Settlement）的區塊鏈交易平臺，可以提供美股與ETF的代幣化交易，24小時全年無休，提供零股交易，用美元下單，也可用穩定幣作為資金來源。目前，正在等待美國主管機關的核准。

全鏈結算指所有的交易和資金交割，都可以在區塊鏈上自動完成，不用透過傳統結算機構，可以大幅提高交易效率和透明度。技術架構上，這個平臺結合了紐約證券交易所既有的Pillar撮合引擎與區塊鏈技術的交易後系統，可支援多條區塊鏈進行交割與託管。若獲得主管機關批准後，這個平臺可以用來交易具有傳統證券價值的代幣股份，ˇ也可以交易原生數位證券的代幣股份，持有代幣股份者能享有股利和公司治理等股東權益。

#現金與數位資產交易 #24小時結算
倫敦證交所推出新的數位結算中心，讓銀行全天候能用現金來交易數位資產

倫敦證券交易所（LSEG）在1月中宣布推出了一項新的數位結算服務，也就是數位結算中心平臺LSEG DiSH，可以讓銀行全天候用現金來交易數位資產和證券，涵蓋鏈上和鏈下環境的交易。這個平臺可以支援付款對付款（PVP）和付款對交割（DVP）交易方式，可以做到一天內的資金流動性和動態管理，也能實現全天候24小時的結算。透過DiSH，銀行可在傳統金融與數位資產網路間協調資金與資產結算，並可選擇直接在DiSH帳本完成交割，或由DiSH擔任公證角色，協助其他網路完成結算。

LSEG在宣布時強調，這項新服務可以釋放既有資產的流動性，支援現金、證券與數位資產的即時運用，透過縮短結算時間與同步交割機制，有助於降低結算風險。DiSH將歸到倫敦證交所清算服務之一，採用既有規範與帳戶架構，可以支援多家商業銀行與多幣別環境。

#全球支付場景驗證 #PQC遷移可以用
國際清算銀行發表全球性金融場景PQC遷移驗證結果，歐盟多國央行成功驗證PQC遷移

去年底，國際清算銀行發表了份支付系統的後量子驗證報告，也就是飛越計畫（ Project Leap）結果，一方面驗證了後量子電腦將會破壞現有的公開金鑰加密，對銀行、支付和區塊鏈將帶來實際影響。國際清算銀行和多國央行，包括法國、德國、義大利央行已經在支付系統，像是歐盟央行清算系統TARGET2成功驗證後量子密碼遷移的可行性。這些歐元體系央行，在央行流動性轉移的過程中，測試改用抗量子的數位簽章，來取代傳統的RSA數位簽章。驗證結果發現，流動性轉移可以改用抗量子數位簽章來執行，雖然，後量子密碼技術的速度較慢，但還在關鍵金融基礎設施的容許範圍內，也有可以最佳化的做法。

#日本最大銀行AI案例 #AI加速貸款作業
日本最大MUFG銀行導入AI工作流程，要優化企業貸款期中管理的效率

日本三菱日聯（MUFG）銀行最近宣布在SPD部門導入了LayerX的AI勞動力平臺，來提高銀行貸款作業流程的效率。這個部門負責提供企業複雜的投資組合解決方案，包括銀行貸款、房地融資、併購融資和證券化服務，因為各項服務結構負責，過去依靠大量人工作業。MUFG銀行新導入的AI勞動力平臺，可以因應不同格式的合約來擷取關鍵資訊，像是從貸款協議中找出關鍵數據，整合成可管理的格式，並且自動和原始合約中的特定條款，進行交叉比對，在合約期中管理上，提高中後臺團隊移交資料的速度和準確性。另外，AI平臺也可以從房地產估價報告找出上百個數據點，來進行信用評等作業，減少了50%的評估時間。MUFG已經在5個試點小組導入，準備擴大導入到整個部門的其他小組。目前正在探索如何用AI起草合約和進行文件審查，希望未來能實現端到端的業務流程轉型。

#臺灣新資安監理 #2026上路
金管會2026三大資安監理新要求，明定資安長、零信任架構和SBOM必備

從2026年開始，金管會將增加三項資安監理要求，第一項是要求金融機構得明定出資安長的職責，包括在資安治理、風險管理、事件應對上的具體職責，資安長也得簽署一份保證資安業務合規的聲明書。每一年，資安長也必須到董事會報告前一年資安執行情況，報告內容包括了資安計畫執行及變更情況，重大資安事件與改善措施、現行資安風險評估情形和控制措施的有效性、資安預算的運用與資源配置。
另外，過去以鼓勵為主的零信任架構成必備，現在也成了金融業必須導入的重點，金管會要求優先導入六大高風險場域，包括遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商管理、跨機構協作。 
軟體供應鏈透明化也是今年開始加強要求的項目，尤其是要導入SBOM機制，金管會目前沒有揭露必須完成建置的時間表，只是先列入四年資安監理計畫的必備項目之一。另外也將在新版的委外契約範本中，要求廠商交付的軟體必須提供SBOM。

#API安全基準 #銀行內外API都管
以開放銀行OpenAPI為基礎，2026年要訂定銀行內外通用的API安全基準

金管會原本就責成銀行公會制定了一套開放銀行Open API規範，用來規範特定項目的開放金融API。金管會預定進一步擴大這份Open API規範，訂定更完整而且涵蓋了與對外合作夥伴串接用的Partner API以及對內的Internal API的安全基準，以存取資料的機敏程度和對象來分類和分級。金管會預計在2026年要訂出這份API安全基準，有可能成為臺灣IT業界，自願遵循的API安全通則。另外也將同步訂出容器服務的雲端資安監控基準規範。

#金融委外新變革 ＃資安責任分級
金融委外辦法今年將有大修改，將依資安責任分級管理IT供應商

過去幾年，金管會透過金融委外辦法的上雲鬆綁，帶動了臺灣金融產業的上雲潮。2026年，金管會已經預告將再次修改金融委外規定，這次要針對銀行與第三方供應商的委外契約，訂出參考範本，不是採取一體適用的契約，而將針對金融產業特性、供應商所接觸的系統類別、資料敏感度等面向來提供不同資安責任等級的參考委外契約。預計涵蓋資安服務水準會議(SLA)、資料保護責任、對於資安事件之通報時限及資安風險揭露等，另外也會要求供應商必須提供軟體產品的軟體物料清單（SBOM），違反的業者將有罰則。預計一年內完成。

#金融AI資安防護指引
先等數發部訂出AI風險分類框架，金管會年底前再發布金融AI系統安全防護與檢測指引

金管會兩年前已經發布了「金融業運用AI指引、銀行公會也發表了「金融機構運用人工智慧技術作業規範」，並在2025年修正，加入風險基礎方法的管理措施。金管會計畫在2026年進一步訂出「AI系統安全防護及檢測參考指引」，參考國際組織OWASP 的生成式AI 安全性專案、AI進階威脅框架MITRE ATLAS 等國際AI資安框架的安全設計及檢測機制，從系統設計到服務來提供等AI生命週期的治理機制。不過，金融市場發展及創新處處長林義聖表示，AI基本法後，數發部負責訂出AI風險分類框架，金管會將等到這個框架出爐後，再來訂定這份與AI相關的金融安全指引。

#PQC遷移參考指引
金管會計畫2026年上半先公布金融業PQC遷移參考指引

早在去年7月，金管會就找來幾家金融機構，發起PQC遷移先導計畫，目前正在持續建立密碼學技術清單，作為金融機構盤點所用加密技術之用，包括網路會議、硬體設備及軟體套件的加密等，方便金融機構從多面向來評估安全等級和可能的業務風險。金管會也計畫開始培訓技術人力、調查主要供應商、提升加密敏捷性和訂定系統汰換採購策略等，最快今年上半年就會公布PQC遷移參考指引，再依量子電腦和PQC發展成熟度，來安排遷移作業。

更多新聞：

• 日圓穩定幣發行公司JPYC和LINE NEXT簽署備忘錄，要將日圓穩定幣JPYC整合到LINE計畫推出的全新數位錢包。

責任編輯：王宏仁