银行卡网络盗刷风险及防范对策
近年来银行卡网络盗刷案件呈现明显的逐年增长态势,该类案件区别于传统的伪卡盗刷案件,由于犯罪分子作案手段多样,法律规定比较模糊,法律适用不一,法官自由裁量权比较大等原因,实践中争议颇多,成为近年来商业银行被诉风险的关注重点。
来源:银通智略
近年来银行卡网络盗刷案件呈现明显的逐年增长态势,该类案件区别于传统的伪卡盗刷案件,由于犯罪分子作案手段多样,法律规定比较模糊,法律适用不一,法官自由裁量权比较大等原因,实践中争议颇多,成为近年来商业银行被诉风险的关注重点。
一、银行卡网络盗刷案件情况
随着网络消费的高速发展,网络支付方式因其快捷、高效、实时、低成本等特点,越来越成为一种普遍的支付方式。但是,网络支付方式如同一把双刃剑,它在给人们带来便捷的同时,也给一些不法分子进行违法犯罪活动带来可乘之机。由北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的中国第一个网络诈骗全民举报平台——猎网平台的追踪研究显示,网络诈骗目前已形成一条完整的、分工明确的地下黑产链,可划分多达15个工种。据平台统计,2016年和2017年上半年,该平台分别接到全国网民举报网络诈骗案件20623起和10882起,涉案金额高达19500万元和12668.5万元,人均损失分别为9471元和11641.7元。
大量网络诈骗案件的发生,一方面给持卡人的合法财产权益造成严重损害,另一方面商业银行也面临网络盗刷案件引发的大量被诉法律风险和声誉风险。从银行法律实际工作来看,近年来银行卡网络盗刷案件呈现明显的逐年增长态势,该类案件区别于传统的伪卡盗刷案件,由于犯罪分子作案手段多样,法律规定比较模糊,法律适用不一,法官自由裁量权比较大等原因,实践中争议颇多,成为近年来商业银行被诉风险的关注重点。
我国在20世纪80年代末期,建立了以汇票、本票、支票以及银行卡“三票一卡”为主体的结算制度。随着经济与社会的飞速发展,金融机构的支付业务经历了现金支付、刷卡支付、网络支付、移动支付时代几个发展阶段,实现了从传统支付方式向现代支付方式的转变。在这样的大背景下,一些非金融机构,特别是互联网企业,利用网络信息等技术优势,开始进入支付领域。1999年,以“首信易支付”开业为标志,第三方支付机构开始市场化营运。期间,市场上包括银联、上海环讯和网银在线等10家左右的第三方支付机构处于自由发展阶段。随后,各类企业开始纷纷进入支付市场,支付宝、快钱、财付通、云网、汇付天下等50余家第三方支付企业迅速崛起。第三方支付平台已逐渐成为现代支付体系的重要组成部分。此后,各大商业银行也陆续推出本行支付产品。
按网络支付渠道不同,当前商业银行网络盗刷案件可以分为银行支付平台盗刷和非银行支付平台(即第三方支付平台)盗刷两种类型。银行卡支付平台盗刷包含通过银行各类支付产品的盗刷,如工商银行的“工银E支付”、建行的“龙支付”、招商银行的“优KEY验证码转账”,以及人民银行的“超级网银”等。非银行支付平台盗刷是指商业银行与第三方支付公司签订快捷支付协议,通过手机验证码的方式支出款项。近年来发生的网络盗刷案件,大部分属于非银行支付平台盗刷案件。
在第三方(非银行)支付平台交易模式下,交易流程涉及五方面主体:买方;卖方;网络购物平台及平台提供商(如淘宝、京东、P2P平台等);第三方支付机构(如支付宝、微信、快钱、ApplePay等);银行(一般指消费者的开户行以及第三方支付机构委托实施代扣业务的银行)。除此之外,还有网络购物的辅助服务方,比如快递公司,保险公司等。
图1 网络支付交易模式及法律关系
第三方支付平台交易模式下,银行账户内资金支付流程与传统的凭卡支付流程有显著区别。其流程一般是持卡人在网上申请开通快捷支付,此时需向第三方支付机构提供姓名、身份证号、银行卡号、银行预留手机号等个人信息,并在第三方支付机构注册一个新的支付密码(非银行卡交易密码),第三方支付机构将上述信息传递给开户银行,银行再向持卡人预留手机号码发送动态验证码,当持卡人在网上输入正确验证码之后即开通快捷支付。开通快捷支付后,持卡人快捷支付交易只需输入其在第三方支付机构注册的支付密码即可,验证环节完全由第三方支付机构完成。第三方机构一方面与持卡人签订协议并取得授权,另一方面与发卡银行签订协议并以持卡人的授权取得银行的认可,因而成为了持卡人的代理人,并拥有对银行账户支付的“指令权”。
在银行支付平台交易模式下,银行直接与交易信息中介平台(或其他有网络支付结算功能需求的商家)签订相关在线支付合作协议。银行承担资金支付验证义务。在消费者直接选择使用银行的快捷支付产品时,银行一般只承担结算功能,不提供为客户保管资金的中介功能。比如,客户在工商银行“融e购”上通过e支付购买商品,客户资金就被实时划转到商户(卖方)账户。
二、近年网络盗刷案件呈现四大特点
(一)案件数量呈快速上升态势
以某大型银行分行为例,2013年新发涉嫌盗刷案件4件,其中网络盗刷案件1件,占比25%;2014年新发9件,其中网络盗刷案件3件,占比33.33%;2015年新发18件,其中网络盗刷案件11件,占比61.11%;2016年新发40件,其中网络盗刷案件25件,占比62.50%;2017年仅上半年就新发30件,其中网络盗刷案件17件,占比56.67%。
(二)犯罪手段多样
与传统的伪卡盗刷案件相比,网络盗刷案件中犯罪分子的诈骗手段更具多样性。传统伪卡盗刷案件常表现为犯罪分子通过非法复制客户银行卡,并获取银行卡支付密码后通过ATM自助终端、POS机、手机刷卡器等实现盗刷。而网络盗刷案件中,资金划转无需借助卡片这一物理介质,仅仅需要获取资金支付的相关验证信息,如银行预留手机号、银行卡号、动态验证码等等,从犯罪分子获取相关信息的犯罪手段来看呈现多样性,常见的有“退款诈骗”“客户信息泄露被诈骗”“诱骗客户预留非本人的手机号码”等。
(三)案件事实难以查清、取证难度大
网络盗刷案件发生以后,完全还原案件客观事实的难度较大。一是由于客户自身可能存在过错不愿将有关情况如实陈述,或是客户本身对资金划转情况也不甚了解,无从说起。二是犯罪分子到底通过何种方式获取相关信息,并通过何种交易模式划转客户资金,划转资金到底经过了哪些环节、资金流向如何等情况,更多依赖于公安机关对案件的侦破结果。客户往往在资金受损后就对发卡行提起诉讼,而该类案件在公安机关立案受理后短时间内无法侦破。另外,网络盗刷案件涉及多方主体,交易环节繁复,资金流转过程往往经过多家第三方支付机构及多个商户,法律关系复杂,有关证据如客户(或犯罪分子)开通快捷支付账户的申请和相关协议、银行客服短信、运营商短信、资金划转申请、资金划转验证信息等大部分为电子证据,收集起来难度较大。
(四)标的金额相对较小但易出现声誉风险
以某大型银行分行为例,2013年以来(其中2017年为上半年数据)新发网络盗刷案件涉案金额分别为5.6万元、14.34万元、57.4万元、140.28万元、182.54万元,占当年新发案件总金额的0.05%、0.43%、3.5%和3.96%、18.25%。总体而言,该类案件的涉案金额相对较小,其占比均小于当年新发案件的件数占比。但是,由于银行卡客户数量众多且层次复杂,加上近年来网络诈骗案件频发、受害者较多,由此引发的客户投诉和银行被诉案件也明显增加。该类案件社会公众关注高,如处理不当容易引发各类媒体的大量负面报道甚至集中炒作。此外,个别网络盗刷案件的败诉案例容易通过网络等媒体被迅速扩散并引发“连锁反映”,进而出现多起类似客户投诉或集体诉讼,造成被动局面。
三、网络盗刷案件的主要表现形式
(一)“退款诈骗”
不法分子通过非法渠道获取到受害者网购信息,利用受害者付款后等待收货期间冒充卖家,以“退款”或“退货”为由,通过打电话的方式联系买家,要求买家加其聊天工具,并点击其提供的“钓鱼网站”链接。受害者打开后看到的是高仿电商网页。钓鱼网页会诱导受害者输入支付宝账号、密码、银行卡号、身份证号、手机验证码等诸多资料,盗刷用户支付宝和银行卡。而实际上,在退货及退款环节均不需要校验动态验证码或交易密码。
(二)黑客攻击网站获取客户信息划转客户资金
目前某些网站的安全防护能力较弱,容易遭到黑客攻击,从而导致注册用户的信息泄露。同时,如客户的支付账户设置了相同的用户名和密码,则极易被盗用。例如,在林某诉某银行的银行卡纠纷案件中,涉案犯罪嫌疑人供述其是通过“XX云”泄密事件中获取大量客户信息,然后通过对客户的网络社交账户(如QQ登录账户、天涯论坛的登录账户等)的密码与客户网银密码进行比对碰撞,发现客户的网络社交账户密码与其网银登录密码一致,从而进入林某网银修改预留手机号,最终实现网络盗刷,获取客户资金。
(三)客户自身泄露相关信息致使资金被盗刷
有的不法分子运用社交网络的熟人关系,让持卡人放松警惕,索要信用卡正反两面照片获取信用卡的卡号、有效期和卡片背后末三位数字等信息,并通过信用卡无卡支付方式实现网络支付。
(四)通过诱骗客户在银行预留非本人手机号实施欺诈
不法分子给客户打电话称自己可通过内部渠道办理贷款,且以办理贷款需资质审核为由,要求客户办理银行借记卡,并于借记卡中存入一定资金用以审核。不法分子以方便查验资金为由,诱骗客户将不法分子控制的手机号码设置为银行预留手机号码,同时要求客户开立网上银行并告知其网上银行登录密码,而后借口自己并不掌握借记卡交易密码、网上银行身份认证工具等为由打消客户疑虑。随后,不法分子利用已掌握的客户信息和手机号,开通客户账户快捷支付并转移客户资金。
例如,某客户在某二手车交易网站上看中一款别克二手汽车,经与销售人员联系,该销售人员要求购车人办理一张银行卡,将手机号留为销售人员手机号并要求开通短信提醒业务,同时要求该客户在卡内存入2万元作为购车验资款,验资成功后就可以同城交易。该客户开卡后短短几分钟资金就被不法分子通过网络盗刷。经查,不法分子利用国内某网购平台的网络快捷支付,通过银行卡预留手机号验证可以不用输入银行卡密码就实现支付。
(五)通过伪基站发送短信实施诈骗
犯罪分子冒充银行客服或移动公司客服向客户发送短信,以网银升级或积分兑换话费为由,要求客户点击短信链接,客户点击后手机被植入木马。客户点击链接后登录钓鱼网站输入相关信息,后续引发资金被盗。
四、网络盗刷案件的基本法律关系
在网络盗刷中居多的第三方支付平台交易模式中,相关的法律关系主要有以下几个方面:一是买方与卖方之间基于买卖、借贷、投资等形成的合同关系;二是网络购物平台及平台提供商分别与买方和卖方形成的服务合同关系;三是由于网络交易的虚拟性,买卖双方就货币支付并不能相互完全信任,第三方支付机构恰好解决了这一问题,买方在确认收货之前将货款支付给第三方支付机构,形成一种保管委托关系,而卖方发货以后还不能马上收到货款,委托第三方支付机构代收货款,有的第三方支付机构还为卖方提供担保,双方形成委托合同关系和担保关系。四是买方在银行开立付款账户,与开户行形成储蓄存款合同关系(或银行卡合同关系,比如客户开立信用卡账户时);五是第三方支付机构依据消费者的消费指令,需将消费者账户资金从银行进行划转,需与银行签订相关代扣合作协议,因而双方也会形成合同关系。
由此可见,在网络支付的整个交易过程中,涉及关系方众多。由于交易模式复杂,一旦发生银行卡网络盗刷,消费者难以认清各方主体的责任,银行会被“理所当然”地当做被告。实际上,网络支付交易模式已经完全颠覆了传统银行卡的交易模式,尤其是在第三方支付平台交易模式中,交易环节无需使用银行卡这一物理介质,持卡人也无需输入银行卡交易密码,客户验证环节由第三方支付机构完成,开卡行已经完全退化为单纯的结算机构。法院在审理该类案件时,如为合同纠纷之诉,则应重点从合同当事方是否违约并应承担相应责任进行重点审查。如为侵权之诉,则应当根据交易环节中相关方的过错大小及其与损害结果之间的关联程度来认定责任承担。
目前司法实务中,法院在审理此类案件时,一般会以储蓄存款合同、银行卡纠纷案由立案。在传统的伪卡盗刷类案件中,法院一般会采取举证责任倒置规则,在确认或推定伪卡存在的情况下,如银行不能提供证据证明持卡人存在明显过错,则一般均为判决银行承担大部分责任或是全责;在审理银行卡网络盗刷纠纷时,法院通常仍会套用伪卡盗刷案件的审理思路,要求银行证明持卡人授权他人消费或人为泄露卡号、验证码等,这对银行来说几乎不可能,因而在这类民事案件中银行败诉率非常高。
五、网络盗刷案件的风险防控建议
(一)加强事前风险防控
商业银行可通过基层网点、短信提示、媒体宣传等多种渠道、多种方式加大对客户的宣传力度,增强客户防范诈骗的意识;积极推荐客户定制网银及手机登录提醒、余额变动提醒等业务,及时了解电子银行操作情况及账户资金变化情况;研究开发支付智能安全防机制(如工商银行近期推出的账户安全锁,可根据客户意愿自助对境外交易、境内跨地区、夜间交易、无卡支付等高风险交易上锁),运用科技手段不断增强账户风险防御能力;强化对客户银行柜面预留手机号的验证,防范客户被骗将不法分子手机号码作为本人的预留手机号码等。
(二)审慎缓释盗刷风险
商业银行应彻查网络盗刷交易资金流向,积极配合客户追偿损失。加强客户投诉处理,对银行确有责任的,积极采取赔偿损失、赔礼道歉、协调第三方赔付等方式妥善处理;对客户存在过失的,应耐心细致做好沟通解释工作,力争取得客户的理解,避免风险扩大;对提出明显不合理、不合法主张的,可根据实际情况采取公安机关调解、银行业纠纷调解机制等方式缓释风险,并做好查明事实、固定证据等诉讼准备工作。
(三)积极做好应诉准备
商业银行应注意全面调查搜集相关证据材料,准确查明案件有关事实,制定协调一致的诉讼应对方案,并注意做好信息保密工作;根据第三方支付公司与银行签订有相关支付协议约定,协助客户向第三方支付公司申请先行赔付促使客户撤诉,缓释银行的被诉风险,或追加第三方支付机构为被告,主张第三方支付机构应对验证持卡人信息并向银行发出指令承担全面的审查责任,并对持卡人资金损失承担过错责任;按照有关规定及时制定声誉风险防控应急预案,切实防控声誉风险。
六、银行卡盗刷案例分析
(一)巧妙运用银联国际规则 成功追回境外盗刷资金
2016年8月16日,某客户向银行反映,当日零时其借记卡内资金被他人在境外通过POS消费和ATM提现等方式盗取,涉及交易笔数为16笔,累计金额达20余万人民币,消费地点为菲律宾。该客户称,卡由本人保管,且本人并没有出境,在凌晨时分发现卡内资金异常支出后,立即拨打银行客服电话查询并挂失借记卡,同时持卡在家附近ATM查询了卡内余额。
银行方经核查,该客户借记卡确于2016年8月16日00:36分发生12笔消费、4笔ATM取现,其中两笔POS交易消费场所为菲律宾某酒店,初步判断客户银行卡很可能被复制成克隆卡后在境外盗刷。
在向银联差错平台查询交易数据的过程中,银行方敏锐察觉到,客户的借记卡为磁条芯片复合卡(以下简称“复合卡”),且在菲律宾发生交易均以磁条完成,POS交易可能存在违规操作行为。客户发现卡内资金异常,并及时采取了挂失及查询的措施,表明本人并未出境消费,且已尽保管银行卡义务。根据《银联国际业务运作规章》(以下简称“银联国际规则”)第5.4.3条“收单端未正确处理降级使用交易的伪卡风险责任转移”条款相关规定,磁条芯片复合卡应优先使用芯片功能,如使用磁条在境外POS终端完成交易,在满足相应条件下,发卡机构可将降级使用交易产生的伪卡损失责任向收单机构转移。
对此,银行方进一步分析POS交易并发现,发生交易的POS终端具有读取芯片的能力,但却仍以磁条方式完成交易,且交易报文的多处数据均显示存在违规交易行为(如显示交易介质为磁条卡,而客户卡为复合卡;基于磁条介质发起交易,未以芯片发起交易;未能准确标识该笔交易为降级交易等)。收单机构的特约商户未按照IC卡的正确操作程序进行卡片受理,而直接以磁条方式完成交易,收单机构对商户管理不当存在过错。但由于收单机构及商户均在境外,一方面客户无法向收单机构跨境追责,一方面如发卡银行采取诉讼方式向收单机构追责,也存在相当大的难度。
在收集整理相关证据资料后,银行方从银联国际规则入手制定解决方案并发起跨境追索,全力挽回客户被盗刷资金:2016年9月29日,向收单机构发起预仲裁申请,争取收单机构同意退回客户损失资金;2016年12月13日,由于收单机构未同意退款申请,银行方向银联国际有限公司争议处理委员会(以下简称“银联国际”)提交了争议裁判申请;2017年2月27日,银联国际裁决收单机构承担客户损失资金和争议费用;同年3月3日银行方收到收单机构追回的所有款项。至此,银行方通过充分合理运用银联国际规则,主动出击、环环相扣,最终将客户POS终端交易项下资金损失全额追回,既为客户挽回大额损失,又妥善解决了客户投诉以及之后可能面临的被诉和声誉风险。
这是一起典型的不法分子利用克隆卡境外盗刷客户资金引发的投诉风险事件。发卡银行首次利用银联国际规则,通过银联国际裁判方式,向收单机构进行跨境追索并成功挽回损失,为日后处理类似境外盗刷事件提供了全新途径和有益参考。
一是变通思路,善用银联国际规则实现向收单机构追责。在核定克隆卡境外盗刷事实基本成立后,可考虑准确查明卡种类别及交易情况。如属于复合卡,且存在违反POS交易规则的情形,在经过查询或调单的差错处理相关流程后,可按照银联国际规则处理流程向收单机构发起预仲裁申请,如未能协商解决,可再向银联国际提交争议裁判申请。通过向存在过错的第三方收单机构追索,既有效补偿了客户的资金损失,有效降低了消费者维权成本,也巧妙避免了发卡银行按照现行司法实践可能承担的赔偿责任。值得注意的是,因银联规则对争议处理的每个步骤均有相应时限要求,无论是预仲裁还是裁判方式,均须反应迅速、准备充足,以免贻误时机。
二是引以为戒,严守银联国际规则,避免成为纠纷的责任方。银联国际规则是一把双刃剑,如未能按照复合卡交易的银联规则来实施操作,同样面临赔偿客户损失的风险,成为最终的责任方。为此,银行要严格遵守银联规则处理收单业务,并加强对特约商户的监督管理,避免出现由于自身或特约商户原因向客户担责赔付的后果。
(二)跨省追偿客户资金
2016年4月,客户陈某向银行反映,其银行卡被盗转18.4万元。客户反映情况后,该行立即向公安机关报案并着手核查工作,通过银联相关系统查询显示,该笔盗刷发生于2016年4月12日,在他省某实体店铺通过刷卡消费形式支出。由于该POS机是他行布放,该行派专人与公安侦查人员远赴他省开展实地调查,在属地人民银行、POS机布放银行的协助之下找到机具申请单位。
根据交易流水和刷卡记录发现,此案涉及面广、案值巨大,公安机关将机具申请单位负责人王某列为网上追捕对象,不久嫌疑人王某被抓获并移送本省公安机关处理。经讯问得知,该POS机具被王某借给他人在澳门使用(该POS机通过解码可异地使用),无法找到具体使用人。王某在缴纳了18.4万元的保证金之后办理了取保候审手续。
在王某取保候审即将到期之时,银行再次协调公安机关进行专题会办,联合公安机关对责任人发动法律攻势,促成王某与受害人协商解决被盗刷损失问题。在大量事实证据面前,王某最终同意将18.4万元保证金一次性补偿给受害人,受害人放弃其他权利主张。
《侵权责任法》第六条规定:“行为人因过错侵害他人民事权益,应当承担侵权责任。”根据本案查明事实,王某将POS机借与他人使用已违反POS机协议约定和使用规则,具有明显过错,且在事实上造成协助犯罪分子盗取客户资金的后果,因此其应依法承担侵权责任。
经过一年多的努力,银行通过自身专业优势挖掘一切线索,协同各方资源配合公安机关理清案件脉络,锁定责任方王某,成功为客户挽回该笔大额资金盗刷损失,最大限度保护了客户合法权益,践行了商业银行“以客户为中心”的服务宗旨。
(三)撤销非本人授权交易 套取银行卡验证码
客户李某来到银行网点向当值大堂经理反映,在其本人没有进行实际操作的情况下,自己的借记卡完成了一笔购汇交易,随后又收到了一条短信告知该交易为系统误操作,并且需要客户提供短信验证码进行取消。通过柜面查证,该借记卡确实在网上完成了一笔购汇交易。
在认真听取了客户的细节描述后,当值柜员及柜组长确认这一交易为一起新型电信诈骗案例——通过撤销非本人授权交易来套取银行卡验证码等信息。该客户极有可能是在不安全的网络环境中操作了网银,导致网银相关登录密码、交易密码被不法分子的钓鱼软件获取,不法分子由此可直接操作客户网银;进而,不法分子通过在网银上购买基金、外汇等产品、然后撤销交易的方式,套取到客户短信验证码,从而可以修改客户网银的绑定手机号,最终完全控制客户网银,转移客户资金。
鉴于该客户借记卡密码等相关信息已被不法分子获取,银行建议客户,对该卡片做销卡处理,但客户因个人原因拒绝了销卡的提议。为确保客户资金的安全,网点柜员采取了折中的办法,为客户办理了新的借记卡,并将所有款项转移至新卡,原借记卡中金额为零。随后,了解到原借记卡同时也是该客户的工资卡,银行特别叮嘱客户,及时告知其公司财务更改工资卡号,以免给不法分子以可乘之机。
一个月后,该客户再次来到网点,声称借记卡又被盗刷一万元,情绪异常激动。网点会计主管与柜组长一面稳定客户的情绪,保证网点其他客户正常办理业务,一面努力与客户沟通,询问具体情况。
经了解,该客户此前确实在不确定情况下提供了短信验证码,由此,不法分子掌握了该借记卡的所有信息。加之,由于公司财务的失误,忘记了更改客户的工资卡号,当月工资仍然打到了客户原有的借记卡上。不法分子看到卡里有钱,随即实施了盗刷行为。
对此,网点员工第一时间展开了资金去向的调查,并最终确认该笔资金是通过中国银联厦门分公司划转到福建海康电子科技有限公司,用于购买等值一万元的游戏币。随后客户与银联厦门分公司取得了联系,沟通款项划转的时间、验密方式、授权等详细信息,最终证明款项划转并非客户本人的真实意愿反映,客户有权追回自己的资金。银联方面表示,将于五个工作日内给予合理答复。
两日后,客户来电告知,被盗刷资金已被退回卡上。
综上,针对客户来网点反映未经本人操作购买基金、外汇等产品的情况,银行方应引起警惕,需详细和客户确认其日常用卡的细节。
盗刷纠纷法律分析要点
借记卡持有人与银行之间形成的是储蓄合同关系。银行负有保障持卡人账户内资金安全并按时支付相应利息的义务,持卡人负有须妥善保管银行卡以及账户信息和密码的义务。
《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理、预防和打击银行卡犯罪的通知》中第三条规定,“对于银行卡信息可能发生泄露的,发卡机构应联系持卡人,提示持卡人尽快换卡或修改密码”;第十五条规定:“中国银联要建立交易数据记录、分析和监控系统,加强可疑交易监控和分析,对交易风险进行综合、动态评估和分类管理,保护账户和交易信息安全。中国银联要加强对其分公司和子公司的规范管理,严格执行银行卡相关业务规范和技术标准,将跨行清算业务、收单业务、外包服务业务分离,对因收单和外包服务业务管理不善造成案件和损失的,须承担赔偿责任。”
客户应妥善保管个人信息、账户信息、网银用户名及密码,一定要通过官方网站等正规渠道使用互联网金融的产品和服务,不在网吧、公共WIFI等不安全的网络环境下登录网银,对于不明链接不要轻易点击,养成定期修改密码的习惯,以免不法分子“钓鱼”。
(四)客户自身泄露安全要素 盗刷资金损失自行承担
某客户向银行官方客服反映,称其借记卡在非本人及家属的操作下通过个人网银转出19950元,客户表示不认识收款人,要求银行赔偿被转出的资金。
银行接到客服反馈后,第一时间致电客户核实情况并对其进行安抚,并查询了客户被盗刷的账户交易情况:其借记卡自开户日起4年内均未发生过资金变动情况,账户余额一直为零。但在其借记卡账户被盗刷的前一天,该账户通过电子渠道开通了短信版个人网银(通过手机获取动态验证码进行交易),在账户被盗刷的当日,客户于银行网点柜台存入现金20000元,3小时后账户资金中的19950元被通过个人网银转出,剩余50元为转账手续费被扣收。
至此,银行初步认为客户的交易存在可疑情况,与客户约定好时间后进行面谈。面谈过程中银行员工告知客户通过个人网银转账时,需要验证个人网银用户名及登录密码,操作转账交易时需验证银行卡交易密码及动态验证码(发送至客户开通网银时指定的手机号)两项因子,交易流程符合监管机构的双因子要求。客户反馈:在资金被盗刷的前一日,其手机曾收到可以办理高额信用卡的短信,在拨打了短信中提供的电话号码、用手机登录了短信中提供的网址后,输入了银行卡的相关信息。对方要求次日在银行卡上存入2万元作为办理高额信用卡的保证金,客户遵循了对方的要求,且在3小时后客户账户资金被盗刷。
根据该情况分析得出:客户通过点击对方提供的非法链接,输入了银行卡的相关信息,犯罪分子利用掌握的信息通过电子渠道开通了个人网上银行业务,在客户账户存入资金时,通过网银渠道盗刷了客户账户资金。
银行将上述信息反馈给客户,并对客户进行了安全用卡的金融知识教育,客户表示理解,并对银行的工作态度表示认可。
盗刷纠纷法律分析要点
银行在客户持有的借记卡交易过程中均验证了安全要素及动态密码,符合双方合同约定,并无任何过错。客户的资金损失全部是通过网上转账的形式支出,未在柜台办理该业务。在网上开通个人网银业务需首先输入准确的银行卡号,还需输入身份证号码、交易密码等安全要素,全部输入正确后才能开通个人网银业务。通过网银转账还需验证登录名、登录密码、交易密码及短信动态密码,而上述所提到的动态密码均是发送到客户申领借记卡时预留的手机号码上的。根据该行《借记卡章程》和《个人借记卡领用合约》的约定,“凡使用密码进行的交易,发卡机构均视为持卡人本人所为”;《个人电子银行服务协议》约定“安全要素是乙方(银行)确认甲方(客户)身份的唯一依据,凡通过安全要素验证或确认后发送的指令,甲方应承担由此产生的一切后果”;“安全要素指甲方登录渠道、办理相关业务时,乙方确认甲方身份的唯一依据,包括但不限于甲方有效身份证件号码、网上银行登录用户名、签约卡号、账号、移动电话号码、各类密码、数字证书、申请数字证书的协议号等”。因此,借记卡开通网上银行并完成网银转账交易的过程中,银行方面已尽审查和验证责任,符合双方合同约定,所以银行在此事件中并无任何过错。
客户的资金损失是由于其自身泄露安全要素导致,与银行无关,由此导致的资金损失应由客户自行承担。该行《借记卡章程》和《个人借记卡领用合约》均约定,持卡人须妥善保管储蓄卡、密码和预留手机号码,因卡片、手机号码对应的SIM卡、UIM卡以及用户识别码遗失、被第三方复制、盗取或密码泄露而造成的所有损失由持卡人承担。该行《个人电子银行服务协议》也约定“甲方(客户)应妥善保管安全要素,任何情况下均不应将安全要素以任何方式提供给任何人,并应承担安全要素因任何原因被他人知悉所产生的一切后果。”因此,如客户确实存在资金损失应由其自行承担。