家住北京的马女士被人在新加坡登录手机银行,转走她银行卡中的38000余元存款。另一位储户马先生则被人在4天内频繁无卡消费及快捷支付78笔,消费了他卡内6万余元。两人均选择向法院起诉,要求银行为自己的损失买单。
比起“克隆”伪卡盗刷,无卡网络盗刷更难认定,而且银行确实通过卡号、密码、验证码进行了身份验证,这个锅该由谁来背呢?在这两起案件中,储户是如何自证清白的,法院又是如何厘清责任的?这对于广大持卡用户来讲是个借鉴,也是为银行完善安全保障工作敲响警钟。
案例1 人在家中坐 存款被盗刷
去年4月4日晚,马女士正在北京西城区的家中,突然接到一条手机短信:“请勿在任何短信或邮件链接的页面中输入验证码!您尾号8088正在登录手机银行,验证码381291……”
马女士被这条短信弄得又惊又怕,自己并没有登录手机银行,那么是谁在操作自己的银行卡?马女士的第一反应是立即致电银行客服,冻结银行卡。
就在她拨打电话时,一条短信又发来了,她的银行卡被转出29900元,马女士心急如焚地听着银行客服电话接通后的语音提示,与此同时,她再次收到短信,银行卡又被转出7929.56元。
终于联系到人工客服,马女士急忙表示:“你赶快看一下我这个卡,有人从我这个卡里转钱了,转了好几笔了,赶紧给我冻结吧。”
一边等着客服核实自己的身份时,马女士一边急迫地说:“已经转走好几笔了,一个是29900元,一个是7929元,你看看,现在全转出去了,赶快给我冻结……”
虽然银行卡很快冻结了,但马女士却实实在在地损失了38000余元。第二天,马女士到家附近的派出所报案。
事后经核实,这两笔手机银行操作的IP地址显示为新加坡。
银行不认盗刷 让持卡人负责
马女士非常肯定,自己的银行卡遭遇了盗刷,而且还是手机无卡交易。
按照正常操作流程,登录手机银行转账,首先需要交易人输入卡号或身份证号、查询密码、附加码。登录后转账前,还要获取验证码。在收到银行发送的验证码短信后,输入该验证码及取款密码,才能最终完成交易。也就是说,盗刷者不仅知道马女士的卡号,破解了密码,而且连马女士的手机短信都收的到。
为了追回自己的损失,马女士将银行告上北京西城区人民法院,认为银行应当对其存款损失承担赔偿责任。
在法庭上,银行并不同意马女士的要求。银行认为,根据开立银行卡的合约约定,凡使用密码进行的交易均视为申请人本人办理的交易。申请人须妥善保管账号、密码、存款凭证等个人账户资料,申请人将账户转借他人使用或泄露个人账户资料产生的风险及损失由申请人承担。
而涉案这两笔交易都是输入了卡号、密码、验证码等信息完成的,密码相符的交易视为本人交易,银行在交易过程中按照合同约定完成了身份验证,由此产生的损失应当由马女士自行承担。
拨打客服时间巧合 为盗刷事实作证
马女士一案的特殊性在于,盗刷行为是无卡交易。在网络支付情形下,银行目前就是凭借持卡人的卡号、密码等身份识别要素和交易验证等方式来确认是持卡人本人操作。如果识别要素齐全,系统如何分辨出是不是本人操作?可以说,相比伪卡盗刷,证明无卡盗刷并非本人操作是最大的难题。
而巧的是,涉案交易发生的时间为2017年4月4日22时48分和22时51分。根据生活常理推断,拨通银行客服前,一般都有一段时间的语音提示,马女士提出证据可见,其接通银行客服的时间为22时51分,与第二笔涉案交易几乎同时发生,主叫地点为北京,而涉案交易IP地址显示为新加坡。
马女士提交的证据达到了高度盖然性标准,法院由此认定,涉案交易发生时,马女士未在交易操作地点,且正欲拨通银行客服电话办理渉案借记卡的挂失手续,涉案交易非其本人操作,为无卡盗刷交易。
看上去,马女士和银行都挺无辜。不过法院认为,应当从银行的安全保障义务角度去考量无卡盗刷交易的责任分担问题。
法院认为,银行发行银行卡,并推行网络支付业务,即负有保障持卡人财产安全的义务。由于网络支付存在被盗刷的风险,根据收益与风险相匹配的原则,银行负有创设安全的身份识別要素、身份验证要素及验证方式的义务。在现有的验证方式下,已经发生的具有一定数量的盗刷交易的存在表明,银行创设的验证要素及方式存在风险,银行应当意识该风险的存在,并改进现有的验证方式,而不是简单以尽到验证义务为由免除或减轻责任。因此,在网络支付交易为无卡盗刷的情形下,即使银行完成交易验证,除非银行有证据证明持卡人存在过错,银行仍应当对盗刷交易造成的损失承担责任。
最终,法院认为银行未能有效识别马女士身份,有违其安全保障义务。因银行没有证据证明马女士对账号、密码等信息的泄露存在过错,因盗刷交易导致的不利后果应当由银行承担,判决全额返还马女士被盗刷的钱款及相应利息。
案例2 遭78笔盗刷个人有疏忽 法院判银行担九成责
在朝阳法院审理的另一起涉网络盗刷的案件中,马先生使用自己的银行卡在ATM机上取款时,突然发现余额不足,而卡内明明还应该有几万元。经向银行客服核查交易情况,他得知自己的银行卡在此前短短4天内通过网络支付的方式,支出78笔共计6万余元。
马先生确定自己遭遇网络盗刷,更蹊跷的是,这70多笔盗刷几乎都是在夜间发生,且十分频繁。每笔交易的数额少则1元、数十元,多则上千元。就像蚂蚁搬家一样,掏空了他的账户。随后,他向派出所报案,并将银行告上法院。
法院经审理认为,马先生的银行卡签约第三方快捷支付的时间多为夜间,争议交易时间多为凌晨、深夜及清晨,且存在持续时间长、间隔时间短、金额较少、笔数较多等特点,与以往本人交易存在诸多差异。法院由此认定争议交易为非本人或授权行为,应为盗取。
马先生本人否认自己或授权他人签约了任何第三方支付平台。而银行也没有明确马先生的银行卡进行无卡自助消费和快捷支付交易业务的签约渠道。法院认为银行无法证明自己履行了审核持卡人实名身份、与持卡人签署业务开通协议等基本义务,存在过错。
不过,马先生个人也有一些疏忽大意。他的银行卡本已办理了余额变动提醒,在被人盗刷的那几天,他也曾使用过这张卡取款,却没有收到银行的短信提醒,但马先生对此并没有提高警惕。经法院核查,在被盗刷那几天,马先生的手机向一个广东的陌生电话号码发送了200余条短信。也就是说,诈骗分子很可能是拦截转移了银行给马先生发送的提示短信。如果他能及时质疑并冻结银行卡,损失也许没这么多。
法院综合判定双方过错程度并根据公平原则,判决银行赔偿马先生90%的资金损失。
值得一提的是,朝阳法院的判决中与西城法院的判决措辞有一处非常相似,也提到争议交易系根据姓名、身份证号、卡号、手机号码及校验码等电子指令完成,在交易便捷度提高的同时会导致交易风险性的相应增加,银行也应履行更高的注意和保障义务。
警示 法院屡判银行赔钱 举证非本人交易是关键
在持卡人越来越有取证意识之后,对于能被证实的盗刷交易,法院已经旗帜鲜明地保护持卡人权益。
只不过,绝大部分胜诉的盗刷案例是基于伪卡盗刷,银行系统没有识别出犯罪分子克隆出的“伪卡”,无疑是漏洞和重大过错。但网络盗刷是通过身份信息、密码、验证码进行身份验证,持卡人举证盗刷并能认定银行有责任的难度更大。
就像马女士,如果她在接到手机验证码短信后耽搁些时间,没有迅速反应,没有盗刷交易与客服通话时间上的重合,又如何能自证清白?
归根结底,想获得法院支持,最重要的一条就是证明盗刷交易非本人所为,而举证是最重要的操作。
除了前文中提到的两个案例,记者还搜集到了几个持卡人胜诉的典型案例以供参考:
刘女士在乌鲁木齐家中接到银行短信,告知自己的银行卡被多次取现、刷卡,金额高达19万余元,而消费地点在迪拜。她立即拨打客服电话挂失银行卡,然后持卡在附近银行打印交易明细,并亲自到派出所报案。
家住北京的张先生接到银行短信提醒,在短短6分钟内,莫名发生7次消费。后经核查,他的银行卡在菲律宾7次通过pos机和ATM机被取走近20万元。张先生立即拨打报警电话,并致电银行客服,接着迅速持卡到附近派出所报案。
王女士在日本旅游期间,突然得知自己的储蓄卡在香港被取款6万余元。而她本人正拿着这张卡在新宿购物。她随即打电话冻结了被盗刷的储蓄卡,回国后报警,并出示了自己的出入境证明以及在日本持卡消费的凭证。
这三个案例,法院都确认了盗刷事实,并认定银行对储户资金未尽到安全保障义务,判决银行为持卡人的损失买单。从持卡人胜诉的案例中,不难看出一些发现盗刷后的有效证明方法:
第一,收到非本人操作的手机验证短信或转账信息后,立即致电客服冻结或挂失银行卡,避免增加损失。
第二,可以拿着银行卡在附近ATM取款机操作业务,比如打印交易明细、提现等。或者迅速进行持卡消费或网上支付。
第三,持银行卡、身份证就近到公安机关报案。
这一系列操作就是为了证明银行卡确实在持卡人自己手中,并显示自己并未出现在盗刷交易地点。如果事后调查确认存在另一张银行卡操作或不同区域的交易,持卡人的上述操作都可以作为盗刷的有力证据。
