误入“钓鱼网站”200万被转走 银行赔七成 一审判定银行网银系统极易致客户资金被他人侵入转付 银行上诉

13.08.2017  15:41

大洋网讯 接到身份信息泄露的电话,广州的陈女士(化名)按对方指示登录“最高人民检察院网站”查询,并按要求插上网银U盾。当天,其银行卡内212万元分成20多笔被转走。陈女士起诉开户行,认为银行系统存在安全漏洞。银行辩称,案件没有侦破,款项是否被骗未知,即使被骗也是因为诈骗分子的行为,以及陈女士的严重过失所致。天河区法院一审认为,陈女士预留了电话号码,银行未全面实施转账验证码推行,并告知不开通该功能的风险责任自负,也未对跨行多笔大额转账进行限制。判决银行承担七成责任,赔偿148.8万元。银行上诉,该案日前二审开庭,案件尚在审理中。

储户:212万分20多笔被转走

陈女士称,2014年10月16日前,自己在华夏银行股份有限公司广州分行(以下简称“华银广州分行”)的账户内日常资金仅几千元,其余都是理财产品。17日上午,她接到一个电话,告知其身份资料泄露,请检查相关银行账户以免出现意外。由于对银行配备的U盾安全性深信不疑,故登录了电话中声称的最高人民检察院网站的主页查询链接,查询到个人身份信息,之后对方又让其上中国公证网进行认证,并按要求插上网银U盾。

同日12时,其在电脑上插入U盾并输入密码,之后忙其他事情。下班后,在其丈夫的提醒下报警。

陈女士称,虽然其保持了谨慎的态度,并未输入账号和密码,但事后其银行账户中的存款212万元被分成20多笔资金划走。

陈女士认为,其资金是保存在银行监管的账户之中,作为专业银行,应该对资金负有安全保障义务,保障其合法权益不受侵犯。国内部分银行的浏览控件出现严重漏洞,网银安全控件主动关闭用户IE浏览器的保护机制,一旦用户访问恶意网页,黑客便可以利用这一漏洞在用户电脑上任意操作。因此,因银行系统存在安全漏洞或其他不能归责于储户的原因,导致账户资金被盗,应由银行承担相应的责任,请求银行判令该银行赔偿损失212万元。

银行:储户输入密码有严重过失

华银广州分行辩称,在公安机关未出具结论前,相关事实难以查清,陈女士要求赔偿的前提是资金损失是被他人骗取,陈女士应承担相应举证责任。根据陈女士的交易记录仅能证明卡内资金的变化,不能证明资金减少的原因,更不能证明是被骗取的。如果是被他人骗取,陈女士是如何配合犯罪分子进行了哪些操作是本案关键。

该银行表示,即使陈女士的资金是被骗取的,那么其被骗的主要原因是犯罪分子的诈骗行为,以及陈女士个人的过失。包括插入网银盾和登录所谓的最高人民检察院这个钓鱼网站进行操作,以及陈女士未妥善保管自己的网上银行户名、银行卡号和交易密码等重要信息。

银行辩称,被告网银盾是符合监管要求的,也被大量客户长期正常使用。如果陈女士的卡确实被盗刷,其本人存在严重过失,网银盾仅是对客户身份的认证手段,没有密码是不可能划款成功的,故陈女士称网银盾就包括密码是不可能的。而且,陈女士的大量理财日是16日,17日犯罪分子就对其进行诈骗,说明犯罪分子对陈女士的信息情况十分了解。

法院:争议焦点在于责任如何分担

1.确认转款行为非储户本人操作

一审法院审理认为,2011年9月20日,陈女士在华银广州分行开立账户并领取电子银行U盾,双方的存储关系成立。陈女士虽向公安机关报警称被骗,但一直未侦破,也未确定侵害人,据此华银广州分行申请中止本案处理不当,本院不予采纳。

本案应以责任大小划分分担损失,本案的争议焦点在于责任的承担。

对于是否存在自行操作付款的认定,从陈女士报案所述及其所提供的证据反映,在相应的款项被划付后,陈女士立即向公安机关报称其受骗及过程,足以反映银行款项的流转非其本人所为,后公安机关也未对此认定属于陈女士自行转账,足以确认上述转款行为非陈女士所为。

2.银行未设置短信验证未能验证是否本人操作

对于责任的认定。法院审理认为,作为专业的银行机构,在网上使用电子转账业务时,更应及时准确、多方面、多层次的保护客户的资金安全性。在上述电子银行服务协议中,已经明确短信验证码和转账验证码(不确定的随机密码)的定义,以及证书版和签约版的验证方式,但电子银行开通时未就此向客户明示或警示证书版和签约版的区别、各自存在的资金安全风险及责任的承担,以确定客户资金的安全操作。

陈女士在申请开户时已预留电话,华银广州分行也明确存有该提醒功能,但华银广州分行却未全面实施转账验证码的推行,以及告知不开通该功能的风险责任自负,责任在于银行。

因款项的转付是否本人亲自操作是银行最后确定,但银行系统却未能完全识别U盾系统的唯一性,无法拦截除U盾外其他系统、介质的侵入,导致资金损失。若银行设置在未取得属于开户人手机短信息验证信息时,限制其不能转账,会加大网上转账的风险防控。

3.银行未对大额款项转付进行限制

法院审理认为,对于大额款项的转付,华银广州分行也没有加以限制,特别是同银行仅确定了跨行转付金额而未限制同日限额(即次数),而对于大额非同名转付并未作相应的提示或警示。

此外,对于款项的转付未作到账限制(现24小时到账),即除同名同银行自行调整转账外的其他人员转账,并未设定一定的期限到账,以此确保或更确定操作客户的真实意思表示,或给予款项转付的反悔或追讨空间。特别是陈女士账户在同一天跨行转账25笔、每笔5万元,银行系统未作任何反映,未进行实时发现异常而进行实时拦截,其中包括理财赎回。

判决:银行系统存漏洞承担七成责任

综上,基于华银广州分行所提供的电子银行系统及操作存在不可推卸的责任,导致客户资金极易被他人侵入转付(未及时更新旧客户U盾介质或警示,进一步完善存在资金安全漏洞和措施),华银广州分行应承担主要责任。陈女士在操作电子银行账户时,输入U盾登录密码,对造成密码泄露也存在一定过错。华银广州分行承担70%责任,赔偿陈女士148.4万元。由于华银广州分行开发的电子银行系统存在漏洞,导致客户信息、存款被他人转付,据此华银广州银行应一并赔偿相应的利息损失。

一审判决后,华银广州分行上诉,该案日前二审开庭,案件尚在审理中。

广报全媒体记者 魏丽娜