随着智能手机和移动互联网的普及,手机银行近年来迅速发展,随之而来的是不断高发的移动支付安全问题。
10月30日,又一大型商业银行银行卡被盗刷案件在北京西城法院开庭审理。
这一案件的事发时间要追溯到2015年10月下旬,当时发生了大批量同时段的银行卡被盗刷事件,涉及北京、南京、武汉、深圳、南昌等多地。据北京西城法院开庭审理案件的当事人统计,其能联系上的受害者被盗刷总金额或高达千万元。多数涉事受害者均已采取法律手段维权。
当事人代理律师、北京京师律师事务所刘仁堂、许浩律师认为,该类事件的高发足以说明在技术不断进步的今天,犯罪分子仍然能够获取和利用储户设立的密码,进入储户的银行账户操作。“在手机银行为客户提供高效、便捷的金融服务的同时,其安全性也堪忧。”刘仁堂对记者表示。
不翼而飞的钱款
2015年10月23日晚6点,对于家住北京市朝阳区的吴先生来说,一条银行发来的提示短信堪比一道晴天霹雳。
短信称吴先生的银行卡被消费9万元人民币购买理财产品。一头雾水的吴先生立即登陆PC网银查看情况,竟发现在10月21日凌晨1点50分,此卡已被转走20万元人民币。而在此之前他没有进行任何操作,更没有接收到动态验证码。
随后,事态的发展更为严重。吴先生本想把卡内剩余的9万元转移出去,却发现自己根本没有办法操作转款。紧接着,他接到了一个声称银行理财基金经理的电话,告诉他资金已经被锁定,需要动态码才可以转走。百般无奈下,吴先生将动态码告诉了对方,结果很快又分两次被转走人民币88821元。
经警方查实,吴先生的银行卡上共计288821元均已被转移至其他账户上。“当时卡和手机都在我手上,在我没有进行任何操作的情况下,卡里的钱无故被转,我认为银行负有不可推卸的责任。”吴先生对记者说道。
在与开户行、该银行宣武门支行多方交涉未果后,2016年2月,吴先生将宣武门支行起诉至西城区人民法院,以银行系统存在漏洞没有尽到安全保障义务为由,要求银行全额赔偿卡内金额及利息(截止到实际支付日)。
该案2017年10月30日正式开庭。庭审上,刘仁堂、许浩律师认为,原、被告之间存在储蓄服务合同法律关系,被告对原告负有按约定保障原告资金安全的法定义务,同时主张被告违约。根据《中华人民共和国商业银行法》第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。
不过,银行方面并不这么看。被告代理人、该银行郝姓法务在庭上表示,吴先生几次涉诉的转账行为,均是通过手机装载的软件和网上银行短信验证码进行操作。在此过程中,银行依据收到的指令,通过正确的短信验证码和密码进行转账,整个过程符合双方合同约定,不存在违约。“吴先生没有对其银行卡支付密码和动态验证码进行妥善保护,应对本案的后果承担全部责任。”郝姓法务说道。
不仅如此,他还推测称吴先生的银行卡可能被复制,即手机持有者登陆钓鱼网站,中了木马病毒,导致信息被窃取,进而出现发送的短信会被两个手机同时收到的情况。“我们认为案件发生最根本的原因还是在于当事人缺少对密码和验证码的防范意识,导致银行卡被复制,资金被盗。”郝姓法务说道。该案目前尚未宣判。
群体事件或揭安全隐患
事实上,吴先生一案并非盗刷案个例。他向记者透露,几乎同一时间,和他一样存款被盗转的该银行储户还有不少人,被转存款大都集中转入了“赵啦啦”和“刘迎”两个账户。“目前我能联系得上的至少有40名储户。”他表示。
根据记者从原告方获得的一份受害储户信息统计表,除北京外,被盗转存款的银行储户还来自南京、武汉、深圳、南昌等多地,被盗金额从几万到几十万不等,且案发时间相近。储户们认为,自己在毫不知情的情况下存款被转走,银行应该承担赔偿责任,目前部分储户已选择通过诉讼途径挽回经济损失。
这之中,居住在北京市通州区的郭先生就是胜诉者中的一位。作为一名支付公司的技术人员,郭先生深谙保护银行账户的必要性。不过,2015年10月20日晚,同样在没有收到任何短信提醒和验证的情况下,被盗刷20万元人民币。事后,郭先生将银行诉至法院,2016年8月29日,朝阳法院作出判决,要求银行赔偿其存款损失20万元。而对此,银行选择上诉。
作为共同受害者,郭先生作为证人出席了10月30日的庭审。不过,银行方面并不认可证人的效力。“郭先生的案例对此案没有借鉴意义。”郝姓法务说道。
相反,许浩律师认为,盗刷案作为群体性事件,结合参加本次庭审的同时段被盗刷储户的证人证言,可以证明原告的款项是被他人盗刷,并非是原告的单独事件,也并非是银行卡密码泄露问题,而是被告银行的交易系统隐患而导致。
记者了解到,该银行是国内首家推出手机银行的金融企业,突破了必须使用卡片进行转账交易的传统金融模式。
除了这种新型转账模式外,新兴金融服务还包括指纹登陆和指纹支付、声纹验证、人脸识别等技术。“银行在推出新业务之前必须对该项功能的安全性、可靠性、运行稳定性等进行反复论证,在设计之初即对银行系统可能出现的漏洞设置必要的安全保障措施体系,完全研发成熟后才可推出,并在运行过程中不断调试,通过技术投资和硬件改造加强风险防范。”刘仁堂、许浩律师表示。
根据《电子银行业务管理办法》第四十条规定:金融机构应采取适当的措施和采用适当的技术,识别与验证使用电子银行服务客户的真实、有效身份,并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。
对于系统漏洞问题,该银行郝姓法务称原告应出示第三方机构就此问题的认证说明。同时出庭的银行王姓工作人员对记者表示,短信链接、图片链接以及利用公共WIFI等手机银行诈骗手段花样百出,客户还是应当加强对个人信息的保护意识。
在许浩看来,手机银行合同由发卡行单方拟定,具有附和性、不平等性和非协商性的特征,其中多项业务涉及专业术语,对于缺乏专业知识的持卡人而言,其与银行在信息的掌握上存在着严重不对称性。“但是新型金融环境下的资金损失,法律仍未明确规定具体的责任分配问题。”许浩对记者说道。他认为,银行作为经营者,应当负有制止危险和保障安全的义务,而且银行相较于储户,具有更强的经济、技术、法律能力向有关责任主体追偿。
移动支付安全问题近年来不断衍生。一份中国银联发布的《2016移动支付安全调查报告》提道,社交账号盗用、短信木马链接等常见作案手法不断翻新,移动支付消费者受损比例持续走高。据媒体统计,仅2016年,全国批捕的移动诈骗犯罪者就达到了1.9万人次,累计涉案金额超过100亿元。
|