卡被调包艰难挂失期间损失近16万元
因柜员机系统存在安全漏洞,且银行未在合理时间内为原告办理借记卡电话挂失,法院判银行对原告的损失承担七成责任
【案情回放】
借记卡遭调包密码被修改
犯罪分子又取又买近16万
上诉人(原审原告):庄某
上诉人(原审原告):牛某
上诉人(原审被告):某银行宝安支行
上诉人(原审被告):某银行深圳分行
深圳新闻网1月19日讯 (吴涛 谭晓鹏 程炜)牛某(男)、庄某(女)系夫妻。2002年1月4日,庄某在某银行深圳分行下属的宝安支行申请开立了借记卡账户。2007年8月11日(星期六)下午,庄某与牛某到新洲路的某银行深圳分行下属的新洲支行办理转账。l6时56分,庄某在柜员机上转账800元后打印交易凭条时,其借记卡被他人调包。
庄某陈述其借记卡被调包的经过是:庄某在打印交易凭条时,背后有人喊,其回头见不认识对方,再转回头时,看到身边一男子在庄某操作的柜员机插卡处拿出一张银行借记卡,庄某以为该男子想抢自己的银行卡,遂将此卡抢到手中,并与该男子争吵起来。随后该男子引庄某到银行门口,该男子还与在门外等候的庄某丈夫牛某发生争执。之后庄某、牛某开车离开,随后庄某想起自己在柜员机操作时并未按退卡键,随即检查手中的银行卡,发现被人调包。庄某与牛某从当天16时59分开始用手机反复地拨打某银行深圳分行服务热线955××,想办理挂失手续,同时开车返回新洲支行营业厅。庄某只拨通了一次955××的人工服务,但该次人工服务未能办理挂失(庄某称在该次人工服务中,服务人员告知其办理自助挂失,而庄某当时并不知道借记卡密码已被人修改),而由于借记卡密码已被人修改,庄某无法办理电话自助挂失。庄某与牛某返回新洲支行营业厅时,因营业厅已下班,无法办理柜台挂失。庄某与牛某遂继续用营业厅的座机反复拨打955××挂失,庄某还于17时09分用手机拨打了110报警。直到17时22分,庄某才拨通人工服务办理了电话挂失手续,但此时庄某的借记卡余额只剩1890.37元。经查,当天16时57分庄某的借记卡密码被修改,犯罪嫌疑人从17时00分在新洲支行营业厅附近的其他银行的柜员机上连续跨行取款10笔共20000元,由此发生跨行取款手续费共20元,17时12分及17时15分犯罪嫌疑人分两次刷卡消费99111元和40000元。犯罪嫌疑人用庄某借记卡取款和消费共计159111元。庄某与牛某认为由于被告管理存在缺陷以及服务中心人员配备不足等原因,未能及时为其办理挂失手续,致使原告的钱被他人取走,造成原告的巨大经济损失,请求法院判令:1、二被告赔偿原告159131元人民币,以及按每日万分之二的利率计算至付款日的利息;2、由二被告承担本案诉讼费用。
另,庄某以为犯罪嫌疑人之所以能修改庄某借记卡的密码,是因为犯罪嫌疑人在庄某办理转账业务时偷窥了密码。但在2009年4月二审法庭调查时,某银行深圳分行陈述:在该银行的柜员机上插入借记卡、输入密码进入操作界面后,进入“修改密码”菜单,不需要再次输入密码就可以设置新的密码。经法院核实,直至2009年4月份,在某银行深圳分行的柜员机上修改借记卡的密码时不需要输入原密码。(注:现在该银行已对柜员机的操作程序进行了修改,在修改借记卡的密码时需要输入原密码。)
【裁判结果】
银行担七成责任
深圳市中级人民法院依照《中华人民共和国民事诉讼法》第一百五十三条第一款第(三)项的规定,判决如下:一、某银行宝安支行、某银行深圳分行于判决生效之日起十日内赔偿庄某、牛某损失人民币111391.7元(159131元×70%)及利息(从2007年8月12日起按中国人民银行同期人民币一年期存款利率计算至判决指定的付款之日止);二、驳回庄某的其他诉讼请求;三、驳回牛某的其他诉讼请求。
【裁判理由】
柜员机有安全漏洞 银行未及时办理挂失
此案经一、二审法院审理认为,在用户输入密码进入某一电脑应用程序界面后,如需更改用户密码,用户需再次输入原密码才能设置新的密码,这属于基本的、广泛使用的电子安全措施,可以防止在用户未退出应用程序而离开电脑的情况下他人擅自修改用户密码。在银行业中,客户凭银行卡在柜员机上进行操作后因各种原因未取回银行卡的情形时有发生,银行应采取合理的、适当的安全措施以避免或减少客户因此类问题而发生的损失。客户在某银行深圳分行的柜员机上修改借记卡的密码时不需要输入原密码,这属于一项严重的安全漏洞,而消除这一漏洞,只需要在柜员机的源程序代码中增加数行核验原用户密码的代码,这并不会更多地增加某银行深圳分行的经营成本。庄某的借记卡被犯罪嫌疑人调包后,犯罪嫌疑人利用上述安全漏洞,趁庄某的借记卡尚未退出柜员机而庄某已离开柜员机之机,修改了庄某借记卡的密码,并凭新设的密码持卡跨行取款及消费,给庄某造成损失。另,庄某的借记卡于2007年8月11日16时57分被犯罪嫌疑人控制及修改密码,庄某在同日16时59分开始拨打某银行深圳分行的服务热线电话955××挂失。而由于某银行深圳分行的柜员机操作系统存在安全漏洞导致庄某的借记卡密码被犯罪嫌疑人修改,致庄某无法办理电话自助挂失;同时某银行深圳分行未在合理时间内为庄某办理人工挂失,导致庄某无法阻止自身损失的扩大。
综上,某银行深圳分行的柜员机操作系统存在安全漏洞且某银行深圳分行未在合理时间内为庄某办理电话挂失,某银行深圳分行对庄某的损失负有主要过错,应对庄某遭受的损失(159131元及利息)承担70%的赔偿责任。庄某因疏于防范致使其借记卡被犯罪嫌疑人调包,对自身损失的发生负有一定过错,应对自身损失承担30%的责任。某银行深圳分行是涉案借记卡的发行者,是本案的适格被告。庄某、牛某共同起诉的行为表明庄某、牛某均认可涉案账户内的资金系夫妻共同财产,庄某申领及使用借记卡,具有代理牛某处置财产的性质,根据《中华人民共和国合同法》第四百零三条第一款的规定,牛某有权向某银行宝安支行、某银行深圳分行主张本案储蓄合同项下的权利。庄某在其借记卡被犯罪嫌疑人调包的2分钟后就开始与牛某用两人的手机拨打955××,同时立即返回某银行新洲支行营业厅,在某银行新洲支行营业厅已下班无法办理柜台挂失的情况下又用营业厅的座机继续申办电话挂失,同时还向公安机关报警。上述情况说明庄某、牛某一直积极使用各种方法尽力避免自己的损失。某银行宝安支行提出的庄某、牛某返回某银行新洲支行营业厅后在银行工作人员的协助下“迅速”办妥了挂失,故某银行深圳分行电话服务正常的上诉理由,缺乏事实依据,法院不予采纳。
商业银行应保障交易安全
目前通过柜员机及银行卡所实施的各种犯罪时有发生,具有强大实力的商业银行有能力、也有义务改进和增强其交易终端的安全性能,并针对柜员机和银行卡在实际操作中暴露出来的安全漏洞,随时对其进行改进,防范通过柜员机和银行卡所实施的犯罪行为。
银行应当采取合理的、适当的安全措施,以避免或减少客户的损失
银行卡的交易密码是在交易过程中核验银行卡使用人权限的主要手段。在一般情形下,凭交易密码所进行的交易均视为持卡人本人所实施的交易。为保护客户交易安全,银行普遍采取在柜员机上设置遮板、柜员机屏幕上显示的密码字符用“”符号代替等各种安全防范手段。设置新的用户密码之前必须输入原密码,是一种常用的电子安全防范手段。而且,柜员机一般安置于公共场所,客户在柜员机上进行操作后因自身疏忽等各种原因忘记退出银行卡的情形时有发生,银行应当预见到客户发生这种问题的可能性,并应当采取合理的、适当的安全措施以避免或减少客户因此类问题而导致的损失。本案中的某银行深圳分行的柜员机修改借记卡的密码时不需要输入原密码,属于一项严重的安全漏洞。如果不存在这一安全漏洞,犯罪嫌疑人在调包成功后最多只能从原柜员机上按当天最高限额提取现金。
我国合同法采用了可预见性理论作为限制赔偿责任的依据,只有当因违约所造成的损害是可以预见的情况下,才能认为损害结果与违约之间具有因果关系
某银行深圳分行的《借记卡章程》规定:“发卡机构设立24小时挂失服务电话,持卡人遗失借记卡应及时办理书面或电话等非书面方式的挂失,发卡机构接到挂失申请后应及时办理挂失手续,挂失自挂失手续完成时立即生效。在发卡机构办理挂失手续完成之前的经济损失由持卡人承担。”在本案中,庄某的损失发生在其拨通热线电话之后至接通人工服务办理挂失之前这段时间。如果在用户拨打热线电话之后由于银行服务方面的原因,导致挂失申请在较长时间之后才被受理,那么在这段不合理的迟延受理期间所发生的用户账户内资金被他人盗取的损失,银行是否应承担责任?我国合同法采用了可预见性理论作为限制赔偿责任的依据,合同当事人应对其可以预见到或者应当预见到的损失负赔偿责任,只有当因违约所造成的损害是可以预见的情况下,才能认为损害结果与违约之间具有因果关系。借记卡的挂失针对的是借记卡遗失这种情形,在挂失手续完成之后借记卡账户内的资金被银行冻结止付,在挂失后如果银行仍允许被冻结账户发生资金支付所导致的损失,属于银行可以预见到的损失,应由银行向持卡人承担相应责任。借记卡遗失不同于交易密码被他人掌握,在通常情况下借记卡遗失并不必然导致交易密码被他人掌握、账户内资金被他人取走的后果。在一般情形下,要求银行承担持卡人拨打热线电话至办理完成挂失手续期间所发生的损失,将过于加重银行的责任。但在本案中,由于某银行深圳分行柜员机操作系统中存在安全漏洞,持卡人在柜员机上遗失借记卡后极易发生交易密码被他人修改掌握的后果(此后果一方面导致庄某无法办理自助挂失,另一方面导致犯罪嫌疑人可以无限制地提取庄某借记卡内存款),在此情形下为保护持卡人的权益,应当加重某银行深圳分行未及时办理挂失业务的责任,某银行深圳分行未在合理时间内为庄某办理电话挂失,应承担相应的赔偿责任。
因混合过错而发生的损害,双方应按各自的过错程度和过错性质承担责任
《中华人民共和国合同法》第一百二十条规定:“当事人双方都违反合同的,应当各自承担相应的责任。”该条规定了混合过错的情形,即双方都有过错并共同作用造成损害后果。因混合过错而发生的损害,双方应按各自的过错程度和过错性质承担责任。本案中,庄某因疏于防范致使其借记卡被犯罪嫌疑人调包,这是庄某损失发生的首要原因。但庄某在被调包后的第三分钟就发现自己上当,并立即开始拨打热线电话挂失。庄某的挂失行为是对自身过错的合理补救,由此可以减轻庄某的责任。而某银行深圳分行存在着密码修改方面的安全漏洞以及未在合理时间内为庄某办理人工挂失的双重过错,应对庄某的损失承担主要责任。
犯罪嫌疑人
16时56分
调包银行卡
16时57分
修改密码
17时至17时15分
取现消费