徐某發現其銀行卡多筆交易非本人所為,向公安機關報警。經查詢得知,其銀行卡內資金被消費了7筆共計27498元,其中大部分款項均為線上POS消費。徐某陳述其未收到銀行信使發送的短信提示。銀行提供的銀行信使記錄表明,徐某上述七筆消費均有短信提醒。

根據公安機關的調查,犯罪嫌疑人何某等人獲取到公民信息、木馬病毒后,將帶有木馬病毒鏈接的短信發送給被害人,被害人點擊鏈接后手機被植入木馬病毒,何某等人通過植入的木馬病毒竊取到被害人銀行卡、身份證號、手機號碼等信息后,通過門店掃碼支付等通道用被害人的信息以及攔截到的支付寶驗證碼完成支付,盜刷被害人的銀行卡。

徐某與銀行之間的儲蓄存款合同合法有效。徐某開通網上銀行和e支付后,不借助銀行柜臺、ATM柜員機、POS機或其他交易媒介,僅通過互聯網、手機網站及其他終端電子交易平臺就可以從事轉賬、匯款、手機支付等相關銀行業務與商品交易。徐某銀行賬戶的七筆資金交易均通過互聯網進行,僅在e支付、易付寶、快捷支付等有關客戶端輸入銀行卡信息、交易密碼或銀行預留手機接收到的驗證碼就可以完成支付。交易密碼及手機接收到的驗證碼應當由徐某本人掌握和控制,徐某未收到銀行信使發送的驗證碼及短信提示,應當是其身份證、銀行卡、手機號碼等信息及支付驗證碼已為犯罪嫌疑人陳某等人掌握和控制。徐某沒有充分證據證明銀行對其銀行卡密碼泄露、資金被盜存在過錯,故銀行對徐某賬戶資金損失不應承擔賠償責任。

法官后語:

電子化交易難以復原交易當時的真實情景,越來越多的銀行卡糾紛在舉證責任分擔、證明標準、證據關聯性等問題上陷入困境,事實認定成為處理此類案件的焦點和難點。大多數銀行對于銀行卡的使用主體以及銀行卡密碼的使用原則規定基本一致,均約定銀行卡僅限本人使用,不得出借出租;所有通過銀行卡密碼進行的交易均視為本人操作。本案銀行卡合約中即約定“經密碼或驗證要素校驗通過,交易(含預授權交易)即視為甲方本人所為并由甲方承擔交易款項”。

在銀行卡糾紛的司法實踐中,銀行均以“通過密碼操作即為本人操作”作為免責的抗辯理由,認為憑借密碼交易而不需要識別交易者真實身份是現代電子化交易的核心要求。在當前的銀行卡交易模式下,銀行很難甚至不可能準確識別每一筆形式交易者的真實身份,只能設計物理介質的銀行卡和存儲意識的密碼作為保障資金安全的雙保險。持卡人負有妥善保管銀行卡和密碼的義務,對于他人憑借銀行卡和密碼進行交易,銀行擬制為持卡人本人交易或合法授權的交易并無不當。“密碼交易視為本人交易”的格式條款也有例外適用的情形。因不法分子利用在銀行ATM機盜裝的設備竊取密碼和卡信息制作克隆卡導致資金損失,不適用密碼交易視為本人交易”規則。此情形下,用戶已經履行了妥善保管銀行卡和密碼的義務,由于銀行未能提供必要安全、保密的業務辦理環境導致資金損失,應當由銀行承擔相應的責任。

對于賬戶內的資金損失銀行是否應當承擔賠償責任,重點應把握銀行對于密碼被盜取是否存在過錯,而不是要求銀行對實際交易者的真實身份進行有效核實。飛速發展的電子化交易給交易雙方帶來了便利,交易效率的提高必然要舍棄某一交易環節,若對銀行提出何時實際交易者的真實身份,有違現代經濟發展規律。

本案中,不法分子通過在用戶手機植入木馬病毒,盜取用戶銀行卡、身份證號碼、手機號碼等信息,攔截短信驗證碼在互聯網實現銀行卡盜刷。本案銀行卡交易密碼被盜取是由于用戶點擊了不法分子發送的帶有木馬病毒的鏈接,銀行按照合約依法履行了安全保障義務,發送交易驗證碼,對于交易密碼泄露不存在過錯,故對用戶銀行卡內資金損失不應承擔賠償責任。