银行未尽风险提示义务

对伪基站诈骗造成持卡人损失应予适当赔偿

马德健

【 案情】张某向工商银行申办借记卡一张，并预留其手机号作为联系方式。2014年12月20日，张某收到95588发来短信“尊敬的工行用户：您的网上银行将于次日失效，请即时登录m.icbcxdn.com 升级维护，以免影响您的银行卡正常使用。【工商银行】”。事后证明该短信系犯罪分子通过伪基站所发送。次日，张某通过手机银行转账时，感觉网速较慢，遂通过上述短信中的网络链接进行升级。事后证明其进入的是钓鱼网站。张某点击进入“工行网站”后，按照网站的提示输入其银行卡卡号、 密码、 动态密码等所有信息，完成了“升级”。其间，张某收到95588发来短信两条“编号861587，动态密码050001。您申请修改工银E 支付信息。请勿泄露动态密码【 工商银行】” ；“ 编号867803，动态密码353726。您申请修改工银E 支付信息。请勿泄露动态密码【工商银行】”，但张某以为该短信的发送是基于正常的升级维护，未引起足够的警觉。随后，张某收到了 95588发来短信“您尾号8319卡 21日11：10网上银行支出 (网转)99998元，手续费 12.50元，余额15199.57元。【工商银行】”，此时其意识到银行卡资金可能被非法转账，遂向当地公安报案。公安机关调取了银行卡资金转账记录，显示张某银行卡存款被他人非法转入了在工商银行山西省某支行营业部开立的户名“罗##”的银行账户。 因犯罪分子一直未落网，无法进行追赃，张某向当地法院提起诉讼，要求发卡行向其兑付卡内被盗资金及利息。
    工商银行辩解称，未向张某发送过系统升级短信，涉案诈骗短信载明的登录网址是m.icbcxdn.com ，而工行网上银行网址是www.icbc.com.cn ，手机网站网址是wap.icbc.com.cn，该网址与张某手机短信中的网址差别较大，张某误入“钓鱼网站”，造成密码泄漏丢失存款，是因自身未尽到谨慎义务；张某申领银行卡时，在个人银行结算账户管理协议及电子银行个人客户服务协议中约定，对于预留密码的账户，凡使用正确密码进行的交易均视为客户本人行为，客户应妥善保管账户介质、密码等，因保管不善造成的损失由客户自行承担，同时约定办理网上业务时应直接登录工行载明的网址，而不能通过邮件或其他网站提供的链接登录，手机银行应直接登录手机银行网站。
    【裁判】一审法院认为，张某未仔细辨别工行真实手机 银 行 网站，直接登录了非工行手机银行网站，其轻信诈骗短信，导致银行卡资金流失，资金损失应由张某自行承担。张某不服，提起上诉。
    二审法院认为，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。本案中，发卡行未尽到上述法律规定的保障持卡人用卡安全的合同附随义务，但同时持卡人张某自身亦存在过错，应减轻发卡行的责任。遂结合案件实际情况，酌情改判工行对张某的损失负30% 的赔偿责任。
    【评析】按照电信市场的惯例，某一电话号码或短信服务号码均对应着特定的使用主体，例如“ 95588”就是工行开展银行卡信使服务、短信认证服务所使用的固定短信号码。由于普通公众不具有特殊的技术手段和专门的鉴别能力，当其作为持卡人收到“95588”发来的短信，而短信内容又与其银行卡业务有关时，其对短信是工商银行系统发送，还是他人利用某种技术手段假借“95588”的名义发送，是难以作出准确判断的。因此，中国银监会公布的《电子银行业务管理办法》第四十一条规定：“金融机构应当建立相应的机制，搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。”第三十九条规定，“金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险”。中国银监会《关于做好网上银行风险管理和服务的通知》第三条规定，金融机构要加强网上银行安全防范，及时对客户进行风险提示。 针对张某收到的以“95588”名义发送的网银升级短信，工行不能证实其曾对类似诈骗行为进行过排查和处理，亦不能证实其曾向张某进行过防范虚假短信的安全提示。
    当前，实施金融诈骗的“钓鱼网站”的域名往往与银行官网的域名具有一定的相似度，借此迷惑用户，诱使用户点击错误的网站链接。 如本案中“ 钓鱼网站”域名为m.icbcxdn.com ，工行手机银行官方域名为wap.icbc.com.cn ，二者都包含“icbc”。而且，银行官方网站域名一般为英文缩写，普通公众并不了解每个字母代表的具体含义，难以辨别网站的真伪。本案工商银行在《中国工商银行电子银行个人客户服务协议》第二条第二项和《工银电子密码器领用须知》的“温馨提示”部分载明了工行网银的网站域名，并载明持卡人应直接登录官方网站，而不要通过链接登录，在登录系统时对域名进行核对，以及包括银行在内的其他人不会向持卡人索要密码。上述内容是工商银行为重复使用便利而单方预先拟好的条款，其中增加了持卡人的审查责任和注意义务，属于合同中的格式条款，工行应负有向张某进行提示说明的义务。根据《中华人民共和国合同法》第三十九条、《最高人民法院关于适用〈中华人民共和国合同法〉若干问题的解释(二)》第六条的规定，工行在合同订立时未采用足以引起对方注意的文字、 符号、 字体等特别标识，亦不能证明按照对方要求对该格式条款予以说明，因此上述合同条款对张某不发生法律效力，工行不能据此证实已对张某进行过防范假冒网站的有效提示。
    在不法分子施骗过程中，工行向张某发送了两条“正在修改工银E 支付信息、切勿泄漏动态密码”的短信。结合短信的内容看，该两条短信应是不法分子通过“钓鱼网站”获取张某的卡号、密码后，意图修改张某的网银E 支付信息时，工行系统自动向张某发送的修改认证短信。但此前张某基于对银行短信服务号码的信任，为了升级网银系统误入“钓鱼网站”，主观上已经陷入错误认识，此时对于网银系统升级与收到的短信有无关联，或者说短信的真实含义，作为普通人很难在第一时间直接作出正确的理解和判断，况且短信内容不是针对张某收到虚假短信和误入“钓鱼网站”的直接、明晰的提示，且银行卡款项也并非因张某泄漏这两条短信中的动态密码而被转走，故该短信实际所能起到的安全提示作用是有限的，并非必然能够警醒持卡人。
    工行对虚假短信、假冒网站疏于排查、处理和提示，是张某误信虚假短信、误入假冒网站，且收到工行发送的“修改工银E 支付信息”的两条认证短信后仍未意识到银行卡信息泄漏的原因之一，工行并未充分尽到保障持卡人用卡安全的义务。一审法院认为工行充分尽到了风险告知、安全提示义务，该事实认定有误，应予纠正。
    张某开卡后曾多次通过手机客户端登录网银办理业务，在其手机客户端显示无法升级时，其未向发卡行进行业务咨询，而直接通过短信链接方式升级，主观上缺乏必要的安全防范意识。 特别是当其收到“正在修改工银E 支付信息、切勿泄漏动态密码”的短信后，其已意识到情况异常，但却未及时终止在网页操作，也未向发卡行进行业务咨询，而是作出了错误的选择，以致将自己的卡号、密码、电子密码器生成的“挑战码”全部泄漏，其自身过错是比较明显的，这也是其银行卡款项被非法转取的主要原因。
    金钱为一般等价物，款项存入银行后，所有权即转移给银行，储户享有的只是基于储蓄存款合同要求银行兑付本息的债权。张某资金被非法转取，造成无法从银行兑付相应款项，其损失本质上属于债权受到损害。 工行因未充分尽到保障张某用卡安全的合同附随义务，故应赔偿张某资金被非法转取、无法兑付存款本息的经济损失。但张某对自身损失的发生具有主要过错，应根据其自身过错程度减轻银行的赔偿责任。