商业银行防范银行卡欺诈风险问题探讨

摘要：在银行卡的申请、发放、交易过程中，由于客户、特约商户以及银行对风险认识及防范上的不足，致使银行卡欺诈纠纷时有发生，欺诈手法不断翻新，范围不断扩大，在给客户和银行造成资金损失的同时，也给银行的声誉和银行卡的推广带来影响。笔者通过对当前银行卡欺诈纠纷的调查分析，试图从国内学者较少涉及的商业银行的角度揭示银行卡欺诈的风险和交易主体的责任，提出针对性的防控措施，维护交易主体的权益。

关键词：商业银行；银行行长；欺诈风险

文章编号：1003-4625(2010)01-0118-03　中图分类号：F830.33　文献标识码：A

一、银行卡欺诈中银行的风险分析

(一)客户身份识别错误的风险。由于发卡行身份识别错误导致错误付款，发卡行一般要根据过错大小承担相适应的法律责任。如，最高法院公布的聂晓斌诉某发卡行案件。2000年12月3日，原告聂晓斌与胡某签订购买电解铜协议约定：聂在某银行开设一储蓄账户，存人购货资金备胡查询，聂接货并验收后，告知胡密码，并提供聂的身份证复印件，胡方可取款。同日，聂在宾阳某行办领了储蓄存折、银行卡及密码信封；同月5日存入25万余元。同月18日，聂仍未收到货物，通过银行查知，其账户中25万元于6日被持“李建国”身份证的人凭卡临柜一次取走，余款3900元也被人于同日通过ATM分四次取完。经警方侦查，取款人“李建国”所持身份证为假证。最高法院最终以宾阳某行未能按照中国人民银行《关于加强金融机构个人存取款业务管理的通知》、《关于个人存取款业务管理有关问题的批复》规定尽到取款人身份审核之责，对存款被冒领负有过错，判决某行承担25万元损失的30％责任。

(二)未适当履行安保义务的风险。在银行自助取款机因技术和管理缺陷而导致银行卡盗取的纠纷中，审判机关一般认为银行与储户之间形成合同关系，银行既然要设无人值守的自助取款机，就必须确保储户的资金安全，而一旦储户在没有过错的情况下资金被人盗取，银行就得承担全部损失。如，最高法院公布的顾骏诉某发卡行案。原告顾骏在某行上海分行办领了借记卡，2003年6月发现卡内资金减少了10068元。经侦查：犯罪分子通过在另一银行(收单行)自助银行门禁系统安装盗码器，窃取原告卡号、密码，并伪造银行卡通过第三家银行的ATM取款。上海第二中院认定银行(发卡行、收单行)负有如下合同附随义务，如防范犯罪、保证交易场所安全、向储户及时告知和保障存款人合法权益不受侵犯等；被诉银行(发卡行)与收单行同为“银联”成员，存在关系，发卡行为被人，应对人的行为负责，收单行未尽相关义务，导致持卡人资金短少，持卡人无过错，发卡行应先行全额承担赔偿责任。

(三)持卡人信息泄露的风险。客户的卡号、密码及卡内储存的其他信息泄漏后，犯罪分子再通过技术手段克隆受害人的银行卡。因持卡人在信息泄漏中没有过错，银行可能承担与过错相适应的责任。如，2006年6月底，姚某在支取其龙卡储蓄卡上的存款时，发现6.7万元早已于同月12日被他人取走，姚随即报案，经警方查明，犯罪嫌疑人使用“木马”程序入侵互联网的网站服务器，盗取了包括姚某在内的一些网上银行客户的身份证号码、银行账号及密码，并利用这些信息，克隆了姚某的银行卡并将姚某的存款盗走。法院认为，不法分子之所以得逞，其根本原因持卡人信息遭泄漏，银行的保障措施出了漏洞，判决银行赔偿姚某6.7万元及利息损失。

(四)法律文件存在瑕疵的风险。银行出于利益最大化和风险最小化的需要，在格式合同中增加相对方的责任与风险、免除和减轻自己责任与风险的现象。一是合同的解释权属于银行，而依《合同法》第41条的规定，合同的解释权不属于任何一方，发卡行无权把最终解释权划归于自己。二是银行保留不需要说明理由收回或不发银行卡给持有人的权利，实际上，银行卡为持有人和发卡行之间合同关系，发卡行以信用卡归己所有为根据，随意停发、收回信用卡等单方面行为是违约行为。三是信用卡收费项目和收费标准一经公布立即生效，无需另行通知持卡人。然而收费项目和标准的修改，意味着合同内容的重大变更，需要双方协商确定。四是对批准和未批准的申请，银行都有权保留相关申请材料不予退还，可能侵犯申请人的隐私。五是持卡人未收到银行的对账单应主动查询，若在到期还款日前持卡人未向银行提出异议，则视同其认可全部交易，剥夺了持卡人的抗辩权。

(五)银行举证不能的风险。判定银行卡欺诈类纠纷的关键，是各方当事人如何承担举证责任和正确收集、提供证明资料。我国《合同法》规定对银行适用的是严格责任原则，举证不能，就可能承担败诉的不利后果。在遇到不法分子利用夜间无工作人员时间在自助设备周围张贴虚假温馨提示、电话号码等方式进行银行卡欺诈的，不法分子在得手后，往往将现场进行清理，接到客户报案后，银行工作人员一般无法见到虚假提示等，也无法向法院提供此类证据，即使向法院举证了，法院也会认为银行未尽到维护设备安全的义务；再如不法分子盗刷客户银行卡的案件，部分不法分子会在其他城市进行消费，由于距离远、时间长等原因，银行要取得犯罪分子消费签名原始凭条难度很大。另外，对银行已尽到保障ATM设备安全的举证难度较大。

(六)信息提示不充分的风险。持卡人需要及时掌握个人账户余额变动信息和资金安全，但由于信息提示不充分，导致持卡人未及时发现资金异常和诈骗行为，错过破获诈骗案件时机，从而造成持卡人的损失。在ATM欺诈、短信欺诈、克隆卡欺诈中，持卡人遭受损失后，一般都会以银行未充分提示风险作为理由之一，要求银行承担赔偿责任，这种案例在实践中表现较多。

二、银行卡欺诈中银行的责任界定

银行卡欺诈的法律调控不仅涉及《刑法》，还涉及《民法》关于法律责任的确定和风险承担问题。欺诈发生之后，固然要追究犯罪嫌疑人的刑事责任，但是如何承担民事责任也是至关重要的。

(一)持卡人和发卡行过错导致银行卡欺诈的民事责任的承担。由于持卡人故意导致的银行卡欺诈理应承担全部法律责任。但是持卡人的保管不善导致银行卡欺诈常引起民事纠纷。例如持卡人将信用卡与身份证一起放置；持卡人随意泄漏信用卡的密码；将银行卡借与他人或转让等，持卡人违反了储蓄合同关系中保证银行卡信息安全的注意义务，主观上存在过错，自然要对资金损失承担相应责任。但在既存在客户主观原因，又存在付款行未按操作规范，对持卡人提供的信息未尽到审查义务时，责任的承担则另当别论。如果双方都违反法定或约定义务，笔者认为应按过错大小、行业习惯来综合确定。在排除了持卡人的主观因素情况下，如果银行严格按照业务规范规定的程序办理并履行充分注意义务，储户资金风险由其自负，案件侦破后，储户有权向罪犯追偿；如果存在银行违规操作、未履行或不适当履行注

意义务的情形，则银行要先行向储户赔偿损失，案件侦破后，银行有权向罪犯追偿。

(二)由特约商户引发的欺诈的民事责任的承担。信用卡诈骗罪主要是针对持卡人的行为的，但是银行也有可能因为特约商户欺诈而导致损失。特约商户方胁迫持卡人签购，利用银行卡多次压单，从而规避授权，既违反了与银行之间的合同，使银行风险加大，又使持卡人承担了不必要的债务负担，形成了对银行的欺诈。此外还有特约商户伪造签购单等欺诈银行。在这种情况下，特约商户是故意施行欺诈的一方。对于特约商户多次压单规避授权故意欺诈的行为，由于我国刑法没有规定，按照罪刑法定原则，不受刑事处罚，但应当承担民事责任，银行可以根据《民法通则》第58条、《合同法》第52条之规定，主张欺诈的民事行为无效，从而要求特约商户赔偿损失。至于商户伪造签购单欺诈银行的，如果数额较大，其行为便已经构成了典型的诈骗罪。银行可以向公安部门报案，追究其刑事责任。另外还有因为特约商户的过失行为导致欺诈发生。例如受理人员没有核对持卡人的身份证，没有核对持卡人的签名，对于已经列入止付名单的银行卡仍然接受等造成损失，根据《合同法》中违约责任的规定，银行得以依据与特约商户的合同中的明确约定来确定责任承担问题。

三、防控银行卡欺诈风险的措施探讨

(一)加快立法进程，严厉打击银行卡欺诈行为。建议尽快出台《银行卡条例》、《支付清算组织管理办法》、《个人信息保护条例》、《支付信用信息管理办法》等法律法规，完善银行卡法律体系。在《银行卡业务管理办法》基础上，系统规范银行在银行卡推广和管理方面的职责，增强责任意识。建立银行卡的安全技术标准，规定银行卡的防伪技术指标，如规范银行卡磁条格式，减少“卡复制”风险。除健全银行卡保密制度外，建议发卡行、收单行、特约商户之间签订相应的客户信息保密协议，确保银行卡信息的安全。

(二)完善银行内部风险控制制度，加强发卡环节风险管理。健全银行内控制度，对银行卡的开户、制卡、发卡、授权、挂失、止付等环节都要有严格的制度把关，且形成监督机制，保证制度得以执行。发卡行应强化申请人资料审查制度，规范审查、授信操作流程。严格办卡条件，加强对申请人的筛选和管理，对银行卡申请人进行严格的身份核实；严把资信审查关，根据审查结果，确定不同授信额度，不能以放宽授信额度作为吸引客户条件。对集体办卡、业务外包等特殊营销方式的申请资料，应加大审核力度，从源头上防范欺诈风险。

(三)建立健全反欺诈和欺诈报告机制。通过对银行卡交易系统的改造，可以使密码在具有合法校验用途之外，增加实时止付等特定通知功能，使持卡人在受迫或被控制时选择使用该项功能保护账户资金安全；为银行卡增加交易通知功能，其中以短信方式及时告知客户账户资金变化情况、交易地点和时间的方式，及时识别卡欺诈风险，维护客户资金安全；建立银行卡反欺诈风险系统，通过计算机技术实现杜绝或要求客户确认疑似交易、响应客户特定请求、紧急挂失和止付银行卡、警告终端操作员等自动管理和服务功能，有效识别欺诈风险。

(四)加装安全设备和改造交易程序，提高自助交易安全。安装ATM电视监控设备，弥补ATM的“视觉”缺陷，保护ATM设备安全，从而震慑犯罪；在ATM外部加装横向红外探测装置，当客户离开而卡未退出情况发生时，强制再次进入人员必须重复输入一次正确的银行卡密码，才能继续交易或实施退卡操作；在ATM终端上增加自动公告功能，将持卡人应知的取吞卡地址、联系电话、日常通告等信息通过网络发送给ATM，再由ATM提示给持卡人，以防不法分子以发卡行的名义张贴告示，欺诈持卡人。

(五)修改后台软件系统，增加银行卡初始密码强制修改功能。通过后台的相关设置，强制每一张新发卡在首次办理存取业务前必须更改掉发卡行提供的初始密码；对于银行卡换卡，要先冻结卡账户，在换卡人确认已对新换卡做过密码修改后，再解冻。在这种情况下，即便银行卡的打卡写磁和密码文件泄露，也不会在联网操作的条件下给持卡人造成损失。

(六)加强安全管理，防范系统性风险。建立严密的业务和技术操作制度和权限制约原则，明确系统操作员的操作程序和权限，实行分级管理；健全网上银行等电子支付安全管理组织制度，通过对安全管理人员进行安全技术和规程培训，杜绝内部操作和管理上的隐患；加大科技投入和安全投资，采取更严密的安全措施，确保银行卡交易的安全性、一致性、资料完整性和不可抵赖性；建立切实有效的灾难备份机制和资料恢复机制。

(七)加强商户管理，妥善保管POS程序。通过制定必要的准入条件，确保特约商户质量；加强商户日常管理工作，强化安全和守法意识；发卡行要建立严格的保密制度，妥善保管POS交易程序、下载程序及其源代码，严防泄漏。

(八)加强与执法部门沟通，共建打击网络。银行应加强与工商、公安、司法等部门的协调，共同打击银行卡欺诈活动；加强与公安部门沟通，掌握案件线索和犯罪动态，做到打防结合；加强区域间的协作，加大对跨区域团伙流窜作案的打击力度；利用与公安部身份信息联网系统平台，建立个人银行账户开立的在线身份认证核对制度，实现银行卡账户实名制，防范银行卡盗用。

(九)加强宣传，提高持卡人安全意识。发卡行应充分利用自身条件，通过各种方式加强用卡安全宣传，提高持卡人安全意识。另外，还要不断拓展服务渠道，为持卡人提供更多、更方便的卡挂失手段，使持卡人在发觉卡遗失或疑似欺诈交易时，能够及时通知发卡行采取控制措施，尽可能减少损失。