一起银行卡资金被盗取案例及其对银行的启示

基本案情

原告王慧中诉被告A银行大成市正光路支行储蓄存款合同纠纷一案，法院于2010年1月19日受理后，依法组成合议庭公开开庭进行了审理。原告王慧中及其委托人张泽荣，被告的委托人刘民秀、邓伟功参加诉讼。

原告于2007年9月在被告处开设“一卡通”账户，原告单位每月通过该账户向原告发放工资。截止2010年1月3日，原告的账户余额为人民币46221.65元。2010年1月5日，原告起床后开启手机，收到A银行多条有关提款信息，原告马上拨打该银行服务电话查询账户信息，发现原告在被告处的账户余额变为6091.65元，随即报警并到大成市公安局远普区分局派出所接受询问，该派出所予以受理。随后原告赶到被告处进行查询并打印清单，发现账户上的40000元被犯罪分子在2010年1月4日和5日通过异地银联ATM机分15次取走。2010年1月5日，原告就其银行卡存款被他人盗取向大成市公安局远普区分局前进派出所报案。2010年1月19日，原告提起该案诉讼。原告认为，原告与被告依法建立了储蓄合同关系，依照《中华人民共和国商业银行法》第六条，被告作为金融机构，负有保障存款人合法权益不受侵犯的义务。现请求判令：（1）被告立即向原告支付存款人民币40000元及其利息；（2）被告承担本案的全部诉讼费用。

案件审理过程中，法院依法向大成市公安局远普区分局经济犯罪侦查大队调取涉案40000元交易的取款录像，录像显示他人使用正面为金黄色的银行卡进行了该部分交易。2010年1月6日，原告向被告申请查询异常交易的详细地址。

后经法院审理查明，原告在2007年向被告申请办理一卡通。被告核发的一卡通正面为蓝色。2010年1月3日下午，原告持其一卡通在位于大成市远普区的B银行ATM机上分别取现3000元及2000元，扣除两次交易手续费4元，其卡内余额为46221.65元。2010年1月4日23时起，他人持正面为金黄色的克隆卡在中国建设银行荣程市区的ATM机上从原告的账户中连续取现8次，每次2500元，共计20000元。2010年1月5日零时起，他人持正面为金黄色的克隆卡在C银行设在荣程市港口路的ATM机上从原告账户中连续取现7次，共支取现金20000元。该部分事实，有被告提供的证据及法院从公安机关调取的取款录像为证。

法院裁判如下：被告A银行股份有限公司大成正光路支行在本判决发生法律效力之日起七日内，向原告王慧中支付40000元及其利息（从2010年1月6日起计至本判决确定的给付之日止，按照中国人民银行规定的同期活期存款利率计付）。本案受理费800元，由被告A银行股份有限公司大成正光路支行负担。

争议的焦点问题

（一）关于是否为克隆卡交易问题。原告认为其存款被盗取是缘于其卡信息和密码被盗取，并使得犯罪分子制造出克隆卡。原告为证明其卡信息及密码被犯罪分子盗取的地点及手段，提供了其于2010年1月11日拍摄的位于大成市远普区的B银行ATM机照片，照片显示该ATM机的键盘及插卡口处有明显的胶水痕迹。原告称是犯罪分子在该ATM上加装盗码设备导致其银行卡信息及密码泄露。被告则称无法判断原告的银行卡信息及密码是如何泄露出去的。被告A银行股份有限公司大成正光路支行虽然没有直接否定克隆卡问题。但是被告就其对克隆卡产生的原因和责任问题作了抗辩，并认为其不应承担任何责任。

法院对于争议40000元的交易是否属于克隆卡交易的问题，提出了肯定的意见，其理由如下：第一，从取款的银行卡本身来看，取款人使用的银行卡正面为金黄色，而被告向原告核发的银行卡正面为蓝色，两者显然并非同一张卡；第二，从交易的时间来看，取款人选择在2010年1月4日深夜与2010年1月5日凌晨取款，并且其取款金额均为日最高限额，该行为也可以印证是他人持克隆卡盗取原告存款的事实。综上，法院依法认定发生涉案40000元交易的银行卡系克隆卡。

（二）关于被告银行是否尽到安全保障义务。原告为证明其卡信息及密码被犯罪分子盗取的地点及手段，提供于2010年1月11日拍摄的位于大成市远普区的B银行ATM机照片，照片显示该ATM机的键盘及插卡口处有明显的胶水痕迹。原告称是犯罪分子在该ATM上加装盗码设备导致其银行卡信息及密码泄露。被告则称无法判断原告的银行卡信息及密码是如何泄露出去的。

被告就银行是否尽到安全保障义务问题，提出以下主张：首先，原告称导致其借记卡被克隆的直接原因是B银行的ATM机上被犯罪分子安装了盗取卡片信息的设备，是因为B银行疏于对ATM机的管理。犯罪分子使用克隆设备盗取信息时使用的异地ATM机也不是我行所有的，是这些ATM机没有辨别出犯罪分子使用的卡是假卡。其次，原告疏于对密码的管理，原告提供的证据已经显示其最后取款的ATM机的入卡口及周围有明显的胶水痕迹，证明其2010年1月3日在该台ATM机取款时，该ATM机被犯罪分子安装了入卡口设备，并被这些设备盗取了借记卡的信息及密码，原告作为银行卡的持卡人，妥善保管及使用卡片以及密码是持卡人应尽的义务，原告疏于履行上述义务是导致借记卡被克隆以及密码被盗取的重要原因，因此原告自身也存在明显的过错。同时，被告申请追加B银行大成分行为本案的被告。

法院认为，第一，被告的任何行向原告提供取款业务，必须尽到安全保障义务，以防止原告的银行卡信息密码被犯罪分子盗取，否则应由被告向原告承担储蓄合同违约责任；第二，从原告提供的位于大成市远普区的B银行ATM机照片来看，照片显示该ATM机的键盘及插卡口处有明显的胶水痕迹，该胶水极可能为犯罪分子安装盗码器所留；第三，从交易时间来看，原告最后一次正常交易在该台机器上进行；第四，从举证能力来看，原告在发现账户异常后及时报案，查询异常交易地址，并积极寻找银行卡信息及密码可能的泄露的地点，原告已经尽到举证责任。综上，法院合理推定原告的银行卡信息及密码于2010年1月3日在位于大成市远普区的B银行ATM机上被犯罪分子安装的盗码器所盗取，进而，法院依法认定被告未能尽到安全保障义务。

（三）关于被告的违约责任问题。被告银行认为其对本案存款被盗取事件没有违约，其理由如下：（1）借记卡及密码是识别储户的唯一凭证。因此，无论任何人到ATM机取款，只要信息正确，且输入的密码正确就可以成功取款，原告主张银行应向其支付存款人民币4万元，但银行实际已经向储户支付了相应的款项，银行并不存在任何违约行为。（2）至于原告主张其存款4万元并非其本人提取，而是他人盗取，该纠纷应属于侵权纠纷，在原告的侵权纠纷中发卡行无任何过错。

法院认为，根据合同的约定，在ATM上取款应凭密码和真实银行卡。从查明的事实来看，被告行的ATM机被犯罪分子安装盗码器导致原告的银行卡信息及密码被盗，被告行的ATM机未能识别出克隆卡即同意发生40000元的交易，故被告未能在交易过程中尽到安全保障义务，应由被告承担相应违约责任并赔偿原告的全部损失。被告有关其不应承担责任的抗辩理由缺乏法律依据，法院不予采信。

对银行的启示

第一，银行应关注它行ATM机管理疏忽引发客户银行卡信息被盗取的责任问题。本案中较为特殊的是，发卡行并无直接管理ATM机的义务，但是法院从发卡行和ATM机提供行之间的关系出发认定发卡银行直接承担客户损失赔偿的责任。这种裁判很大程度上加重了发卡银行的风险，为了合理分配有关权责，笔者认为银行业协会或者监管机构有必要加强银行机构管理ATM等通用设施的管理，并且有必要适当明确发卡行和行之间的权责，防止争议解决成本的徒增。笔者认为本案被告银行应该坚持要求将B银行加入本案当事人或者第三人范畴，否则银行之间另行存在很大的不确定性，解决纠纷的成本将大大增加。如果银行监管机构、银行业协会或者中国银联通过协议化机制就ATM机等通用设施的使用构架合理的责任分配机制，将大大利于银行各司其责,简化纠纷解决过程，降低纠纷解决成本。

第二，银行应重视ATM机等服务中相关证据的留存。从银行业存款纠纷案例来看，普遍存在证据准确提供的困难问题，无论是柜面还是自动取款机的交易，银行都有必要适当保存相关视频资料。这些证据主要有助于防控客户和第三人串通来损害银行利益。尤其是银行卡及其密码有关信息泄露的容易性以及证明客户存在维护过错的举证难度等因素，大大不利于银行抗辩客户的过错，而促使银行不得不借助交易环节相关音像资料的保存来证明客户可能存在过错。

第三，克隆卡盗取客户存款的问题既需要技术解决，也需要风险化解机制来补救。从本案审判过程来看，虽然原告主张以及法院裁判的依据均有不足，但数起重大克隆卡团伙盗窃银行客户存款案件的告破，也证明了银行卡的确存在被克隆的可能性和现实性，这在一定程度上反映了银行卡技术安全方面存在漏洞并亟待技术升级。银行卡技术升级有助于克隆卡风险的防范，但并不可能依赖一种一劳永逸的技术升级来化解克隆卡风险。鉴于此，银行有必要在风险化解机制上引进诸如保险赔偿等手段，银行监管机构、银行业协会以及中国银联应积极推进由保险或专项基金形成的补救机制以应对高技术性犯罪对银行造成的损失。

（作者单位：中国工商银行深圳分行）