信用卡网络盗刷 银行该不该负责任？

邵阳律师为您普法：HTTP://WWW.FABANG.COM/shaoyang/

老张在某银行支行办理了一张信用卡，预留了手机号码，未开通短信通知业务。某银行支行对该信用卡的单笔交易500元以上的大额交易短信免费通知。涉案信用卡开通后，老张正常使用，到期还款。近4年来，老张使用该信用卡发生多笔金额在几十元到几百元不等的消费，鲜有较大额度交易发生。

时间定格在2020年12月24日12时21分，老张的信用卡在5分钟的时间内发生6笔金额每次5000元左右的交易，交易位置坐标海南三亚某文具店……很显然老张遭遇信用卡网络盗刷。此后几天，又接连盗刷2笔，总金额达5万元，老张认为信用卡被盗刷，银行有不可推卸的责任，一气之下，把某银行支行告至历城法院。

基本案情

2020年12月24日12点21分至12点26分，老张的涉案信用卡发生六笔金额分别为5000左右的交易，对手户名为三亚某文具店，老张收到了某银行支行发送的该六笔的消费提示短信。2021年1月5日13点47分、13点48分，涉案信用卡发生两笔金额分别为13986.58元、4999.88元的交易，对手户名分别为浙江某食品超市、浙江某宠物用品公司，老张收到了某银行支行发送的该两笔的消费提示短信。2021年1月5日13点47分，在涉案信用卡发生13986.58元消费后，老张分别收到某银行支行发送的临时额度提升短信提醒及因信用卡额度不足交易失败提醒，并提示可用额度为5099.12元。2021年1月5日13点48分，在涉案信用卡发生4999.88元消费后，老张收到某银行支行发送的两条信用卡因额度不足交易失败提醒，并提示当前可用额度为99.24元。2021年1月5日16时47分，老张向当地派出所报警称，其信用卡被盗刷29907.76元。2021年1月9日，派出所向老张出具立案告知书，告知其信用卡被盗刷一案，符合立案条件，已立案侦查。为证明涉案信用卡未曾丢失并一直由其保管，老张当庭出示了涉案信用卡。某银行支行提交情况说明一份，载明：“客户老张，信用卡卡号为**。通过查询该客户涉案8笔交易，交易均显示DPAN卡号**。DPAN卡号为APPLE PAY业务产生的虚拟账户，该8笔交易均为无卡支付。”

法院查明

DPAN为设备主账户编号的英文首字母缩写。因涉案信用卡发生逾期，某银行支行向中国人民银行征信中心报送了老张的个人信用信息，并于2021年3月7日至2021年6月11日，扣划老张其它银行结算账户存款共计17177.12元。

某银行支行提交其发送到老张手机号下行短信查询列表。2020年10月1日至2020年11月30日的短信查询列表显示：2020年11月30日9点11分07秒至9点36分55秒期间，某银行支行通过106980095533向老张发送四条短信，该四条短信除验证码数字、发送时间不同外，主要内容相同：“验证码××××××,您尾号为的信用卡正在办理我行Apple Pay业务，09：××发送，请在5分钟内使用该验证码。我行工作人员不会向您索取本条短信内容，切勿向任何人透露。” 某银行支行提交北京国都互联科技有限公司出具的《关于老张短信发送记录情况的证明》，该证明主要内容为：“我公司于2013年4月2日开始承接某银行支行的短信发送工作，期间我司已按合同约定完成了银行短信客户数据和内容的全部发送服务工作……我司对于某银行委托的短信发送记录保存时限为1年。此次查询时间2020年11月30日，并未超出查询时间范围，发送记录已经据实提供”。内容与某银行支行提供的下行短信查询列表发送时间、手机号、内容完全一致。老张对上述两份证据的真实性均不予认可，质证称其在2020年11月30日并未收到相关短信验证码，北京某互联科技有限公司系某银行支行的合作方，双方存在利益关系，从证据内容上看，短时间内发送了四次验证信息，有明显被盗取验证信息的可能性，这印证了老张主张信用卡被盗刷的事实。

经法院比对某银行支行提交的下行短信查询列表与老张提交的手机短信截图，老张手机短信内1069870095533发送的短信只有2021年5月26日发送的内容，95533发送的短信只有2020年12月22日15时49分及之后时间发送的内容。并且，经比对两份证据2020年12月22日15时49分30秒至2021年1月28日8时期间的短信，老张手机短信除缺少12条涉及验证码的短信外，其他短信内容完全一致。对于手机中只显示2020年12月22日15时49分之后的短信，老张解释称因手机短信多，将之前的短信删除。对于手机短信中无验证码内容的短信，老张解释称验证码一般不保留，带验证码的短信都删除了。某银行支行提交的下行短信查询列表与《关于老张短信发送记录情况的证明》相互印证，老张虽不认可该两份证据但自述曾删除了带验证码的短信及2020年12月22日之前的银行通知短信，综合判断，法院对该两份证据予以采信，认定老张收到了某银行支行于2020年11月30日发送的Apple Pay业务开通验证码，并将该短信删除。

法院审理认为//

老张在某银行支行办理信用卡，双方形成存款、委托结算等合同法律关系，该合同关系系双方当事人的真实意思表示，不违反法律法规的效力性强制性规定，合法有效。本案的争议焦点为：一、本案是否属于民事案件受案范围；二、案涉八笔交易是否为老张本人所为；三、如上述交易非老张所为，则因案涉信用卡被盗刷所造成的损失应如何分担。

关于焦点一：

某银行支行抗辩称，本案为刑事案件，老张的诉讼请求依法应裁定驳回。《最高人民法院关于在审理经济纠纷案件中涉及经济犯罪嫌疑若干问题的规定》第十条规定：“人民法院在审理经济纠纷案件中，发现与本案有牵连，但与本案不是同一法律关系的经济犯罪嫌疑线索、材料，应将犯罪嫌疑线索、材料移送有关公安机关或检察机关查处，经济纠纷案件继续审理。”老张信用卡被盗刷一案尚在侦查过程中，犯罪嫌疑人并非本案诉讼的参与人，犯罪事实与本案事实并非同一事实和同一法律关系，并且本案的事实认定不以相关刑事案件的处理结果为依据。故本案属于民事案件受案范围。

关于焦点二：

老张主张涉案八笔交易为盗刷产生，某银行支行抗辩称该八笔交易为正常无卡交易支付。法院认为上述八笔消费交易时间较为集中，交易地址均为异地，交易的方式、频率以及金额与老张以往的小额、间断消费交易习惯不符。同时，2021年1月5日，后续两笔交易发生期间，交易人多次尝试交易，有三次交易因信用卡额度不足交易失败。当日下午，老张发现异常交易后随即报警，济南市公安局某局予以立案侦查。综上，法院认为涉案八笔交易并非老张本人所为。

关于焦点三：

合同双方应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。老张作为持卡人，所透支消费的款项资金来源于发卡银行提供的授信额度，为保障信贷关系中的资金安全，老张在日常交易中应审慎用卡，注意交易安全，并妥善保管信用卡信息及交易密码，某银行支行则负有保障信用卡交易系统、交易账号安全，并对交易的风险及内容进行提示告知的义务。根据已查明的事实，案涉八笔消费系通过Apple Pay完成的虚拟信用卡支付，虚拟信用卡的账户编号为**。使用Apple Pay支付时，只要使用者提供的卡号、交易密码正确即可完成消费，无需提供实体的信用卡卡片。依据某银行银行卡Apple Pay用户手册，通过Apple Pay支付必须要开通Apple Pay支付功能，而开通Apple Pay支付功能需要提供老张的姓名、信用卡的卡号、到期日、安全码、短信验证码等重要信息。2020年11月30日，某银行向老张发送Apple Pay业务开通验证码。虽然老张辩称未收到Apple Pay验证码、未泄露信用卡相关信息，但是，综合老张删除了验证码短信、该业务开通后发生八笔Apple Pay支付盗刷以及该业务开通的必经流程，可以合理推断老张泄露了上述相关信息，上述信息的泄露是案涉信用卡被盗刷的根本原因。

对于老张在涉案信用卡被盗刷过程中是否存在过错的问题。在使用案涉信用卡过程中，老张虽未开通短信通知，但是对于单笔500元以上的大额交易、每月银行账单，银行均进行了通知。2020年11月30日，某银行支行四次发送的通知短信中均已提示“您尾号的龙卡信用卡正在办理我行Apple Pay业务”，“我行工作人员不会向您索取本条短信内容，切勿向任何人透露”，在此种情况下，老张未尽到安全防范义务，依然泄露了涉案信用卡的相关信息，导致Apple Pay业务开通成功。2020年12月24日，涉案信用卡通过ApplePay发生六笔盗刷，某银行支行将该六笔的消费数额、剩余信用额度均通过短信的方式予以了通知，但老张因疏忽大意未看到该六个短信通知。本次盗刷后，老张未及时注意到已经发生的异常交易，进而采取挂失或冻结支付等止损措施，导致2021年1月5日，涉案信用卡又通过Apple Pay发生两笔盗刷，扩大了信用卡被盗刷的损失。综上所述，老张在信用卡被盗刷的过程中，未能妥善保管涉案信用卡的相关信息、未及时注意到异常交易，未尽到合同约定的义务，存在重大过错。

对于某银行支行在案涉信用卡被盗刷的过程中是否存在过错的问题。依据上述已查明的事实，某银行支行向老张发送验证码时，已作出了“我行工作人员不会向您索取本条短信内容，切勿向任何人透露”的风险提示，且说明了短信验证码的用途。在信用卡发生交易后，也已及时通过短信通知老张交易信用卡尾号、交易金额、可用额度。但是，某银行推出的新型支付方式，产生了新的交易风险，应当充分告知持卡人支付平台、支付功能、交易规则、交易风险等相关信息。特别是当前通过第三方支付平台产生的盗刷诸见报端、电信诈骗猖獗的背景下，某银行作为国有大型金融企业应当主动履行企业社会责任，构筑完善的互联网金融全流程反欺诈体系，维护客户资金安全。《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》（银监发〔2014〕10号）第三条规定：“客户银行账户与第三方支付机构首次建立业务关联时，应经双重认证，即客户在通过第三方支付机构认证同时，还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份，明确双方权利与义务。”某银行居于明显的、支配的优势地位，而自然人则处于相对的、被支配的弱势地位，故某银行支行理应严格遵守上述规定，尽到最大的注意和风险提示义务。2020年11月30日，某银行支行虽然发送了Apple Pay业务开通验证码短信，但在该业务开通后并未短信告知老张Apple Pay业务已经成功开通以及由此形成的设备主账户编号。同时，也未将该设备卡系虚拟卡非实体信用卡，由虚拟卡产生的消费需实体卡一并还款等诸多义务一并告知，导致老张泄露相关信息后未能注意到Apple Pay业务开通后其面临的风险和后果。综上所述，某银行支行未充分尽到提示告知义务，对涉案损失的产生亦存在一定的过错。

《最高人民法院<关于审理银行卡民事纠纷案件若干问题的规定>》第七条规定：“发生伪卡盗刷交易或者网络盗刷交易，借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的，人民法院依法予以支持。发生伪卡盗刷交易或者网络盗刷交易，信用卡持卡人基于信用卡合同法律关系请求发卡行返还扣划的透支款本息、违约金并赔偿损失的，人民法院依法予以支持；发卡行请求信用卡持卡人偿还透支款本息、违约金等的，人民法院不予支持。前两款情形，持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，发卡行主张持卡人承担相应责任的，人民法院应予支持。持卡人未及时采取挂失等措施防止损失扩大，发卡行主张持卡人自行承担扩大损失责任的，人民法院应予支持。”第十四条规定：“持卡人依据其对伪卡盗刷交易或者网络盗刷交易不承担或者不完全承担责任的事实，请求发卡行及时撤销相应不良征信记录的，人民法院应予支持。”第一次六笔盗刷发生后，老张未及时采取挂失等措施防止损失扩大，导致第二次两笔盗刷18986.46元发生，老张应自行承担该部分损失。对于第一次六笔盗刷29907.76元损失，综合双方未尽义务的情形及过错程度，酌情认定由某银行支行承担30%即8972.33元，其余损失由老张自行承担。某银行支行在承担赔偿责任后，可另行向盗刷者主张权利。对于某银行支行依据《中国某银行信用卡领用协议》扣划老张的存款17177.12元，老张要求返还，法院认为，由于老张应自行承担损失39921.89元，对该诉讼请求，法院不予支持。因老张对网络盗刷交易不完全承担责任，对其请求某银行支行撤销不良征信记录，法院予以支持。判决作出后，某银行支行不服上诉，二审期间，双方在一审判决基础上进行了调解。

法官说法

近年来，银行卡盗刷引发的纠纷持续增多，特别是第三方支付机构的增多，更给犯罪分子以可乘之机。一方面，银行卡持有人应当保护好个人信息，不要轻易将个人银行卡号、身份证号、密码、短信验证码告知他人或在不明网站上填写，在确认银行卡被盗刷后，应第一时间与银行取得联系，通过止付、冻结等方式减少损失，同时向派出所报案。另一方面，在用户开通银行卡第三方支付功能时，银行应尽到必要的提示、告知义务，在开通成功后，更要将开通结果、相关虚拟账号告知用户，同时，发卡行还应尽到审核监管义务，加强对涉银行卡的欺诈侦测，在侦测到异常交易后，应尽快提醒用户防范。

来源：济南历城法院