当前位置: 首页 >新闻快讯 >【现在开庭】银行卡通过第三方支付平台被盗刷,该由谁买单?

【现在开庭】银行卡通过第三方支付平台被盗刷,该由谁买单?

人民法院报 2020-09-12 16:55:44

在互联网金融不断融入公众生活的时代,第三方支付手段因实时、快捷等优势一跃而起,消费者为金融支付的不断创新叫好,但便捷的另一面,却也是孕育网络盗刷的温床。一旦银行卡通过第三方支付平台被盗刷,金融消费者该为自己的疏忽大意买单,还是应由银行和第三方支付平台各自厘清责任?全国首家成立金融审判庭的上海市浦东新区人民法院以案说法,对该院审判的涉及第三方支付的多起盗刷案件进行了梳理并作出分析。


朱利军作


第三方支付平台积极赔付,原告撤回起诉


  上海的吴女士在银行柜台办理取款业务时,突然发现卡内的47139元不翼而飞,便马上将余额取出,并立即前往派出所报案。


  随后,吴女士又仔细查看了银行卡的交易明细,被吓了一跳!她的卡居然在短短四天内从第三方支付平台盗刷了28笔。


  为讨回损失,吴女士同时与第三方支付平台和银行进行交涉。


  不久后,一笔17130元的款项退回了银行卡内,系第三方支付平台先行赔付的款项。但是,对于剩余的钱款,银行和第三方支付平台均未给吴女士明确的答复。为了尽快挽回损失,吴女士一纸诉状,将银行告上了法庭。


  “我认为可能是银行将我的信息泄露出去的,我从未办理过网银功能,也从来没有使用过这些第三方支付平台”。吴女士表示。


  被告银行辩称,所有的交易是基于原告授权给第三方支付平台发送的短信验证码,通过验证码才能交易,被告的操作无过错。


  案件审理期间,经过主审法官的积极调解,第三方支付平台对吴女士进行了全额赔付,吴女士撤回了起诉。


  而在另一起案件中,原告宣女士的两张银行卡被不法分子通过第三方支付平台进行多次盗刷,金额高达283600万元。而后,宣女士多次与平台进行交涉未果。宣女士不甘心,直接将第三方支付平台告上了法庭,要求其赔偿全部损失。


  宣女士诉称,其并未办理手机短信通知业务,也未将涉案信用卡绑定平台账号。认为原被告之间形成服务合同,被告有义务保障原告的交易安全和资金安全,应对此承担赔偿责任。


  该案经过主审法官的积极调解,第三方支付平台同意对宣女士进行赔付。最终,宣女士撤回了起诉。


  据浦东法院金融庭法官顾天翔介绍,第三方支付平台具有一定的风险控制系统,一般而言,他们会尽力将款项拦截或者对异常消费进行拦截,若拦截和干预不成功,有些实力雄厚的平台会先给予受害人全额赔付,事后再通过保险费来救济损失,但也有些平台还需要仔细审核盗刷的责任归属再进行判定和处理。


  在以第三方支付平台为被告的案件中,被告的调解意愿和调解配合度都比较高,再加上法院进行了大量的工作,这类案件的调解撤诉率比较高,约为75%。


开通网上支付功能存漏洞,银行担责两成


  在一起信用卡纠纷中,原告因自己泄露验证码,导致银行卡通过第三方支付平台被盗刷,事后原告仅将银行作为被告诉至法院,法院根据双方责任的承担问题作出了判决。


  2015年3月23日,浙江的蒋小姐接到了一个001955××的银行客服电话,称可以提高信用额度,但需进行刷积分的操作,要求蒋小姐提供银行发送到手机上的实时动态密码。


  “任何人索取动态密码均为诈骗,切勿泄露!账户972元支付的动态密码为××”,很快,蒋小姐就收到了银行发来的短信。


  虽然短信中有扣款的内容,但是蒋小姐也未细看,仍按照客服的提示将动态密码告知了对方。接下去的两天,蒋小姐又接到两通电话,继续进行同类操作。


  第三天,蒋小姐查询信用额度时,才发现骗子分十四次通过网上支付的功能盗刷了22896元。这时,蒋小姐才反应过来,立即向银行反映,并向公安机关报案。经调查,蒋小姐的卡是被人通过第三方支付平台盗刷的。


  对此,蒋小姐觉得很奇怪,她的信用卡并未开通网上支付功能,怎能被盗刷?


  原来,银行曾在其官方网站公示过,银行可以免除客户主动签约,由银行系统自动将签约交易与客户的首次支付交易合并处理。具体来说,在进行首次网上支付时,会跳出一条关于网上支付开通的协议信息,用户勾选确认后就可以立即使用信用卡的网上支付功能。


  蒋小姐还发现,开通网上支付的签约验证和首次付款实时短信验证码竟然是同一个,所以她才产生了错觉,以为是在扣积分需要的动态验证码,并对此后银行发送的扣款短信也没有细看。


  对此,蒋小姐认为银行应承担责任,遂将银行方诉至浦东法院,要求银行承担损失22896元。


  法庭上,原告蒋小姐认为,原告作为普通人已尽到谨慎义务,不存在过错;被告擅自为其开通了网上支付功能,因此被告应为其未尽到审慎的审核验证义务承担赔偿责任。


  被告银行方辩称,原告所接电话与被告的专有客服电话号码955××并不一致,且被告发送短信时已尽到提示告知义务,原告泄露动态码应由其自行承担责任。


  法院经审理认为,被告已尽到了提醒注意义务,原告将动态密码泄露给第三人,自身存在明显过错,应对其财产损失承担主要责任;被告的违约责任体现在未将涉案信用卡开通网上支付功能的流程详尽告知原告,并且开通首次支付功能的身份审核和签约验证过程过于简单,被告违反了发卡行对其签约客户财产的安全保障义务,所以应承担次要责任。


  最终,法院判决被告银行对系争财产损失承担20%的责任。


申请临时额度提升后被骗盗刷,持卡人自担责


  在另一起信用卡纠纷中,原告自己泄露了动态密码,导致信用卡被人通过第三方支付平台盗刷。


  2014年9月6日,南京的胡女士向银行申请提升信用卡的临时额度。不久,胡女士收到了银行发来的短信,通知胡女士的信用卡已被提升了临时额度,自人民币18000元提升至36000元,期限设定为58天。


  同年10月5日,胡女士接到了一位自称是淘宝客服的电话。


  “胡女士,您的淘宝订单存在异常,需要退款,请加我QQ号,告知您如何操作退款。”


  稍微核对了一下信息,胡女士就按照“客服”的要求,点进QQ消息里发来的一条支付宝退款页面,输入个人信息后,将支付验证码告知了“客服”。


  很快,胡女士的信用卡被人通过第三方支付平台接连盗刷了七笔,共计13965元。胡女士虽然立即联系了银行客服,但却无法追回。


  不久后,胡女士看到上海银监局于2014年11月出台的信用卡业务风险管控六条监管要求中给予持卡人临时授信额度期限一般不超过1个月的新规定。


  对此,胡女士又算了一笔账,9月份其已经刷卡消费了1.6万多元,如果银行严格按照规定,对其信用卡的临时额度天数进行严格限制,自己被骗的那天,信用卡里也没剩多少额度给骗子盗刷了。


  胡女士觉得银行对其信用卡被盗刷存在很大的责任,不仅拒绝向信用卡归还欠款,还将银行诉至浦东法院,要求银行承担盗刷的损失13965元。胡女士认为是被告违规操作,导致了自己的损失,理应承担相应责任。


  被告银行辩称,原告不慎将自己的个人信息和验证码等私密信息泄露给案外人,应由原告承担相应的过错责任;原告对其信用额度的调整是知情并同意的,原告提出的监管规定在案发前并不存在,不适用于该案。


  法院经审理认为,原被告之间已通过短信方式对临时额度的期限和额度达成一致,被告给予原告的临时授信额度期限并未违反相关规定,原告轻信案外第三人陈述,未谨慎保管个人信息,将相关动态验证码告知第三人,自身明显存在过错,应为该行为承担全部的责任。


  该案的主审法官黄宗琴认为,该类案件中第三方支付机构、通信运营商等主体与金融消费者及银行均形成了相对独立的关联法律关系,因第三方支付平台的盗刷同时也牵连着银行的监管责任和金融消费者的权利义务,相应的纠纷也随之呈现出复杂性、涉众性的特点,金融消费者可以选择向银行提起侵权或违约之诉,。


法院:交易暗藏风险 涉第三方支付成盗刷重灾区


  通过第三方支付平台,人们可以更为简单便捷地通过电脑、手机进行银行转账、信用卡还款、充值购物、日常缴费甚至投资理财。资料显示,截至2015年3月26日,我国共有270家第三方支付机构获得央行颁发的支付牌照,第三方支付业务已延伸至存款、理财、信贷、国际结算等传统银行业务,成为我国网络金融的重要组成部分。像“支付宝”“财付通”“微信支付”等,是大家最常见的第三方支付工具。


  但是,基于互联网新型支付技术的第三方支付,交易环节中暗藏风险,其中涉及大量资金的进出,第三方支付也成为了一些不法分子盗窃、诈骗的新目标。用户在通过第三方支付购买商品时,有些无需事先开通网上银行功能,只需提供银行卡卡号、户名、手机号等信息,待验证后通过动态口令或第三方支付密码即可完成交易,这类新型支付模式在提升交易效率的同时,也放大了交易风险。有统计显示,超过六成的盗刷都通过第三方支付平台完成,而且盗刷手段也非常多,如设立伪基站进行电信诈骗,对电脑或者手机植入木马病毒盗取个人信息,通过钓鱼网站诱骗银行持卡人进行网上支付,或者补办手机号码截取验证码等。


  浦东法院金融庭法官丁祎认为,新型支付方式下,特别是互联网环境中,银行和第三方支付平台对于用户支付安全的保护仍存在缺陷。比如对一些第三方支付平台的快捷支付方式,发卡银行与第三方支付平台间多为默认开通,不法分子只要获得持卡人的银行卡号及手机号,诱骗用户将病毒植入手机后,就可以进行多次小额支付交易,且不易被持卡人发觉。


  令人担忧是,金融消费者安全保护意识依然不足,一方面,由于公众消费观念的转变及消费方式的变化,消费者已更多地习惯使用银行卡和网络支付作为主要支付工具。另一方面,用户对于其自身信息安全的保护及金融技能的掌握亦存在不足,比如容易听信他人陈述,不当提供短信验证码,或者轻易点击一些钓鱼网站或者木马病毒的链接。


■案件观察

互联网支付  “非面对面”审核的背后


  随着金融市场的不断创新和互联网业务的全面渗透,金融交易模式也逐渐从传统线下交易走向多元化的在线交易,特别是“非面对面”审核方式,让互联网金融支付环境已经悄然发生改变。


  据浦东法院统计,从2015年下半年开始,该院开始受理涉及第三方支付的案件,该类案件数量短期内增长迅速,仅半年时间便受理了30余起,占同期银行为被告的金融消费案件逾50%。


  交易的“非面对面”方式促使传统的伪卡盗刷案件与互联网支付盗刷案件相区别,浦东法院金融庭庭长王鑫认为,二者的差异首先在于,从主要复制物理载体到复制电子信息的转变。传统的伪卡盗刷,需同时复制伪卡、获取密码后,借助POS机、ATM机等物理终端实现,而互联网支付盗刷只要获取持卡人身份信息、银行卡信息以及动态密码即可完成交易。


  其次,是电子信息从单渠道复制到多环节控制。互联网支付中,信息盗取的手段呈现出复杂化和多样化,不再仅仅限于复制伪卡和盗取用户的单一密码,而呈现多渠道信息复制和盗取的特征,是对用户多环节的支付控制。


  再次,是风险从支付交易环节扩展到支付开通环节。互联网支付中网上商户的“非面对面”审核难度大大提升,交易环节和开通环节已经逐渐模糊,首次支付与服务开通的验证往往是同时完成的,非本人授权指令已从交易阶段扩展到开通环节,银行卡安全性大大降低,持卡人的安全权也随之降低。


  最后,是发卡行从安全保障义务到附随义务的转移。法定的安全保障义务是传统银行卡盗刷案件责任认定的主要依据,但互联网支付环境下非本人授权支付的责任如何划分,还要考虑双方对合同义务的全面履行情况,包括是否履行了各自的附随义务,比如发卡行的明确说明及风险提示、及时通知、协助挽回损失等义务、持卡人通知银行及时止损的义务。(黄丹孔燕萍)


■法官建言

完善互联网支付法律制度

树立金融消费者保护理念


  互联网支付业务的规范和完善,直接影响到持卡人的权利保护,对此,浦东法院副院长林晓镍认为,法律和制度的完善尤为重要。


  从宏观的角度来看,应尽快完善互联网支付的法律,加强监管以及对公众的教育。如通过法律明确互联网支付中各方当事人的权利义务;注重对发卡行以及第三方支付机构的行为监管,并督促其将监管要求转化为各方的合同义务,保障持卡人的权利救济。同时,互联网支付的发展,还需要各方参与机构以及相关政府部门、社会组织加强对社会公众的现代化支付理念的培养,加强安全知识的宣传教育,营造一个能够真正推广互联网支付的外部环境。


  林晓镍还建议,应重点完善互联网支付中发卡行的管理机制。金融机构在推广互联网支付业务的过程中应充分尊重并自觉保障金融消费者的合法权益,尤其应确保互联网支付功能“非面对面”开通时系持卡人的真实意思表示。


  发卡行也应完善合同格式条款,尽到告知说明和风险提示义务,充分尊重持卡人的知情权、选择权,在有服务更新时,也应当通过短信或书面等合适途径明确告知持卡人,不能以网站统一公告的形式进行告知。在此基础上,银行和第三方平台也应当对存疑交易的处理作出明确约定,合理履行附随义务,及时向持卡人核实小额重复交易的真实性,最大程度保护持卡人的利益。(黄丹孔燕萍)