潘某在某银行股份有限公司某支行处办理了卡号为6217……1610的银行储蓄卡，并于2020年5月19日开通了电子银行、手机银行等功能，表示知悉并理解《某银行电子银行服务协议》（以下简称《电子银行服务协议》）、《某银行电子银行风险提示》（《以下简称电子银行风险提示》）等的全部条文含义，并履行承诺。《电子银行服务协议》载明，持卡人可享受的服务包括“账户查询、挂失、账户管理、网上支付、投资理财、转账支付、外汇交易、贷款业务、信用卡本人本行还款、投资理财等”（无“资金归集”服务），并约定持卡人办理网上银行业务不要通过网站提供的链接登录，要妥善保管用户名、密码、银行卡号等信息和工具等。《某银行个人电子银行客户风险提示》（以下简称《客户风险提示》）载有“请您在任何情况下不要将银行卡号、账户密码、个人电子银行（网上银行、手机银行、电话银行、电视银行）密码、验证码等信息告知包括自称银行工作人员在内的其他人”等提示。

2021年1月12日，潘某的手机收到带有某银行logo标志的短信，邀请其办理2－10万额度的白金卡，潘某按照短信中的链接打开了疑似某银行的官方信用卡申请网页，填写了所办的银行卡号、身份证号码、手机号码、姓名及银行卡余额等信息。随后，其手机收到一条短信：“您的尾号为1610的卡申请跨行转账，验证码：419461，泄露验证码有资金被盗风险。收款人：刘某某，金额188,888.00，账号后四位0379，请确认后输入。”潘某以为是申请信用卡的验证码，就没有注意该短信的内容，直接将验证码复制到了网页中填写栏。随后，潘某手机马上收到短信：“归集转出金额188,888.00元”。潘某意识到自己被诈骗，遂拨打某银行客服电话，被告知转账已经成功，不能终止。之后，潘某就向公安机关报案。潘某对某银行股份有限公司某支行的投诉信称，公安机关通过技侦措施发现，转账对方的银行卡上已将该笔钱转出。潘某起诉至南充市顺庆区人民法院请求判令：某银行股份有限公司某支行赔偿188,888.00元及利息及支付相应诉讼费用。

四川省南充市顺庆区人民法院于2021年8月20日作出民事判决：一、某银行股份有限公司某支行于判决生效后十日内向潘某支付37,777.60元；二、某银行股份有限公司某支行于判决生效后十日内向潘某支付利息（利息以37,777.60元为基数，自2021年1月12日起起按同期全国银行间同业拆借中心公布的贷款市场报价利率计算至付清之日止）；三、驳回潘某的其他诉讼请求。潘某、某银行股份有限公司某支行不服一审判决，向四川省南充市中级人民法院提起上诉。四川省南充市中级人民法院于2022年4月25日作出（2021）川13民终4307号民事判决：驳回上诉，维持原判。

法院生效裁判认为，某银行股份有限公司某支行对其开展的电子银行业务未尽到不低于柜面业务的安全保障义务，是潘某的资金被网络盗刷的原因之一 ,某银行股份有限公司某支行应当承担相应的民事责任。潘某泄露其身份识别信息、交易验证信息是导致其自身重大财产损失的主要原因，应当自行承担主要责任。依照《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第七条“发生伪卡盗刷交易或者网络盗刷交易，借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的，人民法院依法予以支持。发生伪卡盗刷交易或者网络盗刷交易，信用卡持卡人基于信用卡合同法律关系请求发卡行返还扣划的透支款本息、违约金并赔偿损失的，人民法院依法予以支持；发卡行请求信用卡持卡人偿还透支款本息、违约金等的，人民法院不予支持。前两款情形，持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，发卡行主张持卡人承担相应责任的,人民法院应予支持...... ”之规定，酌情判决某银行股份有限公司某支行对潘某的损失承担20%的赔偿责任。 

四川省南充市中级人民法院民三庭副庭长

苟豪

本案争议焦点为潘某因发生伪卡盗刷交易致自身财产遭受损失的责任应由谁承担。其核心问题是发卡行与持卡人对于伪卡盗刷的注意义务界定与过错责任分配。

（一）电子银行业务安全性的法定要求

电子银行业务的安全性不应低于传统柜面业务。依照《中华人民共和国商业银行法》第六条、第十二条第一款之规定，银行负有配置符合要求的营业场所、安全防范措施和与业务有关的其他设施，保障持卡人账户资金安全的法定义务。银行依托现代信息技术将传统柜面业务拓展到电子银行业务后，储户有理由相信电子银行业务与传统柜面业务同等安全。电子银行虽然让客户享受到了高效、便捷的服务，但是基于其不需要固定的经营场所、不需要众多的工作人员及自动化流程等特点，其运营成本远远低于传统的银行柜面业务，且电子银行业务的效率更高，覆盖面更大，服务范围更广，故而开展该业务的金融机构相比客户获得了更多的利益。电子银行业务在获得重大效益的同时也伴随着风险。银行作为电子交易系统的开发、设计、维护者，相较于持卡人而言，更加熟悉相关的法律法规，对信息系统和数据以及安全设备的了解更为透彻，对产品和服务的流程和潜在的危险更为知悉，也更有能力采取更为严格的技术保障措施来防止或者减轻损害的发生，切实保障客户“钱袋子”安全。因此，依照《中华人民共和国商业银行法》第六条、第十二条及《电子银行业务管理办法》第三十三条、第四十一条及《电子支付指引（第一号）》第十条、第二十五条之规定，银行负有完善相关技术措施及交易机制，确保电子银行业务的风险不高于传统柜面业务的法定义务。

（二）持卡人对银行卡、密码、验证码等信息是否尽到妥善保管义务

近年来反电信、反网络诈骗宣传已经常态化，持卡人操作电子银行相关业务时理应更加谨慎，在享受电子银行高效性、便捷性服务的同时，应充分关注自己的个人账户及信息资料安全。从本案审理查明的事实看，潘某收到诈骗短信后，未核对银行的短信号码、网址，盲目地点击、打开了该短信中的钓鱼网站，并在该网站非常不合情理地要求其填写自己的银行卡余额等个人敏感信息时，仍未预见到被诈骗的风险，继续进行不当操作，让不法分子成功将其存款转走。在电子银行转账业务（资金归集业务本质上是转账业务）流程中，输入银行向储户发送的验证码是完成转账业务的前提和关键，否则，电子银行转账业务就不能完成。因此，潘某泄漏银行向其发送的验证码是其存款被骗取的主要原因。因潘某未尽到合理、必要的安全注意义务，未保管好自己的个人信息，依照《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第七条第三款“前两款情形，持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，发卡行主张持卡人承担相应责任的，人民法院应予支持......”之规定，银行要求潘某承担责任的主张成立。

（三）银行是否尽到安全保障义务

银行对持卡人的安全保障义务主要体现在风险预防和事后有效处置。

从银行的业务范围看。银行开展资金归集业务时应采取有效措施尽可能防止风险发生。资金归集是指将集团公司中所有下属公司指定账户上的资金归集到总公司指定的账户的服务，也称资金清扫。而个人资金归集业务是指银行为了满足个人自身、个人与个人之间、企业与个人之间加强资金集中管理，提高资金使用率，降低资金成本的需求，根据客户的约定，定期或不定期将一个或多个指定账户的资金全部或部分转入另一个指定账户的业务。该业务存在潜在风险，跨行、异名账户之间的资金归集业务风险更大。本案中，在潘某未与银行签订资金归集业务协议或进行相关授权的情况下，潘某的银行存款被归集成功，表明银行开展的资金归集业务存在漏洞。

从银行对风险的预防看。个人资金归集业务是一项新型的金融业务，一般储户对该业务的潜在风险普遍缺乏了解。按照诚实信用原则，银行在向客户提供该项业务时，应当采取足够的措施和适当的方法告知该业务存在的风险，特别是资金被归集的客户，便于客户决定是否接受该项业务。本案中，银行认可潘某收到的“归集转出金额188,888.00元”的信息系其所发，故可以认定银行知道或者应当知道案涉业务系某人发起的跨行资金归集业务，而非传统的转账业务。银行自认案涉业务为他行发起的资金归集业务，且潘某并未在该行开通资金归集业务，即潘某并未事先授权银行通过资金归集业务扣划自己账户内的资金，故银行在发现有人正在利用非授权业务转移潘某账户的资金时，有义务及时阻断该业务或通过电话提醒等更直接的方式向潘某进行风险提示和告知。但是银行在转移潘某账户的资金时，仅通过验证潘某提供的短信验证码这一单一的验证方式即将潘某账户里的188,888.00元资金支付给他人，且不能终止，足以说明该行的风险预防措施尚不充分。

银行的上述疏漏，都可反映出其电子银行安全交易技术尚不完善，由此导致客户银行卡被盗刷，其主观上具有一定过错，应当根据其过错程度承担相应的赔偿责任。