“密码、验证码都对，银行已经尽到义务了”，法院：不，你没有

2016年3月，身在国外的吴江的借记卡发生了三笔转账，他卡里的钱全部被转走，共转出14万余元。

但是这一切吴江都不知道，因为他没收到任何消息。

直到5月，警方联系他，他这才知道自己的钱被人转走的事情。

原来在4月初时，警方抓了一伙人，这伙人从1月份到3月份多次盗刷他人银行卡，数额累计超百万元。

据其中一人交代：

他是和“师傅”买了电脑、身份证、U盘等设备用来盗刷他人银行卡存款，师傅给的U盘里已经有受害人的身份信息、手机号码、银行卡号、取款密码以及存款情况。接着他用自己的人像办一张虚假的临时身份证，用这张假的身份证去营业厅将受害者的手机挂失并补办新的SIM卡，这样就能收到转账时银行的验证码，而且盗刷之后受害者手上的SIM卡收不到信息，对方就不会发现了。

（好奇，营业厅那边重新办不需要人脸识别吗，拿假的身份证补卡成吗？还是说16年时没那么严格？）

从其他受害人的陈述来看，当天有人收到营业厅发来的短信，显示其正在办理补卡业务，接着手机卡没有信号，之后就收到银行客户端消息显示转账了。

吴江多次与银行联系，表示自己当天在国外，没有用过卡，而且这已经被证实是别人盗刷的了，希望银行能够赔偿自己的损失。

但银行认为己方又没有错，资金被盗刷起码需要身份证、卡号、密码、手机验证码等信息，银行在转账的时候就给手机发过验证码，已经尽到了安全保障义务了，是吴江自己疏忽导致信息泄露才让被人盗刷，吴江有损失可以去找罪犯要。

多次协商不成，吴江只好向法院提起诉讼，要求法院判决银行赔偿损失。

在法庭上，银行再次表示：

银行没有过错。账户被盗刷需要身份证、卡号、密码及验证码等，在开卡时银行就告知储户要妥善保管信息不得泄露密码，在转账时也向预留手机号发了验证码，已经尽到了安全保障义务。

法院审理后却认为：

（1）资金被转走并不是因为原告未尽注意义务，而是由于案外人盗刷所致，因此本案交易是非本人操作的伪卡交易。

（2）银行作为发卡行及相关技术、操作平台的提供者，在与储户的关系中明显占据优势地位，其应承担伪卡的识别义务。银行在没有证据证明储户存在违约或者违法犯罪的前提下，理应向储户承担因银行安全系统漏洞及技术风险所形成的储户资金损失。

因此，对于银行主张已经尽到安全保障义务、原告保管不善的抗辩不予采纳。

据此法院判决，银行向吴江赔偿被盗刷资金及自盗刷次日起的利息损失。

银行对于一审法院的判决并不服气，提起了上诉，银行认为：

1、这个案子是网银交易，并没有用物理性质的卡片进行刷卡，一审认为本案是伪卡交易，进而认定银行未尽到伪卡识别义务，未尽到安全保障义务是错误的。

2、吴江账户资金损失的原因是案外人利用临时身份证补办手机SIM卡，从而获取验证码成功进行交易，有错的是手机运营商，不是银行。

二审法院审理后认为：

1、吴江将资金存入银行处，双方就建立了储蓄存款合同关系，银行具有保障账户资金安全的法定义务。

银行作为发卡行及相关技术、设备和操作平台的提供者，应当对交易技术、交易场所加强安全管理，对各项软硬件设施及时更新升级，以最大限度地防范资金交易安全漏洞。

随着电子银行业务的发展，商业银行作为电子交易系统的开发、设计、维护者，也是从电子交易便利中获得经济利益的一方，应当也更有能力采取更为严格的技术保障措施，以增强防范银行卡违法犯罪行为的能力。

2、从已经查明的事实来看，无法查明案外人是如何获得交易密码等账户信息，银行也未提供证据证明账户信息是因为吴江没有妥善保管使用银行卡导致。

3、手机运营商并不是合同及本案的当事人，手机运营商是否存在过错以及银行在承担责任之后是否有权向手机运营商追偿，不是本案的审理范围。

综上，银行在储蓄存款合同履行过程中，对储户账户资金未尽到安全保障义务，又无证据证明被上诉人存在违约行为可以减轻责任，因此银行应当对吴江的账户资金损失承担全部责任。

2021年11月，最高人民法院将该案作为指导案例发布，点明：

持卡人提供证据证明他人盗用持卡人名义进行网络交易，请求发卡行承担被盗刷账户资金减少的损失赔偿责任，发卡行未提供证据证明持卡人违反信息妥善保管义务，仅以持卡人身份识别信息和交易验证信息相符为由主张不承担赔偿责任的，人民法院不予支持。

（本文改编自真实案例，文中为化名，来源：最高人民法院）