网上银行储户资金被盗的银行法律责任分析

精典案例

2002年9月，福州市民姚某到中国建设银行福州广安支行办理人民币活期储蓄业务，建行广安支行向姚某出具了通存通兑的活期储蓄存折和龙卡储蓄卡各一张。至2006年6月11日，原告的账户存款余额为6.7万元。

2006年6月底，姚某发现其账户存款金额仅剩400元。他到建行广安支行查询后发现，其存款于2006年6月12日在建行福州市连江支行及其凤城分理处被他人取走。

经公安机关调查，犯罪嫌疑人是使用“木马”程序入侵互联网的网络服务器，窃取了包括姚某在内的一些网上银行客户的身份证号码、银行帐号及密码，利用这些信息伪造了受害者身份证及一张磁条已被损坏的龙卡储蓄卡，并持假的身份证和龙卡储蓄卡到建行连江支行支取姚某的存款。

针对已损坏的龙卡储蓄卡，建行连江支行的工作人员在犯罪嫌疑人填写了请求换卡的“特殊业务申请书”后，为其换了一张真卡。犯罪嫌疑人持卡支取了姚某活期储蓄账户上的存款6.7万元。姚某遂向法院提起诉讼，要求银行赔偿其存款被冒领的损失。

判决结果：

福州市中级法院终审判决认为：建行广安支行未尽保障储户资金安全、银行结算账户信息保密以及及时兑付存款等相关义务，造成姚某储蓄存款被他人冒取的后果，应当根据储蓄合同的约定继续履行相应的支付义务，判决建行广安支行向姚某偿付人民币6.7万元及相应的利息。（见2009年5月4日《人民法院报》）。

律师分析：根据司法实践来看，目前导致网上银行业务产生民事纠纷的类型主要有以下几个方面：储户资金被盗；交易资料被修改或删除；电子资金被错误拨划或延迟；所以无法为客户提供网银服务等。上述情况的出现主要由于以下原因引起：1、银行业务网络遭到黑客攻击；2、操作系统自身不完善；3、未经储户同意擅自开通网银业务的；4、因客户原因密码泄密；5、客户自身操作失误。在提起诉讼类型中，有损害赔偿纠纷、侵权纠纷、储蓄存款合同纠纷、违约赔偿纠纷及网络服务合同纠纷等。在第1、第2和第3原因情况下，法院一般认定银行具有过错责任。其理由认为银行未尽安全保障义务和以银行管理不善为由判其承担责任的。

风险防范策略

一、   向储户履行银行风险安全告知义务

未尽风险提示义务，因该风险造成客户损失，银行会被认定有过错责任。开办网上银行的业务机构应向客户提供书面和电子风险预警及安全提示，并根据网上犯罪的规律及时增加和变更提示内容，并向客户公示。如交易记录的记载、密码安全、银行网址的核实等。

二、 严格加强对网上交易数据的管理、保存和保密工作

由于原始交易数据由银行而非客户掌握，为了实现举证责任的公平分配而使当事人的诉讼地位平等是司法正义的要求。因此，发生纠纷后，银行可能被法律分配更多的或主要的举证责任。如因银行管理上的原因举证不能，很有可能承担不利的法律后果。这在司法判例和司法解释中有很多的案例和规定。如最高人民法院《关于审理存单纠纷案件的若干规定》中对存单持有人与金融机构之间举证责任的分配。

三、 依法遵守支付限额的银行管理规定

严格遵守支付限额的有关管理规定。如违反支付限额的有关规定，超过限额支付，造成储户的损失进一步扩大，应就扩大的部分承担赔偿责任。

四、 诉讼方法及策略

如果客户只起诉开户银行的，则接受转款的银行违反支付限额规定，开户银行应当申请追加其为第三人参与诉讼；

如果客户不起诉，而是通过其他方式向开户银行主张权利，如被盗资金尚在接受转款的银行，开户银行应以自己的名义直接向接受转款的银行主张返还，或通过刑事追赃程序予以追回；

不法分子已经从其他银行支取了款项的，因接受转款的银行使用虚假资料为其开立账户，为不法分子盗取客户存款提供了方便，客户存款损失与银行的开户审查过错之间具有直接的因果关系，应承担过错赔偿责任；

客户发现存款被盗后未及时报警或通知银行主张权利的，银行对客户未及时采取措施而致损失扩大的部分不承担责任。

法条依据：

1．中国银行监督管理委员会《关于做好网上银行风险管理和服务的通知》加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险帐户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用，预先注册在银行的本人用户名及口令/密码；附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息（物理介质或电子设备等）。附加身份认证信息应不易被复制、修改和破解。

高风险账户操作应至少包括：向非本人（不含与本行签订业务合作等法律协会和客户预先约定的指定账户，如：代收费、第三方支付、贷款还款账户等）账户转移资金单笔超过1000元或日累计超过5000     元。

2．《电子银行业务管理办法》第四十一条   金融机构应当建立相应的机制，搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。

金融机构发现假冒电子银行的非法活动后，应向公安部门报案，并向中国银监会报告。同时，金融机构应及时在其网站、电话语音提示系统或短信平台上，提醒客户注意。

第四十三条  金融机构应建立电子银行入侵侦测与入侵保护系统，实时监控电子银行的运行情况，定期对电子银行系统进行漏洞扫描，并建立对非法入侵的甄别、处理和报告机制。

3．《电子支付指引（第一号）》第二十五条  银行应根据审慎性原则并针对不同客户，在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。

银行为客户办理电子支付业务，单位客户从其银行结算账户支付给个人银行结算账户的款项，其单笔金额不得超过5万元人民币，但银行与客户通过协议约定，能够事先提供有效付款依据的除外。

银行应在客户的信用卡授信额度内，设定用于网上支付交易的额度供客户选择，但该额度不得超过信用卡的预借现金额度。

4．中国人民银行、中国银行业监督管理委员会、公安部、国家工商行政管理局《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》

严格自助转账业务的处理。未经持卡人主动申请并书面确认，发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务；为持卡人开通自助转账业务时，要向持卡人充分提示开通有关业务的风险，并要对持卡人进行更为严格的真实身份核查，确保实名开户；未履行职责，产生资金风险的，要依法承担责任。