秦风

点击诈骗短信链接之后，储户的银行卡接连被盗刷。于是，储户状告某银行监管不力。那么，储户自行点击不明链接造成损失，银行该不该担责呢？此案历经两级法院审理，给出了截然不同的结果。

马进在青海省西宁市经商，他是某银行建国路支行（以下简称“某银行”）的储户。2016年5月5日下午2时，马进开车时看到一则短信，内容是“您的车辆有闯红灯违章记录，请点击查看”。见此，马进点击了短信链接，里面的内容是下载查询交通违章的App，马进没有立即下载，到达目的地忙着与客户沟通，也就忘记了此事。

数天后，马进收到某银行发来的短信，称其借记卡存在连续消费的情况，发生4笔B2C形式的交易，金额共计4998元，疑似被人盗刷。马进遂致电某银行客服询问，情况得以证实。马进问：“什么是B2C形式？”客服告知，B2C是指电子商务模式，其付款方式是货到付款与网上支付相结合。通俗的说法就是网购。马进觉得奇怪，其并未开通网银和手机银行功能，怎么可能发生网络支付呢？

马进又到某银行询问，该行建议他立即将借记卡挂失，并前往西宁市城东区大众街派出所报警。马进在向民警描述案情过程中，手机上又连续发来了被消费的短信。

历时5年，马进依据被盗刷银行卡交易流水清单，数十次与某银行交涉，直至2021年，某银行出具了上级银行的书面答复函，告知马进的诉求涉及网上无卡交易，即消费者通过电脑、手机等媒介，输入卡号、登录密码、支付密码、动态密码等方式实现网上自助转账或消费，银行卡号、密码等均由持卡人自行控制。马进系自行点击不明链接，导致信息资料被泄露引发盗刷，应自负责任。

2021年10月，马进起诉到西宁市城东区人民法院，他主张某银行支付其被盗刷款4998元，并承担利息1353元及维权损失费3000元，共计9351元。

庭审期间，马进提交了派出所受案回执、被盗刷银行卡交易流水清单等证据，其借记卡被盗刷前在某银行开户，且并未开通网银，双方成立储蓄合同关系，某银行负有监管与保管储户存款的义务。

马进诉称，虽然诈骗短信的链接系受害人自行点击，但当今社会，法院开庭的传票、应诉通知书都需要点击链接进行查看，因此点链接并不会必然导致存款被盗刷，发生银行卡被盗刷的情况，只能说明某银行监管不力。况且自己仅仅点击了链接，并未提供、输入支付密码，根据银行卡交易原则，交易均需要提供卡号、输入密码才可以完成，没有证据表明马进存在输入卡号和支付密码的情形。

某银行辩称，首先，马进的银行卡被盗刷已过了5年时间，超过了诉讼时效。其次，商业银行保护客户资金安全是法定的、不可推卸的义务。但是，本案属于非法短信链接植入病毒而导致客户信息被泄露，资金被盗刷，是基于不法分子的诈骗而导致的客户资金受损。同时，储户资金安全保护义务是储蓄合同双方的义务，而不是单方义务。马进同样负有妥善保管银行卡、密码等个人信息，以及在银行管理范围外合理注意用卡环境的义务。马进的银行卡信息泄露，是其未尽到保护义务造成的情形。特别需要指出的是，银行不负有对储户密码的保护义务，只有对密码验证识别的义务。在网上无卡交易的环境中，即使是非本人输入的密码，银行按照视同本人交易的规则，允许交易的发生。

银行卡被盗刷风险应引起重视

某银行还当庭提交了马进开户时签订的电子银行个人客户服务协议，其中第三条第六款规定，由于不可抗力、计算机黑客攻击、系统故障、通信故障、网络拥堵、供电系统故障、电脑病毒、恶意程序攻击及其他不可归因于被上诉人的原因，导致储户未收到或者延迟收到银行发出的与交易有关的认证信息，银行不承担任何责任，以此证明银行卡被盗刷的免责事由。

一审法院经审理认为，关于诉讼时效问题，某银行主张马进的起诉已过诉讼时效，因为盗刷的事实发生在5年前，但根据《最高人民法院关于审理民事案件适用诉讼时效制度若干问题的规定》第一条第一款第一项的规定，支付存款本金及利息请求权，提出诉讼时效抗辩的人民法院不予支持，某银行的抗辩意见于法无据，本案未过诉讼时效。

本案为网上无卡交易过程中产生的纠纷，网上无卡交易指消费者是通过电脑、手机等媒介，输入卡号、登录密码、支付密码、动态密码等方式实现网上自助转账或消费，银行卡号、密码等均由持卡人自行控制。马进点击不明链接，导致信息资料被泄露引发盗刷，应自行承担责任。

2021年12月30日，西宁市城东区人民法院作出一审判决，驳回马进的诉讼请求。

马进不服一审判决，提出了上诉。二审法庭上，马进提出，据《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第四条的规定，出现网络盗刷交易的，发卡行主张交易为持卡人本人交易的，应当承担举证责任。在本案中，某银行主张网络盗刷交易为马进自主泄露、输入密码所致，对此应举证说明，并提供相应的交易识别信息、交易验证信息等证据，证明网络交易系马进本人操作。一审法院举证责任倒置，划分责任错误。

针对马进的上诉意见，某银行辩称，马进点击非法短信链接，导致个人信息及密码等重要信息被泄露，对于是否其本人输入密码并非银行保护的义务范围。此外，银行履行安全保护义务有基本的前提，就是储户不存在可归责的事由。即对于非开户银行提供的信息应当由持卡人自行识别，这是对持卡人自身防范风险的要求，而该识别责任不在于某银行。

二审法院梳理归纳双方的争议焦点为，某银行应否对马进银行卡内被盗刷资金损失承担赔偿责任？对此，二审法院评判认为：首先，《中华人民共和国商业银行法》第六条规定：“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”马进在某银行办理借记卡并将款项存入该账户，双方建立合法有效的储蓄存款合同关系。某银行作为借记卡的发卡行，其系银行卡加密技术、设备和操作平台的提供者，网络交易的参与方，具有较强的资信能力和防范风险能力，也具备足够的实力和相应的制度进行风险预测和预防，应当提供完善的技术设备，确保银行卡内的数据信息不被非法窃取并加以使用，从而确保银行卡内资金的安全。本案中，在马进持有的银行卡并未开通网银、手机银行功能的情况下，银行卡内资金被盗刷，某银行未尽到交易安全保障义务，未能准确识别网络交易的真伪，对于马进卡内资金被盗刷存在一定过错；其次，马进点击不明短信链接后，未能识别短信链接的真伪，致使个人信息可能被泄露，马进对于银行卡内资金被盗刷亦存在一定过错，其自身也应对银行卡内资金被盗刷承担相应责任。因此，双方对马进银行卡内资金被盗刷均应承担责任。

对于双方承担责任的比例，二审法院酌定马进和某银行各承担50％的责任，某银行应当就其承担责任的部分向马进承担损失赔偿责任。马进主张被盗刷存款本金4998元，双方无异议，予以确认。马进主张的利息损失，亦属于被盗刷后产生的损失，但马进的卡内资金为活期存款，故马进本息损失合计5096.88元。

2022年7月1日，西宁市中级人民法院二审落槌，某银行向马进赔偿本息损失2548.44元。据悉2022年9月，赔偿款执行到位。

（文中人名均为化名）

编辑：夏春晖 386753207@qq.com

储户发现银行卡被盗刷后，第一，拨打银行客服电话，把银行卡先冻结；第二，迅速持卡到发卡银行证明卡片真伪，拍照或录像。为以后与银行发生争执保留证据；第三，携带银行卡去最近的派出所报案；第四，如果已经开通网上银行的话，上网打印消费记录，如果没有开通网上银行，可以去银行打印对账单；第五，去银行协调处理，協调不成提起民事诉讼。