銀行卡被盜刷，向誰索賠

近日，利用“補卡截碼”等方式盜刷銀行卡的事件屢遭曝光。2016年5月初，首航空姐因手機SIM卡遭復制損失15萬元。近期又有多地市民上了同樣的當：發送“取消+驗證碼”的短信給詐騙分子，使后者利用驗證碼更換手機卡，導致卡內錢款被盜刷一空。

銀行卡遭遇盜刷，銀行和電信運營商該負起怎樣的責任？用戶又該如何防范電信詐騙？

可參考一份地方文件來看三方責任

劉慧慧[北京金誠同達（上海）律師事務所律師]

我國現行法律并未對銀行卡非授權交易的具體規則加以規定，結合民事侵權理論及舉證責任劃分，以及根據最高法公布的案例審判規則，我國司法對銀行、手機運營商和持卡人采取過錯推定為基礎的損失分擔機制，同時原則上傾向于保護持卡人的合法權益。

“補卡截碼”的關鍵在于電信運營商給不法分子有機可乘，讓他們補辦了受害人的手機卡并據此截獲了電信驗證碼。電信運營商與電信消費者之間構成消費服務合同關系。運營商責任的界限在于是否嚴格審查了辦卡人與本人身份證一致的義務，補辦手機卡不嚴格就是對消費者不負責，應承擔該類案件中持卡人損失的主要責任。賠償責任的比例具體是多少，還要綜合分析持卡人的過錯、銀行的過錯之后，在三方之間進行合理分配。

再來看銀行。持卡人與銀行之間形成金融服務合同關系，銀行理應掌握銀行卡的制作和加密技術，具備識別真偽的技術能力與硬件軟件設施，確保持卡人的賬戶安全。對于盜刷事件，除非銀行有充分證據證明持卡人存在過錯，否則就不應讓持卡人承擔損失。

過錯劃分方面，可參考2012年《廣東省高級人民法院關于審理偽卡交易民事案件工作座談會紀要》。這份文件對舉證責任分配及責任認定給出了一些指導意見：對設置了密碼的銀行卡，持卡人對密碼的泄露沒有過錯的，對銀行卡賬戶內資金損失一般不承擔責任。持卡人用卡不規范足以導致密碼泄露的，一般應當在卡內資金損失50%的范圍內承擔責任。對于未設密碼的銀行卡被偽造后交易的，發卡行如在辦卡過程中履行了不設定密碼后果和風險的提示義務，持卡人需承擔不超過卡內資金損失50%的責任。我認為這份文件很有參考意義，同時期待全國統一的司法標準。

應升級為“多因子身份認證”

楊超（西安電子科技大學網絡與信息安全學院副教授）

“補卡截碼”盜刷案近年來屢屢發生，原因是大家的生活已經離不開移動通信，電子商務、商品交易、銀行金融等業務越來越多地從線下轉移到移動平臺上，這就讓掌握一定移動通信技術的詐騙分子看到了“商機”。

遠程實施，不與當事人直接接觸，大多基于引誘、欺騙、恐嚇等社會學騙術，采用通信和計算機的IT技術手段，有完整犯罪鏈條的作案，電信詐騙的這些特點不僅針對人的弱點，也針對技術的漏洞，讓人難以防范。

目前，網絡金融的監管存在許多不足，網絡金融及電子商務的業務大多由互聯網公司主導操作，與銀行監管相比，力度要弱很多。電信運營商保持著傳統思維，把自己看作僅僅是通訊服務提供者。如，修改交易密碼等，往往并不需要本人持有效證件親自到場辦理。基于新型的網絡金融實施形態，傳統的監管方式必須進行適應性的改進。

手機卡被盜用的本質原因在于犯罪分子可以獲得受害人手機卡的所有權并實施操作，從技術角度來看，我建議，需要根據不同類型的漏洞進行技術改進和升級。例如，對于補卡時的身份認證，可以升級為“多因子身份認證”，即通過用戶獨有的多個秘密信息對用戶身份進行驗證，不僅驗證身份證的有效性，還需驗證指紋，驗證在注冊手機卡時候的各個密保問題，等等，如果這些都嚴格按照流程操作，將能有效遏制“虛假補卡”類的攻擊。

再例如，第三方支付平臺的密碼重置時的身份認證，也可以采用“多因子認證機制”，除了短信驗證外，還可以增加用戶指紋、用戶密保問題、用戶特定手勢（手機內有重力傳感器和陀螺儀）、用戶語音（手機內有錄音）等多重比對。

嚴格管控企業或機構留存的公民身份信息

馬坤（信息安全專家、西安四葉草信息技術有限公司CEO）

要防止“補卡截碼”，不僅各運營商內部要制定嚴格的開卡和補卡規定，并在流程上切實執行，同時國家還應注意從公民身份信息泄露的源頭上來防范。

個人信息泄露主要有四個途徑：人為倒賣、手機泄露、PC電腦感染、網站漏洞，但主要源頭還是來自企業層面或網站。市民買房、買車、到物業進行登記，到銀行、通信、交通甚至政府部門等機構去辦事，都可能被要求留下身份證復印件，或通過網絡平臺上傳身份信息。然而，對這些按要求留存的身份信息，企業和機構究竟是如何管理的，群眾很難知曉。

有報告顯示，福布斯上榜的中國企業中，大多數企業都曾不同程度遭受過攻擊或出現數據泄露。由于服務器或系統在安全防護方面不可能做到天衣無縫，精通網絡技術的黑客就會利用漏洞發起攻擊，將整個客戶數據庫信息完整下載下來，打包出售以謀取利益。還有可能將多個泄密數據庫的信息進行關聯分析，形成一個地下數據網。這個數據網里會有非常完整的個人信息的鏈條，比如姓名、身份證號、家庭住址、手機號、銀行卡號，甚至密碼等。這種情形對任何人都是嚴重的威脅，甚至可能給用戶帶來人身安全方面的問題。

具體到盜刷，不法分子利用地下數據信息，專門招聘“技術員”，從選取信息到辦理補卡，再到非法竊取受害人資金，形成完整的“業務鏈”。與從企業和機構數據庫泄露的情況相比，個人丟失身份證或泄露密碼的情況，我認為僅屬于小頭。

所以，對于企業或機構要求上傳或留存公民身份信息、照片或復印件的平臺和環節，國家應該嚴格管控，最好立法進行規范。

建立機構賠付機制

韓復齡（中央財經大學金融學院教授）

網絡詐騙犯罪已經有組織、成規模。此前有媒體報道，網絡詐騙產業鏈上至少有160萬從業者，“年產值”超過千億元，詐騙手段和技術也在不斷發展。

與此同時，網絡金融風險監管存在法律體系不完善、行業協調及風險監管不理想、現行的風險管理模式與網絡金融的發展不適應等現實問題，這都需要進一步推動健全法律制度、加強市場準入管理、完善監管體制、調整監管策略、構建安全體系等措施來解決。

盜刷案件中的兩個角色——電信企業和銀行，在設計業務流程的時候，他們對當下的網絡經濟蓬勃發展應該說估計并不充分，雙方的流程都有不少技術漏洞。如依托短信發送驗證碼，可以說已經落后于時代的需要。因此，銀行、電信運營商有必要采取更嚴格的安全防護措施。

尤其是電信運營商，應充分應用技術手段，防止平臺被不法基站侵襲，對于已經出現的技術漏洞要及時修補。運營商可以通過設定敏感詞、群發短信數量控制等手段，相對有效地限制詐騙短信的發送。現實的情況是，運營商通過發送短信收費，而對詐騙短信卻不擔責。正是權利和義務的失衡，使電信運營商至今沒有對此給予充分重視。要讓運營商對電信詐騙問題重視起來，必須讓他們承擔責任。國家在這個方面應盡快立法，讓運營商承擔一定的民事責任。

我建議，針對電信詐騙以及盜刷問題，可以建立機構賠付機制。出現此類事件，用戶可以不必先搞清楚到底是哪個環節出的問題，而是由一個機構出面為用戶賠償一定損失。之后，相關機構再去進行調查，理清責任。但是，這種機制的建立，受制于國家個人征信體系的完善，因為可能存在報假案的情況。