法学论文
盗刷闹剧暴露POS机管理漏洞
作者:孙威主任 律师 时间:2015年02月04日
本报记者 刘传江中国消费者报 2014-11-26 13:17:52
“信用卡一直在我手里,我本人也没有离开哈尔滨,银行的信息却显示卡在千里之外的南昌被用POS机刷了4万元;后来得知实际刷卡商家地处哈尔滨,而当时我的消费单据上只刷了1万元,4万是被又重复刷了3次的结果。这么多令人意外的事情,真让我对银行POS机刷卡系统的安全性表示怀疑啊。”近日,黑龙江哈尔滨市民栾先生对记者说。
以为被盗刷4万元
11月12日是栾先生信用卡的还款日,当天还款时发现有一笔4万元欠款不明来历。为了不影响信用,栾先生及时还上了这笔欠款。随后,栾先生通过发卡银行查询后得知,今年9月18日晚22时26分,他的信用卡通过POS机刷走了4笔钱,每笔都为1万元。更令栾先生感到奇怪的是,POS机注册地和单位为江西南昌雅顺通讯和平路指定专营店。
“我和这家店无任何业务往来,9月18日那天我也没离开哈尔滨,信用卡也一直在我手里,怎么会在南昌刷卡?难道被骗子盗刷了?可我没有泄露自己的密码啊。”栾先生向该银行提出质疑。
银行查询栾先生的消费记录和手机通话记录证实,9月18日栾先生本人的确在哈尔滨,信用卡也没离身,9月17日晚,该信用卡还在哈尔滨一服装卖场消费了1800元。银行判断信用卡可能被人盗刷了,让栾先生马上向警方报案。
栾先生认为,自己使用的是信用卡,既然银行查证不是他本人刷卡消费的,应该是银行丢了钱,理应由银行报案追讨钱款。栾先生要求银行退还4万元还款。银行却坚称,只有持卡人到公安机关先报案,银行配合警方破案,待案件查明后才能弄清责任和解决办法,这是银行解决此类纠纷的正常流程。栾先生则认为,银行在推卸责任,也对消费者不负责。一旦警方破不了案,自己岂不是要白白损失4万元。银行完全可以通过银联等途径追踪POS机款项的去向,查明责任,这是银行的责任和义务,不能强加给消费者。
双方就此争执不下。
实为万元消费重复刷
让栾先生没想到的是,前几天,他突然接到哈尔滨一家名叫大自然洗浴中心的电话,称4万元是在该公司的POS机上刷的。
“不是被南昌的POS机刷走的吗?怎么变成了哈尔滨的洗浴中心?”经对方工作人员提醒,栾先生才猛然想起,今年9月份他曾在该洗浴中心花1万元办过会员卡,当时是通过POS机刷的卡。
可令栾先生不解的是,当月银行消费单上并没有那家洗浴中心的消费纪录,而当时刷卡后签字的单据上也是1万元,为什么会刷走4万元?工作人员解释说,他们通过一家名叫乐福的公司办理的POS机,他们也不知道为什么消费了一笔会划走四笔。
乐福公司哈尔滨总代理一位姓杨的先生在接受记者采访时说,其公司取得了人民银行的支付牌照,对银行卡有收单功能,可办理POS机刷卡消费,由于机器出现故障,才导致栾先生消费一笔划走多笔的错误。
幸运的是,大自然洗浴中心很快将栾先生多刷的3万元退了回来。钱虽失而复得,但栾先生对银行在处理这件事情中的表现非常不满:“银行接到我反映的情况后,除要求我报案外,拒不承担任何责任,我认为银行作为信用卡发卡机构,至少有责任、有义务向消费者提供真实的刷卡消费信息。”
管理漏洞凸显安全隐患
黑龙江承启律师事务所主任孙威律师在接受记者采访时表示,POS机刷卡操作系统由银行开发,其安全措施应保障持卡人密码不被破解、取款凭证唯一性识别、刷卡程序规范等,因安全技术和管理上存在漏洞所造成的损失,银行应承担相应的法律责任。
针对上述案例,孙威分析认为,此前银行提供信息显示,POS机注册地和单位为江西南昌雅顺通讯和平路指定专营店,而实际刷卡商家地处哈尔滨;消费单据上显示刷卡1万元,而实际刷了4万元,这些情况反映了该银行POS机操作系统及管理上存在一定的漏洞,对消费者的财产安全来说存在一定的隐患。
孙威指出,《消费者权益保护法》第十八条规定,“经营者应当保证其提供的商品或者服务符合人身、财产安全的要求”,作为银行来说,在开展POS机刷卡业务方面,除了有义务保障持卡人密码不被破解、取款凭证唯一性识别,还应该进一步加强操作规范管理,确保POS机刷卡信息记录准确、操作程序规范,以切实保障消费者的知情权和安全权。
孙威还指出,我国相关法律规定,任何发现涉嫌犯罪线索的公民或法人都有权利和义务向公安机关报案。上述案例中,银行方面在未认真追查相关信息的情况下,直接将报案责任推向取证能力明显弱势的用户,也是不恰当的。
●支招
如何举证伪卡交易
在银行卡盗刷纠纷中,若持卡人能够举证证明涉案交易为伪卡交易,那么银行就应当向持卡人承担相应的违约责任。北京市海淀区人民法院的法官日前向广大持卡人总结了如下举证要点:
一是及时掌握账户变动情况。为银行卡办理短信提醒业务,第一时间掌握卡内资金余额的变动情况。
二是拨打银行客服热线挂失。在收到短信提醒后,立即拨打银行客服热线挂失银行卡,将自身损失降至最低。
三是第一时间留存银行卡凭证。
要想证明伪卡交易,持卡人需要举证证明在涉案交易发生时,自己手中保管着真实银行卡。持卡人第一时间到附近的银行柜台、ATM机或POS机进行刷卡交易,不论是取款、查询、消费,还是账单打印等操作,均会留下记录,这些都可以作为证明伪卡交易的有力证据。
四是尽快报案调取交易录像。在持卡人报案的情况下,公安机关会调取涉案交易的录像。若通过录像能够辨别出交易卡片的颜色、图案与真实银行卡不一致,则可据此认定伪卡交易。
(刘传江)
●链接
卡被盗刷 银行担责
2013年8月16日晚23时51分,刘先生正在山东省昌邑市的家中休息,手机突然收到一连串的短信通知,显示其银行卡发生了7笔ATM取款交易和1笔ATM转账交易,金额共计52525元。刘先生随即拨打银行客服热线进行挂失,并获悉交易发生在江苏省丹阳市。第二天早8点,刘先生到当地派出所报案并出示了银行卡,并且到附近银行的ATM机插卡操作时被吞卡。经查,刷卡地距刘先生住所地距离约700公里,24时至次日8时之间无飞机和火车等交通途径。
法院经审理认为,综合报案记录、ATM机吞卡凭条、异地刷卡的距离以及相关时间等因素可以认定,刘先生在交易发生之时持有真实银行卡,涉案交易所使用的卡片为伪卡。银行接受交易指令进行付款的前提,应当是行为人使用真实的银行卡且输入正确的密码,两者缺一不可,银行应负有准确识别银行卡真伪的义务。该案中银行未尽到此项义务,并由此导致相关款项在持卡人不知情的情况下被支取,其应向持卡人刘先生承担违约责任。另外,在刘先生未举证证明银行对密码泄露负有过错的情况下,由于交易密码系其自身设定和保管,故刘先生也应自行承担密码泄露的风险和损失。综合考虑该案案情及双方当事人的合同权利义务,最后,法院判决银行承担70%的责任,向刘先生赔偿36767.5元。 (刘传江)//www.cqn.com.cn/news/minsheng/msrd/975682.html
“信用卡一直在我手里,我本人也没有离开哈尔滨,银行的信息却显示卡在千里之外的南昌被用POS机刷了4万元;后来得知实际刷卡商家地处哈尔滨,而当时我的消费单据上只刷了1万元,4万是被又重复刷了3次的结果。这么多令人意外的事情,真让我对银行POS机刷卡系统的安全性表示怀疑啊。”近日,黑龙江哈尔滨市民栾先生对记者说。
以为被盗刷4万元
11月12日是栾先生信用卡的还款日,当天还款时发现有一笔4万元欠款不明来历。为了不影响信用,栾先生及时还上了这笔欠款。随后,栾先生通过发卡银行查询后得知,今年9月18日晚22时26分,他的信用卡通过POS机刷走了4笔钱,每笔都为1万元。更令栾先生感到奇怪的是,POS机注册地和单位为江西南昌雅顺通讯和平路指定专营店。
“我和这家店无任何业务往来,9月18日那天我也没离开哈尔滨,信用卡也一直在我手里,怎么会在南昌刷卡?难道被骗子盗刷了?可我没有泄露自己的密码啊。”栾先生向该银行提出质疑。
银行查询栾先生的消费记录和手机通话记录证实,9月18日栾先生本人的确在哈尔滨,信用卡也没离身,9月17日晚,该信用卡还在哈尔滨一服装卖场消费了1800元。银行判断信用卡可能被人盗刷了,让栾先生马上向警方报案。
栾先生认为,自己使用的是信用卡,既然银行查证不是他本人刷卡消费的,应该是银行丢了钱,理应由银行报案追讨钱款。栾先生要求银行退还4万元还款。银行却坚称,只有持卡人到公安机关先报案,银行配合警方破案,待案件查明后才能弄清责任和解决办法,这是银行解决此类纠纷的正常流程。栾先生则认为,银行在推卸责任,也对消费者不负责。一旦警方破不了案,自己岂不是要白白损失4万元。银行完全可以通过银联等途径追踪POS机款项的去向,查明责任,这是银行的责任和义务,不能强加给消费者。
双方就此争执不下。
实为万元消费重复刷
让栾先生没想到的是,前几天,他突然接到哈尔滨一家名叫大自然洗浴中心的电话,称4万元是在该公司的POS机上刷的。
“不是被南昌的POS机刷走的吗?怎么变成了哈尔滨的洗浴中心?”经对方工作人员提醒,栾先生才猛然想起,今年9月份他曾在该洗浴中心花1万元办过会员卡,当时是通过POS机刷的卡。
可令栾先生不解的是,当月银行消费单上并没有那家洗浴中心的消费纪录,而当时刷卡后签字的单据上也是1万元,为什么会刷走4万元?工作人员解释说,他们通过一家名叫乐福的公司办理的POS机,他们也不知道为什么消费了一笔会划走四笔。
乐福公司哈尔滨总代理一位姓杨的先生在接受记者采访时说,其公司取得了人民银行的支付牌照,对银行卡有收单功能,可办理POS机刷卡消费,由于机器出现故障,才导致栾先生消费一笔划走多笔的错误。
幸运的是,大自然洗浴中心很快将栾先生多刷的3万元退了回来。钱虽失而复得,但栾先生对银行在处理这件事情中的表现非常不满:“银行接到我反映的情况后,除要求我报案外,拒不承担任何责任,我认为银行作为信用卡发卡机构,至少有责任、有义务向消费者提供真实的刷卡消费信息。”
管理漏洞凸显安全隐患
黑龙江承启律师事务所主任孙威律师在接受记者采访时表示,POS机刷卡操作系统由银行开发,其安全措施应保障持卡人密码不被破解、取款凭证唯一性识别、刷卡程序规范等,因安全技术和管理上存在漏洞所造成的损失,银行应承担相应的法律责任。
针对上述案例,孙威分析认为,此前银行提供信息显示,POS机注册地和单位为江西南昌雅顺通讯和平路指定专营店,而实际刷卡商家地处哈尔滨;消费单据上显示刷卡1万元,而实际刷了4万元,这些情况反映了该银行POS机操作系统及管理上存在一定的漏洞,对消费者的财产安全来说存在一定的隐患。
孙威指出,《消费者权益保护法》第十八条规定,“经营者应当保证其提供的商品或者服务符合人身、财产安全的要求”,作为银行来说,在开展POS机刷卡业务方面,除了有义务保障持卡人密码不被破解、取款凭证唯一性识别,还应该进一步加强操作规范管理,确保POS机刷卡信息记录准确、操作程序规范,以切实保障消费者的知情权和安全权。
孙威还指出,我国相关法律规定,任何发现涉嫌犯罪线索的公民或法人都有权利和义务向公安机关报案。上述案例中,银行方面在未认真追查相关信息的情况下,直接将报案责任推向取证能力明显弱势的用户,也是不恰当的。
●支招
如何举证伪卡交易
在银行卡盗刷纠纷中,若持卡人能够举证证明涉案交易为伪卡交易,那么银行就应当向持卡人承担相应的违约责任。北京市海淀区人民法院的法官日前向广大持卡人总结了如下举证要点:
一是及时掌握账户变动情况。为银行卡办理短信提醒业务,第一时间掌握卡内资金余额的变动情况。
二是拨打银行客服热线挂失。在收到短信提醒后,立即拨打银行客服热线挂失银行卡,将自身损失降至最低。
三是第一时间留存银行卡凭证。
要想证明伪卡交易,持卡人需要举证证明在涉案交易发生时,自己手中保管着真实银行卡。持卡人第一时间到附近的银行柜台、ATM机或POS机进行刷卡交易,不论是取款、查询、消费,还是账单打印等操作,均会留下记录,这些都可以作为证明伪卡交易的有力证据。
四是尽快报案调取交易录像。在持卡人报案的情况下,公安机关会调取涉案交易的录像。若通过录像能够辨别出交易卡片的颜色、图案与真实银行卡不一致,则可据此认定伪卡交易。
(刘传江)
●链接
卡被盗刷 银行担责
2013年8月16日晚23时51分,刘先生正在山东省昌邑市的家中休息,手机突然收到一连串的短信通知,显示其银行卡发生了7笔ATM取款交易和1笔ATM转账交易,金额共计52525元。刘先生随即拨打银行客服热线进行挂失,并获悉交易发生在江苏省丹阳市。第二天早8点,刘先生到当地派出所报案并出示了银行卡,并且到附近银行的ATM机插卡操作时被吞卡。经查,刷卡地距刘先生住所地距离约700公里,24时至次日8时之间无飞机和火车等交通途径。
法院经审理认为,综合报案记录、ATM机吞卡凭条、异地刷卡的距离以及相关时间等因素可以认定,刘先生在交易发生之时持有真实银行卡,涉案交易所使用的卡片为伪卡。银行接受交易指令进行付款的前提,应当是行为人使用真实的银行卡且输入正确的密码,两者缺一不可,银行应负有准确识别银行卡真伪的义务。该案中银行未尽到此项义务,并由此导致相关款项在持卡人不知情的情况下被支取,其应向持卡人刘先生承担违约责任。另外,在刘先生未举证证明银行对密码泄露负有过错的情况下,由于交易密码系其自身设定和保管,故刘先生也应自行承担密码泄露的风险和损失。综合考虑该案案情及双方当事人的合同权利义务,最后,法院判决银行承担70%的责任,向刘先生赔偿36767.5元。 (刘传江)//www.cqn.com.cn/news/minsheng/msrd/975682.html
律师资料
孙威主任律师
电话:18103680…
