基本案情
2019年5月21日,上诉人(原审原告)F公司到A银行H支行申请开立单位银行结算账户。同日,F公司(甲方)与A银行H支行(乙方)签署《人民币单位银行结算账户管理协议》,第11.2条第(5)项载明:乙方应及时、准确地完成甲方按照相关法律法规、规章及本协议的约定发出的收付结算指令,乙方因执行甲方支付结算指令而造成的甲方经济损失,乙方不承担责任。2019年5月23日,F公司向A银行H支行提交《对公签约类业务综合申请表》,开通余额变动通知服务。2019年5月23日,F公司(甲方)与A银行H支行(乙方)签署《企业电子银行服务合同》,第3.8条载明:甲方应当妥善保全智慧网盾、数字证书、证书密码以及网上银行普通用户的客户号、用户名、用户密码以及电话银行用户的查询密码,在任何情况下不应以任何方式将前述信息提供给任何人。因前述信息及其载体遗失、被他人知悉等产生的法律后果由甲方承担。
2020年4月15日,F公司财务人员王某接到自称西城区社保中心工作人员电话,并按照对方要求,用本公司尾号43740的存款账户陆续向对方转账23笔,共计1,128,000元。A银行H支行提交短信记录,证明A银行H支行已经及时向F公司发送余额变动的短信通知。
2020年4月16日,北京市公安局大兴分局清源路派出所(以下简称清源路派出所)对本案予以立案。同时,F公司起诉要求A银行H支行赔偿损失。
法院裁判要旨
北京市大兴区人民法院认为,A银行H支行负有保障其提供的U盾的安全性,并进而保证F公司的账户交易安全的义务。但是,F公司案涉账户的安全性并不仅仅取决于U盾本身,还与U盾的妥善使用、交易平台的安全性能等密切相关。根据F公司签署的《关于申请XX银行企业网银“企业家用户”的授权书》及《企业电子银行服务合同》,F公司应将A银行H支行交予其公司的案涉账户对应的两个U盾交由不同的人员持有并使用,F公司应当“妥善保全智慧网盾、数字证书、证书密码以及网上银行普通用户的客户号、用户名、用户密码以及电话银行用户的查询密码,在任何情况下不应以任何方式将前述信息提供给任何人”。而根据F公司的陈述,2020年4月15日16时案涉账户相关交易发生时,案涉账户的两个U盾由王某一个人持有,并由王某一个人进行了U盾的操作。因此,F公司财务人员未按照U盾的使用要求及妥善使用的相关提示进行交易,是涉案交易损失发生的直接原因。A银行H支行已提交了关于涉案U盾安全性能的相关证据即U盾证明资料、交易流水及案涉账户23笔交易发生时的短信发送记录,F公司虽不认可,但未能提供证据予以反驳。
北京市大兴区人民法院判决:驳回F公司全部诉讼请求。F公司不服一审判决,上诉至北京金融法院。
北京金融法院经审理认为:本案的争议焦点为A银行H支行是否尽到保证F公司账户交易安全的义务,是否应当承担F公司的赔偿责任。首先,《结算账户管理协议》和《企业电子银行服务合同》中均存在收费条款,A银行H支行按照合同约定向F公司收取相关费用并无不当。其次,在案涉账户发生多笔但并未超过双方约定的100笔限额转款交易,且不存在其他重大异常情况时,A银行H支行均已及时向F公司指定的手机号码发送案涉账户交易短信,已尽到安全提示义务。再者,F公司主张在王某未输入转账交易密码的情况下,案涉账户发生异常交易,与U盾存在信息被窃取等安全问题有关,但除王某本人的自述外,并未提供其他证据予以佐证,对此不予采信。
北京金融法院判决:驳回上诉,维持原判。
法官讲法
电信诈骗案件中,相当多案件是发生于网上银行支付,受害人由于各种原因主动向犯罪分子转账,而受害人发现被骗后,为了挽回损失往往主张经办银行承担赔偿责任。此类案件的审查难点在于如何认定银行的不当行为,既对于银行违反安全保障义务行为予以认定,保障电信诈骗中受害人的合法权益,督促银行提高技术水平,改进服务,又能依法保护银行的合法经营,避免银行成为“深口袋”,影响金融稳定。本案典型意义在于明确银行承担赔偿责任以安全保障义务为限。
对于银行的安全保障义务,《民法典》第一千一百九十八条规定:“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所的经营者、管理者或者群企性活动的组织者,未尽到安全保障义务,造成他人损害的,应当承担侵权责任。因第三人的行为造成他人损害的,由第三人承担侵权责任;经营者、管理者或者组织者未尽到安全保障义务的,承担相应的补充责任。经营者、管理者或者组织者承担补充责任后,可以向第三人追偿”。《中华人民共和国商业银行法》第六条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”。在电信诈骗中,认定银行是否尽到保障义务主要应从以下几个方面考虑:u盾等网上银行支付是否存在安全漏洞;银行是否依据结算合同尽到支付提示义务;银行工作人员是否参与电信诈骗活动或为电信诈骗活动提示便利;柜台交易中银行是否对于大额转账、异常转账等行为进行必要的提示;银行对于用户的身份信息、个人密码等是否存在违法泄露情形等。同时,对于银行安全保障义务的认定,应结合银行卡用户是否尽到保护账户安全进行审查,银行卡用户是账户安全的重要参与者。本案中,银行已经提供相关技术服务,并及时进行了账户余额提示,公安部门在发生电信诈骗同时也进行电话提醒,受害人内部管理混乱,内控机制流于形式,受害人员工未妥善保管支付密码,轻信他人向他人转账,也不能提交相关证据证明银行的网上银行存在安全漏洞,故不能认定银行违反了安全保障义务。
