2006年1月,庞女士在农行开立存款账户,申领了关联借记卡。2009年3月,庞女士开通网上银行及电话银行。截至2011年2月28日,庞女士上述账户内余额为2497591.18元。同年3月5日,庞女士于浦东机场离境,同月10日返回国内。同月12日,庞女士登录网上银行,发现密码被改,于是次日赴银行柜台查询,得知账户余额仅为138.92元。庞女士通过明细对账单查知,3月1日至8日期间,她共有2497552.28元被盗划,大多是以每次100元、每天数百次的方式发生交易。2011年3月13日,庞女士向公安机关报案。
刑事案件尘埃落定后,2012年7月,庞女士将银行告进了法院。庞女士认为,农行银行卡卡号及客户开户资料、交易详情等信息,是由其员工董某通过银行内部信息系统违规查询并对外销售而泄露的;犯罪分子朱某利用电话银行,以支付电话费、公共事业费等方式从她账户内转出金额近250万元,银行未能及时发现每日数百次的不正常交易,导致资金被盗,应向其账户内补足存款,故诉请银行返还存款2497552.28元及相应利息。
银行辩称,银行在发现异常的当日,曾三次致电庞女士,告知其账户有频繁的交易,当时账户内尚有余额30余万元,但庞女士并没有重视,所以损失应该由庞女士自行承担;庞女士个人资料的外泄以及密码的泄露与银行无关,请求驳回庞女士诉请。
庭审中,庞女士坦言:“2011年3月7日,我是接到过自称是农行工作人员打来的电话,说我账户存在频繁的异常交易,提示我注意,但我看到来电号码是一个普通的直线号码,并非农行95599客服电话,以为是诈骗电话就挂断了。”
法院:银行未尽对账户的安全保障义务
一审法院审理认为,银行对个人账户信息保管不善,且在庞女士账户发生每天数百次、每次100元至数百元不等的异常交易时,未能及时发现和制止,违反了对庞女士账户资金的安全保障义务,应承担相应违约责任。庞女士在接到银行电话提醒后,未及时采取措施防止损失扩大,应自行承担银行电话提醒后账户发生的30余万元损失中的20万元。故一审判决银行返还庞女士存款本金2297552.28元及相应利息。
银行不服一审判决,提起上诉。
上海一中院二审认为,银行与庞女士间的储蓄存款合同关系合法有效,发卡行应承担保障持卡人账户内资金安全的义务。
该案现已查明的事实表明,庞女士所持银行卡的信息及密码由犯罪分子窃取及破译,庞女士本人对账户信息和密码的泄漏不存在明显过错。至于银行认为庞女士以生日设置密码存在过错,法院认为,银行在向庞女士交付的电子银行安全手册中提示应避免将生日设置为银行卡密码,但仅系善意提示,不具有法律约束力。此外,刑事案件已查明的事实表明,犯罪分子是在获取银行卡账户信息的前提下,破译了银行卡密码。现虽没有直接证据证明庞女士账户信息是由银行员工董某出售给犯罪分子,但刑事判决认定董某利用身份便利,曾将200余条客户信息出售给犯罪分子,故不能排除庞女士银行账户信息是由董某泄漏的可能性。在银行不能证明庞女士银行卡信息非董某泄漏的情况下,可以合理认定银行违反了对客户账户信息的安全保障义务,应对此承担相应的违约责任。
该案中,银行曾三次电话通知庞女士账户资金出现异常变动,但因未使用银行对外公布的95599客服电话,庞女士当时误以为系诈骗电话,切断了来电,致使其未能与工作人员进行有效沟通,庞女士及银行对扩大资金的损失部分均存在一定的过错。庞女士收到银行电话后,未加核实自认为系诈骗电话,未采取相应的防范措施,应就此后资金损失负主要责任。原审法院酌情让庞女士承担30余万元损失中的20万元,并无不当。故二审判决驳回上诉,维持原判。
庞女士出国一周回来后,发现自己银行卡内的近250万元竟然不见了。为此,她将发卡银行诉至法院,要求返还本该有的存款。近日,上海市第一中级人民法院就该案作出终审判决,认定银行对个人账户信息保管不善以致泄露,庞女士账户发生频繁异常交易时亦未及时发现制止,违反了安全保障义务,判决银行应承担相应责任。