日前,一則有關長沙銀行系統(tǒng)漏洞被利用的消息引發(fā)關注。中國裁判文書網披露的一則湖南省長沙市中級人民法院刑事裁定書顯示,3名犯罪分子利用長沙銀行系統(tǒng)漏洞,對計算機信息系統(tǒng)中傳輸的數據進行刪除、修改,短時間內開設異常賬戶4萬多個,非法獲利16萬余元,三人均獲刑。
長沙銀行系統(tǒng)存在哪些漏洞?“被開戶”的戶主會否遭受損失?長沙銀行要負相應的責任嗎?……新華財經記者就相關問題撥打了長沙銀行相關負責人電話,但對方表示拒絕采訪。
專家表示,此類案件可能會引發(fā)老百姓對銀行能否守住“錢袋子”的擔憂,給銀行業(yè)敲響了警鐘。與大型銀行相比,不少中小銀行信息化系統(tǒng)相對薄弱,信息科技業(yè)務過度依賴外包服務商,核心軟硬件受制于人,亟須提升信息安全風險防控能力,切實保障老百姓的財產安全。
焦點一:“被開戶”的戶主會否遭受損失?
刑事裁定書顯示,2019年2月間,被告人尚朋等人將內含公民身份證號碼、姓名、手機號碼等信息內容及串碼、一個固定銀行卡號、Fiddler應用程序軟件提供給被告人司永帥、劉丹,利用Fiddler應用程序軟件能夠攔截由長沙銀行服務器向長沙銀行App發(fā)送的數據校驗結果、加掛銀行卡信息、審核狀態(tài)信息并加以修改的技術功能,使以相關公民身份提出的開設長沙銀行線上II類銀行賬戶(以下簡稱II類戶)的申請在缺少“視頻審核的業(yè)務流水號” “證件上傳成功” “生成的視頻流水號”等驗證環(huán)節(jié)的情況下能夠通過電子渠道開設長沙銀行II類戶,所開設的長沙銀行II類戶雖不能正常使用但可用以作為綁定賬戶開立具有辦理限額消費和繳費、限額向非綁定賬戶轉出資金等功能的他行III類戶。
相關銀行人士和法律人士對此表示,結合本案可以看出,公民的身份證號、姓名、電話號碼等信息一旦被泄露,就有可能被犯罪分子所利用,在公民本人不知情的情況下,存在“被開戶”“被轉賬”“被消費”的安全隱患,從而造成財產及其他損失。
那么,那些被犯罪分子盜用身份信息的公民還面臨哪些風險呢?北京市安通律師事務所律師張波表示,大致可以分為以下幾種情況。
一是不法分子冒用公民身份辦理銀行卡、開設銀行賬戶等專門用于犯罪活動,該類犯罪活動主要對被冒用身份開設銀行卡的人(以下簡稱“被冒用人”)的銀行賬戶及正常交易造成影響。例如,銀行賬戶存在不正常的資金往來被列為異常賬戶,進而造成銀行卡被凍結和限制交易等情況,情況嚴重的有可能被誤認為犯罪活動的共犯。
二是不法分子冒用公民身份辦理信用卡用于消費、盜刷,該類犯罪活動主要給被冒用人造成財產損失以及信用卡逾期不還而造成征信異常,進而涉及民事訴訟等。
三是不法分子利用持卡本人的銀行卡及密碼直接盜刷、盜取本人賬戶內的錢款,盜刷本人信用卡,此情況實際上就是盜竊罪一種表現形式,同樣會給持卡人造成財產損失、征信異常以及涉及民事訴訟等。
焦點二:長沙銀行要負相應的法律責任嗎?
專家表示,本案是刑事案件,長沙銀行在刑事案件中作為被害人無需承擔責任,但是在民事領域如果被冒用人有確切證據證明其合法權益受到侵害,則長沙銀行存在承擔民事責任的可能性。
有關法律人士指出,在本案中,長沙銀行不具有其計算機系統(tǒng)被侵犯的故意或過錯,科學技術的發(fā)展日新月異,任何計算機系統(tǒng)都不可能始終盡善盡美,都存在被破解的風險。因此,不能僅僅因為計算機系統(tǒng)存在漏洞,以及被破解和利用,就認定作為被害人的長沙銀行存在過錯,從而減輕對被告人的處罰,也不能據此讓長沙銀行承擔刑事案件方面的相關責任。
“長沙銀行雖然在刑事案件中不承擔責任,但存在承擔民事責任的可能性。”張波表示,如果在刑事案件已經查明的被冒用人中,有合法權益受到侵害的情況,例如因“被消費”“被網貸”且欠款逾期不還而產生不良信用記錄,或者已經涉及訴訟等。在上述情況下,長沙銀行有消除被冒用人的不良信用記錄及承擔相應損失的責任和義務。因為,被冒用人各項損失是由于銀行系統(tǒng)存在漏洞而產生的,即銀行系統(tǒng)漏洞與被冒用人的損害結果之間存在因果關系。因此,長沙銀行存在承擔民事責任的可能性。
那么,被冒用人因為身份信息被冒用而產生的財產損失或征信異常等情況,是否都由銀行負責呢?
專家表示,實踐中一般按照過錯與責任相適應原則,分情況而論。如果公民的身份信息被冒用辦理了銀行卡,銀行沒有盡到充分合理的注意義務,從而給被冒用人造成損失的,銀行應當承擔相應責任;如果持卡人未妥善保管自己的銀行卡以及密碼,而導致銀行卡被盜刷的,則自行承擔相應的損失;如果持卡人沒有妥善保管銀行卡密碼,而犯罪分子又復制了持卡人銀行卡,盜取卡內錢款的,有案例則是以持卡人和銀行都存在過錯為由,判決雙方按比例共同承擔損失。
焦點三:中小銀行面臨哪些信息安全挑戰(zhàn)?
實際上,長沙銀行并非個案。銀行信息安全漏洞致使老百姓遭受財產損失的案件屢見不鮮,大多數案件不是“外賊”乘虛而入,就是銀行“內鬼”知法犯法。與大型銀行相比,中小銀行在信息安全領域面臨科技人才不足,科技信息業(yè)務過于依賴外包服務商,信息安全體系不健全,防護能力薄弱等挑戰(zhàn)。
暨大南方高等金融研究院副院長陳創(chuàng)練表示,中小銀行科技人才儲備和技術實力不如大型銀行,不少中小銀行無法掌握核心技術而依賴外包服務商,在一定程度上存在由于外包人員違規(guī)操作致使公民身份信息或者銀行卡信息泄露,甚至是財產被盜等安全隱患。
不過,中小銀行信息安全核心技術受制于人的局面較難打破。“科技人才往往聚集在一線城市,而在一些二三四線城市,中小銀行根本無人可挖、無人可招。”頂象技術市場品牌負責人田際云表示,這些中小銀行只有通過與外部供應商合作,來滿足業(yè)務發(fā)展等需求。
此外,中小銀行的反欺詐技術存在更新速度滯后、維度單一、效率低下等問題。陳創(chuàng)練認為,中小銀行反欺詐技術存在系統(tǒng)更新換代滯后等問題,如果技術更新不及時,則防御體系可能成為擺設。
專家指出,隨著金融欺詐不斷演進,呈現出“跨界”等特點,并與其他非金融場景不斷結合,傳統(tǒng)防御技術往往無法識別。中小銀行傳統(tǒng)反欺詐手段維度單一,數據來源渠道有限,亟須完善多維度評價防范體系。
對此,陳創(chuàng)練建議,建立反欺詐等信息安全技術識別手段,提高風險識別能力;提高信息技術水平,達到有效防患信息安全泄露的目的;結合大數據平臺信息,構建大數據庫進行情景模擬,不斷演練各種安全漏洞發(fā)生情況,模擬防御體系的有效性,以期構建一個有效的信息安全防御體系。(記者 吳叢司)
猜你喜歡
廣東省推出第二批5項青年民 
德國物價創(chuàng)近三十年新高 通 
網聯平臺:春節(jié)假期前5天處 
個人養(yǎng)老金制度加速崛起 金 
安徽省新增上市公司數創(chuàng)歷史 
數據顯示:廣州市5大行業(yè)薪 
中國咨詢走出國門,君智入選 
恒大新能源汽車公司成為被執(zhí) 
