日前,一则有关长沙银行系统漏洞被利用的消息引发关注。中国裁判文书网披露的一则湖南省长沙市中级人民法院刑事裁定书显示,3名犯罪分子利用长沙银行系统漏洞,对计算机信息系统中传输的数据进行删除、修改,短时间内开设异常账户4万多个,非法获利16万余元,三人均获刑。
长沙银行系统存在哪些漏洞?“被开户”的户主会否遭受损失?长沙银行要负相应的责任吗?……新华财经记者就相关问题拨打了长沙银行相关负责人电话,但对方表示拒绝采访。
专家表示,此类案件可能会引发老百姓对银行能否守住“钱袋子”的担忧,给银行业敲响了警钟。与大型银行相比,不少中小银行信息化系统相对薄弱,信息科技业务过度依赖外包服务商,核心软硬件受制于人,亟须提升信息安全风险防控能力,切实保障老百姓的财产安全。
焦点一:“被开户”的户主会否遭受损失?
刑事裁定书显示,2019年2月间,被告人尚朋等人将内含公民身份证号码、姓名、手机号码等信息内容及串码、一个固定银行卡号、Fiddler应用程序软件提供给被告人司永帅、刘丹,利用Fiddler应用程序软件能够拦截由长沙银行服务器向长沙银行App发送的数据校验结果、加挂银行卡信息、审核状态信息并加以修改的技术功能,使以相关公民身份提出的开设长沙银行线上II类银行账户(以下简称II类户)的申请在缺少“视频审核的业务流水号” “证件上传成功” “生成的视频流水号”等验证环节的情况下能够通过电子渠道开设长沙银行II类户,所开设的长沙银行II类户虽不能正常使用但可用以作为绑定账户开立具有办理限额消费和缴费、限额向非绑定账户转出资金等功能的他行III类户。
相关银行人士和法律人士对此表示,结合本案可以看出,公民的身份证号、姓名、电话号码等信息一旦被泄露,就有可能被犯罪分子所利用,在公民本人不知情的情况下,存在“被开户”“被转账”“被消费”的安全隐患,从而造成财产及其他损失。
那么,那些被犯罪分子盗用身份信息的公民还面临哪些风险呢?北京市安通律师事务所律师张波表示,大致可以分为以下几种情况。
一是不法分子冒用公民身份办理银行卡、开设银行账户等专门用于犯罪活动,该类犯罪活动主要对被冒用身份开设银行卡的人(以下简称“被冒用人”)的银行账户及正常交易造成影响。例如,银行账户存在不正常的资金往来被列为异常账户,进而造成银行卡被冻结和限制交易等情况,情况严重的有可能被误认为犯罪活动的共犯。
二是不法分子冒用公民身份办理信用卡用于消费、盗刷,该类犯罪活动主要给被冒用人造成财产损失以及信用卡逾期不还而造成征信异常,进而涉及民事诉讼等。
三是不法分子利用持卡本人的银行卡及密码直接盗刷、盗取本人账户内的钱款,盗刷本人信用卡,此情况实际上就是盗窃罪一种表现形式,同样会给持卡人造成财产损失、征信异常以及涉及民事诉讼等。
焦点二:长沙银行要负相应的法律责任吗?
专家表示,本案是刑事案件,长沙银行在刑事案件中作为被害人无需承担责任,但是在民事领域如果被冒用人有确切证据证明其合法权益受到侵害,则长沙银行存在承担民事责任的可能性。
有关法律人士指出,在本案中,长沙银行不具有其计算机系统被侵犯的故意或过错,科学技术的发展日新月异,任何计算机系统都不可能始终尽善尽美,都存在被破解的风险。因此,不能仅仅因为计算机系统存在漏洞,以及被破解和利用,就认定作为被害人的长沙银行存在过错,从而减轻对被告人的处罚,也不能据此让长沙银行承担刑事案件方面的相关责任。
“长沙银行虽然在刑事案件中不承担责任,但存在承担民事责任的可能性。”张波表示,如果在刑事案件已经查明的被冒用人中,有合法权益受到侵害的情况,例如因“被消费”“被网贷”且欠款逾期不还而产生不良信用记录,或者已经涉及诉讼等。在上述情况下,长沙银行有消除被冒用人的不良信用记录及承担相应损失的责任和义务。因为,被冒用人各项损失是由于银行系统存在漏洞而产生的,即银行系统漏洞与被冒用人的损害结果之间存在因果关系。因此,长沙银行存在承担民事责任的可能性。
那么,被冒用人因为身份信息被冒用而产生的财产损失或征信异常等情况,是否都由银行负责呢?
专家表示,实践中一般按照过错与责任相适应原则,分情况而论。如果公民的身份信息被冒用办理了银行卡,银行没有尽到充分合理的注意义务,从而给被冒用人造成损失的,银行应当承担相应责任;如果持卡人未妥善保管自己的银行卡以及密码,而导致银行卡被盗刷的,则自行承担相应的损失;如果持卡人没有妥善保管银行卡密码,而犯罪分子又复制了持卡人银行卡,盗取卡内钱款的,有案例则是以持卡人和银行都存在过错为由,判决双方按比例共同承担损失。
焦点三:中小银行面临哪些信息安全挑战?
实际上,长沙银行并非个案。银行信息安全漏洞致使老百姓遭受财产损失的案件屡见不鲜,大多数案件不是“外贼”乘虚而入,就是银行“内鬼”知法犯法。与大型银行相比,中小银行在信息安全领域面临科技人才不足,科技信息业务过于依赖外包服务商,信息安全体系不健全,防护能力薄弱等挑战。
暨大南方高等金融研究院副院长陈创练表示,中小银行科技人才储备和技术实力不如大型银行,不少中小银行无法掌握核心技术而依赖外包服务商,在一定程度上存在由于外包人员违规操作致使公民身份信息或者银行卡信息泄露,甚至是财产被盗等安全隐患。
不过,中小银行信息安全核心技术受制于人的局面较难打破。“科技人才往往聚集在一线城市,而在一些二三四线城市,中小银行根本无人可挖、无人可招。”顶象技术市场品牌负责人田际云表示,这些中小银行只有通过与外部供应商合作,来满足业务发展等需求。
此外,中小银行的反欺诈技术存在更新速度滞后、维度单一、效率低下等问题。陈创练认为,中小银行反欺诈技术存在系统更新换代滞后等问题,如果技术更新不及时,则防御体系可能成为摆设。
专家指出,随着金融欺诈不断演进,呈现出“跨界”等特点,并与其他非金融场景不断结合,传统防御技术往往无法识别。中小银行传统反欺诈手段维度单一,数据来源渠道有限,亟须完善多维度评价防范体系。
对此,陈创练建议,建立反欺诈等信息安全技术识别手段,提高风险识别能力;提高信息技术水平,达到有效防患信息安全泄露的目的;结合大数据平台信息,构建大数据库进行情景模拟,不断演练各种安全漏洞发生情况,模拟防御体系的有效性,以期构建一个有效的信息安全防御体系。(记者 吴丛司)