关于短信验证码:最高法用户遭盗刷银行应赔偿银行如何破局

​​一、新规解读

银行卡明明在本人手里，余额却不胫而走……最高人民法院对于审理银行卡民事纠纷案件若干问题的规定 25 日起实施。

1.1 盗刷问题银行将担责

《银行卡规定》第七条，明确以下两种盗刷状况，银行须抵偿：

• 产生伪卡盗刷交易或者网络盗刷交易，借记卡持卡人基于借记卡合同法律关系申请发卡行领取被盗刷贷款本息并赔偿损失的，人民法院依法予以反对
• 产生伪卡盗刷交易或者网络盗刷交易，信用卡持卡人基于信用卡合同法律关系申请发卡行返还扣划的透支款本息、违约金并赔偿损失的，人民法院依法予以反对
  同时，针对上述两款情景，持卡人对银行卡、明码、验证码等身份辨认信息、交易验证信息未尽妥善保存任务具备过错，发卡行主张持卡人承当相应责任的，人民法院应予反对。

近年来，银行卡盗刷特地是网络盗刷案件频发，重大侵害当事人财产权利，同时也影响着银行卡领取市场的平安稳固倒退，潜藏着较大的危险。专家认为，该规定在银行卡产业法治化倒退过程中具备里程碑作用。与此同时，新规的出台，将给银行业带来哪些影响？人们眼光再次聚焦到各大银行。

二、银行面临的问题与挑战

自 2018 年以来，短信验证码攻打案多地频发，短信嗅探盗刷迅速蔓延全国。给用户财产造成巨大损失的同时，银行也深陷银行卡民事纠纷案件之中。

• 2019 年 3 月，上海市普陀区人民法院裁决，农行将抵偿瞿学生全额损失，包含 18 万的卡内被盗刷金额、利息损失以及律师费；
• 2019 年 12 月，南昌市西湖区人民法院审理了该起储蓄存款合同纠纷案，针对验证码泄露卡被盗刷问题，鉴于银行有责任建设持卡人平安保障机制，且银行在单方储蓄合同法律关系中处于强势位置，并联合本案中单方的过错水平，法院判令银行对王某资金被骗承当 70% 的责任，即 7000 元；王某本身泄露动静明码，应承当 30% 的责任，即 3000 元；
• 2020 年 9 月，杭州萧山区法院对储蓄存款合同纠纷案作出裁决，银行抵偿小康的贷款全副损失，共计 102128.31 元及相应利息；
• 2021 年 4 月，温州中院依法对阮某诉某银行储蓄存款合同纠纷一案作出终审判决，银行对银行卡被盗刷造成的损失承当 70% 的抵偿责任，即抵偿阮某贷款损失 153160 元及利息损失，阮某对信息管理不善导致银行卡被盗刷，承当 30% 的责任。驳回银行的上诉申请，维持原判；

与此同时，随着技术与市场的成熟化发展，挪动领取笼罩场景将更加宽泛。中国人民银行公布的最新数据显示，截至 2020 年末，全年银行共解决电子领取业务 2352.25 亿笔，金额 2711.81 万亿元。暴利驱动下，黑灰产频频出手，网络盗刷案件逐步攀升。

新规的出台，无疑对银行挪动领取平安提出更高的要求。但面对日益成熟的网络盗刷产业链，银行又该如何破局呢？

三、银行卡网络盗刷剖析

回顾近年来对于盗刷的纠纷，银行投入了大量人力、物力与财力，尽量减少用户财产损失。但面对频发的网络盗刷案件，银行依然只能疲于应酬，问题到底出在哪？

此次新规中，针对网络盗刷问题，在理论业务场景中，始终存在两个较大争议点：

• 网络盗刷中，存在着持卡人点击不明链接后，手机接管的短信验证码被犯罪分子拦挡的景象存在。如何解决这一争议，短信验证码的泄露是否基于持卡人的过错的举证责任由谁承当；
• 网络盗刷中，还存在短信嗅探，基于短信验证码的攻击行为。持卡人未经任何操作的状况下，线上资产产生盗刷，如何界定持卡人保存任务与过错。

而在以下两大争议点中，「短信验证码」又正是网络盗刷过程中黑灰产冲破的关键环节。

• 案件一：2018 年 8 月，「独钓寒江雪」在豆瓣发帖《这下赤贫如洗了》，讲述被盗刷的经验。一时间，伪基站、短信嗅探掀起舆论关注。与此同时，包含郑州、广州、厦门等全国多地，接连产生多起银行卡被盗刷事件。这些银行卡盗刷案件作案伎俩统一，均是利用手机 2G 网络（GSM）不加密传输的破绽，通过伪基站和短信嗅探器，在肯定范畴内获取用户手机号码和短信验证码。之后，再利用各大银行 APP 存在的破绽和缺点，实现信息窃取、资金盗刷。
• 案件二：2020 年 8 月，深圳龙岗警方发表打掉一个新型盗刷银行卡犯罪团伙，抓获 10 名嫌疑人，查缴伪基站等电子设备 6 套，带破同类案件 50 余宗，涉案金额逾百万元。据专家剖析，嫌疑人通过“GSM 劫持 + 短信嗅探”技术截获受害人短信验证码，从而实现盗刷等操作。截至目前，这是全国该类案件中打掉涉案人数最多、金额最大的一起。

注册新账号，须要短信验证码；遗记明码又想登录网站，须要短信验证码；在网上转账提现，须要短信验证码……以后，应用短信验证码验证用户身份的技术，被广泛应用于各类挪动利用和网站服务。但非凡状况下，黑产利用「伪基站」攻打，短信验证码将遭逢拦挡。那么便存在，「是否用户自己应用自己手机实现验证操作」这样的破绽，给不法分子假装受害者提供了机会，也给网络盗刷责任界定减少了争议点。那么，如何保障在诸多场景下是否是被自己操作呢？

四、极验「无感本机认证」

4.1 极验「无感本机认证」

极验新一代的身份认证解决方案「无感本机认证」，代替传统短信验证，既能躲避传统短信验证毛病：短信轰炸、短信钓鱼、短信谬误发送、短信通道梗塞、短信嗅探、第三方运营商用户信息泄露等诸多平安层面问题，同时在用户体验方面也能够解决传统短信存在延时发送不到，导致用户散失投诉等用户体验问题，极验新一代身份认证产品 - 无感本机认证实用于挪动 APP 终端、H5 以及微信小程序。

4.2 静默校验

「是否用户自己应用自己手机实现验证操作」这样的问题，极验新一代验证是如何解决的呢？

极验新一代验证无感本机认证中推出另外一种验证模式，用户登录胜利之后，基于三大运营商的能力拿到本机 SIM 卡手机号与用户登录账号进行比照。依据匹配后果判断登录账号是否为本机账号，如果后果不匹配，可判断用户不是本机账号登录，可进行高强度认证。

静默校验可用于领取场景，遗记明码场景，确认本次登录 APP 账号为本机手机号。

结语

站在银行角度，新规的出台，有利于倒逼相干部门开展挪动领取平安危险专项排查，不断加强挪动领取场景平安能力建设。作为新一代身份验证解决方案，极验「无感本机认证」将为挪动领取场景减少一层防护，守护用户资产平安同时，晋升交互体验。而银行相干部门，在面对网络盗刷问题上，除了配合相干部门进行反诈宣传，晋升用户网络安全意识外，也将多一个抉择，从而更加被动的做出应答。