涉案银行 本报记者 郭宏鹏 摄
本报记者 郭宏鹏
存在农行的巨款竟然不见了 “老妈,坏事了!咱家存在银行的钱怎么不见了?”2005年5月11日下午,福建省晋江市青阳镇居民庄玉清打发二儿子苏礁荣到农业银行晋江市支行(以下简称晋江农行)存钱,苏礁荣发现存折上只剩下10余万元后赶紧回家报信。庄玉清接过存折一看傻眼了,里面少了777万元,她丢下手里活计飞速赶往晋江农行查询。
经银行查证,5月10日,存折里的775万元通过网上银行被转至“曾建华”户头,2万元被转至“郑锦伟”账上。银行的电子记录显示:5月11日上午,“曾建华”户头的775万元在北京展览路农行被全额领取,“郑锦伟”账上的2万元还没有来得及领走,晋江农行立即将这2万元冻结。
700多万元巨款是庄玉清丈夫经商多年的积蓄,存在庄玉清的名下。这张农业银行“金博士”理财卡是庄玉清10多年前开户的,平时存放在家中保险柜内,如有业务需要收支款项凭此卡办理,一直没有发生差错。只是2005年3月中旬,大儿媳庄紫润查询卡内存款数额时,银行工作人员告知输进去的密码有误,挂失后更改了新的密码。
案发当日,庄玉清立即向晋江市公安局报案。银行监控录像显示,2005年2月25日,有一中年妇女冒充庄玉清在农业银行泉州市鲤城支行(下称鲤城农行)开通了网上银行。据了解,储户如需办理网上银行业务,须用户本人携带身份证原件及复印件,农行卡,填写申请表,在储户协议书上签字。这位假“庄玉清”(真名陈玉玲,在逃)凭着伪造的身份证、银行卡以及破译的密码在鲤城农行开通了庄玉清的网上银行业务。卡号和密码与真实的一致,伪造的身份证头像却是陈玉珍的。但一般人只要仔细一看,却是错误百出:庄玉清身份证的住址是“晋江市”,假身份证是“南安县”。发证时间为“1999年2月”,此时南安早已撤县改市,假证盖的竟然是“南安县公安局”公章。1999年颁发的身份证号码应是18位,而这张假证还是15位。如果银行工作人员审查时多一份细心,就能够发现其中的破绽;如果银行制度要求与原开户行进行核对,犯罪嫌疑人就更容易露出马脚。假“庄玉清”不知是因为不识字还是害怕,储户协议书居然让陪同来的另一犯罪嫌疑人赖得富代签。
网上银行一开,庄玉清的银行储蓄存款账户被打开一个缺口,一旦存款达到一定数额,犯罪随时可以付诸实施。
一个分工明确的高科技犯罪团伙 由于案情重大,该案先后被列为福建省公安厅、公安部督办案件,晋江市公安局、泉州市公安局迅速成立了专案组。2005年五六月间,犯罪嫌疑人伍景扬、林炳辉、马春刚、钟化新、赖得富纷纷在广东深圳市、河南郑州市落网。被盗赃款被追回229万元。主犯颜黎辉及冒充庄玉清的陈玉玲至今尚未归案。
据主犯伍景扬供述,2005年2月20日左右,颜黎辉(男,30岁,福建安溪县人)在深圳市找到江西人伍景扬说有一笔“业务”可做,要他物色一个40多岁的女人去泉州开通储户的网上银行。伍找到一个名叫陈玉玲的广东海丰人并提供一张她的一寸照片。第二天,颜黎辉就把一张假身份证、一张农行储蓄卡交到了伍景扬手里,并告诉卡的密码。该身份证的头像是陈玉玲的,名字却叫“庄玉清”。2月25日,伍景扬派同乡赖得富陪同陈玉玲到泉州鲤城农行,凭假身份证和伪造的农行卡开通了庄玉清的网上银行业务。
这里有一个插曲。庄玉清的账号密码改了,这下把颜黎辉急坏了,于是他教伍景扬用固定电话、手机和上网猜试密码的方法。为此,伍景扬还专门雇请了四五个女工用电脑上网去猜试庄玉清的账户密码。最后还是颜黎辉用CDMA手机猜出来了。
密码破译了,账户里面多少钱一查便知。5月7日,颜黎辉指使伍景扬又派了马春刚、钟化新等人坐大巴车从深圳赶到泉州,马春刚、钟化新分别用捡来“曾建华”、“郑锦伟”的身份证,在泉州农行开户。5月10日,几路人马汇聚北京。林炳辉、钟化新、赖得富三人来到北京展览路农行营业厅预约说第二天要提取800万元。当晚,颜黎辉通过网上银行将庄玉清的775万元转到“曾建华”账上,将2万元转到“郑建华”的账上。5月11日上午9点,马春刚、钟化新、赖得富进入银行取款,手续办得十分顺利。不一会儿,每人扛了一麻袋钱出来,银行保安还亲自送到门口。颜黎辉、伍景扬租了一辆丰田面包车在外面接应。他们在北京就进行了分赃,颜黎辉得775万元的70%共542.5万元(扣除手续费),他分给林炳辉5万元;伍景扬分得30%共232.5万元,他分给钟化新22万元,分给赖涛富、马春刚3万元、5万元不等。
作案后,狡猾的颜黎辉突然玩起了人间蒸发,使得一些谜团至今无法解开。比如,颜黎辉是从何处获得庄玉清的农行卡号的,尤其是怎样“破译”卡号的密码的?他带走的548万元赃款又引发了一场庄玉清与晋江农行的合同官司。
储户与农行对簿公堂 银行存款被盗领,庄玉清到晋江农行取款遭拒。2005年7月14日,泉州市中级法院受理了庄玉清状告晋江农行、鲤城农行储蓄存款合同纠纷案。
案件审理之初,鲤城农行、晋江农行分别向法院提交了《中止审理申请书》,认为颜黎辉、陈玉玲在逃,其他落网犯罪嫌疑人对颜如何获取账号、密码、身份证号码等信息均不清楚,会影响查清案件事实,请求法院裁定中止案件的审理。泉州中院认为,本案的法律关系属储蓄存款合同纠纷,且目前并无证据表明储户有涉嫌参与犯罪,无须以另一刑事案件的审理结果为依据,公安机关是否把主犯颜黎辉抓获归案,并不足以影响对本案合同关系的审查,故对该申请不予准许。
案件争议的焦点是,被告是否适当履行了储蓄存款合同的付款义务。即,晋江农行及其代理银行鲤城农行对该合同之债的清偿是否指向债权所有者庄玉清,也就是晋江农行及其代理行在讼争标的被提取或转账的操作过程中确认债权人身份时是否存在违反双方约定和法律规定的行为,从而导致该款项被他人转账取走而不是支付给储户本人。
原告庄玉清诉称,案犯骗取开通网上银行并窃取银行款项后,原被告双方的储蓄存款合同关系仍然有效,被告应举证证明其已适当地履行了付款义务,否则,原告有权持真实有效的折、卡要求被告兑付存款本息。对于讼争存款被窃,原告的存款凭证、储蓄卡及身份证均未遗失或被盗,也未泄露密码,公安机关的侦查也表明犯罪嫌疑人是持伪造的银行卡及假身份证开通网上银行服务的,这说明原告对讼争存款被窃取没有任何过错。相反,鲤城农行违反操作规程及相关法律规定,未审查核实客户资料的真实性,具有明显的过错。
被告晋江农行辩称,被告已经按储蓄合同约定和规定凭正确的账号和密码履行了支付义务,原告无权要求被告重复支付。至于原告诉称开办网上银行使用的身份证系犯罪嫌疑人伪造,根据中国人民银行银发199944号文件,储蓄机构对储户提供的身份证明只进行形式上的审查,晋江农行的代理行鲤城农行已尽到合理审查的义务。
晋江农行强调,只有原告知道自已设定的交易密码。《金穗卡章程》写明:“持卡人应当将金穗借记卡与密码分开保管,因卡遗失或密码失密造成的资金损失,由持卡人自行承担。”原告账号的交易密码除原告外,还有其丈夫、二儿子、大儿媳知晓,银行卡其丈夫、儿子也有使用。原告这一行为,不仅违反了《银行卡业务管理办法》“银行卡及其账户只限经发卡银行批准的持卡人本人使用,不得出租和转借”的规定,而且违反了妥善保管密码的合同义务,由此造成的资金损失应由原告自身承担。
被告鲤城农行称自己只是晋江农行的业务代理行,依代理的一般原则,不应对代理事务承担责任。
存款被冒领农行承担违约责任 该案两次开庭两次延期审理,可见法院的重视和审慎,经合议庭合议并经审判委员会讨论,案件事实和法律观点才逐渐明晰和一致。
关于晋江农行提出的“仅有犯罪嫌疑人的供述并不能作为定案依据”问题,法院认为,虽然涉嫌诈骗涉讼存款的刑事案件尚未作出生效裁判,但是,本院并非直接以侦查卷宗的内容作为已经确认及无需证明的事实,而是作为证据之一经过各方的质证并作出认定。从几个犯罪嫌疑人的供述、对鲤城农行工作人员的询问笔录及公安机关经过侦查所形成的结论,均可相互印证以下事实:犯罪嫌疑人于2005年2月25日冒用庄玉清的名义,使用一张伪造的庄玉清的身份证并持银行卡向鲤城农行申请开通了该账户的网上银行服务。2005年5月10日,犯罪嫌疑人通过网上银行将庄玉清账户内的资金775万元转账至其预先设的账户内,之后于异地(北京)取走了涉案存款。
关于“原告是否履行了妥善保管密码的合同义务”问题,法院认为,原告的密码除本人知悉外还告知了几位家庭成员,原告这一行为,确实加大了密码泄露或遗失的风险。但是,从公安机关侦查的内容来看,目前尚无证据证明原告庄玉清将密码泄露给亲属之外的其他人或其亲属也涉嫌参与犯罪,即没有证据证明存款被他人冒领与原告这一行为存在因果关系。《金穗卡章程》中关于“凡密码相符的交易均视为客户实施操作的合法交易”的规定,作为格式条款不考虑储户是否有过错,不具体分析失密的原因,无疑加重了储户的责任,有悖公平,违反了合同法第四十条的规定因而无效。
关于“被告是否尽到形式审查的义务”问题,法院认为,在银行不具备相应的证件鉴别设备的前提下,不应苛求银行对身份证件材质真伪进行鉴别,但这不能排除或减轻银行对取款人的身份和所提供的有关证件进行审查把关的义务,否则有悖于有关行政法规所规范的储蓄机构应要求取款人提供真实有效的身份证件的规定。所谓形式审查,是指银行工作人员通过对照、核对客户填写具体内容及其提供的相关证件,从而在形式上对取款人提供的证件是否有效进行审查而并不意味着无需审查或者完全不用辨别真伪,对形式审查不能作等同于只要求提供而不进行审查的错误理解。鲤城农行的工作人员在身份证的审查环节仅作姓名与号码的简单核对,并未完成其应尽的形式审查义务。而且,根据犯罪嫌疑人的供述,申请人签章处的签名是由陪同假冒庄玉清的女子前去开通网上银行服务的男子所代签,这亦不符合由本人签名确认的要求。
泉州中院最后认定,被告晋江农行因其代理行错误地接受虚假资料为他人开通原告庄玉清名下的网上银行服务,致使讼争存款被冒领,另一笔被转支的2万元款项也未能证明其去向,因而在庄玉清要求取款时未能履行付款义务,应承担相应的违约责任。2006年8月22日,泉州中级法院判决晋江农行支付庄玉清人民币548万元及逾期付款违约金。
盗案频发拷问网上银行安全 近年来我国网上银行的发展势头迅猛,用户已从2001年的200多万户发展到2006年的5400多万户,交易金额由5万亿元发展到95万亿元。然而,随着网上银行日益普及,盗窃案件时有发生,去年工商银行曾在全国十几个城市发生网上银行被盗事件,再次将网上银行的安全问题推向风口浪尖。
网上银行安全事故不断发生,一方面固然与客户安全意识淡薄有关,但是更重要的是网上银行本身存在的隐患———信息安全并没有得到很好的解决。某IT公司的技术总监告诉记者,国内很多商业银行在安全设备的硬件设施方面投入的已经不少了,但这些银行内部的安全漏洞还是很多,主要原因就是因为在管理方面跟不上。据了解,一般来说,网银系统包括web服务、应用服务、数据库和后台主机四大块。为了确保安全,这四块都需要做加固操作系统等方面的工作,但是为了保证处理性能的高速度,给予客户更大的方便,一些银行就省略了不少加固措施或者防火墙,而让后台主机承担所有的安全责任,这就很容易发生安全问题。
针对网上银行出现的各种安全问题,一些商业银行也积极采取措施“亡羊补牢”。一位农业银行工作人员告诉记者,从2006年8月1日起,农行银行卡差错风险处理系统(集中版)正式上线运行,该系统采用安全性和实用性都极高的加密技术,实行业务和技术双重保险,能够从根本上保证客户资金安全。工商银行则规定在银行柜台办理的静态密码网上银行客户的每日交易限额从5000元变下调为300元,需要大额交易的客户必须申请专业版网上银行,并使用“U盾”或动态口令卡等安全工具。
中国金融认证中心负责人李晓峰指出,银行自建安全认证系统的安全性虽然可以保障,但问题在于,作为交易一方的银行,同时又是标准制订的一方,一旦银行与用户因网银业务产生纠纷,话语权将完全掌控在银行手中,这样对用户不公平。这就需要独立于银行与用户之外的第三方安全认证机构来统一标准。然而,现在各大商业银行和电子商务网站,多数还是采用用户名、密码的形式进行安全认证,采用合法第三方数字证书的用户仅有2%。
记者注意到,中国银监会近期下发《关于做好网上银行风险管理和服务的通知》,规定今后在各大银行开通网上银行的客户在使用网银账户转出资金时,单笔超过1000元或日累计超过5000元,必须使用双重身份认证。所谓双重身份认证,第一重认证是指网银客户的用户名和密码;第二重认证是动态口令卡和数字证书等网上银行用户持有、保管并使用可实现其他身份认证方式的信息,以确保网上银行账户的资金安全。