您当前的位置: 首页 网吧分会专栏 网吧动态

网上银行大众版暗藏漏洞 客户将独自面对被盗风险

发布时间: 2009-09-23 丨 阅读次数: 18533



  从来不知道“网上银行”为何物的四川省乐山市普通工人丁杰,从未开通过网上银行,但他在工行乐山市五通桥支行的6000多元存款一夜之间被人以网上购物方式一扫而空。

  上周,在美国爆发的信用卡资料泄漏事件,随着事态的明朗,迅即扩展到亚太地区。金融网络安全问题成了关注焦点。丁杰的遭遇,正凸现了金融网络安全难题。

  “我从来没想到,放在银行的钱会莫名其妙地飞了,而且银行告诉我,是我自己网上购物给花光了。”丁杰情绪激动地告诉《每日经济新闻》。

  在蓬勃兴起的网上银行业务中,丁杰的遭遇并非个案。其重要原因在于,安全级别较低的大众版网上银行账户容易被“黑”。问题的严重性还在于,目前网上银行业务当中,大众版用户占据了绝大多数,而使用有一定安全保证的专业版的客户并不多。

  不仅如此,数以千万计的大众版用户们又要面临一个新挑战。上海银行界人士向《每日经济新闻》透露,根据央行近期出台的《电子支付指引(征求意见稿)》,今后大众版用户账户被“黑”掉的损失,很可能将由客户自己承担,银行则可能将被免责。

  专业版申办繁琐大众版风险很高工行一位电子银行专家表示,个人网上银行一般分为大众版和专业版,本质区别在于安全级别。专业版必须由用户本人到银行网点办理,采用的数字安全证书拥有上百位的签名密钥,安全级别很高;而大众版允许客户凭身份证号、账号和密码在网上自助开通,手续简便,运行后保密性较差,防护措施仅仅是客户自设的登陆密码和付款密码。

  “各家银行专业版的用户都少得可怜。”浦东发展银行电子银行部一位负责人透露,招商银行是最早推广网上银行业务的银行之一,其网上银行客户数量上千万,但专业版客户不过数万。据招商银行统计,今年1-4月份招行超过50%的个人业务不是在柜台上完成,而是通过网上银行操作的。

  工行的网上银行业务量也在国内银行业前列,但大众版客户仍然占据绝大多数。来自工行总行的数据显示,截至今年3月,工行个人网上银行客户数量达到1106万户。“其中绝大多数都是大众版用户,专业版客户很少。”工行总行一位知情人士透露。以该行浙江省分行为例,这家分行60多万的网上银行客户中,专业版本客户不足万人。

  作为中国网上银行业务的领先者,招行和工行的数据某种程度上是整个行业的写照。浦发行上述负责人表示,由于专业版网上银行业务开通手续比较复杂,使得银行在推广时遇阻,从而转向大众版。

  而且,银行急于拓展业务量,纷纷简化了大众版用户的开通手续,建行、工行、农行等银行的个人网上银行大众版客户都可以轻松实现网上购物。网上购物简单的开通手续和稀疏的防范措施使其成了网上银行盗用风险频发的高危渠道。

  丁杰的遭遇就是大众版网上银行被“黑”的典型方式。他告诉《每日经济新闻》,自己根本就没有开通过网上银行,但存在乐山市工行五通桥支行的6000多元存款在一夜之间被人以网上购物的方式一扫而空。因为开办工行大众版网上银行业务时,客户不需要到网点、不需要原卡和身份证件原件,只需要几个号码即可开通,大大“便利”了盗取资金的行为。

  央行新规(草案):使用大众版被盗用银行免责尽管损失已经发生,但丁杰“无辜”的遭遇能找银行理论吗?

  根据央行先前发布《电子支付指引(征求意见稿)》,其中第四十五条规定:“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,发起行或转发人对该指令进行处理所产生的后果不承担责任。”

  根据此条规定,只有在账户“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况下,银行才会负相关责任。在没有直接责任的情况下,银行只被要求“积极配合客户查找原因,尽量减少客户的损失”。

  浦发行电子银行部的一位人士对此的通俗化解释是:所谓“使用数字证书和电子签名等作为安全认证方式”的就是指专业版用户,客户使用网上银行专业版进行网上购物,发生的账户盗用损失由银行买单,而“非使用数字证书和电子签名等作为安全认证方式”的即指大众版用户,客户使用网上银行大众版进行网上购物,只要银行系统不存在问题,无法追回的账户盗用损失由客户自己承担。

  《电子支付指引(征求意见稿)》尚在征求意见之中,最终结果仍不得而知。银行对第四十五条的规定非常赞成,表示此前银行遇到大众版网银被盗的案例通常也是不赔,央行的规定让这一惯例有了法规依据。

  银行没有充分的风险提示法律专家:银行对客户不公客户希望银行能够负起相应的责任。丁杰说:“我卡上的钱是在凌晨2点被人分7次在同一个网站上花掉的,银行难道都不会觉得奇怪吗?银行对网上购物难道没有任何单日额度限制吗?”

  据报道,工行日前称,该行的个人网上银行规则在今年6月10日进行了调整。对于使用个人网上银行的无证书(大众版)客户,如果需要对外转账或汇款,其单笔交易限额为2000元,当日累计交易限额为5000元。但使用证书(专业版)的客户不受此限制。

  除了在电子系统上进行完善,法律专家还表示,银行应该加强对客户的风险提示。上海严义明律师事务所的严义明律师认为,即使银行没有法律上的赔偿责任,但从商业伦理角度来讲,在安全不能完全得到保证的前提下,银行为了商业利润而简化开通手续,这对客户来说是不公平的。

  目前,银行对大众版客户的风险提示都不太明确。招行工作人员表示,所有招行的持卡人都自动成为个人网上银行大众版客户,无需任何注册手续。如此,客户根本没有机会从银行那里得到风险提示。工行工作人员则表示,他们不会主动向客户提示:使用大众版网银账户被盗用的风险需由客户自己承担。但如果客户主动问起,他们会如实告知。

  在工行个人网上银行网页注册大众版账户时,《每日经济新闻》发现唯一的风险提示出现在“电子银行个人客户服务协议”中,其客户义务中的第五条显示:“甲方(即客户)应按照机密的原则设置和保管密码:……取其他合理措施,防止本人密码被窃取。由于密码泄露造成的后果由甲方承担。”

  香港网银推出双重认证

  浦发行一位电子银行专家透露,美国的银行一般对外承诺:客户网上银行交易发生风险,银行照单全收。而香港金融管理局、香港银行公会及香港警务处也于今年5月30日联合宣布,香港银行界推出网上银行的双重认证。

  报道称,鉴于网上银行服务日渐普及,网上银行诈骗伎俩层出不穷,香港银行界达成普遍共识,认为银行应就高风险的网上银行零售交易推出双重认证。银行将于2005年6月底前准备妥当,以供客户进行双重认证。客户若要进行上述交易,将须采用双重认证。

  据了解,香港银行最常采用的双重认证方法有三种:电子证书、通过手机短信发出只用一次的密码,以及由保安显示器发出只用一次的密码。