在金融法律关系的复杂网络中,信用卡作为重要的支付工具,其使用安全不仅关系到持卡人财产权益,也涉及金融机构运营秩序以及支付体系的稳定性。为此,一系列法律法规在为信用卡的交易安全保驾护航。其中,《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称“《银行卡规定》”)对伪卡盗刷及网络盗刷交易的责任承担作出了明确规定,然而,该规定并未对实践中频发的“真卡盗刷”的责任承担作出规定,那么当“真卡盗刷”发生时,持卡人与银行之间的责任应该如何划分?没有规定是否意味着银行无需承担责任?本文结合相关法律规定与司法案例,从银行合规与金融消费者保护之双重角度,对“真卡盗刷”中的责任认定进行系统梳理与分析。
一、相关法律规定
根据《银行卡规定》第十五条规定,信用卡盗刷交易中,伪卡盗刷交易指的是他人使用伪造的银行卡刷卡进行取现、消费、转账等,导致持卡人账户发生非基于本人意思的资金减少或者透支数额增加的行为;网络盗刷交易指的是他人盗取并使用持卡人银行卡网络交易身份识别信息和交易验证信息进行网络交易,导致持卡人账户发生非因本人意思的资金减少或者透支数额增加的行为。
而本文项下的“真卡盗刷”,是指盗刷者通过非法手段获取持卡人的银行卡信息、密码或验证码等信息后使用持卡人真实的银行卡进行盗刷或趁持卡人疏忽盗取真卡后,在持卡人不知情的情况下进行取现、消费、转账等操作,导致持卡人账户资金减少或透支数额增加的行为,而非通过伪造、克隆、盗取持卡人银行卡网络交易身份识别信息或交易验证信息等手段进行盗刷。
尽管《银行卡规定》中未明确“真卡盗刷”的责任承担,但根据本律师团队的案例研究,司法实践中发生“真卡盗刷”时仍可参照适用该规定。现本律师团队将《银行卡规定》中与信用卡盗刷有关的主要条款具体梳理如下:
1.第四条:“持卡人主张争议交易为伪卡盗刷交易或者网络盗刷交易的,可以提供生效法律文书、银行卡交易时真卡所在地、交易行为地、账户交易明细、交易通知、报警记录、挂失记录等证据材料进行证明。
发卡行、非银行支付机构主张争议交易为持卡人本人交易或者其授权交易的,应当承担举证责任。发卡行、非银行支付机构可以提供交易单据、对账单、监控录像、交易身份识别信息、交易验证信息等证据材料进行证明。”
2.第五条:“在持卡人告知发卡行其账户发生非因本人交易或者本人授权交易导致的资金或者透支数额变动后,发卡行未及时向持卡人核实银行卡的持有及使用情况,未及时提供或者保存交易单据、监控录像等证据材料,导致有关证据材料无法取得的,应承担举证不能的法律后果。”
3.第六条:“人民法院应当全面审查当事人提交的证据,结合银行卡交易行为地与真卡所在地距离、持卡人是否进行了基础交易、交易时间和报警时间、持卡人用卡习惯、银行卡被盗刷的次数及频率、交易系统、技术和设备是否具有安全性等事实,综合判断是否存在伪卡盗刷交易或者网络盗刷交易。”
4.第七条:“发生伪卡盗刷交易或者网络盗刷交易,借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的,人民法院依法予以支持。
发生伪卡盗刷交易或者网络盗刷交易,信用卡持卡人基于信用卡合同法律关系请求发卡行返还扣划的透支款本息、违约金并赔偿损失的,人民法院依法予以支持;发卡行请求信用卡持卡人偿还透支款本息、违约金等的,人民法院不予支持。
前两款情形,持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错,发卡行主张持卡人承担相应责任的,人民法院应予支持。
持卡人未及时采取挂失等措施防止损失扩大,发卡行主张持卡人自行承担扩大损失责任的,人民法院应予支持。”
5.第八条“发卡行在与持卡人订立银行卡合同或者在开通网络支付业务功能时,未履行告知持卡人银行卡具有相关网络支付功能义务,持卡人以其未与发卡行就争议网络支付条款达成合意为由请求不承担因使用该功能而导致网络盗刷责任的,人民法院应予支持,但有证据证明持卡人同意使用该网络支付功能的,适用本规定第七条规定。
非银行支付机构新增网络支付业务类型时,未向持卡人履行前款规定义务的,参照前款规定处理。”
6.第九条“发卡行在与持卡人订立银行卡合同或者新增网络支付业务时,未完全告知某一网络支付业务持卡人身份识别方式、交易验证方式、交易规则等足以影响持卡人决定是否使用该功能的内容,致使持卡人没有全面准确理解该功能,持卡人以其未与发卡行就相关网络支付条款达成合意为由请求不承担因使用该功能而导致网络盗刷责任的,人民法院应予支持,但持卡人对于网络盗刷具有过错的,应当承担相应过错责任。发卡行虽然未尽前述义务,但是有证据证明持卡人知道并理解该网络支付功能的,适用本规定第七条规定。
非银行支付机构新增网络支付业务类型时,存在前款未完全履行告知义务情形,参照前款规定处理。”
二、司法案例
(一)持卡人承担全部责任
案例一:(2024)沪0115民初72704号
基本案情:2021年11月6日,原告郑某作为主卡申请人向被告申领信用卡,原告女儿刘某某为案涉信用卡的附属卡持有人。2023年9月23日,原告女儿在英国伦敦遭遇钱包被盗窃,导致案涉信用卡遗失并被盗刷,金额分别为4,000英镑和1,350英镑。盗刷行为发生后,原告致电被告客服电话,告知案涉两笔交易系遭遇信用卡被偷后的盗刷,并对案涉信用卡进行了挂失,挂失之后未再产生相关损失。其中,《某某银行1信用卡(个人卡)领用合约》第五条第3款约定,挂失生效前所发生的后果和经济损失均由乙方承担。在正式挂失生效后,发生的非乙方而形成的债务和损失不再由乙方承担。
法院观点:
案涉信用卡交易系真卡盗刷行为,且《某某银行1信用卡(个人卡)领用合约》第五条第3款已明确约定,如信用卡被盗,挂失生效前所发生的后果和经济损失均由持卡人承担。在正式挂失生效后,发生的非持卡人而形成的债务和损失不再由持卡人承担。上述条款已就信用卡被盗后损失的责任划分作出明确约定,对合同双方具有约束力。故案涉信用卡遗失,是造成相关损失的主要原因,原告女儿作为案涉信用卡的附属卡持卡人应对该损失承担责任。
案例二:(2025)沪74民终783号
案情简述:2019年10月25日,夏某(持卡人)向某某银行信用卡中心(发卡行)申领信用卡。夏某申领涉案信用卡时,双方领用合约第2.3条明确约定:凡未使用密码进行的交易,则记载有持卡人姓名的交易凭证或能够证明持卡人本人消费的其他依据为该项交易完成的有效凭证。后由于VISA卡组织规则变更,某某银行信用卡中心将领用合约中的相关内容修订。本案中,夏某信用卡被盗窃,涉案信用卡消费记录显示:2023年9月28日(北京时间)15时48分产生外币消费6,396.57美元;15时49分产生外币消费5,970.13美元,上述两笔交易即为本案争议交易。2023年9月28日15时56分,夏某完成涉案信用卡挂失,2023年9月28日17时59分,夏某向马来西亚警察局报案。经某某银行信用卡中心确认,涉案信用卡设置了密码,但境外商家有权选择是否验密,涉案两笔消费交易时未验密。
法院观点:
本案案涉信用卡交易并非伪卡盗刷。根据《领用合约》第2.10条的约定,持卡人应妥善保管信用卡及其卡片信息、密码、交易凭证、身份证件和个人信息等……持卡人保管不善而造成信用卡丢失、被盗及被冒用的,由持卡人承担由此产生的一切后果和损失。因此,夏某作为信用卡的持有人,存在未尽妥善保管义务的过错。其次,《领用合约》中对于“未使用密码进行的交易”的情形予以明确记载,夏某在申请案涉信用卡时签名确认其“已阅读申请材料,知晓本信用卡信息,愿遵守领用合约及申请表所列全部条款”,故夏某应当知晓信用卡境外交易存在无需使用密码的情形。此外,根据《领用合约》约定,在境外免密交易的情形下,除了记载有持卡人姓名的交易凭证之外,凭信用卡磁条、芯片、卡号等电子数据而办理的各项交易所产生的消息记录之一或全部的,同样被认定为该项交易完成的有效凭证。故,在凭信用卡磁条、芯片、卡号等电子数据完成交易的情形下,持卡人作为信用卡第一保管义务人对其遗失信用卡后产生的损失负有责任,因此,夏某应对其遗失信用卡后产生的损失自行承担。
(二)银行承担全部责任
案例三:(2025)粤01民终2330号
案情简述:本案中宣某于墨西哥坎昆时间2023年5月2日半夜12点36分(北京时间2023年5月2日13:36:26)在墨西哥金塔罗纳澳洲坎昆市的某加油站加油,付款时将案涉信用卡插入pos机,被刷走一笔金额为14865.80墨西哥比索(折合829.87美元)的款项。此时,宣某手机立刻收到某银行发送的信息:“【某银行】您尾号5007某行卡02日13:36消费当地货币14865.80元。”但某加油站员工称此次交易失败并打印了一份单据,宣某因担心人身安全,遂拍下被刷信用卡(尾号5077)的pos机序列号及被刷后的单据,现金支付加油款407.17墨西哥比索后便开车驶离。由于宣某当日要返回坎昆国际机场还车并搭乘坎昆前往墨西哥城的航班(坎昆起飞时间为凌晨3点03分、墨西哥城到达时间为4点31分),故宣某并未在加油站报警等警察前来处理,而是前往机场还车后于坎昆时间半夜1点5分(北京时间5月2日下午2点05分)通过某银行信用卡电话联系至客服明确其信用卡消费的14865.80墨西哥比索是盗刷,需要某银行核实并拒绝执行完整交易。
2023年6月26日,某银行回复邮件称“对于您要求查核的2023年5月1日金额为829.87美元的交易,我部已为您向商户申请追款,但目前商户拒绝了我部的追款需求并提供了交易单据,随信附上材料一份,请您查阅材料”。经辨认,宣某确认该交易单据中的签字并非其所签,是盗刷方伪造,与其签名笔迹不符。
法院观点:
法院结合在案证据认为,“发生案涉交易时,宣某某仍处于坎昆市。然某银行提供的交易单据显示,案涉交易的商户位于墨西哥的墨西哥城,两城市之间相距约为1600多公里,故宣某某不存在异地刷卡的情形。据此,在某银行未能举证证明案涉商户是经允许将刷卡设备从墨西哥城转移至坎昆市的情况下,本院采信宣某某的诉请主张,确认其所持信用卡存在被盗刷的事实……《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》中仅针对盗刷交易作了两种不同类型的界定,分别为伪卡盗刷和网络盗刷,未对真卡盗刷作出规定。其中,伪卡盗刷着重强调他人持伪造银行卡刷卡交易,网络盗刷则是他人盗取并使用持卡人银行网络交易身份识别信息和交易验证信息进行网络交易,两者虽在形式上有所不同,但最终结果均为欺骗银行身份、安全核验系统的识别,使其误认为系持卡人本人发起的交易,令持卡人的账户发生非基于本人意思的资金减少或透支数额增加。而本案的真卡盗刷交易虽在形式上有别于伪卡及网络盗刷交易,但在本质上仍属于以非法手段欺骗银行核验系统的识别,导致持卡人资金产生损失的行为,故本案可参照适用该司法解释的规定进行处理。”
因此,本案法院参照适用《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第七条第二款、第三款规定进行处理。本案中案涉信用卡一直由宣某持有,并未遗失,且无设定交易密码,故不存在保管疏忽的过错责任。而案涉信用卡发生盗刷行为是在墨西哥时间深夜23:36,宣某基于对自身人身安全及旅途损失成本的考虑,未能当场与商户进行理论并及时在当地报警,符合当时的客观情势需要,且宣某在归还车辆后也立即通过电话向某银行客户服务中心报案,已尽到避免损失扩大的责任,故宣某对案涉盗刷交易不存在过错,无需承担损失责任;某银行应承担案涉盗刷交易产生的损失,并撤销宣某由此产生的不良征信信息。
案例四:(2023)沪74民终2309号
案情简述:2017年12月17日凌晨,案外人将原告宋某的晋DXXXXX黑色奔驰轿车右后玻璃砸毁后,将宋某车内的现金500元及银行卡包盗走,并根据宋某的身份证试出密码后,用POS机将盗来的宋某10余张银行卡内的钱分20余次盗刷出55,200元。其中,涉案信用卡于2017年12月17日凌晨4点01分至凌晨5点51分共计消费17笔,金额共计42,200元,为此宋某提供了上述17笔消费的POS签购单,签购单中持卡人签名均为“李刚”。同日,宋某向某某局经济技术开发区分局报案,2017年12月18日15点45分,宋某拨打被告某某公司某某中心电话要求补办新卡,某某公司某某中心为其核发了新卡。
法院观点:
法院认为《领用合约》第五条第二款约定,在信用卡被盗情形下,信用卡用户对挂失生效前的所有交易承担全部责任的条款为一方不合理地免除或减轻责任,加重对方责任、限制对方主要权利的格式条款,该条款无效。其次,法院认为本案应参照适用《银行卡规定》进行处理。最后,根据《银行卡规定》第七条确立的责任负担规则,应由发卡行承担损失,但发卡行主张持卡人对身份识别信息、交易验证信息未尽妥善保管之责,或主张持卡人未及时挂失导致损失扩大的责任。本案中,就卡片保管,宋某将信用卡连同银行卡包置于汽车内遭窃,仍属特殊事件,难以据此认定宋某存在保管疏漏的过错责任。同时,《银联卡业务运作规章》确定的签名审核相关主体为收单机构和商户,该责任分配并不影响发卡行对持卡人的责任承担,故损失应由某某公司某某中心承担。
(三)酌定银行承担部分责任
案例五:(2024)沪0115民初5219号
案情简述:原告魏某于西班牙当地时间2023年10月25日17时33分,至加泰罗尼亚自治政府警察总局报警,该局出具的报告载明,原告自述其背包于当地时间2023年10月24日约15时(北京时间2023年10月24日约22时)在巴塞罗那被盗,包内物品包括原告为持卡人的银行卡4张、手机、护照及钱包等,包括案涉信用卡,被盗手机为原告于被告处就案涉信用卡预留手机号的手机。魏某于北京时间2023年10月25日下午11时09分通过银行APP联系客服,要求取消免密支付、小额支付。原告表示2023年10月25日其先将遗失的储蓄卡进行了挂失,为保证回国前可支付酒店、打车、退改签机票等费用,未对案涉信用卡予以挂失,同时使用备用手机沟通。北京时间2023年10月27日上午,原告回国后致电银行挂失案涉信用卡,核对账单时发现该卡于当地时间2023年10月24日至2023年10月25日间上多出了60多笔非本人消费,合计金额为38113.35元。
法院观点:
法院认为本案为真卡盗刷情形,可参照适用《银行卡规定》进行处理。针对《领用合约》中凡正式挂失前发生的经济损失由持卡人承担的约定,法院认为格式条款一方不合理地免除或减轻责任,加重对方责任、限制对方主要权利的,均认定为无效;该领用合约上述约定显属排除持卡用户权利的格式条款,不应具有法律效力;针对责任及损失承担的问题法院认为魏某应承担未及时挂失导致的损失扩大责任及未妥善保管信用卡的责任。银行虽然在案涉领用合约中就相关条款通过字体加粗进行提醒,但并未提供充足证据证明其是否就另有规定的情况,以及是否就境外免密免签等与原告有重大利害关系的条款,向原告予以提示说明或提供查询途径,综合考虑各项因素后酌定银行向魏某支付5000元。
案例六:(2024)沪0115民初16918号
案情简述:原告王某于泰国时间2023年10月14日上午9时50分左右时,钱包和案涉信用卡被盗,王某在11时15分致电被告某某公司信用卡挂失注销账户,系统显示于北京时间2023年10月14日12时17分完成挂失,王某于12时08分左右到警察厅报案。泰国当地时间2023年10月14日10时11分(北京时间为同日11时11分),案涉信用卡消费50,000泰铢(入账金额人民币10,130.94元)、2023年10月14日10时13分消费20,000泰铢(入账金额为人民币4,052.39元)。原被告双方的《申领合约》第二条约定“……因申领人保管不善而造成信用卡丢失、被盗及被冒用的,由申领人承担由此产生的一切后果和损失……”,第五条约定“……挂失生效前所发生的经济损失均由申领人承担……”。同时,被告提供《对所有交易取消签名要求后废止调单请求并更改VisaEasyPaymentService》中显示“所有地区的商户现在可以选择不再以获取签名作为持卡人验证方式(CVM),除非适用法律或法规要求获取签名。……2020年10月16日之后,Visa将废止调单请求流程和关于签名的争议依从权。”
法院观点:
本案为真卡盗刷情形,可参照适用《银行卡规定》进行处理。原告作为案涉信用卡持卡人,未尽到妥善保管义务导致信用卡被盗,应承担未妥善保管导致损失的责任。针对原告关于签名政策变更未被通知的意见,法院认为案涉《领用合约》中并无签名审核的相关约定,被告亦未提供证据证明其就签名政策变更尽到通知义务,被告虽辩称由商户进行签名审核,即使签名审核主体为收单机构和商户,但该责任分配不影响发卡行对持卡人的责任承担。同时,针对《领用合约》凡正式挂失前发生的经济损失由持卡人承担的约定,法院认为该领用合约上述约定显属排除持卡用户权利的格式条款,不应具有法律效力。最终酌定由某某公司信用卡赔付原告王某损失2500元。
三、总结及建议
通过上述案例可知,当发生真卡盗刷交易时,法院通常会参照《银行卡规定》进行责任认定。同时,信用卡领用合约中是否有关于“盗刷责任”的约定,该约定作为格式条款是否有效,发卡行是否充分尽到提示、通知、说明义务,以及信用卡持卡人是否尽到保管义务、对盗刷损失有无过错等均为法院进行责任认定的考量因素。
对于持卡人而言,在真卡盗刷交易中是否需要对损失承担责任,一方面看持卡人是否尽到了妥善保管义务,一方面看持卡人是否及时采取措施避免损失扩大,比如及时联系银行进行挂失、报警等。对此,本律师团队建议:
1.妥善保管信用卡及个人信息。真卡盗刷通常发生在信用卡丢失的情况下,当然也存在例外情况,比如案例三,持卡人的信用卡并未丢失。持卡人作为信用卡的保管人,是保管信用卡的第一责任人,应尽可能避免信用卡遗失或被盗。同时,也要保管好个人信息,不随意在不安全的环境中透露信用卡卡号、密码等关键信息,养成良好的用卡习惯;
2.设置合理的支付密码和交易限额。建议持卡人设置复杂、不容易被猜到的支付密码,并定期更换,避免发生案例四中盗刷者根据持卡人身份证试出密码的情况。同时,建议持卡人根据自身消费需求,合理设置信用卡的交易限额,这能在发生盗刷时有效降低损失;
3.关注账户动态。持卡人可以通过设置账户变动短信提醒、手机银行提醒等方式实时关注每一笔交易记录。若发现异常交易,立即联系银行告知相关情况,挂失信用卡避免损失扩大,并向公安机关报案。同时尽可能收集和保留与盗刷相关的证据,比如交易提醒信息、能够证明自身地理位置的证据等。
对于银行而言,尽管《银行卡规定》中仅针对伪卡盗刷和网络盗刷交易进行了界定,未对真卡盗刷作出规定,但并不意味着银行可以据此对真卡盗刷交易不承担任何责任。相较于持卡人,银行作为金融机构,作为相关服务技术的提供方,有着更强的防止真卡盗刷的技术手段和能力,在交易中有着保障信用卡交易安全和合理审慎注意的义务。因此,当发生真卡盗刷交易时,银行一方仍可能需要对产生的损失承担部分责任甚至承担全部责任。对此,本律师团队建议:
1.加强技术安全保障。持续投入技术研发,提高信用卡的防伪技术和交易系统的安全性,采用先进的加密技术、风险监测系统和实时交易监控手段,及时发现和拦截异常交易,比如鼓励持卡人升级使用安全性更高的芯片卡。
2.严格审核交易。在信用卡交易过程中,银行应严格审核交易的真实性和合法性。对于大额交易、异地交易、异常交易等情况,尽可能通过多种方式与持卡人进行确认,如短信验证码、电话核实等,尽可能确保交易是持卡人本人或其授权的行为。
3.充分履行告知义务。一方面,在与持卡人签订信用卡领用合约时,银行应将涉及双方权利义务的重要条款,特别是关于盗刷责任承担、挂失流程、免责条款等内容,以通俗易懂的方式向持卡人进行充分提示和说明并保留好书面记录,确保持卡人知晓并理解相关内容。同时,需要注意的是,合约中关于盗刷责任的相关格式条款效力问题,例如在上述案例中,合约中挂失前发生的经济损失由持卡人承担等类似约定,可能会被认定为不合理地免除或减轻己方责任,加重持卡人责任、限制持卡人主要权利的无效格式条款。另一方面,发卡行要向持卡人充分提示业务规则和交易风险,如发卡行与收单机构、商户的交易规则变更时,要尽到合理的通知义务并保留书面记录,并让持卡人充分知晓相关规则的变更情况,保障持卡人的知情权。同时,银行还可以通过引导持卡人通过定期修改密码、设置交易限额、交易锁等方式降低发生盗刷的可能性,避免发生损失。
总之,持卡人与银行都应该积极采取切实可行的防范措施,尽可能避免发生信用卡盗刷,共同维护金融市场的安全与稳定,保障自身及他人的合法权益。只有这样,才能在享受信用卡带来便利的同时最大程度降低盗刷风险,营造健康、有序的金融消费环境。