银行的交易验证短信文字表达须采用易于持卡人理解的形式，否则应对持卡人因误解短信内容产生的损失担责

 基本案情

上诉人（原审原告）来某某于2016年在被上诉人（原审被告）某银行申领了银联信用卡，有效期10年。2022年12月8日来某某的手机收到0010682289033168发来的短信，显示：

“ETC提醒：您办理的智能自动过关卡已停用，请在12月08号前至：WWW.e57ts.ws重签，祝您旅途愉快！”

来某某为办理ETC业务而点击短信链接，在打开的网页中按照绑定信用卡提示输入了其持有的某银行信用卡卡号、有效日期和卡片后三位验证码。后来某某的手机收到某银行发送的短信：“动态密码：XXXXXX；密码编号：1。您尾号2876 信用卡正在网上支付安全验证，交易金额：3080.0；币种：978。【某银行】”等共计三条动态密码短信。来某某将交易数额为“3080”的动态密码输入上述网页，随后意识到这可能是网络盗刷，当即拨打某银行电话挂失其信用卡，冻结相关交易，同时向公安机关报案。2022年12月9日10时，案涉信用卡EUR3080.00（折合人民币22,697.44元）已入账，终端名称为L0EWE ITALY SPA MILANO ITA，交易模式为消费。2022年12月12日，某银行受理了来某某的交易异议，于2022 年12 月14 日为来某某挂账并通过银联向境外收单机构申请退单，但退单失败，于2023年2月15日释放该笔款项。来某某与某银行协商未果，向一审法院提起诉讼，请求某银行向其赔偿资金损失3080欧元（折合人民币22,697.44元）。

裁判要旨

一审法院认为，本案争议焦点为：一、案涉交易是否系信用卡盗刷；二、银行是否存在侵权行为；三、来某某是否存在过错。具体而言：

一、案涉交易构成信用卡网络盗刷交易

根据《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第四条、第十五条规定，案涉交易系网络交易，消费终端为境外公司，消费货币为外币，交易发生后来某某当即进行挂失、报警并向某银行申请交易异议，综合持卡人所在地、交易行为地、交易通知、报警记录及挂失记录等，能够证明案涉信用卡的交易存在异常，该信用卡账户发生了非因持卡人本人意思的资金减少，故案涉交易为信用卡网络盗刷交易。

二、某银行不存在侵权行为

对此，一审法院认为包括四点理由：第一，某银行已采取相应的保障持卡人交易安全的措施，亦已尽到相应的身份核验义务。在本案交易中，根据银行后台记录显示，案涉信用卡的卡号、有效期及卡片校验码均通过验证。同时，某银行向来某某发送短信，告知动态密码及网上支付安全验证事宜，且某银行系统报文显示，某银行系根据向来某某手机发送的动态密码完成交易验证。第二，某银行对3080欧元在挂失后未及时止付不存在过错。根据《银联国际业务运作规章》相关规定，发卡银行在预授权完成后，应按业务要求处理并履行付款承诺，不得以止付卡等原因拒绝交易。《领用合约》约定，持卡人应对挂失生效前已发生的所有交易（包含尚未入账的交易）承担全部责任。案涉交易处于预授权状态，后台记录显示银联卡组织处交易已经成功，某银行无权拒绝支付，来某某关于某银行未及时止付的意见，一审法院不予采信。第三，来某某另主张某银行未验证其交易密码，验证不完整。但根据《领用合约》的约定，密码包含手机动态密码，经密码校验通过，交易即视为持卡人本人所为并由持卡人承担责任，故案涉某银行校验手机动态密码符合约定。第四，来某某另主张某银行发送的验证码信息内容不包括商户名称及交易币种，不符合《中华人民共和国反电信网络诈骗法》第十八条、第十九条规定。一审法院认为上述规定仅要求金融机构应完整准确提供交易信息，并未对发送短信的验证码内容作出规定，故来某某的该项意见，法院亦不予采信。

三、持卡人来某某存在过错

根据查明事实，来某某未审核发送短信者的异常号码即轻信该内容，点击了诈骗短信链接并输入信用卡关键识别信息，未尽到一名持卡人应负有的妥善保管义务和谨慎注意义务，存在明显过错。

综上，一审法院认为案涉网络盗刷消费中，某银行已尽到相应的审慎核验义务，来某某未尽到妥善保管信用卡信息的义务存在过错，故盗刷损失应全部由来某某本人承担。判决：驳回来某某的诉讼请求。来某某不服，上诉至北京金融法院，请求改判某银行向其赔偿损失人民币19,617.44元。

北京金融法院经审理认为：

根据本案查明事实及来某某关于交易过程的陈述，可以确认来某某遭遇电信诈骗，案涉信用卡网络盗刷金额为3080欧元。争议焦点在于案涉信用卡被网络盗刷的损失如何负担。

一、来某某对案涉信用卡发生网络盗刷存在过错

来某某被诈骗的主要原因是其在交易过程中不够审慎，在收到电话号码为00开头的境外电话诈骗短信后，未进行仔细核实即点击进入链接，并向他人泄露了案涉信用卡卡号、有效日期和卡片后三位验证码以及银行发送的动态密码，导致银行后台的预授权交易校验成功。来某某对案涉信用卡被盗刷存在明显过错，其在二审中不再主张某银行对其被诈骗的折合人民币3080元部分损失承担赔偿责任，二审法院对此不持异议。

二、某银行未尽到审慎核验义务

根据《银行卡联网联合业务规范》《银行卡收单业务管理办法》《关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》《电子银行业务管理办法》等规定，发卡银行负有审慎核验交易真实性、防范金融风险的法定义务。本案中，来某某主张，银行发送的验证短信中交易金额3080.0没有交易货币名称欧元或EUR,也没有欧元货币符号€，导致其误认为是人民币交易而输入了动态密码，致信用卡预授权盗刷成功。银行发送的短信内容存在漏洞。对此，北京金融法院审理查明，中华人民共和国国家标准文件《表示货币和资金的代码》（GB/T12406-2008）规定“本标准提供了表示货币和资金的三位字符型代码结构和相应的三位数字代码结构，对于有辅助单位的货币，也给出了辅助单位与本币的十进制关系……本标准适用于需要对货币和资金加以描述的所有贸易、商业和银行业务领城。它不仅适用于手工处理而且还适用于自动化处理系统。”其中，“欧元Euro”的字母代码为“EUR”，数字代码为“978”。经询，来某某表示其看到动态交易密码短信中交易金额为3080，认为是人民币3080元，与其一年的国内ETC支出数额基本相当，以为是预授权一年的ETC支出，所以才继续输入了动态密码导致银行卡被盗刷。

北京金融法院认为，某银行向来某某发送的验证短信虽包含了正确的交易数额和币种信息，但币种信息采用的数字代码形式过于专业，使用范围有限，不常见于日常生活，作为非相关行业从业人员的普通持卡人不易准确理解其含义。通过计算机系统将验证短信中的数字代码替换成对应货币的汉语名称客观上并不存在技术障碍，但某银行未采用便于普通持卡人识别和理解的汉语货币名称标识币种，导致来某某对币种类别发生误解，未能识别出实际交易币种（欧元）并非其真实意思表示的交易币种（人民币），应当认定某银行未尽到向来某某核对涉案交易是否为来某某本人授权交易的义务，构成违约。

三、银行应当承担的赔偿责任范围

北京金融法院认为，来某某依据银行发送的验证短信内容，误认为3080元人民币交易，而案涉信用卡实际被盗刷的为3080欧元，某银行应对其未尽审慎审核义务的违约行为给来某某造成的损失扩大部分承担赔偿责任。故改判：某银行支付来某某人民币19,617.44元（即3080欧元折合人民币数额与人民币3080元的差额部分）。