受騙轉帳損失索償框架 金管局今諮詢零售行 阮國恒：衡量銀行及客戶責任

金管局副總裁阮國恒在官方網站《匯思》發表文章，表示就銀行如何處理客戶授權支付騙案損失索償的框架指引，今日開始諮詢零售銀行意見。他說建議的框架會考慮銀行是否具備積極有效的監察系統和管控措施，協助客戶識別和防範騙案，亦會衡量客戶自身應有的責任。

他說騙案個案大致分成兩類，一類是未經客戶授權的交易，例如駭客入侵帳戶，在客戶不知情下進行轉帳。根據《銀行營運守則》，除非客戶有欺詐或嚴重疏忽行為，否則毋須為這類交易的損失負責。

銀行應具備有效防騙措施

另一類則是客戶受騙後授權銀行進行的交易，例如網上情緣騙案，客戶因誤信騙徒而主動授權銀行進行轉帳。由於這類交易由客戶親自授權，授權前客戶有責任確定交易情況，避免受騙。與此同時，金管局認為銀行也應該具備有效的防騙措施，積極協助客戶防範受騙。事實上，要釐清授權支付騙案損失的責任可以十分複雜，他用兩個比較極端的例子說明：

例子一，銀行內部監察系統早已經識別到極可能涉及騙案的支付交易，但是銀行未有遵從金管局的監管指引（包括去年12月就授權支付詐騙的保障銀行客戶措施的通告）及銀行內部程序向客戶發出警示，令客戶在不知有高危徵兆的情況下進行交易而蒙受損失。這例子中，銀行在支援客戶防騙方面有明顯不足，應該承擔一定程度的責任。

例子二，銀行已經採取了管控措施（包括金管局制定的網銀安全措施）和已經識別到支付交易極可能涉及騙案，也再三提醒客戶相關情況，但是客戶仍然堅持進行交易，最終蒙騙招致損失。在這情況下，客戶無疑須要為相關損失負責。

現實情況多難界定各方責任

他表示，以上的例子屬較為極端的情況，銀行和客戶在當中的責任劃分相對清晰。但是現實情況往往涉及並不是非黑即白的個案，更多的情況是介乎兩者之間，因此界定各方責任變得複雜。金管局今日開始諮詢業界的處理損失索償建議框架，是希望為介乎兩個極端之間的個案在責任釐清和分擔問題上提供指引。

建議的框架一方面會考慮銀行是否具備積極有效的監察系統和管控措施，協助客戶識別和防範騙案，另一方面亦會衡量客戶自身應有的責任。此外，亦須考慮其他相關因素，例如個案的實際發生情況、客戶背景（如長者）等。局方在諮詢過程中會與銀行深入研究相關細節。

不應由銀行或客戶負上全責

他又表示，在討論騙案損失責任時，不應該只要求由銀行或客戶一方為損失負上全責，這做法既不公平，也容易構成道德風險。若索償安排傾向由銀行一力承擔損失，可能會導致客戶鬆懈，讓更多騙徒有機可乘，甚至出現自編自導的騙案，意圖向銀行索償。相反，如果銀行毋須為協助客戶偵測及預防詐騙負上任何責任，則有機會減少銀行在防騙工作上的資源投入，影響銀行的相關風險管理和在協助防騙工作上發揮的作用。

國際間就這個議題的討論日益增加，部分地區也開始就處理騙案損失界定權責，制訂不同安排，但是現時還未有一致的做法。因應當地情況，有責任框架只涵蓋釣魚騙案的非授權交易，並指定銀行在提供一些基本提示後毋須負責，損失主要由客戶承擔；有框架要求銀行承擔涉及授權交易騙案的部分損失；而有框架則要求銀行及其他責任方在未能履行防騙工作的情況下要面臨罰款，但是並未就客戶賠償作出明確規定。他總結，現實中騙案損失的責任誰屬並非簡單的黑白二元。考量過程往往須要顧及多個複雜因素和不同情境，包括道德風險等，必須小心行事，權衡全局，從而定出一個合理、平衡的方案。