揭示银行责任：诈骗引发的资金转移案例研究

By Cynthia Wu

您好 吴律师，大概的事件是这样：采访对象是在纽约的一个用户，他的花旗银行绑定的手机号被篡改，导致账户登录不上，卡里的18万被人以支票的形式取走了，据她说去银行柜台反映的时候支票还没存进账户有机会拦截，但钱最后还是被划走，向银监会报欺诈也被拒，对方的理由是怀疑她自己泄漏了个人信息。就这个事件，我们想找律师这边给出一些专业性的意见：1、遇到这种情况如何维权？2、就算是自己导致的信息泄漏银行就可以不负责吗？3、如何避免？  

答案： 具体情况取决于谁转移了账户中的资金。如果资金是由被诈骗者或其代理人转出，一般而言，银行不承担责任。然而，如果是第三方通过诈骗手段侵入银行账户并转走资金，银行可能需要承担责任。在这种情况下，需要评估金融机构程序的商业合理性。重要的是要检查银行是否遵循了与客户商定的商业合理的安全程序，并且是否本着诚信原则遵守了这些安全程序及任何书面协议。即使客户不小心泄露了银行信息，如果银行未能遵循商业合理的安全程序，它仍然可能需要承担部分责任。银行有保护客户账户的责任。如果银行没有本着诚信行事或未遵守商定的安全措施，可能会被追究责任。

法条：UCC第4A-202条：

1. 如果发件人给出了明确的批准或根据代理法律受到约束，则支付指令被授权。
2. 即使支付指令未被授权，如果满足以下条件，也可以视为有效：
   1. 银行遵循与客户商定的商业合理的安全程序。
   2. 银行本着诚信并遵守安全程序和任何书面协议。 银行无需遵循违反协议或未能及时正确通讯的指示。NY UCC § 4-A-202 (2023)

1. 授权的转账

在授权电汇的背景下，UCC第4A条设定了具体规则以确定支付指令（如电汇）是否被视为授权。这些规则在解决关于转账是否得当授权以及谁应承担交易责任的争议中至关重要。

UCC 4A-202(1)条下的关键规定 根据第4A-202(1)条，如果满足以下条件，则支付指令被视为授权：

• 授权人授权了订单：如果支付指令由被识别为发件人的人（或实体）明确授权，则该订单具有约束力。这意味着，有权启动转账的个人或代理人下达了交易指令。
• 代理原则：即使订单未直接授权，发件人也可以根据代理法律被订单约束。例如，如果员工或授权签字人在其授权范围内行动，交易可能被视为授权。
• 这是一个门槛查询：如果转账被视为授权，查询即告结束，金融机构无需评估其程序的商业合理性。

案例示例：Harborview Capital Partners, LLC v. Cross River Bank 在Harborview Capital Partners, LLC对Cross River Bank的案例中，法院处理了一个CEO的电子邮件账户被黑客攻击的情况。冒充CEO的诈骗者指示公司的授权账户经理发起电汇。法院发现，转账被授权，因为授权账户经理遵循了指示，尽管她被欺骗了。

• 关键裁决：由于电汇由授权代表（账户经理）授权，法院裁定银行不承担责任。根据UCC第4A-202(1)条的查询表明，一旦支付指令被授权，银行在验证安全程序的角色变得无关紧要。
• 涵义：账户经理被欺骗的事实并未改变她有权启动电汇的事实，使得交易对公司具有约束力。

一旦授权，商业合理性无关紧要 如果根据第4A-202(1)条支付指令被视为授权，银行无需证明其采用了商业合理的安全程序。这意味着，只要转账由授权人进行，银行可以执行转账，无需进一步验证交易的真实性。

• 这一方面在ADS Assocs. Grp., Inc. v. Oritani Sav. Bank, 99 A.3d 345 (新泽西，2014年)案中进一步讨论。法院强调，如果支付指令事实上得到授权，银行是否遵循商业合理程序不影响交易的有效性。

金融机构的影响 

金融机构，如银行，通常在UCC第4A条下，只要转账由有权进行此类转账的人或实体发起，就受到授权交易的责任保护。这种保护至关重要，因为它允许银行处理支付指令，无需深入探究指令是否在欺骗（例如，电子邮件诈骗或社会工程攻击）下给出。

结论 当电汇在UCC第4A-202(1)条下被授权时，即使指令是因欺骗或诈骗而给出，银行也不对任何结果的损失承担责任。关键的查询是启动转账的个人是否有权这样做。这一规则保护了银行免受责任，只要他们遵守基本要求，即支付指令由授权人发起。

2. 未授权转账

根据UCC第4A条，特别是第4A-202节，金融机构通常对未授权的电汇负有责任，除非它们能证明两个关键因素：

• 商业合理的安全程序：银行采用了与客户商定的商业合理的安全措施。
• 诚信与合规：银行以诚信执行支付指令，并且遵守那些安全程序和与账户持有人的任何协议。

这意味着，如果银行未遵循商业合理的安全程序或以不诚信的方式行事，它可能会因未授权的转账而被追究责任。

案例法例子

Patco Construction Co. v. People’s United Bank, 684 F.3d 197 (第一巡回上诉法院，2012年)：

• 情境：黑客获取了一名员工的凭证，并发起了公司账户的未授权转账。
• 银行的行动：银行的安全系统将交易标记为高风险，因为具有不寻常的特征，但银行没有采取额外步骤来验证它们的合法性。
• 法院的决定：第一巡回上诉法院裁定，银行的安全程序不具商业合理性。因此，银行不能将损失转嫁给客户，根据UCC第4A-202(2)节。
• 涵义：如果银行的安全措施不充分，未能防止未授权访问，银行可能对发生的损失负责。

Harborview Capital Partners, LLC v. Cross River Bank, No. 20-3447 (新泽西州地方法院，2022年4月26日)

• 情境：一名诈骗者黑进了CEO的电子邮件，并指示公司的会计经理发起电汇。会计经理作为授权代表，遵从了指示。
• 银行的行动：银行联系会计经理确认每笔电汇。
• 法院的决定：法院发现，转账是被授权的，因为它们是由授权代表发起的，即使她被欺骗了。根据UCC第4A-202(1)节，由于支付指令被授权，银行不承担责任，无需评估安全程序的商业合理性。
• 涵义：如果授权代表批准了转账——即使被欺骗——银行可能不会被追究责任，前提是它按照商定的程序行事。

3. 比较合同、侵权和UCC对未授权转账的主张：

在未授权转账的背景下，法院通常区分合同主张、侵权主张和UCC主张，每种都涉及不同的法律标准和补救措施。

1. 合同主张：
   • 性质：当账户持有人和金融机构之间的协议发生违约时，就会产生合同主张。例如，银行可能未遵守其关于安全协议或验证步骤的条款。
   • 常见用途：账户持有人可能会主张，银行未遵守商定的安全措施（例如，多因素认证），导致未授权转账。
   • 防御：银行可以通过显示其遵循了协议和安全程序的条款来为自己辩护，除非银行真正未尽其职责，否则客户很难证明主张。
2. 侵权主张：
   • 性质：侵权主张，如疏忽，涉及违反一般法律义务，独立于任何合同义务。例如，客户可能会主张银行在防止未授权交易方面疏忽。
   • 挑战：在此背景下，侵权主张通常难以证明，因为法院经常应用经济损失原则，该原则限制了在合同管理关系时通过侵权获得纯经济损失的恢复。法院可能会驳回疏忽主张，转而支持合同或UCC主张，尤其是当关系受到账户协议管理时。
   • 示例：在Patco Construction Co. v. People’s United Bank案中，法院发现银行可能在未进行适当安全检查的情况下批准了可疑交易，但侵权主张与银行的合同和法定职责密切相关。
3. UCC主张（第4A条）：
   • 性质：UCC第4A条管理电汇，并提供了清晰的框架，以确定何时银行可以因未授权转账而被追究责任。
   • 关键规定：根据第4A-202节，除非银行能显示： 1.已经采用商业合理的安全程序，并且 2.银行在处理支付时表现出诚信。
   • 防御：如果银行可以证明它遵循了商定的商业合理程序，即使转账最终被证明是未授权的，它也不会承担责任。这一框架经常取代合同和侵权主张。
   • 示例：在Harborview Capital Partners, LLC v. Cross River Bank案中，法院发现如果账户持有人的代表（根据202(1)节）授权了支付指令，就结束了调查。法院还发现，即使转账未被授权，银行也可以通过证明其遵循了商业合理程序来避免责任。

统一商法典（UCC）第4A条通常取代普通法主张 在美国各地的法院中，法院将UCC第4A条视为在涉及未授权或授权电汇的案件中取代普通法主张。例如，新泽西法院裁定，涉及其范围内资金转移的交易中，疏忽和违约主张被UCC第4A条的规定所取代。这也反映在包括纽约和加利福尼亚在内的其他州的决定中。 在ADS Assocs. Grp., Inc. v. Oritani Sav. Bank (NJ)案中，法院裁定，当UCC管理一次电汇时，其关于支付指令的授权和验证的规则优先于与交易相关的普通法主张。类似地，Harborview Capital Partners, LLC v. Cross River Bank案处理了UCC第4A条对普通法主张的取代问题，得出结论，当转账受UCC管理时，补救措施限于UCC所规定的，而不是通过普通法侵权或合同理论。 这种取代特别适用于根据UCC第4A条管理的电汇，该条提供了关于责任、定义“授权”转账和安全程序的具体指南。法院裁定，这取代了普通法主张，因为UCC第4A条创建了解决未授权交易等问题的框架，为普通的疏忽或违约主张留下了较少的空间。 在纽约、新泽西和加利福尼亚等司法辖区，一贯支持UCC在这些案件中的优先权。

4. 将这些原则应用于您的情况

交易是否被授权？

• 如果未经您或您的代表授权的情况下进行了欺诈性提款，根据UCC第4A条，这些可能被视为未授权交易。
• 如果有人在未通知您的情况下更改了您的账户信息并发起转账，这些很可能是未授权交易。

银行的安全程序：

• 评估花旗银行是否采用了商业合理的安全程序来防止未授权访问。
• 例如，银行是否验证了诸如电话号码之类的关键账户信息的变更？是否对不寻常的交易进行了标记和调查？

客户的角色：

• 如果您没有疏忽（例如，您没有将登录凭证有意提供给诈骗者），银行可能承担更大的责任。
• 然而，如果由于您的行为导致个人信息无意中泄露，银行可能会主张减少责任。

即使信息泄露是自身造成的，银行的责任

• 部分责任：即使您无意中促成了信息泄露，如果银行未遵循商业合理的安全程序，它仍可能承担部分责任。
• 谨慎义务：银行有责任保护客户账户，并且如果它们未本着诚信行事或未遵守商定的安全措施，可能会被追究责任。

保护您的权利

• 立即通知：
  • 尽快以书面形式向花旗银行报告未授权的交易。
  • 保留所有通信的详细记录。
• 审查账户协议：
  • 检查您的账户协议，了解安全程序和任何与未授权交易相关的条款。
• 提起投诉：
  • 如果对银行的回应不满意，考虑向消费者金融保护局（CFPB）或您所在州的金融监管机构提出投诉。
• 法律咨询：
  • 咨询专门从事银行或消费者保护法律的律师，评估您的案件并建议可能的法律行动。

预防未来事件

• 加强个人安全：
  • 为您的账户使用强大且独特的密码。
  • 在可用的情况下启用多因素认证。
• 定期监控账户：
  • 经常检查您的账户对账单和交易历史。
  • 为大额交易或账户信息变更设置账户提醒。
• 保持警惕：
  • 谨防网络钓鱼尝试或可疑通信。
  • 除非您确定接收者的身份，否则不要分享个人或账户信息。

结论 您的情况涉及UCC第4A条下的复杂法律考虑。关键因素是交易是否被授权，以及花旗银行是否采用了商业合理的安全程序。鉴于案例法中的细微差别——如Patco和Harborview之间的区别——评估您案件的具体情况至关重要。