知名法律博主“逻格斯logics”告诉紫牛新闻记者,“目前我国在银行卡盗刷案件中的裁判思路是比较明确的,就是倾斜保护储户的利益,严格要求银行尽到安全保障义务。”
他说上海有个案件被最高院选入保障民生典型案例,法官是这么认为的:银行更有条件防范犯罪分子利用银行实施的犯罪,故银行应当制定完善的业务规范,并严格遵守规范,尽可能避免风险,确保储户的存款安全。
“逻格斯logics”认为,对于短信验证漏洞导致的用户损失,法院可能会认定银行提供的手机网银服务未能抗拒类似的技术手段,属于未尽法律规定的“安全保障义务”,要求银行承担赔偿责任。
他指出,“安全保障义务”是侵权责任法规定的,对于京东和支付宝等第三方支付机构同样适用,而且《非金融机构支付管理办法》第八条第(八)项规定了第三方支付机构要“有符合要求的营业场所和安全保障措施”,因此应当可以参照适用。
攻击工具或已产业化
该向短信验证码说再见
邹晓东告诉紫牛新闻记者,短信验证码确实比较脆弱,漏洞一直存在,解决方案也有,只是因为使用起来方便,才勉强作为一种身份认证方式。
邹晓东认为,安全的系统都应该至少采用“双因子认证”,就是指结合密码以及实物这两种条件对用户进行认证的方法,两者都通过,才算通过身份认证。
事实上,对于“双因子认证”,央行早就提出了要求。2016年6月13日,中国人民银行就发出《关于进一步加强银行卡风险管理的通知》,要求各商业银行、支付机构、卡清算机构加强对支付敏感信息的内控管理和安全防护工作。
该通知明确要求加强业务开通身份认证安全管理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证。
