銀行客服鑽漏洞盜刷18位客戶信用卡 金管會開罰1200萬元

金管會今日公告對國泰世華銀行裁罰1200萬罰鍰的裁處書內容。金管會指出，國泰世華銀行的客服專員涉及盜刷客戶信用卡所涉缺失，核有違反銀行法第45條之1第1項及「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條第1項及第8條第1項規定，因此依銀行法第129條第7款規定核處1200萬元罰鍰。

國泰世華銀指出，本案件為本行主動發現，且於事件發生後第一時間即展開內部調查，清查與聯繫可能受影響之客戶，並保障客戶權益不受影響，同時依規通報主管機關。對於金管會之裁罰意見，本行虛心檢討，先前已解僱涉案員工，及依法追究其相關刑責，本行並已完成內部控制制度強化，防範類似事件再次發生。

國泰世華銀行的黃姓客服專員的盜刷案件涉及18名客戶，手法為自113年3月至113年10月間，以職務之便擅自替客戶申請補發信用卡，並於申請後發卡前將客戶通訊資料變更為其本人資料，再以客戶信用卡於WISE網站刷卡儲值至其本人及親友WISE帳號，再輾轉匯回其帳戶等手法盜刷客戶資金，受影響客戶數共18人，總盜刷金額約688萬元。金管會已請銀行公會進一步討論該員犯案手法來在銀行內控堵上漏洞防止弊端重演。

金管會在裁罰書中指出，國泰世華這次的內控疏失，涉及三大缺失，包括未完善建立信用卡客戶資料變更及申請掛失補發的控管機制、未完善建立信用卡繳款金額調整的控管機制、和未完善建立信用卡影像調閱系統的控管。

其中在未完善建立信用卡客戶資料變更及申請掛失補發的控管機制上，國泰世華銀所訂的「客服中心知識庫系統(下稱KMS)/信用卡客戶資料變更作業」規定，就客戶信用卡基本資料變更，客服人員於核驗持卡人身分後，若無特殊情況，即得逕行變更資料；資料變更時系統將即時檢核有無兩人以上共用手機號碼或電子郵件，如有共用情形系統將阻擋變更資料登入；而依照「KMS/掛失補發信用卡」規定，針對持卡人申告卡片遺失，客服人員於確認相關資料後，即得於客服系統執行掛失補發作業。

然而，前二項作業，於客服變更資料或執行補發作業前未有相關機制確認持卡人確實有進線要求執行相關作業，以致本案黃姓客服專員可直接用多組手機號碼及電子郵件，或使用無效手機號碼進行變更，以規避系統檢核及使貴行無法有效通知客戶；而且還利用權限將客戶申請停卡改為掛失補發，或鎖定久未用卡的客戶，逕自申請掛失補發信用卡，並將補發的信用卡寄至黃員事先變更的通訊地址。

而在未完善建立信用卡繳款金額調整之控管機制方面，國泰世華銀的「KMS/調整最低應繳金額」規定於信用卡帳單結帳後，如遇持卡人申請扣除商店退款、費用減免、爭議帳款繳款或申請帳款人工分期，客服人員得調整帳單最低應繳金額，但持卡人如為「非逾期戶」，客服人員無須開立電子表單會簽權責部門，亦無事後覆核機制，即可逕自調整當月繳款最低金額，致黃員利用調整繳款金額為0元的方式掩蓋其舞弊行為。

在未完善建立信用卡影像調閱系統控管方面，國泰世華銀的「KMS/查詢信用卡影像調閱系統」規定如須確認信用卡申請書資料，客服人員可透過信用卡影像調閱系統以申請書編號、正附卡身分證字號、正附卡中文姓名或統一編號「任一查詢條件」調閱信用卡申請書內容，但該系統未建立妥適的查詢控制條件，致黃員得輕易隨機以姓名查得客戶信用卡申請書資料的身分證字號，據以登入客服系統查看客戶的信用卡使用情形，以利鎖定特定特徵的客戶為舞弊對象。

除了裁罰1200萬元之外，金管會還要求國泰世華銀依比例原則檢討本案違失行為所涉相關人員責任，並要求檢討客服業務流程所涉內部控制及防弊機制的有效性，提報董事會認可後函報金管會，並由稽核單位列管追蹤及納入內部查核重點，同時將本案例提報銀行公會，並就其中黃員規避銀行內部控制相關手法進行討論。