新加坡一名男子在瀏覽 TikTok 時遭遇網絡釣魚詐騙,損失超過 3,800 新元(約 2,962 美元)。在僅追回 355 新元後,他將銀行告上小額索賠法庭(SCT),試圖追回剩餘款項。
然而,法庭裁定該男子必須承擔約 3,455 新元的剩餘損失。理由是他無視了銀行發出的多次警告和通知,這種「持續的疏忽」構成了嚴重過失。
在 6 月 12 日的判決中,法庭推事 Joel Tan 駁回了該男子的訴求。雖然他表示該男子遭遇詐騙的情況「令人同情」,但同時強調了保持警惕的重要性。
按照小額索賠法庭的慣例,此類案件在私下審理,因此判決書中對受害者和銀行的名稱進行了匿名處理。
案件回顧
根據判決書,該男子陷入的騙局是:詐騙者誘導受害者泄露信用卡詳情,包括主帳號號碼、有效期和安全碼。
隨後,詐騙者將這些信息輸入到自己移動設備上的數字錢包應用中,啟動一個名為「令牌化」(tokenisation)的過程。
這種安全機制會將受害者的實際卡片詳情替換為一個唯一的設備帳號,作為原始憑證的加密替代品。
令牌化過程通常需要持卡人驗證,最常見的方法是通過簡訊發送一次性密碼(OTP)。法官指出,詐騙者通常通過網絡釣魚手段獲取這些密碼。
一旦令牌化完成,詐騙者就擁有了相當於受害者信用卡的「數字鑰匙」,可以用來進行欺詐性購買和付款。
發卡行會要求受害者為這些欺詐交易買單。如果持卡人申訴交易未經授權,信用卡組織通常提供「拒付」(charge-back)機制,可能會撤銷結算,由商家承擔損失風險。
然而,如果商家能證明交易是按照行業標準確保安全的,則可以將責任轉移。在這種情況下,損失將由發卡行或受害者承擔,具體取決於具體情況。
究竟發生了什麼
2024 年 6 月 4 日晚上 11:15 左右,原告的信用卡在未經其操作的情況下,被添加到了一個 Apple 設備的數字錢包中。
儘管他在當晚收到了簡訊通知,並在 6 月 6 日和 6 月 12 日再次收到提醒,但他並未採取任何補救措施。
2024 年 6 月 17 日至 23 日期間,該男子的信用卡帳戶被刷了 22 筆交易。
這些交易是通過 Apple Pay 執行的,幣種為日元,由日本電子貨幣生態系統內的商家處理,用於為預付錢包系統充值。
總金額為 43 萬日元,按當時匯率計算為 3,811.72 新元。
原告在這些交易發生時沒有收到銀行通知,因為每筆金額都低於 200 新元,而他的帳戶設置僅在消費 500 新元及以上時才發送提醒。
2024 年 6 月 23 日,銀行將這些交易標記為可疑,並嘗試通過電話聯繫原告核實,但未能接通。
隨後,銀行採取預防措施暫時凍結了該信用卡以防止進一步損失,並發送簡訊告知原告。
原告隨後回電並確認這些交易未經授權。信用卡被永久封禁,令牌化操作被撤銷。
銀行建議他填寫爭議聲明表,他於 2024 年 7 月 22 日提交。2024 年 8 月,信用卡費用通過其銀行帳戶餘額自動扣除。
由於這 22 筆交易均屬於安全交易,因此無法向商家行使拒付權。
該男子嘗試盡力追回資金,最終僅在兩筆交易中成功追回 355.34 新元。
他認為剩餘 20 筆交易造成的 3,456.38 新元損失應由銀行承擔,但銀行拒絕了退款請求。
此案被提交至金融業爭議解決中心,但 2025 年 7 月的裁決結果對他不利。
他對結果不滿意,於是將銀行告上小額索賠法庭(SCT)。
法庭審理
推事 Tan 先生表示,本案源於該男子與銀行之間關於信用卡服務的合同關係。
無可爭議的是,這 20 筆交易未經授權,是由一名未知詐騙者通過令牌化操作完成的。
該男子與銀行簽署的信用卡協議規定:在通知銀行後發生的任何未經授權交易,持卡人無需負責;而在通知前發生的未經授權交易,責任上限為 100 新元。
但是,如果發現持卡人存在欺詐行為、嚴重過失,或未能儘快通知銀行卡片丟失/被盜,則持卡人需承擔所有未經授權交易的損失(最高至信用額度),包括利息、手續費和滯納金。
銀行主張該男子行為屬於嚴重過失,應承擔全部損失。理由是他向詐騙者泄露了信用卡詳情,提供了允許令牌化的 OTP 密碼,且在收到銀行多次簡訊通知後仍未採取行動。
對此,該男子回應稱,他記得在瀏覽 TikTok 時看到一個廣告,嘗試購買商品,當時被要求輸入信用卡詳情。
他不能確定這是否屬於網絡釣魚,但堅稱自己沒有向任何人泄露 OTP 密碼。
他表示,包含密碼的簡訊是在 2024 年 6 月 4 日晚上 11:13 抵達的,當時他正準備睡覺,手機留在客廳里。
他承認收到了銀行隨後的通知,但完全忽略了,因為他認為自己不用 Apple Pay,這些信息與他無關。
推事 Tan 先生認為,原告在網絡釣魚詐騙中泄露信用卡詳情和 OTP 密碼的可能性極大。
不過,他指出,單純在這種情況下泄露詳情和密碼並不一定在所有案例中都構成嚴重過失。
但 Tan 先生認為,一個理智的人在這種情況下應該及時關注銀行提醒,儘快報告任何未經授權的活動,並立即採取措施阻止進一步的非法訪問。
Tan 先生特別指出了發送給該男子的通知:首先是提供 OTP 密碼,接著是告知其信用卡已完成令牌化。
隨後關於 Apple Pay 令牌化的提醒接踵而至,其中一條明確強調:如果添加卡片未經授權,應立即聯繫銀行。
Tan 先生表示,這些提醒起到了關鍵作用,信號明確——即有人非法獲取了該男子的數字鑰匙並準備進行交易。
雖然他接受原告關於深夜收到第一批信息的解釋,但謹慎和合理的注意義務「要求他監控這些關鍵通信」,並在次日早晨採取適當行動。
「在我看來,原告在多次機會面前未能處理這些明顯且重大的風險,儘管已被提醒有可疑活動,但仍未能及時採取緩解措施,」Tan 先生說道。
「在原告無法提供合理解釋的情況下,他這種不採取行動的模式不能被簡單地定性為疏忽或瞬間的判斷失誤。相反,這代表了一種持續的缺失,其標準遠低於合理的注意義務,構成了嚴重過失。」
他認為,正是因為該男子的長期不作為,才使得詐騙者能夠使用令牌化信用卡執行未經授權的交易。
因此,他裁定銀行完全有權根據信用卡協議,要求原告承擔全部損失。
Tan 先生強調,在金融服務業日益複雜、技術演進飛快且詐騙手段不斷升級的今天,普通用戶必須保持高度警惕。
他列舉了不同形式的警惕性:
在進行在線交易時進行監控並採取適當的謹慎措施;
保護個人財務信息,防止被他人濫用;
監控銀行和金融機構的通知提醒,以便在發生可疑活動時能夠儘早干預。
「當你遇到意義不明或神秘的提醒時,審慎的做法始終是立即向相關機構尋求澄清,而不是簡單地忽略這些信息並寄希望於一切安好,」法官最後總結道。
