新加坡一名男子在浏览 TikTok 时遭遇网络钓鱼诈骗,损失超过 3,800 新元(约 2,962 美元)。在仅追回 355 新元后,他将银行告上小额索赔法庭(SCT),试图追回剩余款项。
然而,法庭裁定该男子必须承担约 3,455 新元的剩余损失。理由是他无视了银行发出的多次警告和通知,这种“持续的疏忽”构成了严重过失。
在 6 月 12 日的判决中,法庭推事 Joel Tan 驳回了该男子的诉求。虽然他表示该男子遭遇诈骗的情况“令人同情”,但同时强调了保持警惕的重要性。
按照小额索赔法庭的惯例,此类案件在私下审理,因此判决书中对受害者和银行的名称进行了匿名处理。
案件回顾
根据判决书,该男子陷入的骗局是:诈骗者诱导受害者泄露信用卡详情,包括主账号号码、有效期和安全码。
随后,诈骗者将这些信息输入到自己移动设备上的数字钱包应用中,启动一个名为“令牌化”(tokenisation)的过程。
这种安全机制会将受害者的实际卡片详情替换为一个唯一的设备账号,作为原始凭证的加密替代品。
令牌化过程通常需要持卡人验证,最常见的方法是通过短信发送一次性密码(OTP)。法官指出,诈骗者通常通过网络钓鱼手段获取这些密码。
一旦令牌化完成,诈骗者就拥有了相当于受害者信用卡的“数字钥匙”,可以用来进行欺诈性购买和付款。
发卡行会要求受害者为这些欺诈交易买单。如果持卡人申诉交易未经授权,信用卡组织通常提供“拒付”(charge-back)机制,可能会撤销结算,由商家承担损失风险。
然而,如果商家能证明交易是按照行业标准确保安全的,则可以将责任转移。在这种情况下,损失将由发卡行或受害者承担,具体取决于具体情况。
究竟发生了什么
2024 年 6 月 4 日晚上 11:15 左右,原告的信用卡在未经其操作的情况下,被添加到了一个 Apple 设备的数字钱包中。
尽管他在当晚收到了短信通知,并在 6 月 6 日和 6 月 12 日再次收到提醒,但他并未采取任何补救措施。
2024 年 6 月 17 日至 23 日期间,该男子的信用卡账户被刷了 22 笔交易。
这些交易是通过 Apple Pay 执行的,币种为日元,由日本电子货币生态系统内的商家处理,用于为预付钱包系统充值。
总金额为 43 万日元,按当时汇率计算为 3,811.72 新元。
原告在这些交易发生时没有收到银行通知,因为每笔金额都低于 200 新元,而他的账户设置仅在消费 500 新元及以上时才发送提醒。
2024 年 6 月 23 日,银行将这些交易标记为可疑,并尝试通过电话联系原告核实,但未能接通。
随后,银行采取预防措施暂时冻结了该信用卡以防止进一步损失,并发送短信告知原告。
原告随后回电并确认这些交易未经授权。信用卡被永久封禁,令牌化操作被撤销。
银行建议他填写争议声明表,他于 2024 年 7 月 22 日提交。2024 年 8 月,信用卡费用通过其银行账户余额自动扣除。
由于这 22 笔交易均属于安全交易,因此无法向商家行使拒付权。
该男子尝试尽力追回资金,最终仅在两笔交易中成功追回 355.34 新元。
他认为剩余 20 笔交易造成的 3,456.38 新元损失应由银行承担,但银行拒绝了退款请求。
此案被提交至金融业争议解决中心,但 2025 年 7 月的裁决结果对他不利。
他对结果不满意,于是将银行告上小额索赔法庭(SCT)。
法庭审理
推事 Tan 先生表示,本案源于该男子与银行之间关于信用卡服务的合同关系。
无可争议的是,这 20 笔交易未经授权,是由一名未知诈骗者通过令牌化操作完成的。
该男子与银行签署的信用卡协议规定:在通知银行后发生的任何未经授权交易,持卡人无需负责;而在通知前发生的未经授权交易,责任上限为 100 新元。
但是,如果发现持卡人存在欺诈行为、严重过失,或未能尽快通知银行卡片丢失/被盗,则持卡人需承担所有未经授权交易的损失(最高至信用额度),包括利息、手续费和滞纳金。
银行主张该男子行为属于严重过失,应承担全部损失。理由是他向诈骗者泄露了信用卡详情,提供了允许令牌化的 OTP 密码,且在收到银行多次短信通知后仍未采取行动。
对此,该男子回应称,他记得在浏览 TikTok 时看到一个广告,尝试购买商品,当时被要求输入信用卡详情。
他不能确定这是否属于网络钓鱼,但坚称自己没有向任何人泄露 OTP 密码。
他表示,包含密码的短信是在 2024 年 6 月 4 日晚上 11:13 抵达的,当时他正准备睡觉,手机留在客厅里。
他承认收到了银行随后的通知,但完全忽略了,因为他认为自己不用 Apple Pay,这些信息与他无关。
推事 Tan 先生认为,原告在网络钓鱼诈骗中泄露信用卡详情和 OTP 密码的可能性极大。
不过,他指出,单纯在这种情况下泄露详情和密码并不一定在所有案例中都构成严重过失。
但 Tan 先生认为,一个理智的人在这种情况下应该及时关注银行提醒,尽快报告任何未经授权的活动,并立即采取措施阻止进一步的非法访问。
Tan 先生特别指出了发送给该男子的通知:首先是提供 OTP 密码,接着是告知其信用卡已完成令牌化。
随后关于 Apple Pay 令牌化的提醒接踵而至,其中一条明确强调:如果添加卡片未经授权,应立即联系银行。
Tan 先生表示,这些提醒起到了关键作用,信号明确——即有人非法获取了该男子的数字钥匙并准备进行交易。
虽然他接受原告关于深夜收到第一批信息的解释,但谨慎和合理的注意义务“要求他监控这些关键通信”,并在次日早晨采取适当行动。
“在我看来,原告在多次机会面前未能处理这些明显且重大的风险,尽管已被提醒有可疑活动,但仍未能及时采取缓解措施,”Tan 先生说道。
“在原告无法提供合理解释的情况下,他这种不采取行动的模式不能被简单地定性为疏忽或瞬间的判断失误。相反,这代表了一种持续的缺失,其标准远低于合理的注意义务,构成了严重过失。”
他认为,正是因为该男子的长期不作为,才使得诈骗者能够使用令牌化信用卡执行未经授权的交易。
因此,他裁定银行完全有权根据信用卡协议,要求原告承担全部损失。
Tan 先生强调,在金融服务业日益复杂、技术演进飞快且诈骗手段不断升级的今天,普通用户必须保持高度警惕。
他列举了不同形式的警惕性:
在进行在线交易时进行监控并采取适当的谨慎措施;
保护个人财务信息,防止被他人滥用;
监控银行和金融机构的通知提醒,以便在发生可疑活动时能够尽早干预。
“当你遇到意义不明或神秘的提醒时,审慎的做法始终是立即向相关机构寻求澄清,而不是简单地忽略这些信息并寄希望于一切安好,”法官最后总结道。
