در عصر حاضر و با گسترش روزافزون تراکنش‌های الکترونیکی، جرایم مالی نیز چهره‌ای نوین به خود گرفته‌اند. کلاهبرداری‌های بانکی که روزگاری محدود به سرقت فیزیکی یا جعل چک بودند، اکنون در قالب‌های پیچیده دیجیتالی مانند «فیشینگ»، «اسکیمر» و «مهندسی اجتماعی» رخ می‌دهند. اما پرسش اساسی که در محاکم حقوقی و فضای آکادمیک حقوق ایران مطرح می‌شود این است: در صورت وقوع برداشت غیرمجاز از حساب مشتری، آیا تمامی مسئولیت بر عهده صاحب حساب است یا بانک‌ها و موسسات مالی نیز به عنوان متولیان بستر امنیتی، سهمی در جبران خسارت دارند؟

۱. کالبدشکافی روش‌های نوین کلاهبرداری بانکی در ایران

پیش از ورود به بحث مسئولیت حقوقی، لازم است درک دقیقی از نحوه وقوع جرایم داشته باشیم. بر اساس پرونده‌های جاری در پلیس فتا و دادسراهای جرایم رایانه‌ای، شگردهای مجرمان به چند دسته اصلی تقسیم می‌شود:

الف) سوءاستفاده از رسیدهای عابربانک و مهندسی اجتماعی

یکی از روش‌های سنتی که همچنان قربانی می‌گیرد، استفاده از اطلاعات موجود در «رسیدهای تراکنش» است. اگرچه در سیستم‌های نوین بانکی شماره کارت به صورت کامل (PAN) روی رسید چاپ نمی‌شود و برخی ارقام آن به صورت ستاره‌دار (Masked) نمایش داده می‌شود، اما در برخی دستگاه‌های قدیمی یا پایانه‌های فروشگاهی خاص، ممکن است اطلاعات بیشتری درج شود. کلاهبرداران با جمع‌آوری این رسیدها و ترکیب آن با اطلاعاتی که از طریق تماس تلفنی و ترفندهای روانشناسی (مهندسی اجتماعی) از خودِ قربانی دریافت می‌کنند، اقدام به جعل هویت یا دسترسی به حساب وی می‌نمایند.

ب) اپلیکیشن‌های رسیدساز جعلی و کلاهبرداری کارت‌به‌کارت

در معاملات خرد، به ویژه خریدهای اینترنتی یا معاملات کالاهای دست دوم، استفاده از «رسیدسازهای جعلی» بسیار رواج یافته است. در این شیوه، کلاهبردار با یک نرم‌افزار گرافیکی، تصویری دقیقاً مشابه رسید تراکنش‌های موفق بانکی (مانند آپ یا همراه بانک‌ها) تولید کرده و به فروشنده نشان می‌دهد. فروشنده به تصور واریز وجه، کالا را تحویل می‌دهد، در حالی که هیچ مبلغی جابه‌جا نشده است. این مورد یکی از مصادیق بارز «مانور متقلبانه» جهت بردن مال غیر محسوب می‌شود.

ج) اسکیمر (Skimmer) یا کپی‌برداری کارت

در این روش، مجرم با نصب قطعه‌ای سخت‌افزاری روی دستگاه کارت‌خوان (POS) یا عابربانک، اطلاعات نوار مغناطیسی کارت مشتری را کپی کرده و با داشتن رمز عبور (که معمولاً خود مشتری آن را اعلام می‌کند)، یک نسخه المثنی از کارت تهیه می‌کند.

۲. مسئولیت حقوقی و مدنی بانک‌ها؛ چالش بزرگ حقوقی

یکی از مباحث چالش‌برانگیز در حقوق بانکی ایران، تعیین حدود مسئولیت بانک در قبال خسارات وارده به مشتریان است. آیا بانک صرفاً یک امانت‌دار است یا مسئولیت حرفه‌ای سنگین‌تری دارد؟

نظریه مسئولیت محض و حرفه‌ای بانک‌ها

در تحلیل‌های حقوقی پیشرفته و دکترین حقوقی، مسئولیت بانک‌ها در دسته «مسئولیت‌های حرفه‌ای» طبقه‌بندی می‌شود که ترکیبی از مسئولیت قراردادی و قانونی است. بر اساس نظریاتی که در نظام حقوقی ایران نیز رو به گسترش است، بانک‌ها به عنوان ارائه‌دهندگان خدمات تخصصی، ملزم به تأمین امنیت «تراکنش‌های الکترونیکی» هستند. اگر ثابت شود که کلاهبرداری ناشی از ضعف سیستم امنیتی بانک (مثلاً عدم اجرای پروتکل‌های رمزنگاری یا باگ در نرم‌افزار همراه بانک) بوده است، بانک دارای «مسئولیت محض» خواهد بود؛ بدین معنا که صرف وقوع خسارت به دلیل نقص سیستم، برای مسئول شناختن بانک کافی است و نیازی به اثبات تقصیر عمدی بانک نیست.

تکلیف احراز هویت و قانون یکسان‌سازی کد ملی

طبق دستورالعمل‌های جدید بانک مرکزی و پلیس فتا، برای تراکنش‌های کارت‌به‌کارت (به‌ویژه مبالغ بالاتر از حد مشخص)، تطابق «کد ملی صاحب سیم‌کارت» و «کد ملی صاحب حساب بانکی» الزامی شده است. این یک اقدام پیشگیرانه حقوقی است تا از اجاره کارت‌های بانکی و پولشویی جلوگیری شود. اگر بانکی در پیاده‌سازی این پروتکل اهمال کند و تراکنشی بدون این تطبیق صورت گیرد که منجر به کلاهبرداری شود، مسئولیت تضامنی در جبران خسارت متوجه بانک خواهد بود.

۳. راهکارهای حقوقی برای قربانیان کلاهبرداری

چنانچه فردی مورد سوءاستفاده مالی قرار گیرد، مراحل قانونی زیر باید با دقت و سرعت طی شود:

• مسدودسازی آنی حساب: اولین گام حقوقی برای جلوگیری از گسترش خسارت (Minimize the loss) است.
• تنظیم شکوائیه قضایی: مراجعه به دفاتر خدمات الکترونیک قضایی و ثبت شکایت با موضوع «کلاهبرداری رایانه‌ای» یا «برداشت غیرمجاز».
• ارجاع به پلیس فتا: پرونده پس از ثبت در دادسرا، جهت تحقیقات فنی به پلیس فتا ارجاع می‌شود. در این مرحله پرینت تراکنش‌ها و IPهای اتصال بررسی می‌شود.
• دعوی حقوقی علیه بانک (در شرایط خاص): اگر کارشناسان رسمی دادگستری در امور جرایم رایانه‌ای تشخیص دهند که کلاهبرداری ناشی از حفره امنیتی در سامانه بانک بوده است، مالباخته می‌تواند علاوه بر پیگیری کیفری مجرم، دادخواست حقوقی مطالبه خسارت علیه بانک را نیز مطرح نماید.

۴. مثال واقعی و تحلیل حقوقی

فرض کنید شخصی به نام «آقای الف» پیامی دریافت می‌کند که حاوی لینک جعلی سامانه ثنا است. او وارد لینک شده و اطلاعات کارت خود را وارد می‌کند. بلافاصله حساب او خالی می‌شود. در اینجا:

از منظر حقوقی، آقای الف مرتکب نوعی «بی‌احتیاطی» شده است (ارائه اطلاعات محرمانه). در این حالت، اثبات مسئولیت بانک دشوار است مگر اینکه آقای الف اثبات کند که علی‌رغم فعال‌سازی رمز پویا (OTP)، بانک تراکنش را بدون درخواست رمز دوم تایید کرده است. در این سناریو، نقص در مکانیزم احراز هویت دو مرحله‌ای، بانک را ضامن جبران خسارت خواهد کرد.

۵. توصیه‌های کاربردی و پیشگیرانه

با توجه به رویه قضایی دادگاه‌های ایران و پیچیدگی اثبات قصور بانک، بهترین راهکار «پیشگیری» است:

• پس از دریافت رسید از دستگاه خودپرداز، آن را به‌طور کامل امحاء کنید تا اطلاعات ناقص کارت شما دستمایه مهندسی اجتماعی نشود.
• برای خریدهای روزانه و پایانه‌های فروشگاهی متفرقه، از یک کارت با موجودی محدود استفاده کنید تا ریسک کپی شدن کارت (اسکیمینگ) کاهش یابد.
• فروشندگان کالا باید دقت کنند که صرف دیدن رسید در گوشی خریدار کافی نیست؛ حتماً باید پیامک واریز بانک خود را چک کنند و از تطابق مبلغ و نام واریزکننده اطمینان حاصل نمایند.
• رمز کارت‌های بانکی خود را به صورت دوره‌ای تغییر دهید.

در نهایت، اگرچه قوانین ایران در حال حرکت به سمت حمایت بیشتر از مصرف‌کننده و افزایش مسئولیت بانک‌ها هستند، اما هوشیاری کاربران همچنان سد اول در برابر جرایم سایبری است.