|
【201723039】利用银行系统漏洞在POS机上空卡套现的罪名认定
文/聂昭伟
【裁判要旨】
行为人在信用卡交易规则内通过POS机来刷卡套现,对提供POS机的商户可以非法经营罪认定,而持卡人则可能构成信用卡诈骗罪。与之不同的是,如果行为人利用银行系统漏洞,在信用卡交易规则之外进行空卡套现,由于银行对所套取的资金并未行使处分权,应当以盗窃罪来定罪处罚。
□案号 一审:(2015)浙杭刑初字第138号 二审:(2015)浙刑三终字第224号
【案情】
公诉机关:浙江省杭州市人民检察院。
被告人:李晔瑜、张林杰、方翔、王龙君、王诗瑜、顾均。
浙江省杭州市中级人民法院审理查明:2014年7月下旬,被告人李晔瑜获知部分银行的信用卡预授权交易存在系统漏洞,可通过在POS机操作预授权交易窃取信用卡授信额度以外的银行资金,遂纠集被告人张林杰及王申运(另案处理)等人,商定由张林杰、王申运等人在网上发布广告和通过其他中介人员从全国各地获取工商银行POS机及其他银行的信用卡。张林杰、王申运等人让中介人员或POS机机主及信用卡卡主将POS机和信用卡带至广东省广州市交给李晔瑜,李晔瑜在广州市及海南省海口市持信用卡在POS机上连续进行预授权交易,利用银行系统漏洞秘密窃取信用卡授信额度以外的巨额银行资金。所窃取的银行资金转账至POS机对公账户后,由李晔瑜负责从POS机对公账户中转出至李控制的其他个人或单位的银行账户,后按约定比例分赃,其中信用卡提供方(含中介人员)约分得总额的40%,POS机提供方(含中介人员)约分得总额的20%,余款被李晔瑜、张林杰、王申运等人瓜分。
主要事实如下:
1.2014年7月31日,李晔瑜持满堃的信用卡在浙江省杭州快汇航空票务有限公司的POS机上操作预授权交易,利用银行系统漏洞窃取银行资金375591元。该经济损失现由发卡行天津农商银行承担。
2.2014年7月31日,李晔瑜持朱克芬的信用卡在陕西省超盛广告传媒有限公司的POS机操作预授权交易,利用银行系统漏洞窃取银行资金308811元。案发后,朱克芬还款61600元,造成银行经济损失247211元。该经济损失现由收单行工商银行陕西省分行承担。
3.2014年8月4日,李晔瑜使用四张信用卡在浙江省嘉信数码产品商行的工商银行POS机上操作预授权交易,利用银行系统漏洞窃取银行资金共计183.2万元。案发后,卡主许光苏、陈诗诗已分别还款76.27万元、17.73万元,造成银行经济损失89.2万元。该经济损失现由收单行工商银行萧山分行承担。
4.2014年8月6日,李晔瑜持邵远强的信用卡在浙江省杭州九兆科技有限公司的POS机上操作预授权交易,利用银行系统漏洞窃取银行资金109.7万元。该经济损失现由发卡行东莞农村商业银行承担。
5.2014年8月6日和7日,李晔瑜使用曾贵真和钟礼志的信用卡在山东省枣庄雷速汽车销售有限公司的POS机上操作预授权交易,利用银行系统漏洞分别窃取银行资金78.5万元和2.2万元,合计80.7万元。该两笔经济损失现分别由发卡行东莞农村商业银行和中国邮政储蓄银行东莞分行承担。
6.2014年8月10日,李晔瑜、张林杰等人使用周翔和杨汉金的信用卡在海南省海口进盛昌实业有限公司的POS机上操作预授权交易,利用银行系统漏洞窃取银行资金共计327.5978万元。该经济损失现由收单行工商银行海口琼山支行承担。
【审判】
浙江省杭州市中级人民法院认为,被告人李晔瑜、张林杰伙同他人,以非法占有为目的,通过在POS机上操作信用卡预授权虚假交易,利用银行系统漏洞窃取信用卡授信额度以外的银行巨额资金;被告人方翔、王龙君、王诗瑜明知李晔瑜、张林杰采取上述方式窃取银行资金,仍帮助联系、提供POS机,其行为均已构成盗窃罪,且犯罪数额特别巨大。被告人顾均明知他人借用POS机以虚构交易的方式套取信用卡内资金,仍将POS机出借给他人,情节严重,其行为已构成非法经营罪。在共同犯罪中,李晔瑜、张林杰系主犯,方翔、王龙君、王诗瑜系从犯,依法对方翔应予从轻处罚,对王龙君、王诗瑜应予减轻处罚。据此,法院作出一审判决:
以盗窃罪,分别判处被告人李晔瑜无期徒刑,剥夺政治权利终身,并处没收个人全部财产;判处被告人张林杰有期徒刑13年,剥夺政治权利2年,并处罚金20万元;判处被告人方翔有期徒刑10年,剥夺政治权利1年,并处罚金10万元;判处被告人王龙君有期徒刑8年,并处罚金8万元;判处被告人王诗瑜有期徒刑7年,并处罚金6万元。以非法经营罪,判处被告人顾均有期徒刑5年,并处罚金4万元。
一审宣判后,李晔瑜、张林杰、方翔、王龙君、顾均不服,分别提出上诉。
浙江省高级人民法院经审理认为,原判定罪正确,对李晔瑜、张林杰、方翔的量刑适当。鉴于王龙君、王诗瑜所涉的本案第三起犯罪造成银行的最终经济损失基本挽回,顾均的犯罪情节不属特别严重,原判对王龙君、王诗瑜、顾均的量刑偏重,应予改判。依照刑法第二百六十四条,第二百二十五条,第二十五条,第二十六条第一款、第四款,第二十七条,第五十七条第一款,第五十六条第一款,第五十五条第一款,第六十四条,最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第7条第1款、第2款,刑事诉讼法第二百二十五条第一款第(一)项、第(二)项之规定,改判:被告人王龙君犯盗窃罪,判处有期徒刑6年,并处罚金8万元;被告人王诗瑜犯盗窃罪,判处有期徒刑5年,并处罚金6万元;被告人顾均犯非法经营罪,判处有期徒刑3年,并处罚金4万元。
【评析】
随着我国信用卡业务的迅猛发展,信用卡成为社会公众消费最频繁的非现金支付工具。与此同时,利用信用卡进行的违法犯罪行为也日益增多,信用卡套现行为就是其中之一。
所谓信用卡套现,是指信用卡持卡人违反与发卡银行的约定,以虚构交易、现金退货等虚假消费的方式避开银行柜台取款或ATM自助终端提现,将信用卡中的透支额度通过POS终端机或第三方支付平台等其它方式,全部或部分地转换成现金的行为。由于信用卡持卡人通过套现无需支付手续费,享受最长56天的免息还款期和最低还款额待遇,且可以透支信用额度内的全部资金,相当于获得一笔无担保的免息贷款。而特约商户或中介公司则可以从中收取到一定比例的提现手续费,使得套现行为在近年以来愈演愈烈,出现了专门提供套现服务的贷款公司、中介公司,套现手段花样也不断翻新,套现行为涉案人员之多、涉案数额之巨也常常令人咋舌。而在司法实践中,对此类行为如何定性存在着诸多争议。本案即是如此,对于各被告人利用POS机刷卡套现的行为,在审理过程中存在非法经营罪、信用卡诈骗罪、诈骗罪、盗窃罪等罪名争议,故很有必要在适当分类的基础上展开探讨。
一、以信用卡套现是否在银行交易规则允许范围之内为标准,可以将信用卡套现分为交易规则之内和交易规则之外两种套现类型。
(一)在信用卡交易规则之内的套现行为
所谓在信用卡交易规则之内的套现,是指行为人所套现的金额是经过银行授权允许持卡人消费使用的,只是持卡人违反约定将该部分应当以消费方式来使用的金额,以现金方式来进行使用。以所套取现金是否在信用额度内为标准,又包括常规的信用卡套现和空卡套现两种情形。
常规套现是在信用卡信用额度内套现,主要是指信用卡持卡人通过套现公司,将信用卡信用额度内的金额全额刷出,然后套现公司当即给持卡人现金,持卡人需要从获取的现金中支付一定的手续费。
空卡套现是在信用卡信用额度之外,利用银行正常的交易规则,从信用卡中继续套取现金,所套取的金额可以达到信用额度的数倍甚至十数倍。此类空卡之所以还能够继续套现,是因为以下两种情况的存在:一种是部分银行信用卡除了有正常的信用额度之外,还会有一个分期付款额度。分期付款消费所使用的是信用卡的分期额度,不会影响卡内的可用额度,故持卡人可以两次消费,即先使用分期付款,将分期额度用完后,再一次性刷卡将可用额度消费完。例如,信用卡信用额度是1万元,分期额度是2万元(按照银行有关规定,分期付款额度可以临时提高2倍信用额度),那么该张信用卡可以刷卡购买3万元的商品。另一种是利用信用卡的预授权业务进行套现。例如,一张信用卡的信用额度是1万元,刷卡方可以先行存入信用卡100万元,再进行信用卡预授权交易,由于银行最高可以按照预授权金额115%予以付款承兑,故可刷卡115万元,最终可套现15万元,是信用额度的15倍。
(二)在信用卡交易规则之外的套现行为
信用卡发卡银行和POS机银行是两家不同的银行,二者之间的交易信息需要通过银联才能实现交互对接。由于银联与银行有固定的清算时间,二者之间的信息无法达到对等时间,导致银行卡在POS机上被刷卡后,银联无法很快反馈到银行。犯罪分子正是抓住这个时间差漏洞,利用信用卡的预授权业务进行大肆套现。例如,行为人先往甲银行的信用卡内存入10万元,1万元的信用额度加上10万元的存款,信用卡的预授权金额就有11万元。然后,行为人利用乙银行的POS机分别发起一大一小的两笔预授权,大的一笔是10万,小的一笔100元。接着,行为人把大的一笔交易10万消费掉,把小的一笔交易的100元撤销掉。由于银行信息在对接上存在时间差,此时银联并没有及时将10万元的消费信息及时反馈给甲银行,而小笔撤销的动作则误导了发POS机的乙银行,误以为刚刚那笔10万元的交易也未完成,于是预授权额度又恢复到了原有额度11万,可以继续大额交易。如此反复操作,可以套取的银行资金远远超过了信用卡信用额度范围的金额,从理论上来说可以套出无限的资金。由于这种套现行为所利用的是银行系统漏洞,在金额上突破了银行交易规则允许的范围,可以将其称之为在银行交易规则之外的信用卡套现。
二、在银行交易规则之外的非法套现行为,不能以非法经营罪或信用卡诈骗罪来认定
(一)行为人在银行交易规则之外非法套现,所侵害的主要是银行金融资金的所有权,而非正常的金融秩序,不应以非法经营罪来认定根据刑法第二百二十五条规定,非法经营犯罪行为包括以下两种类型:(1)未经国家有关主管部门批准,非法从事资金支付结算业务;(2)其他严重扰乱市场秩序的非法经营行为。信用卡套现行为符合上述两种情形:首先,申领POS机的商户基于虚假的消费事实,利用信用卡套现收取手续费的行为,实际上属于非法从事只有商业银行才能开展的信用卡资金支付结算业务,属于非法从事资金支付结算业务;其次,信用卡套现使卡内的消费信贷额转变为现金货币流入市场,影响物价水平,放大社会总需求,进而影响到国家货币政策或宏观调控政策,严重扰乱了正常的金融管理秩序,亦属于其他严重扰乱市场秩序的非法经营行为,应当以非法经营罪来认定。为此,2009年12月3日最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》(以下简称《信用卡解释》)第7条规定:“违反国家规定,使用销售点终端机具(POS机)等方法,以虚构交易、虚开价格、现金退货等方式向信用卡持卡人直接支付现金,情节严重的,应当依据刑法第二百二十五条的规定,以非法经营罪定罪处罚。”从信用卡套现构成非法经营罪的立法本意来看,此类行为的社会危害性主要体现在非法从事资金支付结算业务,扰乱正常的金融管理秩序上,而不是为了保护银行金融资金的安全或者所有权,故行为人套取的只能是信用卡额度内的资金或者是在信用卡正常交易规则内套取现金。
本案中,各行为人利用银行系统漏洞,大肆套取并侵吞信用卡额度之外的银行金融资金,而并非信用卡额度内的资金或者是在信用卡正常交易规则内套取现金,故其行为的危害性不在于非法从事资金支付结算业务,也并非扰乱了正常的金融管理秩序,而在于侵害了银行金融资金的安全和所有权。此时不应再以非法经营罪定罪处罚,而应以侵害所有权的其他罪名来定罪处罚。
需要指出的是,对于信用卡套现行为并非不加区分一律以非法经营罪论处。其中,对于持卡人个人所实施的套现行为,只是违反了持卡人与银行之间的协议,规避了支付透支利息、手续费和取现额度,这种套现规模往往局限于持卡人本人有限的几张信用卡的透支额度,到期后一般也会足额偿还,难以达到严重扰乱市场秩序的程度,同时这种零星套现行为也不应视为一种经营行为,故不宜认定为非法经营罪。与之不同的是,为收取套现手续费而提供POS机套现服务的商户或中介公司,显然系一种经营行为,所涉及的信用卡数量众多、金额巨大,对银行正常的贷款业务和信用卡业务形成冲击,严重扰乱正常的金融秩序,故需要以非法经营罪定罪处罚。
(二)行为人以非法占有为目的,突破银行交易规则大肆套现,所侵占的并非信用卡信用额度内的金额,故不应以恶意透支型信用卡诈骗罪来认定
如前所述,利用信用卡套现构成非法经营罪,针对的是银行金融资金的违规使用,保护的是银行资金的使用而非所有权。同时,该罪所针对的主体系提供POS机套现服务的商户或中介公司,而非信用卡持卡人。当然,如果持卡人以非法占有为目的,通过POS机超过规定限额或者规定期限透支,且经发卡银行催收后仍不归还的,则侵害到了银行金融资金的安全和所有权,此时就不能再以非法经营罪来定罪处罚。对此,我国刑法第一百九十六条规定了信用卡诈骗罪,其中第二款规定:“前款所称恶意透支,是指持卡人以非法占有为目的,超过规定限额或者规定期限透支,并且经发卡银行催收后仍不归还的行为。”同样,《信用卡解释》第7条第2款特别规定:“持卡人以非法占有为目的,采用上述方式恶意透支的,应当以信用卡诈骗罪定罪处罚。”尽管如此,从信用卡的功能及信用卡诈骗罪的立法本意来看,信用卡恶意透支行为的社会危害性不在于透支行为本身,而主要体现在透支的恶意上,即以非法占有为目的。《全国人民代表大会常务委员会关于刑法有关信用卡规定的解释》规定,“信用卡是指由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或部分功能的电子支付卡”。可见,信用卡本身即具有信贷功能,当持卡人急需用款而信用卡存款余额不足时,持卡人可以短期、小额、善意地透支,即享受一定额度的消费信贷。现实生活中,持卡人除了可以透支规定限额之外,还存在两种超过规定限额的透支方式:一种是临时提高信用卡额度,另一种是通过最低还款额度分期付款达到超信用卡额度使用。不管信用卡持卡人采用上述何种方式透支,都是在银行预设的规则之内,所透支的金额都是经过银行授权的,并不违背银行的意志,只是因为行为人在透支时具有非法占有目的的恶意,才会以信用卡诈骗罪来定罪处罚。
本案中,各行为人所套取的既非信用卡透支额度内的资金,亦非根据信用卡交易规则在信用额度之外允许透支的资金,而系利用银行系统漏洞,突破信用卡交易规则大肆套取的银行金融资金。对于这部分资金,由于银行并未行使处分权,故不应以信用卡诈骗罪来定罪处罚,而应以侵害财产所有权为目的的其他罪名来认定。
三、行为人以非法占有为目的,利用银行系统漏洞在交易规则之外空卡套现,由于银行对所套取的资金并未行使处分权,不应认定为诈骗罪,应以盗窃罪来定罪处罚
在该案审理过程中还有一种观点认为,本案行为人所透支的系信用额度外的资金,尽管不构成信用卡诈骗罪,但是可以以诈骗罪来认定。因为行为人通过在POS机上操作信用卡预授权虚假交易,同时发起一大一小两笔预授权,大额交易发生后将小额预授权撤销掉,致使银行误以为大额交易也未完成,将预授权额度又恢复到了原有额度,行为人继而重复大额交易,套取银行巨额资金。在这个过程中,银行工作人员尽管没有发生被骗的情形,但是银行信息系统发生了错误认识。而银行信息系统是按照银行的要求设计制造的,其一举一动都是银行意志的反映,故在这一过程中,被骗的不是银行的信息系统,而是作为信息系统背后的所有者和管理者——银行,应当认定为诈骗罪。
笔者认为,上述理解是不适当的。针对利用银行系统漏洞进行空卡套现,同传统的诈骗罪与盗窃罪的区分一样,也需要从两罪的行为结构来入手。诈骗罪的行为逻辑结构可以表述为:犯罪行为人实施了欺骗行为——被害人陷入错误认识——被害人基于认识错误交付财物——行为人取得财物;而盗窃罪的逻辑结构可以表述为:犯罪行为人窃取财物——被害人失去对财物的有效控制——犯罪行为人取得财物。由此可以看出,两罪的本质区别在于被害人针对财物是否存在有处分行为。与传统诈骗罪与盗窃罪区分所不同的是,由于信用卡套现行为系在POS机上来完成,行为人与银行工作人员并不需要接触,故无法以银行工作人员是否受到欺骗进而处分银行资金来作为区分标准。
那么,银行的处分意思与行为是通过何种方式来实现的呢?笔者认为,银行将其处分意思和行为预先设置在信用卡交易规则当中,只要行为人遵守银行信用卡交易规则,在规则之内获取银行资金,即可视为银行对该部分资金行使了处分权。以此为依据,针对信用卡持有人在交易规则之内所进行的套现行为,由于行为人遵守了银行金融机构预先设置的交易规则,故该部分资金事先已经得到银行的批准或临时授权,可视为银行同意交付处分的意思。对于这部分资金,如果POS机特约商户以赚取刷卡手续费为目的,帮助持卡人大量套现的,对特约商户应当认定为非法经营罪;而对信用卡持卡人,如果其以非法占有为目的的,由于银行事先存在处分意思,故应当认定为信用卡诈骗罪,而不能认定为盗窃罪。对于行为人利用银行系统漏洞套取信用卡额度之外的资金,由于行为人突破了银行事先设置的交易规则,利用银行漏洞套取并非信用卡正常交易规则内所允许的资金,这部分资金并未经过银行金融机构事先批准或临时授权,也就意味着银行对于该部分资金并未同意交付,行为人获得该部分资金并非银行行使处分权的结果,而系通过破坏银行占有的方式获得,与盗窃罪的行为逻辑结构相符,故应当认定为盗窃罪。本案即属于这种情形,故一、二审法院对被告人以盗窃罪来认定是恰当的。
当然,根据主客观相一致原则,在本案共同犯罪过程中,各被告人的主观故意并非完全一致。其中,李晔瑜等五被告人均从事信用卡套现、养卡、贷款等非法活动,个别被告人还有过曾在银行信用卡部门工作的经历,知道可以利用银行信息系统漏洞进行空卡套现,对该五名被告人认定为盗窃罪并无异议。关键是对被告人顾均应当如何定罪。顾均作为一商户的经营管理者,对利用银行信息系统漏洞空卡套现并不知情,其余被告人向其借用POS机时也未告知是用于空卡套现,而是声称用于消费贷款套现,顾均预期收到的报酬亦是通常的套现手续费,对银行金融资金没有非法占有目的。因此,顾均在主观上仅仅认识到提供POS机给他人系用于常规的信用卡套现,在主客观一致的范围内一、二审法院将其认定为非法经营罪是恰当的。
(作者单位:浙江省高级人民法院)
|