【案情】徐某发现其银行卡多笔交易非本人所为，向公安机关报警。经查询得知，其银行卡内资金被消费了7笔共计27498元，其中大部分款项均为线上POS消费。徐某陈述其未收到银行发送的短信提示。银行提供的记录表明，徐某上述七笔消费均有短信提醒。

根据公安机关的调查，犯罪嫌疑人何某等人获取到公民信息、木马病毒后，将带有木马病毒链接的短信发送给被害人，被害人点击链接后手机被植入木马病毒，何某等人通过植入的木马病毒窃取到被害人银行卡、身份证号、手机号码等信息后，通过门店扫码支付等通道用被害人的信息以及拦截到的支付宝验证码完成支付，盗刷被害人的银行卡。

【评析】电子化交易难以复原交易当时的真实情景，越来越多的银行卡纠纷在举证责任分担、证明标准、证据关联性等问题上陷入困境，事实认定成为处理此类案件的焦点和难点。大多数银行对于银行卡的使用主体以及银行卡密码的使用原则规定基本一致，均约定银行卡仅限本人使用，不得出借出租；所有通过银行卡密码进行的交易均视为本人操作。本案银行卡合约中即约定“经密码或验证要素校验通过，交易（含预授权交易）即视为甲方本人所为并由甲方承担交易款项”。

在银行卡纠纷的司法实践中，银行均以“通过密码操作即为本人操作”作为免责的抗辩理由，认为凭借密码交易而不需要识别交易者真实身份是现代电子化交易的核心要求。在当前的银行卡交易模式下，银行很难甚至不可能准确识别每一笔形式交易者的真实身份，只能设计物理介质的银行卡和存储意识的密码作为保障资金安全的双保险。持卡人负有妥善保管银行卡和密码的义务，对于他人凭借银行卡和密码进行交易，银行拟制为持卡人本人交易或合法授权的交易并无不当。“密码交易视为本人交易”的格式条款也有例外适用的情形。因不法分子利用在银行ATM机盗装的设备窃取密码和卡信息制作克隆卡导致资金损失，不适用密码交易视为本人交易”规则。此情形下，用户已经履行了妥善保管银行卡和密码的义务，由于银行未能提供必要安全、保密的业务办理环境导致资金损失，应当由银行承担相应的责任。

对于账户内的资金损失银行是否应当承担赔偿责任，重点应把握银行对于密码被盗取是否存在过错，而不是要求银行对实际交易者的真实身份进行有效核实。飞速发展的电子化交易给交易双方带来了便利，交易效率的提高必然要舍弃某一交易环节，若对银行提出核实实际交易者的真实身份，有违现代经济发展规律。

本案中，不法分子通过在用户手机植入木马病毒，盗取用户银行卡、身份证号码、手机号码等信息，拦截短信验证码在互联网实现银行卡盗刷。本案银行卡交易密码被盗取是由于用户点击了不法分子发送的带有木马病毒的链接，银行按照合约依法履行了安全保障义务，发送交易验证码，对于交易密码泄露不存在过错，故对用户银行卡内资金损失不应承担赔偿责任。徐某没有充分证据证明银行对其银行卡密码泄露、资金被盗存在过错，故银行对徐某账户资金损失不应承担赔偿责任。