संवेदनशील डेटा सुरक्षा में चूक से अनधिकृत लेनदेन, निर्णायक अधिकारी ने एक्सिस बैंक को ठहराया जिम्मेदार

IT ACT के तहत मंत्रालय मुंबई के निर्णायक अधिकारी ने एक्सिस बैंक लिमिटेड के धुले विकास सहकारी बैंक प्राइवेट लिमिटेड के चालू खाते से अनधिकृत लेनदेन से जुड़े मामले में एक्सिस बैंक लिमिटेड को लापरवाही के लिए उत्तरदायी ठहराया। यह देखा गया कि उचित सुरक्षा सुरक्षा उपायों को बनाए रखने और ग्राहक संवेदनशील डेटा की सुरक्षा के लिए पर्याप्त उपायों को लागू करने में विफलता लापरवाही के समान है।

मामले की पृष्ठभूमि:

शिकायतकर्ता, धुले विकास सहकारी बैंक प्राइवेट लिमिटेड ने एक्सिस बैंक लिमिटेड के साथ एक चालू खाता बनाए रखा और कैश मैनेजमेंट सर्विसेज– आरटीजीएस और एनईएफटी के लिए मंच का उपयोग किया। शिकायतकर्ता बैंक के एक कर्मचारी ने 8 जून, 2020 को 2,06,50,165 रुपये के कुल 27 लेनदेन देखे। हालांकि शिकायतकर्ता का बैंकिंग परिचालन आधिकारिक तौर पर सुबह 10:30 बजे से शुरू होता है, लेकिन यह पाया गया कि लेनदेन सुबह 7:00 बजे से 10:00 बजे के बीच किया गया था। शिकायतकर्ता ने दावा किया कि लेनदेन को पूरा करने के लिए आवश्यक ओटीपी प्राप्त नहीं हुए थे। इसके अलावा, लेनदेन के लिए बैच नंबर भी उत्पन्न नहीं किए गए थे। शिकायतकर्ता ने दावा किया कि लेनदेन को पूरा करने के लिए ओटीपी और बैच नंबर बनाना आवश्यक कदम था। यह आरोप लगाया गया था कि एक्सिस बैंक द्वारा निष्पादित सुरक्षा उपायों में गंभीर चूक हुई थी। एक्सिस बैंक के पे-प्रो सिस्टम को लेनदेन को पूरा करने के लिए उपयोगकर्ता क्रेडेंशियल्स, ओटीपी और मेकर-चेकर तंत्र सहित एक सुरक्षित लॉगिन की आवश्यकता होती है। हालांकि, शिकायतकर्ता को सूचित किए बिना इन कदमों को छोड़ दिया गया था। शिकायतकर्ता के चालू खाते से 26 आरटीजीएस हस्तांतरण और एक एनईएफटी लेनदेन का दावा करते हुए, यह आरोप लगाया गया था कि एक्सिस बैंक बुनियादी सुरक्षा प्रोटोकॉल का पालन करने या लागू करने में विफल रहा था।

अनधिकृत लेनदेन के बारे में पता चलने के बाद शिकायतकर्ता ने तुरंत एक्सिस बैंक को घटना की सूचना दी और भविष्य में इस तरह के मुद्दों से बचने के लिए खाते को अवरुद्ध करने की मांग की। इसके अलावा, इसकी सूचना पुलिस को भी दी गई थी। 18 जून, 2020 को भारतीय रिजर्व बैंक को भी इस घटना के बारे में सूचित किया गया था।

IT ACT की धारा 43A का हवाला देते हुए, शिकायतकर्ता ने आरोप लगाया कि प्रतिवादी उचित सुरक्षा प्रथाओं को लागू करने में विफल रहा है और आईटी अधिनियम, 2000 की धारा 43g का उल्लंघन करते हुए अनधिकृत पहुंच की भी अनुमति दी थी।

इसके अलावा प्रतिवादी पर IT ACT की धारा 85 के तहत दोषी होने का आरोप लगाते हुए, शिकायतकर्ता ने 18% ब्याज के साथ 1,76,06,381 रुपये और मुकदमेबाजी खर्च के लिए 3,00,000 रुपये के मुआवजे की मांग की।

निर्णायक अधिकारी के निष्कर्ष:

निर्णायक अधिकारी ने IT ACT की धारा 43A का उल्लेख किया और कहा कि एक्सिस बैंक शिकायतकर्ता के चालू खाते से अनधिकृत लेनदेन में अग्रणी मानक सुरक्षा प्रथाओं को लागू करने और निष्पादित करने में विफल रहा है। इसके अलावा, यहां तक कि प्रतिवादी द्वारा दर्ज की गई एफआईआर, जिसके अनुसार एक्सिस बैंक सिस्टम को हैक किया गया था, संवेदनशील ग्राहक डेटा की सुरक्षा में प्रतिवादी द्वारा दी गई सुरक्षा में एक गंभीर चूक का सुझाव देता है। यह देखा गया कि धारा 43A के अनुसार, प्रतिवादी संवेदनशील व्यक्तिगत डेटा को संभालने के लिए बाध्य था और एक्सिस बैंक ऐसा करने में विफल रहा था, जिससे शिकायतकर्ता को गलत तरीके से नुकसान हुआ। इस प्रकार यह देखा गया कि प्रतिवादी शिकायतकर्ता की व्यक्तिगत जानकारी हासिल करने में लापरवाह था।

अधिकारी ने कहा कि कुशल वास्तविक समय की निगरानी और धोखाधड़ी का पता लगाने के तंत्र की अनुपस्थिति के कारण शिकायतकर्ता की प्रतिष्ठा को भी नुकसान पहुंचा है। यह माना गया कि एक्सिस बैंक अनधिकृत लेनदेन की सुविधा के लिए सतर्क नहीं था। इसके अलावा, वैधानिक दायित्वों के साथ बैंक के गैर-अनुपालन को उजागर करते हुए, प्रतिवादी को शिकायतकर्ता को 18% चक्रवृद्धि ब्याज के साथ 1,76,06,381 रुपये की राशि के साथ-साथ मुकदमेबाजी खर्च के रूप में 3,00,000 रुपये और मानसिक पीड़ा, दर्द और अनुचित उत्पीड़न के मुआवजे के रूप में 50,00,000 रुपये का भुगतान करने का निर्देश दिया गया।