ग्राहक ने ओटीपी साझा नहीं किया, हालांकि एसबीआई का "सबसे अधिक प्रचारित" 2-फैक्टर ऑथेंटिकेशन विफल हो गया, जिसके परिणामस्वरूप साइबर धोखाधड़ी हुई: दिल्ली हाईकोर्ट ने मुआवजे का आदेश दिया

साइबर धोखाधड़ी के एक मामले में, जिसमें एक व्यक्ति ने एसएमएस में एक लिंक पर क्लिक करने के बाद अपने स्टेट बैंक ऑफ इंडिया (एसबीआई) खाते से पैसे खो दिए, दिल्ली हाईकोर्ट ने बैंक की ओर से "सेवा में गंभीर कमी" को देखते हुए, एसबीआई को निर्देश दिया कि वह ग्राहक को खोई हुई राशि का मुआवजा दे।

न्यायालय ने कहा कि अनधिकृत लेनदेन ग्राहक द्वारा कोई ओटीपी साझा किए बिना हुआ, जो बैंक की सुरक्षा प्रणालियों में सेंध का संकेत देता है। एसबीआई के सुरक्षा प्रोटोकॉल को "सबसे अधिक प्रचारित 2-कारक प्रमाणीकरण [2FA]" कहते हुए, न्यायालय ने कहा कि सेवा में कमी के लिए एसबीआई जिम्मेदार है।

जस्टिस धर्मेश शर्मा ने कहा,

“वर्तमान मामले में, याचिकाकर्ता ने ओटीपी साझा न करने का ध्यान रखा था, वास्तव में उसके पास ऐसा करने का कोई अवसर नहीं था, और यदि ऐसा है, तो इसका अर्थ यह होगा कि सबसे अधिक प्रचारित 2 कारक प्रमाणीकरण [“2FA”] का भी उल्लंघन किया गया था क्योंकि यह सुरक्षित नहीं था, जो सीधे प्रतिवादी संख्या 2 और 3 एसबीआई द्वारा प्रदान की गई सेवा में कमी के कारण है”

अनधिकृत लेनदेन के लिए ग्राहकों की जिम्मेदारी

कोर्ट ने पाया कि याचिकाकर्ता ने अज्ञात कॉल करने वालों के साथ ओटीपी साझा करने से इनकार किया है। कोर्ट ने एसबीआई के लिखित सबमिशन का संदर्भ दिया, जिसमें संकेत दिया गया था कि बैंक द्वारा उपलब्ध कराए गए दस्तावेजी साक्ष्य के अनुसार, बीओ ने पाया कि याचिकाकर्ता इंटरनेट बैंकिंग में लॉग इन था और उसके मोबाइल नंबर पर स्वीकृति के लिए ओटीपी प्राप्त हुए थे। हालांकि, कोर्ट ने पाया कि एसबीआई द्वारा दस्तावेजी साक्ष्य रिकॉर्ड पर प्रस्तुत नहीं किए गए थे, जिसमें कहा गया था कि इसे "जानबूझकर दूर रखा गया था"।

एसबीआई ने आरबीआई के परिपत्र "ग्राहक सुरक्षा - अनधिकृत इलेक्ट्रॉनिक बैंकिंग लेनदेन में ग्राहकों की जिम्मेदारी सीमित करना" दिनांक 06.07.2017 पर भरोसा किया। परिपत्र के खंड 7 में कहा गया है कि ग्राहक अनधिकृत लेनदेन के कारण होने वाले नुकसान के लिए उत्तरदायी होगा, जहां नुकसान ग्राहक की लापरवाही के कारण होता है।

यहां, कोर्ट का मानना ​​था कि याचिकाकर्ता की ओर से कोई 'लापरवाही' नहीं थी। इसने देखा कि याचिकाकर्ता ने कोई भुगतान क्रेडेंशियल या ओटीपी साझा नहीं किया। इसने नोट किया कि अनधिकृत लेनदेन केवल एसएमएस के माध्यम से प्राप्त लिंक पर क्लिक करने पर हुआ।

कोर्ट ने कहा, “रिकॉर्ड से पता चलता है कि उन्होंने कभी भी भुगतान क्रेडेंशियल साझा नहीं किए थे, जो तथ्य प्रतिवादियों द्वारा दायर लिखित प्रस्तुतियों से पुष्ट होता है कि याचिकाकर्ता द्वारा ओटीपी साझा नहीं किए गए थे। यह केवल उनके मोबाइल फोन पर प्राप्त लिंक पर क्लिक करने पर हुआ, जब उन्हें यह विश्वास दिलाया गया कि उनकी एसएमएस सेवाएँ अवरुद्ध हो जाएँगी, कि उक्त अनधिकृत लेनदेन हुआ।”

कोर्ट ने कहा कि याचिकाकर्ता “साइबर धोखाधड़ी का शिकार” था और सिविल या आपराधिक कानून के संदर्भ में किसी भी तरह से 'लापरवाह' नहीं था,

कोर्ट ने कहा कि लापरवाही का तात्पर्य देखभाल के कर्तव्य से है, जो सामान्य विवेक वाले व्यक्ति से अपेक्षित होगा। ग्राहक की लापरवाही ऐसी होनी चाहिए जो “घोर, पूरी तरह से लापरवाह और अविवेकपूर्ण” हो, उसने कहा।

कोर्ट ने नोट किया कि एसबीआई अनधिकृत लेनदेन से कुछ ही मिनटों के भीतर याचिकाकर्ता द्वारा ग्राहक सेवा में शिकायत करने के बावजूद चार्जबैक शुरू करने या राशि को अवरुद्ध करने में अपनी असमर्थता के लिए संतोषजनक स्पष्टीकरण देने में विफल रहा।

एसबीआई द्वारा सेवाओं में कमी

न्यायालय ने आरबीआई के 18.02.2021 के परिपत्र “डिजिटल भुगतान सुरक्षा नियंत्रण पर मास्टर निर्देश” का हवाला दिया, जो सुरक्षा जोखिमों के शासन और प्रबंधन के लिए दिशा-निर्देश निर्धारित करता है। विनियमन 4 में प्रावधान है कि 'विनियमित संस्थाएं' (आरई), जिसमें अनुसूचित वाणिज्यिक बैंक शामिल हैं, को कुशल विवाद समाधान तंत्र और ग्राहक शिकायत से निपटने के लिए नीतियाँ बनानी चाहिए। इसके अलावा, विनियमन 50 में प्रावधान है कि आरई को संबंधित लाभार्थी/प्रतिपक्ष के आरई को धोखाधड़ी वाले लेनदेन की तुरंत रिपोर्टिंग करने का प्रयास करना चाहिए।

मास्टर परिपत्र का हवाला देते हुए, न्यायालय ने टिप्पणी की "उपर्युक्त विनियमों के आलोक में, यह स्पष्ट है कि साइबर धोखेबाजों द्वारा तैनात एक साधारण 'मैलवेयर' द्वारा '2FA' या OTP सत्यापन जैसे सुरक्षा प्रोटोकॉल का उल्लंघन किया गया था।"

इसमें कहा गया है कि एसबीआई का सुरक्षा तंत्र धोखेबाजों द्वारा उपयोग किए गए किसी भिन्न IP पते से किसी भी असामान्य लॉगिंग गतिविधि का पता लगाने में विफल रहा। इसमें आगे कहा गया, "यह माना जाना चाहिए कि बैंक की ओर से ऐसी व्यवस्था लागू करने में विफलता के कारण याचिकाकर्ता को आर्थिक नुकसान हुआ है, जो इस तरह की निकासी को रोकता है।"

कोर्ट ने नोट किया कि एसबीआई अन्य आरई के साथ इस मुद्दे को उठाने के लिए तत्काल उपाय करने में विफल रहा, जिन्हें ऑनलाइन भुगतान भेजा गया था।

यह देखते हुए कि एसबीआई की प्रतिक्रिया "उबाऊ, दोषपूर्ण और शीघ्र नहीं" थी, न्यायालय ने माना कि एसबीआई की ओर से सेवाओं में स्पष्ट कमी थी।

कोर्ट ने देखा कि अनधिकृत लेनदेन आरबीआई परिपत्र दिनांक 06.07.2017 की "शून्य देयता" के अंतर्गत आता है, जिसका अर्थ है कि याचिकाकर्ता बैंक की ओर से की गई कमी के कारण शून्य देयता के हकदार हैं।

न्यायालय ने पाया कि एसबीआई याचिकाकर्ता को हुए नुकसान के लिए मुआवजा देने के लिए उत्तरदायी है। इस प्रकार न्यायालय ने एसबीआई को याचिकाकर्ता को 9% प्रति वर्ष की दर से ब्याज सहित 2,60,000 रुपये तथा कानूनी कार्यवाही की लागत के लिए 25,000 रुपये का अतिरिक्त भुगतान करने का निर्देश दिया।

केस टाइटलः हरे राम सिंह बनाम भारतीय रिजर्व बैंक एवं अन्य (डब्ल्यू.पी.(सी) 13497/2022)

आदेश पढ़ने/डाउनलोड करने के लिए यहां क्लिक करें