با گذار بانکداری از مدل‌های سنتی به بانکداری دیجیتال، «داده» به مهم‌ترین دارایی بانک‌ها تبدیل شده است. وقوع حملات سایبری نه به عنوان یک استثنا، بلکه به عنوان یکی از مخاطرات ذاتیِ عملیات بانکی نوین، چالش‌های بنیادینی را برای نظام مسئولیت مدنی ایجاد کرده است.

۱. تحول ماهیتِ ریسک در بانکداری دیجیتال

نظام حقوق بانکی کلاسیک بر پایه «رابطه فیزیکیِ» بانک و مشتری استوار بود. در آن نظام، امنیت با حصارهای فیزیکی تأمین می‌شد. امروز، بانکداری در فضای سایبر، امنیت را به مفاهیم انتزاعیِ «پروتکل‌های رمزنگاری» گره زده است. وقتی این حصارهای انتزاعی در برابر حملات سایبری فرو می‌ریزد، این پرسش حقوقی مطرح است: آیا باید مشتری را وادار به اثباتِ «تقصیرِ» بانک کرد، یا مسئولیتِ بانک را مفروض دانست؟

۲. نقدِ الگوی سنتیِ «تعهد به وسیله»

رویکرد سنتی، بانک را در قبال خدمات الکترونیک، دارای «تعهد به وسیله» می‌داند. در این دیدگاه، اگر بانک ثابت کند که استانداردهای امنیتی بانک مرکزی را رعایت کرده، مسئولیتی ندارد. اما این رویکرد در برابر «حملات پیشرفته سایبری» ناکارآمد است.

در عصر کنونی، رعایتِ استانداردهای ایستا کافی نیست و بانکداریِ دیجیتال باید «تعهد به نتیجه»، تضمینِ امنیتِ تراکنش تلقی شود؛ چرا که بانک در مقامِ «انتفاعِ حرفه‌ای»، ریسکِ پلتفرمِ خود را می‌پذیرد و مشتری نه تخصصی برای نظارت بر امنیتِ سامانه دارد و نه ابزاری برای کشفِ قصورِ پنهانِ بانک.

۳. نظریه «مسئولیتِ سازمانی» در حوادث سایبری

در حقوقِ نوین مالی، هرگونه اختلال در خدمات الکترونیک ناشی از حمله سایبری، در زمره «ریسک‌های نظام‌مندِ عملیاتی» قرار می‌گیرد.

اماره تقصیر: اگر تراکنش غیرمعمولی از حساب مشتری خارج شود و بانک نتواند سازوکارِ دفاعیِ خود را در لحظه اعمال کند، این «سکوتِ سامانه» خود اماره‌ای بر «تقصیرِ سیستمی» است.

ابطال شرط عدم مسئولیت: بانک‌ها در توافق‌نامه‌های کاربری سعی می‌کنند با درج شروط سلب مسئولیت، حملات سایبری را فورس‌ماژور اعلام کنند. از منظر حقوقِ مصرف‌کننده، این شروط در صورتی که باعث «عدم توازنِ فاحشِ قراردادی» شود و مشتری را در برابرِ مخاطراتی که تحت کنترلِ بانک است بی‌دفاع بگذارد، به دلیلِ مخالفت با نظم عمومی و اصولِ حسن نیت، فاقد اعتبار حقوقی است.

۴. گذار به سوی «مسئولیتِ مبتنی بر خطر»

با توجه به اینکه بانک‌ها ذی‌نفعانِ اصلیِ کاهشِ هزینه‌ها از طریق دیجیتالی‌سازی هستند، منطقی است که «بارِ مالیِ ناامنی» نیز بر عهده آنان باشد. این استدلال بر دو پایه استوار است:

۵. پیشنهادات برای تقنین و رویه قضایی

۵-۱. تغییر نگاهِ رویه قضایی: قضات محترم از «اثباتِ تقصیرِ بانک» به سمت «توزیعِ عادلانهِ ریسک» حرکت کنند. اگر وقوع حمله سایبری در پلتفرم بانک محرز شود، بارِ اثباتِ «رعایتِ تمامیِ استانداردهای امنیتی» باید بر عهده بانک باشد (وارونگیِ بارِ دلیل).

۵-۲. تدوین قانونِ حفاظت از داده‌های مالی: خلاءِ موجود در قانون‌گذاریِ خاص برای «گزارش‌دهیِ حوادثِ امنیتی» باید با وضع مقرراتی، بانک را ملزم کند تا کوچک‌ترین نقض امنیتی را به نهاد ناظر گزارش دهد.

۵-۳. بیمه اجباری سایبری: الزام بانک‌ها به داشتنِ پوشش‌های بیمه‌ایِ جامع برای خساراتِ وارده به سپرده‌گذاران در نتیجه‌ حملات سایبری، به عنوانِ یک استانداردِ نظارتی.

نتیجه‌گیری

مسئولیت حقوقی بانک در عصر دیجیتال، دیگر بحثی پیرامون «خطای انسانی» نیست؛ بلکه بحثی درباره‌ی «تضمینِ سلامتِ زیرساخت» است. اگر بانک‌ها نخواهند یا نتوانند مسئولیتِ مطلقِ ایمنیِ درگاه‌های خود را بپذیرند، اعتماد عمومی به نظام پولی که پایه و اساسِ اقتصاد است، فروریخته و بانکداری دیجیتال به جای تسهیل‌گر، به عاملِ فروپاشیِ امنیتِ مالیِ آحاد جامعه بدل خواهد شد. نگاهِ حقوقی باید از «انتساب تقصیر» به «جبران خسارت» تغییر مسیر دهد.