國泰金 (2882-TW) 旗下國泰世華銀行 ATM、網銀等屢次當機,金管會今 (29) 日出重手重罰國泰世華銀行 1200 萬元罰鍰,主要是短期內頻繁發生系統異常,因此開罰罰度為最高,並命該行調降總經理李偉正每月月薪 30%,為期 3 個月。
近年因為 ATM 出包受罰除了此案,還包括今 (2022) 年 4 月,國泰世華銀行已挨罰 200 萬元,2019 年還有財金公司因主機系統異常造成全台 ATM 大當機,當時遭罰 150 萬元。
銀行局副局長林志吉表示,國泰世華銀行內湖資訊中心於今年 10 月 8 日上午因大樓業主進行 2 台老舊高壓變壓器更換工程,過程中發電機出現過熱情形,發電機廠商緊急評估後關閉機房空調以卸載發電機負荷,但仍導致部分伺服器因過熱而自動關機,造成該行於 10:57~15:25 間 ATM、網路銀行及信用卡收單服務無法正常運作。
林志吉補充,10 月 8 日因為 Costco 收單當機,受影響交易超過 1.7 萬筆,整體受影響客戶數高達 1.8 萬戶,而 ATM 受影響 200 多筆,整體光是補償多利金、賠償客戶等,補償金額就達 1118 萬元。
此外,國泰世華銀行 11 月 29 日及 30 日自行監控又發現 CUBE App 有登入緩慢情形,經研判後於 12 月 1 日凌晨 4:30 擴充網路銀行及行動銀行中台服務系統前端的「商業邏輯層」資源,惟造成後端「通訊層」交易資訊累積,而於同日 09:30~16:02 發生網路銀行及行動銀行交易緩慢。
針對短短兩個月,國泰世華銀行就頻繁當機,林志吉表示,依「金融機構資通安全防護基準」規定,銀行營運環境實體安全應符合要求,包括應有足夠營運使用的電力,且應設置環境監控機制管理電力等。
但是國泰世華銀行的「機電設備維護管理要點」僅規範設備用電場所,應每半年各實施一次機電設備的送電安全檢驗,並未規定對資訊系統基礎設施定期維運測試,也沒考量足以涵蓋各種嚴重情境,以致在面臨本次施工情境,發生系統過熱狀況,顯見該行對資訊系統基礎設施定期維運測試的內部規範要求不足。
林志吉進一步指出,國泰世華銀行未完善建立對中台服務系統的管理規範,致發生對該系統架構與運作掌控不足;擴充資源前未完整評估,對中台服務系統各模組所需資源未同步配合調整;且判斷問題所蒐集的資料不夠,造成後續判斷不佳。
林志吉表示,國泰世華銀明知高壓變壓器施作工時長達 13 小時,卻未妥適安排施工發生事故時的緊急應變方案,以致無替代電力來源可供應變,進而影響相關金融服務及客戶權益。
林志吉強調,銀行總經理依銀行法及相關子法規定,應負責綜理全行業務,督導整合各部門資源,以確保營運不中斷。但國泰世華銀行在短期內頻繁發生系統異常事件,且嚴重影響客戶使用金融服務,顯示該行對系統管理的內部控制制度欠佳,總經理核有未善盡督導責任的狀況。
因此,核處國泰世華銀行違反銀行法第 45 條之 1 第 1 項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第 3 條、第 8 條規定,並有礙健全經營之虞,依銀行法第 129 條第 7 款規定核處 1200 萬元罰鍰,併依同法第 61 條之 1 第 1 項規定予以糾正,及依同條項第 9 款規定,命國泰世華銀行調降總經理李偉正每月月薪 30%,為期 3 個月。
林志吉強調,請國泰世華銀行未來應加強資訊系統基礎設施定期維運測試的深度及廣度,以避免在嚴重情境下再度發生相同事件。
至於金管會之前點名國泰世華銀應該把檢討層級拉高到董事會,林志吉表示,除了要就所提改善措施,還要經獨立第三人查核並提報董事會報告,並由稽核單位列管追蹤及納入內部查核重點。
此外,依「銀行資本適足性及資本等級管理辦法」第 18 條第 3 項規定,就第二支柱監理審查要求國泰世華銀增加作業風險的相關資本計提。並全面檢討本案所涉當責人員責任,並研議對委外廠商追償。
林志吉表示,國泰世華銀也要加強消費者保護措施,包括在第一時間應即時對外充分說明,加強客服對客戶的說明,並提供客戶多元協處管道。
金管會表示,一向鼓勵金融業利用資訊科技提供客戶金融服務,且為避免金融業過度保守而未能積極更換系統或持續創新,故對於金融業在進行科技創新與數位轉型過程中的缺失有容錯空間。
然而國泰世華銀行客戶數眾多,在金融市場上具有系統性的重要地位,該行在短時間內頻繁發生資訊系統及基礎設施異常事件,致多次金融服務中斷,已嚴重影響客戶使用金融服務的穩定性及安全性,已屬銀行內部控制制度面的重大缺失,故對該行進行裁罰。金管會希望銀行確實加強資訊系統及相關基礎設施的維運及控管,以保障客戶使用金融服務的權益,及確保民眾對銀行的信賴。