受文者： 如正、副本
發文日期：中華民國105年9月12日
發文字號：金管銀控字第10560003721號
受處分人姓名或名稱：第一商業銀行股份有限公司
統一號碼：05052322
地址：臺北市中正區重慶南路1段30號
代表人或管理人姓名：蔡○○
身分證統一號碼：略
地址：同上
主旨：貴行自動櫃員機（ATM）遭異常提領所涉缺失事項，違反銀行法第45條之1第1項規定，依同法第129條第7款規定，核處新臺幣1,000萬元罰鍰；另案關缺失有礙貴行健全經營之虞，併依銀行法第61條之1第1項第2款規定，在缺失原因未查明及改善完成前，暫停貴行ATM無卡提款業務。
事實及理由：
貴行下列缺失，核有未採行或未落實妥適之內部控制制度：
一、辦理分行ATM及錄影監視系統之維修保養作業，於機器故障或異常使用時，有漏未將相關原因及處理情形予以登記，且有未查明維修工程師身分、未在場監督或未全程陪同及未留存維修工作單之情形；另分行ATM之錄影監視有錄影監視畫面不連續、無影像且與相關紀錄不符之情形。上該缺失與本會「金融機構安全維護管理辦法」第5條第6款、銀行公會「金融機構自動櫃員機安全防護準則」參、六、(三)、及貴行「業務處理細則-存款篇」第19章第10節及「第一商業銀行自動櫃員機安全防護作業要點」等內部規定不符。
二、貴行雖建置ATM監控系統以監控ATM運作情形，惟未依本會「金融機構安全維護管理辦法」第6條第3款第5目規定，確實指派專人負責監控系統狀態，且未建立非正常程序提領鈔券(如直接驅動鈔匣吐鈔)、現鈔與帳務盤點不符或其他緊急狀況等異常行為之即時監控機制與自動化提醒警示作業，以致於ATM監控系統已記錄到「鈔券已用罄」及「結存尚有多張鈔券」同時並存之不合理情形時，貴行未能立即因應處理。
三、貴行未將ATM管理伺服器以獨立網段區隔，且貴行未對倫敦分行之電話錄音系統先採行妥適之資安防護措施，即將其加入內部網路，導致駭客得以上開電話錄音系統為入侵平台滲入貴行ATM設備。顯示貴行對ATM及網路連線之資安防護不足。上該缺失與銀行公會「金融機構辦理電子銀行業務安全控管作業基準」第11條第2款有關系統應依據網路服務需要區隔出獨立的邏輯網域，且應建置病毒偵測軟體，定期對網路節點及伺服器進行掃毒並應定期更新病毒碼之規定不符。
四、依貴行查核發現有使用者帳號於非營業時間登入ATM監控系統伺服器之情形，惟貴行未能透過日常檢核作業即時發現異常登入情形。另依所報調查發現，駭客係滲入貴行內部網路偽冒派送ATM軟體更新作業，將惡意程式植入ATM設備。惟查貴行未指派專人透過應用系統或作業系統，檢視是否有未經核准之派版作業執行紀錄，相關軟體派送之監控作業尚待強化。上該缺失與銀行公會「金融機構辦理電腦系統資訊安全評估辦法」肆、一、(二)、１有關應檢視網路設備、伺服器之存取紀錄及帳號權限，識別異常紀錄與確認警示機制之規定不符。
法令依據：銀行法第61條之1第1項第2款、第129條第7款規定。
繳款方式：
一、繳款期限：自本處分送達之次日起10日內繳納。
二、請依本會銀行局檢附之繳款單注意事項辦理繳納。
注意事項：
一、受處分人如不服本處分，應於本處分送達之次日起30日內，依訴願法第58條第1項規定，繕具訴願書經由本會（新北市板橋區縣民大道2段7號18樓）向行政院提起訴願。惟依訴願法第93條第1項規定，除法律另有規定外，訴願之提起並不停止本處分之執行，受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者，即依行政執行法第4條第1項但書規定，移送法務部行政執行署各分署辦理行政執行。
正本：第一商業銀行股份有限公司（代表人蔡○○）
副本：第一金融控股股份有限公司（代表人蔡○○）、中央存款保險股份有限公司、金融監督管理委員會檢查局、本會銀行局