一、 裁罰時間：105年9月12日
二、 受裁罰之對象：第一商業銀行
三、 裁罰之法令依據：銀行法第61條之1第1項第2款、第129條第7款
四、 違反事實理由：
（一） 第一商業銀行於105年7月10日至11日間發生多台ATM遭駭客以植入惡意程式，並啟動該程式直接控制ATM鈔箱吐鈔之方式盜領現金。該行於7月11日清查並陸續發現全行ATM現金短缺之分行共計22家，共41台ATM發生異常，短缺金額合計新臺幣8,327萬餘元。
（二） 依該行所報陳述意見及查核報告，本案所涉金額較鉅，違法情事影響層面大，且該行於ATM監控系統已記錄到「鈔券已用罄」及「結存尚有多張鈔券」同時並存之不合理情形時，未能立即因應處理。另核有未落實ATM之維修及監視錄影資料保存作業、未確實建立ATM異常提領監控機制、對ATM系統安全控管及網路資安防護不足，顯示該行未採行或未落實妥適之ATM異常交易監控機制及對資訊安全之內部控制制度。上開缺失經核違反銀行法第45條之1第1項規定及有礙銀行健全經營之虞。
五、 裁罰結果：
（一） 依銀行法第129條第7款規定，核處新臺幣1,000萬元罰鍰。
（二） 鑑於該行辦理旨揭ATM業務制度面及控管面有多項缺失，有礙該行健全經營之虞，爰併依銀行法第61條之1第1項第2款規定，在缺失原因未查明及改善完成前，暫停該行ATM無卡提款業務。
六、 其他說明：
（一） 金管會已請該行仍應儘速查明本案發生原因及提出因應改善措施，以落實缺失改善，並全面檢討資訊安全機制。
（二） 已請該行監察人檢討辦理該項業務之督導主管及相關人員責任。對於受裁罰案件所涉缺失之承辦人員、主管及法遵人員，確實依金管會檢查局105年8月11日檢局(制)字第1050150280號函之規定，督導其自裁罰處分日起1年內完成主管機關認定機構所開辦之裁罰案例研習或與該受罰業務相關之專業課程訓練。
（三） 為確保金融機構資訊安全，金管會已辦理下列事項：
1. 銀行公會定有「金融機構辦理電子銀行業務安全控管作業基準」等規範，金管會過去亦就國內外發生之資安事件，督促銀行公會及各金融機構採取相關因應作為，故本次發生ATM盜領案後，已請銀行公會檢視該會相關自律規範之周全性及妥適性。
2. 請各金融機構對個案相同機型ATM加強檢測、強化ATM監控機制與應變處理能力，及加強總行與海外分(子)行連線及銀行內網之控管機制。
3. 另金管會將持續督促金融機構強化其資訊安全控管，包含辦理ATM資訊安全之防護演練，及請外部資安團隊針對與客戶相關之ATM及網路銀行系統進行電腦系統資訊安全評估作業。

聯絡單位：銀行局金融控股公司組　
聯絡電話：8968-9850
如有任何疑問，請來信：
http://fscmail.fsc.gov.tw/FSC-SPS/SPSB/SPSB01002.aspx