金融監督管理委員會(下稱金管會)通過對國泰世華商業銀行(下稱國泰銀行)違反法令之裁罰處分案。國泰銀行近期發生數起資訊系統異常事件，影響客戶使用金融服務之穩定性，相關缺失顯示該行對資訊系統之控管機制欠佳，且欠缺妥適之緊急應變處理機制，核有未妥適建立內部控制制度及未確實執行之情事，違反銀行法第45條之1第1項規定及有礙健全經營之虞，爰金管會依銀行法核處該行新臺幣(下同)200萬元罰鍰，並為其他必要之處置。 
一、    受裁罰之對象：國泰銀行
二、    裁罰之法令依據：銀行法第61條之1第1項及第129條第7款
三、    違反事實理由：
(一)    國泰銀行於110年10月17日進行EFT系統及資料庫升級作業後，次日發生系統異常，影響網路銀行跨行轉帳交易、自動化服務設備(ATM)存提款、轉帳交易逾時，造成部分交易扣帳未吐鈔、扣帳未入帳、存款未入帳等情況；110年10月19日上午再次發生相同之交易異常情事，累計受影響之帳戶數為32,452戶。嗣後該行為配合新功能上線而進行EFT系統改版，於111年2月22日上線時再度於當日發生相同之交易異常情事，受影響之帳戶數2,015戶；嗣復於111年3月15日因EFT系統磁碟機陣列資料讀寫出現異常，導致部分交易因處理逾時而失敗，受影響帳戶數732戶。
(二)    經核該行有下列事項違反銀行法第45條之1第1項及有礙健全經營之虞：
1、    未妥適建立內部控制制度：
(1)    未妥適建立重要資訊系統轉換之事前準備工作及事後事件管理作業：該行 EFT系統升級，壓力測試未考量交易峰期外部環境之影響，亦未充分評估參數設定之合理性。另未將分行及客服中心等對外溝通單位納入緊急應變計畫及教育訓練與演練。
(2)    未確實建立通報主管機關之程序：該行通報主管機關之程序未具即時性；修訂之資訊事故通報主管機關之程序，需補強通報主管機關之時限。
2、    未確實執行內部控制制度：該行就資訊服務變更作業，規定審查上線前準備工作與上線步驟是否完備，惟該行未確實執行。
四、    裁罰結果：
(一)    罰鍰部分：違反銀行法第45條之1第1項，依銀行法第129條第7款規定核處200萬元罰鍰。 
(二)    其他必要之處置：考量本案EFT系統發生多次缺失造成該行ATM功能異常，且該行ATM臺數為金融機構排名第二，發生相關異常對客戶影響重大，有礙健全經營之虞。為保障客戶權益，爰依銀行法第61條之1第1項第9款規定，於本案改善情形經本會認可前，就前經本會核准該行於111年增設之營業場所外ATM，除於金融服務欠缺地區及無障礙ATM外，其餘暫停設置。
(三)    其他監理要求事項：
1、    請該行就所提改善措施，應經獨立第三人查核並提報董事會報告，並由稽核單位列管追蹤及納入內部查核重點。
2、    請該行未來重要系統轉換、架構重大調整或跨版本升級前，應建立仿真測試環境，針對測試及營運環境之系統資源差異處，強化相關參數比對、測試驗證及程序演練等，以提升模擬驗證之仿真程度。另應請資安專責單位參與轉換前關鍵準備工作，如：架構審查、上線變更審查及風險評估、上線協調會議等具資安控制性之事項，並由資安長發揮統籌資安政策推動與資源調度之工作。
3、    請該行全面檢討本案違規行為所涉業務(含資訊)等相關單位之經理人及職員責任，並研議對委外廠商追償之必要性。
4、    依「銀行資本適足性及資本等級管理辦法」第18條第3項規定，就第二支柱監理審查要求該行增加作業風險之相關資本計提。
金管會表示，金融業是一個高度利用資訊科技的產業，為提供客戶更完善之金融服務，金管會鼓勵金融業進行科技創新與數位轉型，以因應數位化服務之發展趨勢。鑒於資訊系統之升級改版有其複雜性及不確定性，或可能發生異常，惟系統更新過程中，金融機構仍應注意於事前審慎評估對業務營運及客戶交易之可能影響程度，妥適規劃資訊、資安、業務及客服等跨部門聯繫及演練等準備工作，強化資訊系統之穩定性及安全性，暨發生資訊系統異常情形之應變處理機制，將人為因素降到最低，以避免因作業疏失導致資訊系統異常，而影響客戶使用金融服務之權益。


聯絡單位：銀行局金融控股公司組  
聯絡電話：(02)8968-9859
如有任何疑問，請來信：本會民意信箱