导读：最近，“支付宝可绕过密码登录进入帐号”的消息引发了网友讨论和关注。本期法信小编整理了最新利用网上支付系统漏洞获取不正当利益的典型案例，搜集了不同案例的不同犯罪情形，提炼裁判规则，供读者参考。
1.利用支付服务公司系统漏洞，以明确禁止的信用卡转账还信用卡方式套取商业银行资金，构成盗窃罪——李某盗窃案
案例要旨：

利用支付服务公司的系统技术漏洞，以该公司明确禁止的信用卡转账还信用卡的方式套取商业银行特别巨大资金用于个人存款、偿还债务和个人消费，且发卡行并未催收，行为人的犯罪对象也非信用卡限额，对该行为应定盗窃罪而非信用卡诈骗罪。
法官观点：
1.李某的行为不构成不当得利

根据民法通则相关规定，不当得利是指没有合法根据，取得不当利益，造成他人损失的行为。行为人应当将取得的不当利益返还受损失的人。取得利益的人称受益人，遭受损害的人称受害人。不当得利的一个重要条件是，不当得利的取得，不是由于受益人针对受害人而为的违法行为，而是由于受害人或第三人的疏忽、误解或过错所造成的。行为人并未通过积极的行为去实现利益，其获得利益是其意志以外的原因意外得到。

本案中李某能成功套取商业银行资金同时具备了两个条件，第一是第三人即支付服务公司技术上存在的漏洞即第三人的疏忽，第二是李某积极的套取行为，即李某明知支付服务公司禁止用信用卡还信用卡，但仍积极为之并还款成功，进而将商业银行资金成功转移至其银行卡，其行为不符合不当得利的意志以外原因得利这一条件。李某有意为之的套取行为远比不当得利的社会危害性大。
2.李某行为不符合信用诈骗罪的构成要件

根据刑法中关于信用卡诈骗罪的规定，李某的行为可能属于该条规定的“恶意透支”情形。但最高人民检察院、公安部《关于公安机关管辖的刑事案件立案追诉标准的规定（二）》以及最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》均明确规定，持卡人以非法占有为目的，超过规定限额或者期限透支，并且经发卡银行两次催收后超过3个月仍不归还的，才应认定为是刑法规定的“恶意透支”。

本案中的客观证据显示，作为发卡行的商业银行并没有在李某超过规定限额或期限透支后两次催收，进而也不存在李某经发卡行催收后“超过3个月仍不归还”的情形。故李某对涉案信用卡的透支并非刑法规定的“恶意透支”行为。
3.李某的行为符合盗窃罪的构成要件
（1）李某使用了秘密窃取的行为方式

我国刑法通说认为，盗窃需要秘密窃取，秘密窃取包括两种情形，一是被害人客观上没有发觉，同时行为人也自认为被害人未发觉；二是被害人客观上已经发觉，而行为人自认为被害人未发觉。

本案中李某套取商业银行资金的行为之所以得逞，主要利用了支付服务公司支付系统技术上存在的漏洞，绕开了商业银行对最高透支额度的控制。整个过程，李某并没有得到商业银行和支付服务公司的允许和授权。因为技术上的漏洞具有一定的隐蔽性，商业银行和支付服务公司是在案发后通过电子对账单、邮件等记录才知道李某的套取资金行为，案发时商业银行和支付服务公司均不知情。

从李某在发现可以用信用卡还信用卡和可超出信用卡的限额还信用卡后，积极注册600余个虚拟信用卡账号，进而以逐步蚕食的方式秘密转移商业银行资金6038万元等一系列行为可反映出李某主观上自认为商业银行和支付服务公司均未发觉其行为。综上，李某的行为符合秘密窃取的条件。
（2）李某的行为使商业银行对其巨额资金的支配权转移至李某手上

盗窃罪的另一构成要件是财物现实支配权的转移，即排除他人（主要是被害人或管理人员）对财物的支配，建立由被告人为主（可转由其他人）的新的支配关系的过程。本案中，虽然支付服务公司系统存在漏洞，但在李某实施犯罪之前，银行资金仍处于商业银行管控中，商业银行并未脱离对其自有资金的支配地位。

在李某利用支付系统的漏洞，积极实施建立600多个虚拟信用卡账号，不断向上述账号“还款”并最终转入李某的其他银行卡的行为后，商业银行对其被转移的资金才脱离了支配，转由李某支配。这好比商业银行将巨额资金存放于某虚拟仓库，商业银行将保管权限交支付服务公司，而商业银行由于支付服务公司疏忽大意未上锁，李某发现后主动进入该仓库将巨额资金取出，最终存入自己的仓库并上锁。李某侵害了商业银行的资金所有权。
（3）李某主观上具有非法占有的目的

在认定财产性犯罪行为人主观上是否具有非法占有目的时，主要可以从行为人以下几个客观方面的行为加以认定：
一是看是否肆意挥霍财物；
二是看是否携款潜逃；
三是看是否用于违法犯罪行为；
四是看是否抽逃、转移资金、隐匿财产，逃避返还资金；
五是看是否拒不交代资金去向、逃避返还资金等情形。

本案中，李某通过逐步蚕食的方式套取商业银行巨额资金后，将大部分款项用于偿还债务、购买高档轿车和别墅等肆意挥霍，同时还以自有的方式高利放贷或银行存款，且至今有670余万元未归还，李某非法占有商业银行资金的主观目的较明显。
案号：（2014）赣中刑二初字第2号；（2014）赣刑二终字第41号；（2016）赣刑申35号
来源：人民司法·案例2016.35（总第766期）；人民法院报2016年7月28日；裁判文书网2016年12月31日
2.利用游戏充值平台漏洞，编制特定程序生成虚假支付信息窃取游戏虚拟货币，构成非法获取计算机信息系统数据罪——杨×非法获取计算机信息系统数据罪
案例要旨：

游戏虚拟财产”缺乏现实财物的一般属性，不符合公众认知的一般意义上的公私财物，其法律属性实为计算机信息系统数据。行为人利用游戏充值平台漏洞，自主编写充值平台接口程序，多次生成虚假支付信息，窃取游戏虚拟货币，价值数额巨大，用于其在该游戏中使用或为他人充值，构成非法获取计算机信息系统数据罪。
案号：（2014）朝刑初字第3017号
来源：裁判文书网2015年1月26日
3.利用网游第三方支付系统漏洞，明知银行账户余额不足仍恶意充值，造成支付平台支付款项损失巨大的，构成盗窃罪——丛某盗窃案
案例要旨：

行为人发现网络游戏第三方支付平台存在漏洞，特定银行卡在账户余额不足情况下仍能进行充值操作并获取游戏币，遂利用该漏洞，明知自己储蓄卡余额不足，仍使用该卡为自己及他人的游戏账户多次恶意充值，价值数额巨大，造成第三方平台将所有款项支付给游戏公司，损失巨大，构成盗窃罪。
案号：（2013）徐刑初字第1108号
来源：裁判文书网2014年4月26日
4.利用网络平台漏洞，采用自行设置虚假抽奖手段非法获取被害单位电子数据，并消费变现的，构成盗窃罪——林迷成盗窃案
案例要旨：

行为人利用被害单位网络平台漏洞，采用自行设置虚假抽奖的手段，在被害单位不知情的情况下非法获取对方电子数据，以其个人控制的用户账户使用该电子数据，在被害单位电商平台购买商品消费变现，获取非法利益，实现非法占有目的，数额特别巨大，构成盗窃罪。
案号：（2015）朝刑初字第1909号；（2016）京03刑终191号
来源：裁判文书网2016年3月30日
5.利用支付平台漏洞，用他人支付账户绑定被害人银行卡转走资金，构成信用卡诈骗罪——蔡其松信用卡诈骗案
案例要旨：

行为人利用支付平台漏洞，用他人支付账户绑定被害人的银行账户，通过快捷支付方式在被害人不知情的情况下转走被害人银行账户中的资金，属于以非法占有为目的，冒用他人信用卡，数额较大的，构成信用卡诈骗罪。
案号：（2016）闽0103刑初801号
来源：裁判文书网2016年12月30日