दिल्ली हाईकोर्ट ने स्पष्ट किया है कि ऑनलाइन वित्तीय धोखाधड़ी में ग्राहक की लापरवाही को केवल उन मामलों तक सीमित नहीं रखा जा सकता जहां वह सक्रिय रूप से अपनी लॉगिन क्रेडेंशियल या वन-टाइम पासवर्ड (ओटीपी) साझा करता है। चीफ जस्टिस देवेंद्र कुमार उपाध्याय और जस्टिस तेजस कारिया की डिवीजन बेंच ने निर्णय दिया कि अज्ञात स्रोतों से प्राप्त असत्यापित लिंक या एप्लिकेशन पर क्लिक करना डिवाइस की सुरक्षा से समझौता कर सकता है और इसे भारतीय रिजर्व बैंक (आरबीआई) के दिशानिर्देशों के तहत ग्राहक की लापरवाही माना जा सकता है।
इस फैसले के साथ ही बेंच ने सिंगल जज के उस आदेश को खारिज कर दिया, जिसमें स्टेट बैंक ऑफ इंडिया (एसबीआई) को साइबर धोखाधड़ी के पीड़ित को पूरी सिफन की गई राशि (2,60,000 रुपये) वापस करने का निर्देश दिया गया था। कोर्ट ने रेखांकित किया कि तकनीकी और फोरेंसिक जांच की आवश्यकता वाले विवादित मुद्दों को रिट क्षेत्राधिकार के तहत अंतिम रूप से तय नहीं किया जा सकता है।
मामले की पृष्ठभूमि
यह विवाद 18 अप्रैल, 2021 को हुई एक घटना से शुरू हुआ था। इस मामले के प्रतिवादी संख्या 1, हरे राम सिंह, ग्रेटर नोएडा के जीएनआईओटी (GNIOT) में कंप्यूटर साइंस के प्रोफेसर हैं और एसबीआई में उनका बचत खाता है। शाम करीब 5:15 बजे सिंह को एक एसएमएस मिला जिसमें चेतावनी दी गई थी कि यदि उन्होंने दिए गए लिंक पर क्लिक नहीं किया तो उनकी खाता सेवाएं ब्लॉक कर दी जाएंगी। सेवाओं में किसी भी तरह की बाधा से बचने के लिए उन्होंने उस लिंक पर क्लिक कर दिया।
लिंक पर क्लिक करने के पांच मिनट के भीतर सिंह को एक एसएमएस मिला कि उनके खाते से 1,00,000 रुपये निकाल लिए गए हैं और उन्हें आईडीएफसी बैंक के खाते में ट्रांसफर कर दिया गया है। उन्होंने तुरंत अपना खाता ब्लॉक कराने के लिए एसबीआई के कस्टमर केयर से संपर्क किया। लेकिन जब वह कस्टमर केयर प्रतिनिधि से फोन पर बात कर ही रहे थे, तभी 1,60,000 रुपये का दूसरा डेबिट ट्रांजैक्शन हो गया और यह राशि वन 97 कम्युनिकेशंस लिमिटेड (पेटीएम) के मर्चेंट खाते में ट्रांसफर कर दी गई।
सिंह ने इसके बाद ऑनलाइन साइबर क्राइम पोर्टल पर शिकायत दर्ज कराई, बिहार के हाजीपुर पुलिस स्टेशन में प्राथमिकी दर्ज कराई और 26 अप्रैल, 2021 को आरबीआई के बैंकिंग लोकपाल (BO-RBI) से शिकायत की।
आंतरिक जांच के बाद एसबीआई के सक्षम प्राधिकारी ने 14 जुलाई, 2021 को सिंह के दावे को खारिज कर दिया। बैंक का कहना था कि ये लेन-देन इंटरनेट बैंकिंग (आईएनबी) क्रेडेंशियल के माध्यम से किए गए थे और सिंह के पंजीकृत मोबाइल नंबर पर भेजे गए ओटीपी के जरिए टू-फैक्टर ऑथेंटिकेशन (2FA) से सुरक्षित थे।
बैंकिंग लोकपाल ने 20 अक्टूबर, 2021 को अपनी टिप्पणी में कहा कि सिंह विशिंग (Vishing) घोटाले के शिकार हुए थे और उन्होंने एक अज्ञात लिंक पर क्लिक किया था। लोकपाल ने माना कि पेटीएम को किया गया 1,60,000 रुपये का ट्रांजैक्शन बैंकिंग लोकपाल योजना, 2006 के दायरे से बाहर था। हालांकि, चूंकि एसबीआई पहले ट्रांजैक्शन (1,00,000 रुपये) के लिए आईडीएफसी बैंक के साथ चार्जबैक प्रक्रिया शुरू करने में विफल रहा था, इसलिए लोकपाल ने एसबीआई को निर्देश दिया कि वह सिंह को इस विवादित राशि का एक-तिहाई (33,340 रुपये) का भुगतान करे। एसबीआई ने इसका पालन करते हुए 6 अक्टूबर, 2021 को यह राशि क्रेडिट कर दी।
इसके बाद सिंह ने रिट याचिका के जरिए हाईकोर्ट का दरवाजा खटखटाया। 18 नवंबर, 2024 को एक सिंगल जज ने इस याचिका को स्वीकार कर लिया और लोकपाल के आदेश को रद्द करते हुए एसबीआई को शेष 2,60,000 रुपये की राशि 9% वार्षिक ब्याज के साथ वापस करने का निर्देश दिया। सिंगल जज का तर्क था कि चूंकि सिंह ने ओटीपी साझा करने से इनकार किया था, इसलिए 2FA सुरक्षा प्रणाली ही खुद भंग हुई थी, जो 2017 के आरबीआई सर्कुलर के “शून्य देनदारी” (Zero Liability) क्लॉज के तहत बैंक की सेवा में कमी को दर्शाता है। एसबीआई ने इस फैसले को डिवीजन बेंच के समक्ष चुनौती दी थी।
पक्षों की दलीलें
अपीलकर्ता (एसबीआई) की ओर से दी गई दलीलें
वरिष्ठ अधिवक्ता हरिन पी. रावल के माध्यम से एसबीआई ने दलील दी कि यह लेन-देन पूरी तरह से सुरक्षित टू-फैक्टर ऑथेंटिकेशन (2FA) के तहत ग्राहक की विशिष्ट यूजर आईडी, पासवर्ड और सिस्टम-जनरेटेड ओटीपी का उपयोग करके पूरा किया गया था। बैंक ने तर्क दिया कि यह धोखाधड़ी पूरी तरह से सिंह की लापरवाही के कारण हुई, जिन्होंने एक दुर्भावनापूर्ण लिंक पर क्लिक किया, जिससे उनका मोबाइल डिवाइस हैक हो गया और साइबर अपराधियों को ओटीपी तक पहुंच मिल गई।
एसबीआई ने प्रस्तुत किया कि यह मामला 2017 के आरबीआई सर्कुलर के क्लॉज 7(b)(i) के दायरे में आता है, जिसमें कहा गया है कि जहां नुकसान ग्राहक की लापरवाही के कारण होता है, वहां पूरा नुकसान ग्राहक को ही उठाना होगा। बैंक ने यह भी तर्क दिया कि सिंह ने लोकपाल द्वारा तय किए गए 33,340 रुपये के निपटान को बिना किसी विरोध के स्वीकार कर लिया था, जिससे आगे के दावों के खिलाफ कानूनी रुकावट (Estoppel) पैदा होती है। अंत में, एसबीआई ने कहा कि सिंह के पास सूचना प्रौद्योगिकी अधिनियम, 2000 के तहत एक वैकल्पिक वैधानिक उपाय मौजूद था और रिट कोर्ट साइबर धोखाधड़ी के जटिल तकनीकी और फोरेंसिक सवालों को तय करने का सही मंच नहीं है।
प्रतिवादी संख्या 1 (हरे राम सिंह) की ओर से दी गई दलीलें
सिंह के वकील ने तर्क दिया कि उन्होंने पूरी तत्परता से काम किया और तुरंत कस्टमर केयर से संपर्क किया था। उन्होंने दावा किया कि उन्होंने कभी किसी के साथ ओटीपी साझा नहीं किया। सिंह के वकील ने दलील दी कि आधुनिक साइबर अपराधों में ऐसे परिष्कृत मैलवेयर का उपयोग किया जाता है जो उपयोगकर्ता की स्वैच्छिक जानकारी के बिना भी डेटा चुराने में सक्षम हैं।
सिंह ने तर्क दिया कि चूंकि बैंकों के पास बेहतर तकनीकी बुनियादी ढांचा है, इसलिए उन्हें तकनीकी कमजोरियों का जोखिम उठाना चाहिए, न कि इसका बोझ मासूम ग्राहकों पर डालना चाहिए। उन्होंने कहा कि लोकपाल द्वारा आदेशित आंशिक मुआवजे को स्वीकार करने से उनका पूर्ण नुकसान वापस पाने का कानूनी अधिकार समाप्त नहीं होता है। अपने दावों के समर्थन में उन्होंने केरल हाईकोर्ट के फैसले टोनी एंटरप्राइजेज बनाम आरबीआई और हाउस ऑफ लॉर्ड्स के फैसले लंदन ज्वाइंट स्टॉक बैंक लिमिटेड बनाम मैकमिलन एंड आर्थर पर भरोसा जताया।
प्रतिवादी संख्या 2 (आरबीआई) की ओर से दी गई दलीलें
आरबीआई ने बैंकिंग लोकपाल के आदेश के निष्कर्षों का समर्थन किया और कहा कि सिंह एक अज्ञात लिंक पर क्लिक करने के बाद धोखाधड़ी का शिकार हुए थे और उनकी ओर से लापरवाही की संभावना से इनकार नहीं किया जा सकता है। आरबीआई ने पुष्टि की कि पेटीएम उस समय बैंकिंग लोकपाल योजना, 2006 के दायरे में नहीं था, यही वजह है कि शिकायत के उस हिस्से को बंद कर दिया गया था।
हाईकोर्ट का विश्लेषण और निष्कर्ष
डिवीजन बेंच ने इस बात पर ध्यान केंद्रित किया कि क्या सिंगल जज सिर्फ इस आधार पर 2017 के आरबीआई सर्कुलर के “शून्य देनदारी” ढांचे को लागू करने में सही थे कि ग्राहक ने ओटीपी साझा करने से इनकार किया था।
सबसे पहले, बेंच ने डिजिटल लेनदेन में ग्राहक की लापरवाही के दायरे को स्पष्ट किया। जस्टिस तेजस कारिया ने निर्णय लिखते हुए टिप्पणी की:
“डिजिटल बैंकिंग धोखाधड़ी से जुड़े मामलों में, ग्राहक की लापरवाही को केवल ओटीपी या पासवर्ड के स्पष्ट प्रकटीकरण (साझा करने) तक ही सीमित नहीं रखा जा सकता है। ऐसे क्रेडेंशियल्स से समझौता तब भी हो सकता है जब कोई ग्राहक संदिग्ध लिंक या अज्ञात एप्लिकेशन के साथ इंटरैक्ट करता है, जिससे बैंकिंग क्रेडेंशियल्स का दुरुपयोग होने का खतरा बढ़ जाता है।”
कोर्ट ने 2017 के आरबीआई सर्कुलर के क्लॉज 7(i) का बारीकी से विश्लेषण किया, जो ग्राहक की सीमित देनदारी को नियंत्रित करता है। कोर्ट ने नोट किया कि सिंगल जज ने लापरवाही को केवल क्रेडेंशियल साझा करने तक सीमित करके इस क्लॉज की बहुत संकीर्ण व्याख्या की थी। बेंच ने स्पष्ट किया:
“2017 के आरबीआई सर्कुलर के क्लॉज 7(i) में आने वाला वाक्यांश ‘जैसे कि जहां उसने भुगतान क्रेडेंशियल्स साझा किए हैं’ स्पष्ट रूप से केवल उदाहरण के तौर पर है और संपूर्ण नहीं है; यह ग्राहक की लापरवाही को केवल भुगतान क्रेडेंशियल्स के स्पष्ट प्रकटीकरण तक सीमित नहीं करता है। डिजिटल बैंकिंग और साइबर धोखाधड़ी के संदर्भ में, लापरवाही समान रूप से तब भी उत्पन्न हो सकती है जब एक ग्राहक, बार-बार दी जाने वाली सलाह और सुरक्षा चेतावनियों के बावजूद, संदिग्ध या अज्ञात लिंक को एक्सेस करता है, जिससे बैंकिंग क्रेडेंशियल्स की सुरक्षा से समझौता हो जाता है।”
कोर्ट ने पाया कि सिंह ने अनधिकृत डेबिट होने से ठीक पहले एक संदिग्ध लिंक पर क्लिक करने की बात स्वीकार की थी, और लेनदेन उनके विशिष्ट आईएनबी यूजर आईडी और पासवर्ड का उपयोग करके सफल लॉगिन के बाद ही पूरा किया गया था।
इसके अलावा, बेंच ने जटिल साइबर अपराधों से जुड़े मामलों में संविधान के अनुच्छेद 226 के तहत रिट क्षेत्राधिकार के प्रयोग की सीमाओं पर जोर दिया। कोर्ट ने माना कि सुरक्षा प्रोटोकॉल को कैसे बायपास किया गया, यह निर्धारित करने के लिए तथ्यात्मक, तकनीकी और फोरेंसिक जांच की आवश्यकता होती है। कोर्ट ने टिप्पणी की:
“विद्वान सिंगल जज द्वारा विचार किए गए मुद्दे, विशेष रूप से कि क्या बैंक खाते से जुड़े आईएनबी प्रोफाइल का यूजर आईडी और पासवर्ड या ओटीपी किसी अज्ञात स्रोत से प्राप्त संदिग्ध लिंक पर क्लिक करने के बाद समझौता (कॉम्प्रोमाइज) हुए थे; क्या लापरवाही प्रतिवादी संख्या 1 के कारण हुई थी; क्या साइबर जालसाजों द्वारा तैनात मैलवेयर द्वारा 2एफए या ओटीपी सत्यापन जैसे सुरक्षा प्रोटोकॉल का उल्लंघन किया गया था; और क्या अपीलकर्ता-बैंक का सुरक्षा तंत्र जालसाजों द्वारा कथित रूप से उपयोग किए गए एक अलग इंटरनेट प्रोटोकॉल एड्रेस से असामान्य लॉगिन गतिविधि का पता लगाने में विफल रहा, ये ऐसे मामले हैं जिनके लिए आवश्यक रूप से तकनीकी और फोरेंसिक जांच और साक्ष्यों पर निर्णय की आवश्यकता होती है और रिट क्षेत्राधिकार के प्रयोग में इन्हें अंतिम रूप से तय नहीं किया जा सकता था।”
टोनी एंटरप्राइजेज बनाम आरबीआई के अदालती मिसाल पर बात करते हुए बेंच ने इसे मौजूदा मामले से अलग बताया। टोनी एंटरप्राइजेज में पुलिस जांच ने सक्रिय सिम-स्वैपिंग और पहचान की चोरी की पुष्टि की थी, जिससे बैंक के बाहरी सुरक्षा तंत्र में सेंधमारी का स्पष्ट प्रमाण मिला था। इसके विपरीत, सिंह के मामले में ऐसा कोई खोजी निष्कर्ष नहीं था जो साबित कर सके कि एसबीआई के सिस्टम से कोई समझौता हुआ था।
निर्णय
डिवीजन बेंच ने निष्कर्ष निकाला कि सिंगल जज एसबीआई की ओर से सेवा में कमी मान लेने या ग्राहक को लापरवाही से पूरी तरह मुक्त करने में न्यायसंगत नहीं थे। नतीजतन, दिल्ली हाईकोर्ट ने स्टेट बैंक ऑफ इंडिया द्वारा दायर अपील को स्वीकार कर लिया और 18 नवंबर, 2024 के विवादित फैसले को रद्द कर दिया।
मामले का विवरण
मामले का शीर्षक: स्टेट बैंक ऑफ इंडिया बनाम हरे राम सिंह और अन्य
वाद संख्या: एलपीए 52/2025 और सीएम एपीपीएल. 4159/2025
पीठ: चीफ जस्टिस देवेंद्र कुमार उपाध्याय और जस्टिस तेजस कारिया
निर्णय की तिथि: 29 मई, 2026
