Ihnen wurden 1000, 2700 oder sogar 3000 Franken abgeknöpft. Gleich mehrere Meldungen über Kreditkartenbetrug sind in letzter Zeit bei den SRF-Konsumentenmagazinen «Espresso» und «Kassensturz» eingetroffen.
Die Betroffenen haben die betrügerischen Bezüge auf der Abrechnung entdeckt. Meist sind als Empfänger irgendwelche unbekannte oder dubiose Firmennamen im Ausland aufgeführt. Die Betrugsopfer machen es an sich richtig: Sie beanstanden die Beträge fristgerecht bei der Bank, die für ihre Kreditkarte zuständig ist. In mehreren Fällen ist dies die Cembra Money Bank, in einem die Bank Cornèr.
Code eingegeben – Kunde soll es ausbaden
Doch die Banken wollen nichts von einer Rückerstattung wissen. Sie machen gegenüber den betroffenen Kundinnen und Kunden geltend, diese hätten die fraglichen Transaktionen im Rahmen ihres Sicherheitssystems mit der Eingabe eines Codes authentifiziert.
Sie verweisen dabei auf die Regeln der internationalen Kartennetzwerke wie Mastercard oder Visa und auf die entsprechenden Klauseln in ihren allgemeinen Geschäftsbedingungen (AGB), in denen sie sich von einer Haftung in solchen Fällen entbinden. Sprich, der Kunde oder die Kundin trägt die Verantwortung und soll es selbst ausbaden, wenn sie oder er in eine Betrugsfalle tappt.
Die Banken haben die Schraube angezogen
Tatsächlich seien diese sogenannten Risikotransferklauseln in den letzten Jahren generell strenger geworden, sagt Franca Contratto, Rechtsprofessorin und Spezialistin für Finanzmarktrecht an der Universität Luzern. «In der Regel ist vorgesehen, dass eine Kundin vorbehaltlos alle Transaktionen akzeptieren muss, die unter Verwendung eines Legitimationsmittels, wie zum Beispiel einem Passwort, getätigt wurden.»
In der Regel ist vorgesehen, dass eine Kundin vorbehaltlos alle Transaktionen akzeptieren muss, die unter Verwendung eines Legitimationsmittels, wie zum Beispiel einem Passwort, getätigt wurden.
Die Banken schieben also die Verantwortung auf die Betrugsopfer ab, wenn die Zahlung im Rahmen einer Zwei-Faktor-Authentifizierung legitimiert wurde. Auf der anderen Seite müsse man es fairerweise auch anerkennen, dass ein Teil des Risikos im digitalen Zahlungsverkehr für die Banken schlicht nicht beherrschbar sei, so die Finanzrechtsexpertin. Hier sei es am Kunden, vorsichtig zu sein und seine Passwörter gut zu schützen.
Service
Tatsächlich ist zumindest bei einem Teil der Fälle, die an «Espresso» und «Kassensturz» gelangten, Phishing im Spiel. Ein Mastercard-Kunde aber weiss beim besten Willen nicht, wie die Gauner an seine Daten gekommen sind.
Cembra ist doch noch kulant
Dieser Fall bleibt mysteriös. Die zuständige Cembra Money Bank will nichts von einer Sicherheitslücke wissen. Ihre Sicherheitsdispositive seien auf dem neusten Stand, schreibt Cembra auf Anfrage. Bei der Bank Cornèr tönt es ähnlich. Dort beharrt man auch auf der betreffenden Zahlung.
Die Cembra Money Bank hingegen zeigt sich kulant als sich «Espresso» einschaltet. Gegenüber «Espresso» gibt die Bank zu den einzelnen Fällen keine Auskunft, aber laut den Betroffenen wurden ihnen die beanstandeten Beträge dann doch noch zurückerstattet.
