Eine Belastung von 2021 Franken für Reifen von Ad-Tyres aus Paris. Eliane Schmid ist erstaunt, als sie ihre Kreditkartenabrechnung kontrolliert. Denn: Sie besitzt weder ein Auto noch ein Motorrad.
Falscher Name, falsche Adresse, falsches Land
Das muss ein Missverständnis sein. Deshalb schreibt Eliane Schmid Swisscard, der Kreditkartenherausgeberin, und verlangt den Transaktionsbeleg. Jetzt wird klar: Ein Fremder namens Diego Elsano hat mit ihren Kreditkarten-Angaben eingekauft. Lieferadresse: Via Casalotti in Rom. Eliane Schmid wohnt aber in Bern.
«Ich bin sehr erschrocken, dass es möglich ist, mit meiner Kreditkartennummer, dem Verfalldatum aber mit falschem Namen und falscher Adresse eine Bestellung auszulösen, für die ich bezahlen muss», ärgert sich Schmid.
Reto Koenig, Informatikprofessor an der Berner Fachhochschule, kritisiert die Kreditkartenherausgeberin Swisscard: «Aus meiner Sicht ist das nicht seriös: Ein spanischer Name, eine Adresse in Italien – das sind genug Verdachtsmomente. Hier müsste die Bank nachforschen oder die Transaktion stornieren.»
Kundin soll haften
Eliane Schmid besitzt eine Mastercard von Coop-Supercard, herausgegeben von Swisscard. Bei der Transaktion wurde das Sicherheitssystem 3D-Secure angewendet. Dieses soll Einkäufe im Internet mittels eines mobilen Transaktionsnachweises sicherer machen.
Tatsächlich erhielt Eliane Schmid innert weniger Minuten vier SMS mit verschiedenen M-Tan-Codes auf ihrem Telefon. Doch sie sagt, sie habe diese nie eingegeben.
Kartenherausgeberin Swisscard bestätigt: Hier liegt ein Kartenmissbrauch vor. Aber: Swisscard wirft ihrer geprellten Kundin vor, sie hätte ihre Sorgfaltspflichten verletzt und Kartendetails und das Mobiltelefon nicht sicher verwahrt oder sei auf eine Phishing-Attacke hereingefallen. Zudem habe sie nach Eingang der M-Tan Codes nicht unverzüglich reagiert und den Vorfall gemeldet. Deshalb müsse Eliane Schmid jetzt den gesamten Schaden bezahlen.
Eliane Schmid ist Datenschutz-Expertin, arbeitete während zehn Jahren auf diesem Gebiet und weiss, wie man sich vor Online-Betrügern schützen muss. Sie habe keinen Fehler gemacht, sagt sie. «Die Situation ist absurd! Es liegt ein Betrug vor, mit gefälschtem Namen und Swisscard unterstellt mir, dass mein Mobiltelefon nicht sicher sei, dass man dort M-Tans abfischen kann.»
Kundenfeindliche AGB
Professor Reto Koenig kennt die Schwachstellen von 3D-Secure. Es lasse Betrügern viele Türen offen. Sicherheitsrisiken gebe die Kreditkartenfirma der Kundin weiter: «Weil der Prozess so komplex ist und Institute diesen Prozess nicht komplett kontrollieren können, beginnen sie damit, diese Risiken an die Kunden abzuwälzen. In den AGB steht: Kunde, du bist für alles, was schief geht, verantwortlich, du hast grundsätzlich deine Sorgfaltspflicht verletzt.»
Eliane Schmid ist erschüttert, dass sie von Swisscard derart in Stich gelassen wird: «Sie versuchen, mir die Verantwortung in die Schuhe zu schieben, für ein System, das offensichtlich nicht sicher ist.»
