Yuh-Kunde Chiliano Lelii bekam ein automatisches Mail der Finanzplattform Yuh, als er im Sommer 2024 mit seiner Familie in Süditalien in den Ferien war. Es habe sich ein fremdes Gerät bei seinem Konto angemeldet, und er solle doch sein Passwort ändern und den Kundendienst anrufen. Nur: Als er das Mail sah, war der Kundendienst nicht mehr erreichbar und sein Kontozugang blockiert.
Als der den Kundendienst erreichte, erfuhr er, dass Betrüger innert kurzer Zeit sein Konto geplündert hatten: rund 35'000 Franken in acht Tranchen von 5000 bis 9000 Franken. Besonders auffällig: Das Geld wurde zuerst innerhalb der Bank auf neu eröffnete Konten verschoben und danach per Debitkarten auf Kryptoplattformen einbezahlt.
Yuh war in dieser Zeit von einer Phishing-Welle betroffen. Die Polizei warnte vor entsprechenden Mails. Chiliano Lelii ist ratlos: «Ich kenne das Thema. Ich kann mir nicht erklären, wie die Betrüger da reinkamen.» Das Finanz-App Yuh und die dahinterstehende Bank Swissquote blieben hart: Die Betrüger hätten die korrekten Logindaten verwendet. Daraus schliesst Swissquote, dass der Kunde selbst die Daten weitergegeben haben muss. Die Bank schreibt: «Die Merkmale der Zahlungen, sowie das korrekt erfolgte Login auf die App haben kein verdächtiges Muster aufgewiesen. Daher waren wir berechtigt, die Zahlungsaufträge auszuführen.»
Bei Phishing-Verdacht lehnt Swissquote jegliche Mitverantwortung ab
Yuh schiebt bei Phishing-Verdacht die Verantwortung auf die Kundinnen und Kunden ab. Das zeigt ein Blick in die Yuh-AGBs. Dort steht: «Wir schliessen jede Haftung im Zusammenhang mit unbefugtem Zugriff auf Ihr Yuh Account oder mit Schwachstellen des Anmeldeverfahrens aus.» Daran stört sich Martin Steiger, Anwalt und Experte für das Recht im digitalen Raum.
Er sagt, die Banken täten zu wenig, um ihre Kunden vor Betrug zu schützen. Denn diese seien als Laien gegenüber den Banken (als Profis) klar benachteiligt: «Das gilt umso mehr, weil wir nochmals Profis im Spiel haben, nämlich die Täterschaft. Wir haben Profistraftäter, Profibanken und am Schluss die Bank-Kundinnen und Bankkunden als die Laien, und die stehen im Regen.»
Ein gutes Sicherheitssystem erkennt ungewöhnliches Verhalten
«Kassensturz» spricht mit weiteren Betrugsopfern, denen Geld vom Yuh-Konto gestohlen wurde, manchmal einige hundert Franken, manchmal Tausende. Die Bank sieht keine Mitverantwortung.
Warum wurde denn bei Chiliano Lelii das Konto nicht gleich gesperrt, als die Betrüger ihn bestahlen? Die Vorgänge waren gleich in mehrfacher Hinsicht aussergewöhnlich: Die Betrüger entfernten Chiliano Leliis Handy sofort aus dem System, transferierten in rascher Folge acht grosse Beträge auf Yuh-Konten, die kurz zuvor eröffnet wurden. Und von dort ging das Geld auf Kryptoplattformen.
Die Cybersecurity-Expertin Michèle Trebo sagt dazu, ein gutes Sicherheitssystem reagiere auf Aktivitäten, die vom üblichen Nutzerverhalten abweiche: «Das kann das Login von einem neuen Gerät sein oder von einem anderen Standort als üblich, plötzliche hohe Geldbewegungen, unübliche Transaktionen, oder auch, wenn sicherheitsrelevante Einstellungen geändert werden.» Das alles war bei Chiliano Lelii der Fall. Doch trotzdem sieht die Bank keine Mitverantwortung.
