Kreditkarten-Betrug:

Kreditkartenbetreiber muss Kund*innen entschädigen, wenn Sicherheitsnormen nicht eingehalten werden

 

In den vergangenen Jahren meldeten sich zahlreiche verzweifelte Verbraucher*innen bei der VZS, welche bei Onlinezahlungen Opfer von Betrügern wurden.

Die Betrugsmasche beginnt meist mit einer SMS: der Kreditkartenbetreiber – so scheint es – teilt mit, dass eine verdächtige Transaktion mit der Kreditkarte aufscheint. Danach wird der Betroffene von einer Person telefonisch kontaktiert, die sich als Mitarbeiter des Kreditkartenbetreibers ausgibt. Um die Karte oder die Transaktion zu blockieren, wird der Verbraucher aufgefordert, den Code (one time password - OTP) mitzuteilen, der gerade per SMS zugeschickt wurde. In vielen Fällen wird dann dieses OTP dem vermeintlichen Mitarbeiter der Kreditkartengesellschaft – in Wirklichkeit dem Betrüger – mündlich mitgeteilt, und somit die Abbuchung autorisiert.

Die VZS hat sehr viele dieser Fälle begleitet; wird die Beschwerde vom Finanzdienstleister negativ beschieden, wird ein Rekurs vor dem ABF (Schlichtungsorgan der Banca d’Italia) eingereicht. In den Rekursen vor dem ABF führen wir dabei unter anderem an, dass die Authentifizierung der Bewegung mit der Angabe eines OTP nicht den Standards der PSD2-Richtlinie entspricht (Zahlungsdienstleistungsrichtlinie 2007/64/EG).

 

Das EU-Recht sieht nämlich bei Onlinebanking oder bei Zahlungen auf Distanz eine Zwei-Faktor-Authentifizierung des Kunden vor. Die Authentifizierungs-Faktoren können dabei zwei dieser drei Elemente sein:

a) etwas, das der Benutzer kennt, wie ein Passwort oder eine PIN-Nummer;
b) etwas, das der Benutzer hat, wie ein mobiles Gerät;
c) etwas, das der Benutzer ist, wie ein Fingerabdruck, optische Merkmale oder Stimme.

 

Ein Großteil der Kreditkartenbetreiber verlangt zur Authentifizierung einer Zahlung nur die Kreditkartennummer, das Ablaufdatum der Karte, den CVV-Code und das OTP. Nachdem auch die Europäische Bankenaufsichtsbehörde (EBA) in einer Stellungsnahme angab, dass Kreditkartennummer, Ablaufdatum der Karte und der CVV-Code nicht „Elemente der Authentifizierung“ im Sinne der Richtlinie sind, hat auch der ABF diese Auslegung bestätigt. Somit entspricht die Authentifizierung der Kreditkartenzahlung mit Angabe dieser Daten und dem OTP nicht der PSD2-Richtlinie, und die Kund*innen haben Anspruch auf Rückerstattung.

„Wir begrüßen die Entscheidung des Bankenschiedsgerichts“ kommentiert VZS-Geschäftsführerin Gunde Bauhofer. „Angesichts der vielen, allzuvielen Betrugsfälle ist es höchste Zeit, dass die Kreditkartengesellschaften Ihre Authentifizierungssysteme anpassen und sicherer machen. Nichtsdestotrotz gilt: bei Online-Zahlungen ist höchste Aufmerksamkeit angebracht. Zugangsdaten und/oder Zahlencodes dürfen keinesfalls an Dritte weitergeben werden, denn dies macht es ungleich schwieriger, die Rückerstattung der gestohlenen Beträge zu erwirken.“

 

like-512_0.png

like-512_0.png