Mittwoch, 24. Februar 2021

Bank erstattet 5000 Euro, die durch Onlinebetrug verschwanden

Eine Bank musste ihrem Kunden eine durch Onlinebetrug verschwundene Geldsumme von 5000 Euro erstatten. Ein von der Verbraucherzentrale Südtirol befragtes Bankenschiedsgericht entschied zu Gunsten des Kunden.

Eine regelmäßige Kontrolle aller Bankbewegungen sei sehr wichtig, meint VZS-Geschäftsführerin Gunde Bauhofer.
Badge Local
Eine regelmäßige Kontrolle aller Bankbewegungen sei sehr wichtig, meint VZS-Geschäftsführerin Gunde Bauhofer. - Foto: © dpa-tmn / Silas Stein
Herr W. bemerkte über seine Online-Banking-App eine Abbuchung von 5000 Euro, die er nicht getätigt hatte. Entsetzt stürzte er in seine Bankfiliale, wo ihm jedoch mitgeteilt wurde, die Abbuchung könne nicht rückgängig gemacht werden. Er erstattete daraufhin Anzeige bei der Polizei und reichte bei der Bank eine formelle Beschwerde ein, welche jedoch ebenfalls negativ beschieden wurde. Daraufhin suchte Herr W. Rat und Hilfe in der Verbraucherzentrale Südtirol.

Unsere Berater haben den Fall genauer untersucht, und dabei festgestellt, dass es sich bei besagter Bewegung um eine Überweisung gegen Belastung auf der Debitkarte handelte, wobei unklar blieb, wie genau der Auftrag für diese Bewegung erteilt worden war. Nach einem erfolglosen Versuch, weitere Informationen von der Bank zu erhalten, haben wir den Fall vor das Bankenschiedsgericht ABF (Arbitro bancario finanziario) bei der Banca d’Italia gebracht.

Im Zuge des Verfahrens stellte sich heraus, dass die Überweisung über die Debitkarte durchgeführt wurde, wobei diese Online-Kartenzahlungs-Funktion erst kurz vor der Bewegung selbst aktiviert wurde.

Warum wurde zu Gunsten des Kunden entschieden?


Das Schiedsrichter-Kollegium hat nach einigen Monaten zu Gunsten des Verbrauchers entschieden, und diese Entscheidung wie folgt begründet: Wird eine Bankoperation, also beispielsweise eine Überweisung oder eine Kartenzahlung, über einen Distanz-Kanal (zum Beispiel Telefon, Homebankig, App) durchgeführt, so muss laut Vorgaben der europäischen Zahlungsdienste-Richtlinie (PSD2) eine starke Authentifizierung der Kunden mit mehreren Faktoren erfolgen, eine sogenannte „strong authentication“.

Nun wurde im spezifischen Fall zwar die Funktion als solche mit einer starken Authentifizierung genehmigt, die Bewegung selbst aber, mit der die 5000 Euro vom Konto abgebucht wurden, nur mit dem alleinigen statischen Passwort. Da für die Genehmigung der Bewegung im Sinne der PSD2 jedoch mindestens eine 2-Faktoren-Identifizierung des Kunden erforderlich gewesen wäre, verfügte das Schiedsgericht, dass die Bank dem Kunden die gesamte Summe zu erstatten habe. Die Bank hat dieser Verfügung auch umgehend Folge geleistet.

Regelmäßig alle Bankbewegungen kontrollieren

„Der Fall zeigt erneut, wie wichtig eine regelmäßige Kontrolle aller Bankbewegungen ist“ meint VZS-Geschäftsführerin Gunde Bauhofer. „Daneben wird auch klar, dass die Schiedsgerichte für die Verbraucher einen enormen Mehrwert bringen – bei einem Fall wie diesem wäre ein Gang vor den Richter, sowohl was die Kosten als auch was die Zeiträume betrifft, wohl kein guter Lösungsansatz gewesen“.

Jene Systeme, die zur Autorisierung von mehreren Zahlungen nur die Eingabe eines einzigen statischen Codes erfordern, ohne dass zusätzliche Anmeldeinformationen (dynamische Passwörter) verlangt werden, sind nicht sicher und der Schutz der Kundendaten ist nicht so umfassend, wie er laut PSD2-Richtlinie sein müsste.

stol