Transaktionen ohne Pin-Eingabe mit der Contactless-Funktion einer gestohlenen Kreditkarte

Kategorie Missbrauch und Betrug | Quelle Jahresbericht 2019/18

Der Kundin wurde im Ausland die Brieftasche mit diversen Ausweisen und Bankkarten gestohlen. Da sie eine der Kreditkarten, welche gestohlen wurden, seit langer Zeit nicht mehr benutzt hatte, vergass sie, diese zu sperren. Als sie dann die Rechnung für diese Karte erhielt, musste sie feststellen, dass die unbekannten Täter sehr viele Transaktionen mittels der Contactless-Funktion unter dem für die Eingabe eines PIN-Codes notwendigen Minimalbetrag getätigt hatten. Sie war bereit, wegen des unterbliebenen Sperrauftrags einen Teil des Schadens selber zu tragen, wunderte sich aber, dass keine Sicherheitsmassnahmen einen solchen Missbrauch der Karte verhindert hatten. Die Kreditkartenherausgeberin weigerte sich zuerst, sich am Schaden zu beteiligen, entschädigte die Kundin jedoch schliesslich in vollem Umfang.

Die Sicherheit der sogenannten Contactless-Funktion bei Kredit- und Bankkarten wurde in der Presse in der Vergangenheit immer wieder kritisch hinterfragt. Die Funktion erlaubt es, Transaktionen mit solchen Karten zu tätigen, indem diese lediglich in unmittelbare Nähe eines Annahmegeräts gehalten werden. Für Transaktionen bis zu einem bestimmten Maximalbetrag, in der Schweiz in der Regel bis 40 CHF, ist die Eingabe eines PIN-Codes nicht notwendig. Kommt eine solche Karte in falsche Hände, ist es deshalb auch einem Unberechtigten möglich, diese bis zum Maximalbetrag ohne PIN-Eingabe einzusetzen. Anlässlich von Gesprächen mit Branchenvertretern wurde dem Ombudsman versichert, dass Algorithmen eingesetzt würden, um Missbräuche zu verhindern. Über die Einzelheiten dieser Sicherheitsmassnahmen wurden aus naheliegenden Gründen keine Auskünfte erteilt.

Im vorliegenden Fall schilderte die Kundin, ihre gestohlene Karte sei in einer Art und Weise verwendet worden, welche auf einen Missbrauch der Möglichkeit schliessen liess, Waren und Dienstleistungen bis zu einem bestimmten Maximalbetrag ohne Codeeingabe zu bezahlen. Mit der von der Kundin seit langer Zeit unbenutzten Karte seien innert wenigen Tagen ausschliesslich mittels der beschriebenen Contactless-Funktion ohne Codeeingabe über 200 Transaktionen im Gesamtbetrag von knapp 2000 CHF getätigt worden. Dabei sei die Karte bei den gleichen Händlern zum Teil am gleichen Tag bis zu sieben Mal für Transaktionen zwischen 0.40 EUR und 25 EUR eingesetzt worden. Die Kundin hatte bei der Benutzung ihrer anderen Karten die Erfahrung gemacht, dass bei einer solchen Verwendung zuweilen der PIN angefragt wurde, obschon der Maximalbetrag für eine PIN-freie Zahlung nicht erreicht war. Vorliegend sei nicht ersichtlich, dass irgendwelche Sicherheitsmassnahmen vorhanden gewesen wären, welche den Missbrauch hätten verhindern können, und die Bank sei nicht bereit, sich am entstandenen Schaden zu beteiligen.

Der Kundin war bewusst, dass sie im Zusammenhang mit der missbräuchlichen Verwendung ihrer Karte durch die unbekannten Täter eine erhebliche Mitverantwortung trug, da sie die Karte vergessen hatte und deshalb nicht hatte sperren lassen. Da sie bisher in der Angelegenheit lediglich telefonisch mit der Kreditkartenherausgeberin Kontakt hatte, empfahl ihr der Ombudsman, sich vorerst mit einer schriftlichen Beschwerde an die Direktion zu wenden, damit dieser Gelegenheit gegeben wurde, ihre Haltung zu überdenken. Selbstverständlich zeigte er sich bereit, den Fall entgegenzunehmen, falls es zu keiner Lösung kommen sollte. Die Kundin befolgte diesen Rat und schlug der Kreditkartenherausgeberin vor, sich mit einem Drittel am Schaden zu beteiligen. Wenig später informierte sie den Ombudsman, die Kreditkartenherausgeberin habe ihr nach erneuter Prüfung des Falles per E-Mail mitgeteilt, den Schaden ganz zu übernehmen.

Der Fall zeigt, dass es wichtig und sinnvoll ist, wenn der Ombudsman die Kunden in einem ersten Schritt für eine schriftliche Reklamation an die Direktion der Bank verweist, wenn dies vor der Kontaktnahme mit ihm noch nicht erfolgt ist. Dies erlaubt der Direktion der Bank, den Fall zu prüfen und gegebenenfalls direkt zu erledigen. Im vorliegenden Fall hat sie die Erwartungen der Kundin gar übertroffen, was der Ombudsman gerne zur Kenntnis nahm.

Mehr Fälle von dieser Kategorie