Sicherheitsnormen müssen eingehalten werden

Kreditkarten-Betrug: In diesen Fällen trifft es den Betreiber

Sonntag, 05. Dezember 2021 | 08:28 Uhr

Bozen – In den vergangenen Jahren haben sich zahlreiche verzweifelte Konsumentinnen und Konsumenten bei der Verbraucherzentrale Südtirol (VZS) gemeldet, welche bei Onlinezahlungen Opfer von Betrügern wurden.

Die Betrugsmasche beginnt meist mit einer SMS: Der Kreditkartenbetreiber – so scheint es – teilt mit, dass eine verdächtige Transaktion mit der Kreditkarte aufscheint. Danach wird der Betroffene von einer Person telefonisch kontaktiert, die sich als Mitarbeiter des Kreditkartenbetreibers ausgibt. Um die Karte oder die Transaktion zu blockieren, wird der Verbraucher aufgefordert, den Code (one time password – OTP) mitzuteilen, der gerade per SMS zugeschickt wurde. In vielen Fällen wird dann dieses OTP dem vermeintlichen Mitarbeiter der Kreditkartengesellschaft – in Wirklichkeit dem Betrüger – mündlich mitgeteilt, und somit die Abbuchung autorisiert.

Die VZS hat sehr viele dieser Fälle begleitet; wird die Beschwerde vom Finanzdienstleister negativ beschieden, wird ein Rekurs vor dem ABF (Schlichtungsorgan der Banca d’Italia) eingereicht. In den Rekursen vor dem ABF führen die Vebraucherschützer dabei unter anderem an, dass die Authentifizierung der Bewegung mit der Angabe eines OTP nicht den Standards der PSD2-Richtlinie entspricht ( Zahlungsdienstleistungsrichtli nie 2007/64/EG).

Das EU-Recht sieht nämlich bei Onlinebanking oder bei Zahlungen auf Distanz eine Zwei-Faktor-Authentifizierung des Kunden vor. Die Authentifizierungs-Faktoren können dabei zwei dieser drei Elemente sein: etwas, das der Benutzer kennt, wie ein Passwort oder eine PIN-Nummer; etwas, das der Benutzer hat, wie ein mobiles Gerät; etwas, das der Benutzer ist, wie ein Fingerabdruck, optische Merkmale oder Stimme.

Ein Großteil der Kreditkartenbetreiber verlangt zur Authentifizierung einer Zahlung nur die Kreditkartennummer, das Ablaufdatum der Karte, den CVV-Code und das OTP. Nachdem auch die Europäische Bankenaufsichtsbehörde (EBA) in einer Stellungsnahme angab, dass Kreditkartennummer, Ablaufdatum der Karte und der CVV-Code nicht „Elemente der Authentifizierung“ im Sinne der Richtlinie sind, hat auch der ABF diese Auslegung bestätigt. Somit entspricht die Authentifizierung der Kreditkartenzahlung mit Angabe dieser Daten und dem OTP nicht der PSD2-Richtlinie, und die Kund*innen haben Anspruch auf Rückerstattung.

„Wir begrüßen die Entscheidung des Bankenschiedsgerichts“ kommentiert VZS-Geschäftsführerin Gunde Bauhofer. „Angesichts der vielen, allzu vielen Betrugsfälle ist es höchste Zeit, dass die Kreditkartengesellschaften Ihre Authentifizierungssysteme anpassen und sicherer machen. Nichtsdestotrotz gilt: Bei Online-Zahlungen ist höchste Aufmerksamkeit angebracht. Zugangsdaten und/oder Zahlencodes dürfen keinesfalls an Dritte weitergeben werden, denn dies macht es ungleich schwieriger, die Rückerstattung der gestohlenen Beträge zu erwirken.“

Von: mk

Bezirk: Bozen

Kommentare

Hinterlasse einen Kommentar

7 Kommentare auf "Kreditkarten-Betrug: In diesen Fällen trifft es den Betreiber"


Sortiert nach:   neuste | älteste | Relevanz
N. G.
N. G.
Universalgelehrter
1 Monat 17 Tage

Mir ist schleierhaft inwiefern die Kreditkartengesellschaft daran Schuld ist wenn Kunden ihre Daten am Telefon weiter geben.
Die Wenigsten lesen wahrscheinlich die AGBs in denen eindeutig steht, dass man niemals telefonisch aufgefordert wird den PIN rausgegeben.
Noch größeres Problem ist, ich kenne persönlich auch solche Menschen, dass es manchen nie billig genug ist und Dinge aus dem Netz zu absurden Preisen bestellen. Dabei solche Shopping Seiten nicht mal auf Echtheit prüfen.

N. G.
N. G.
Universalgelehrter
1 Monat 17 Tage

Nichts kann man “Idiotensicher” machen, es wird immer noch nen Dümmeren geben.
Alles auf die Anbieter abzuschieben kanns nicht sein.
Auch in dem Fall, Selbstverantwortung wäre das Ziel.
Tatsache ist aber auch, dass Kreditgesellschaften den Umgang sicherer machen könnten, es aber aus finanziellen Gründen nicht tun, da Schadenersatz zu zahlen noch immer billiger ist.

Neumi
Neumi
Kinig
1 Monat 17 Tage
Da hast du recht, niemals würde jemand seriöses die Daten am Telefon verlangen. Vor ein paar Jahren war noch nicht alles so gut abgesichert. Für manche Bezahlungen reichte auch die Kreditkartennummer alleine – mehr war nicht notwendig, noch nicht mal Ablaufdatum und der dreistellige Code auf der Rückseite wurden verlangt. Ähnliche Schwachstellen gab es bei der Abrechnung per SIM-Karte. Firmen konnten Abonnements abschließen und abbuchen ohne dass der Kunde irgendwas bestätigen musste. Mittlerweile ist man aber schon ziemlich sicher, wenn man auch nur ein bisschen aufpasst. Außerdem kann man die Kreditkarte auch für bestimmte Buchungskategorien kategorisch sperren, einfach mal auf… Weiterlesen »
N. G.
N. G.
Universalgelehrter
1 Monat 17 Tage

@Neumi Kenne viele die nicht mal Benachrichtigung für Einkäufe eingerichtet haben und erst als hunderte Euro fehlten, alles in Minniabuchungen getätigt, war die Überraschung groß.
Hierzulande müssen VIELE erst noch lernen wie man digital bezahlt und für sich und sein Geld selbst Verantwortung übernehmen muss.

Korl
Korl
Tratscher
1 Monat 17 Tage

wer passwörter am telefon oder per sms weitergibt isch schun a selber schuld , und gonz die horten schreiben den pin frisch af de korte aui damit sien net vergessn

lissi81
lissi81
Grünschnabel
1 Monat 17 Tage

Aber Achtung: In letzter Zeit tauchen schon ein bisschen viele dieser SMS auf. Mein Mann hat nur und ich wiederhole nur diese Woche 4 solcher SmS erhalten. Er lacht einfach drüber und blockiert die Nummern.

N. G.
N. G.
Universalgelehrter
1 Monat 16 Tage

Das ist doch egal, wer bei den Anbietern gelesen hat, weiss, dass er keine SMS von ihnen bekommt. Wo ist das Problem, blockieren und gut ist.
Benutze das Internet seit 20 Jahren, zahle so gut wie alles mit Karte, Handy usw. Tätige sämtliche Überweisungen, Geldgeschäfte bis hin zum Handel von Kryptos digital und mir wurde nicht 1 Cent geklaut. Wenn man die einfachsten Regeln einhält, alles kein Problem.

wpDiscuz