Von: mk
Bozen – Herr W. bemerkte über seine Online-Banking-App eine Abbuchung von 5.000 Euro, die er nicht getätigt hatte. Entsetzt stürzte er in seine Bankfiliale, wo ihm jedoch mitgeteilt wurde, die Abbuchung könne nicht rückgängig gemacht werden. Er erstattete daraufhin Anzeige bei der Polizei und reichte bei der Bank eine formelle Beschwerde ein, welche jedoch ebenfalls negativ beschieden wurde. Daraufhin suchte Herr W. Rat und Hilfe in der Verbraucherzentrale Südtirol (VZS).
Die Berater haben den Fall genauer untersucht, und dabei festgestellt, dass es sich bei besagter Bewegung um eine Überweisung gegen Belastung auf der Debitkarte handelte, wobei unklar blieb, wie genau der Auftrag für diese Bewegung erteilt worden war. Nach einem erfolglosen Versuch, weitere Informationen von der Bank zu erhalten, hat die VZS den Fall vor das Bankenschiedsgericht ABF (Arbitro bancario finanziario) bei der Banca d’Italia gebracht.
Im Zuge des Verfahrens stellte sich heraus, dass die Überweisung über die Debitkarte durchgeführt wurde, wobei diese Online-Kartenzahlungs-Funktion erst kurz vor der Bewegung selbst aktiviert wurde.
Das Schiedsrichter-Kollegium hat nach einigen Monaten zugunsten des Verbrauchers entschieden, und diese Entscheidung wie folgt begründet: Wird eine Bankoperation, also z.B. eine Überweisung oder eine Kartenzahlung, über einen Distanz-Kanal (also Telefon, Homebankig, App, …) durchgeführt, muss laut Vorgaben der europäischen Zahlungsdienste-Richtlinie (PSD2) eine starke Authentifizierung der Kunden mit mehreren Faktoren erfolgen, eine sogenannte „strong authentication“. Nun wurde im spezifischen Fall zwar die Funktion als solche mit einer starken Authentifizierung genehmigt, die Bewegung selbst aber, mit der die 5.000 Euro vom Konto abgebucht wurden, nur mit dem alleinigen statischen Passwort. Da für die Genehmigung der Bewegung im Sinne der PSD2 jedoch mindestens eine Zwei-Faktoren-Identifizierung des Kunden erforderlich gewesen wäre, verfügte das Schiedsgericht, dass die Bank dem Kunden die gesamte Summe zu erstatten habe. Die Bank hat dieser Verfügung auch umgehend Folge geleistet.
„Der Fall zeigt erneut, wie wichtig eine regelmäßige Kontrolle aller Bankbewegungen ist“, meint VZS-Geschäftsführerin Gunde Bauhofer. „Daneben wird auch klar, dass die Schiedsgerichte für die Verbraucher einen enormen Mehrwert bringen – bei einem Fall wie diesem wäre ein Gang vor den Richter, sowohl was die Kosten als auch was die Zeiträume betrifft, wohl kein guter Lösungsansatz gewesen“.
Jene Systeme, die zur Autorisierung von mehreren Zahlungen nur die Eingabe eines einzigen statischen Codes erfordern, ohne dass zusätzliche Anmeldeinformationen (dynamische Passwörter) verlangt werden, sind nicht sicher und der der Schutz der Kundendaten ist nicht so umfassend, wie er laut PSD2-Richtlinie sein müsste.