Kriminelle räumen das Bankkonto eines Kunden der St. Galler Kantonalbank praktisch leer. Sie buchen in einer Nacht fast zweitausend Franken ab. Dieser sperrt daraufhin sofort telefonisch seine Debitkarte. Zusätzlich geht er zur Bank – dort sagt man ihm, dass das Geld weg sei und er es auch nicht wieder bekomme. Eine Anzeige bei der Polizei bringt ihn auch nicht weiter – man verfolge den Fall nicht weiter, heisst es.
Bank übernimmt Schadensumme nicht
Der Mann ist verzweifelt, weiss nicht weiter. Er hat erst gerade eine Ausbildung abgeschlossen, sein Studium hat er von seinem Ersparten finanziert. Die zweitausend Franken hätten ihn eigentlich noch ein wenig über die Runden bringen sollen. Die Bank sagt, der Kunde habe zu wenig gut auf seine Daten aufgepasst, nur so konnte der Kartenmissbrauch passieren. Sie übernähme die Schadensumme nicht.
Der Mann kann sich nicht erklären, wie die Daten in fremde Hände gelangen konnten. Auf seinem Handy habe er ein Wallet eingerichtet, damit er kontaktlos zahlen kann. Die Identifikation für die Zahlung läuft via Face ID – der Gesichtserkennung des Smartphones. Wenn der Bankkunde also etwas bezahlt, muss er die Zahlung zuerst mit seinem Gesicht bestätigen – eigentlich eine sichere Sache. Der Mann weiss nicht mehr weiter und meldet sich beim SRF-Konsumentenmagazin «Espresso».
Betrüger richten zweites Wallet ein
Ein Blick auf seinen Kontoauszug zeigt: Hier wurden tatsächlich sechsmal am selben Tag Geldbeträge abgebucht. Hier muss ein Betrug passiert sein. «Espresso», fragt bei der Bank nach und diese bestätigt: «Der Kunde wurde offenbar Opfer von Kriminellen». Trotzdem übernähme die Bank in diesem Fall die Schadensumme nicht.
Man habe den Fall noch einmal im Detail angeschaut: Die Debitkarte des Bankkunden sei in einem zweiten Wallet hinterlegt worden – offenbar in einem zweiten Handy. Sobald ein solches Wallet eingerichtet sei, könne man von diesem zweiten Smartphone aus jede Zahlung freigeben – auch ohne die Face ID des Kartenhalters.
«Es sind mehrere Sicherheitsschritte nötig, um eine Karte neu anzubinden. Die Sicherheitsschritte wurden alle korrekt ausgeführt, das heisst, jemand kannte die Kartendetails des Kunden und den Authentifizierungscode, der an sein Handy geschickt wurde», so die Bank.
Kunde hat Sorgfaltspflicht verletzt
Der Bankkunde muss also irgendwann einmal den Bestätigungscode für ein zweites Wallet eingegeben haben – wenn auch nicht mit Absicht. Genau hier liegt das Problem: Der Bank ist egal, wie die sensiblen Daten zu den Kriminellen gelangten: «Wenn Kartendaten unvorsichtig an Dritte weitergegeben werden, liegt ein klarer Missbrauch unserer Nutzungsbestimmungen und der Sorgfaltspflicht vor. Daher kann die Bank keine Haftung für entstandene Schäden übernehmen.»
Die St. Galler Kantonalbank zahlt ihrem Kunden also nichts zurück. Kulant sei man dann, wenn der Kunde keinen Fehler gemacht und seine Sorgfaltspflicht nicht verletzt habe.
