Ausführung einer lediglich reservierten Kreditkartenbelastung durch die Bank nach der Betrugsmeldung des Kunden
Das Problem, welches der Kunde dem Ombudsman vorlegte, stellt sich in zahlreichen Betrugsfällen im Zusammenhang mit Kredit- und Debitkarten. Häufig werden Betrugsfälle mit Karten von den betroffenen Kunden rasch entdeckt, manchmal gar innert Sekunden, nachdem sie eine Transaktion unter falschen Vorstellungen autorisiert haben, welche von den Betrügern geweckt wurden. Kartentransaktionen werden zwischen der Autorisierung und der definitiven Ausführung und Verbuchung in den Kundenkonten üblicherweise als «reserviert» ersichtlich. Kunden, welche in diesem Zeitraum der Bank eine Betrugsmeldung unterbreiten, verstehen nicht, weshalb die reservierten und somit noch pendenten Zahlungen trotz der Meldung noch ausgeführt werden.
Gemäss den Erläuterungen, welche der Ombudsman von den Kartenherausgebern erhält, ist es üblich, dass eine Kartenzahlung zwischen der Autorisierung und der effektiven Verbuchung als «pendent» oder «reserviert» auf den Kundenkonten ersichtlich ist. Damit wird den Kunden deutlich gemacht, dass dieser Betrag bereits ausgegeben ist, obwohl er noch als Guthaben auf dem Konto erscheint. Nach der Autorisierung muss die kartenherausgebende Bank via das Kartennetzwerk zuerst über die Zahlungsabwicklung informiert werden. Erst wenn der Händler die Zahlung via das Netzwerk zuhanden der kartenherausgebenden Bank eingereicht hat, wird die Zahlung getätigt und definitiv auf dem Kundenkonto verbucht. Dieses sogenannte «Settlement» geschieht mit einer gewissen Verzögerung von in der Regel einigen Tagen. Nach der Autorisierung muss die Zahlung aber zwingend ausgeführt werden, da der Empfänger, d.h. der Händler, welcher die Karte für die Zahlung von Waren oder Dienstleistungen akzeptiert hat, einen unbedingten Anspruch darauf hat. Dieser ist in aller Regel nicht am Betrug beteiligt und hat seine Leistung im Vertrauen auf die Bezahlung erbracht. Aufgrund der Regeln des Kartennetzwerks kann ihm die Zahlung nicht verweigert werden, auch dann nicht, wenn geltend gemacht wird, die Zahlung sei von den Betrügern mit erschlichenen Kartendaten erfolgt. Diese unbedingte Zahlungsverpflichtung ist für das Funktionieren des Kartenzahlungssystems zentral.
Ob die getätigte Zahlung nach der Verbuchung zurückgefordert werden kann, ergibt sich nach den Regeln des sogenannten Chargeback-Verfahrens der Kartennetzwerke, mit welchem der Karteninhaber unter anderem eine unautorisierte Zahlung beanstanden kann. Dieses Verfahren unterliegt aber einer gewichtigen Einschränkung, welche sich in vielen Betrugsfällen auswirkt. Wurde die Kartentransaktion vom Kunden mit einem zusätzlichen Autorisierungsmittel wie eine 2-Faktoren-Autorisierung (3D-Secure oder ähnlich) bestätigt, ist ein Chargeback-Verfahren nicht möglich. Händler, welche ein solches System benutzen, was für sie Kosten verursacht, müssen sich am Chargeback-Verfahren nicht beteiligen. Die 2-Faktoren-Autorisierung soll die Online-Kartenzahlungen insgesamt sicherer machen und damit auch den Kunden dienen. Damit dieses System greifen kann, ist es unabdingbar, dass die Autorisierungsanfragen via SMS oder App auf dem Mobilgerät des Karteninhabers genau gelesen werden. Stimmen die Beträge oder die Händler auf den Mitteilungen nicht mit den Vorstellungen des Kunden überein, sondern zeigen eine andere Transaktion, darf er die Autorisierung nicht vornehmen und sollte sich unverzüglich beim Kartenherausgeber melden.
Der Ombudsman schloss den Fall mit diesem erläuternden Bescheid ab.