Home Fallsammlung Missbrauch und Betrug Betrügerische Transaktionen mit einer Bezahl-App, die mit einer neuen Telefonnummer verknüpft wurde

Betrügerische Transaktionen mit einer Bezahl-App, die mit einer neuen Telefonnummer verknüpft wurde

Thema:

Fallnummer: 2026/06

Der Kunde wandte sich aufgrund von vier betrügerischen Transaktionen von total 200 CHF via einer Bezahl-App an den Ombudsman. Diese Zahlungen erfolgten nach dem Verknüpfen eines neuen Mobiltelefons mit der Bezahl-App. Die Bank verweigerte jede Erstattung, weil diese Verknüpfung die Verwendung vertraulicher Daten voraussetze, deren Geheimhaltung ausschliesslich im Verantwortungsbereich des Kunden liege. Der Kunde bestritt diese Auffassung und wies darauf hin, dass er keine Sicherheitsmeldungen erhalten habe, welche ihn auf die Verknüpfung der Bezahl-App mit einem neuen Mobiltelefon hingewiesen hätten und eine solche ohne verstärkte Sicherheitsmassnahmen möglich sei. Der Ombudsman prüfte, ob das von der Bank angewendete Sicherheitsniveau angemessen und verhältnismässig war. In der Folge empfahl er dem Institut, das entsprechende Sicherheitsniveau zu prüfen sowie eine gütliche Lösung unter Berücksichtigung der behaupteten Sicherheitsmängel in Erwägung zu ziehen. Die Bank war bereit, dem Kunden eine Entschädigung von 100 CHF zu zahlen. Sie hat auch zugestimmt, ihr Sicherheitsniveau betreffend die Bezahlfunktionen zu prüfen.

Der Kunde nutzte bereits seit mehreren Jahren die elektronischen Dienstleistungen der Bank sowie eine mit seinem Konto verbundene Bezahl-App. Nach Ausführung mehrerer von ihm nicht autorisierter Transaktionen stellte er fest, dass diese Bezahlmöglichkeit mit einer neuen Telefonnummer verknüpft worden war. Die Belastungen betrugen insgesamt 200 CHF und stammten aus Einkäufen bei einem Online-Händler.

Der Kunde verlangte die vollständige Rückerstattung der 200 CHF. Er erklärte, seine E-Banking-Identifikationsdaten nie geteilt oder preisgegeben zu haben. Er vermutete, dass ihm seine Benutzernummer und sein Passwort ohne sein Wissen gestohlen wurden, vermutlich beim Einloggen in ein öffentliches WLAN-Netzwerk. Der Kunde warf der Bank vor allem zwei Sicherheitsmängel vor: Erstens habe sie ihm keine Benachrichtigungen via E-Mail oder SMS zugestellt oder einen Anruf getätigt und ihn darüber informiert, dass eine zweite gleichartige Bezahlfunktion auf einem Mobiltelefon seinem Konto hinzugefügt worden sei. Zweitens wurde keine 2-Faktor-Authentifizierung verlangt, um diesen sicherheitsrelevanten Vorgang abzusichern. Der Kunde machte geltend, eine einfache Bestätigung via der bereits auf seinem Mobiltelefon installierten Bezahl-App hätte ausgereicht, um diesen Betrug zu verhindern. Er erwähnte auch, dass ihm bei einem Besuch am Schalter von einer Mitarbeiterin der Bank bestätigt wurde, dass Verbesserungen im Sicherheitsbereich vorgenommen werden sollten, damit sich ein solcher Vorfall nicht wiederholen könne.

Die Bank wies die Forderung des Kunden zurück. Ferner machte die Bank geltend, dass zur Verknüpfung der Bezahl-App mit einem neuen Mobiltelefon sowohl die korrekte Erfassung der
E-Banking-Nummer als auch des dazugehörigen Passworts erforderlich gewesen sei. Diese Informationen seien ausschliesslich dem Kontrollbereich des Kunden zuzuordnen, weshalb der Bank die finanziellen Folgen eines Missbrauchs nicht angelastet werden könnten. Damit wies die Bank den Vorwurf eines Sicherheitsmangels in ihrem System entschieden zurück.

Der Ombudsman prüfte die Argumente beider Parteien. Er verlangte von der Bank weitere Abklärungen, namentlich zum Sicherheitsstandard bei der Verknüpfung einer neuen Telefonnummer mit einer bestehenden Bezahlfunktion. Im Kontakt mit der Bank äusserte der Ombudsman sein Erstaunen darüber, dass zur erstmaligen Aktivierung der Bezahl-App eine mehrstufige Authentifizierung verlangt wurde, aber für den Wechsel der damit verknüpften Telefonnummer nur noch eine einfache Authentifizierung ausreichen sollte. Die Bank erläuterte, dass die Bezahlfunktion zwecks rascher Verfügbarkeit unmittelbar nutzbar sei, sobald das Kunden-Login und das Passwort eingegeben werden, allerdings nur für Transaktionen bis maximal 200 CHF. Ein erhöhter Sicherheitsstandard würde nur dann verlangt, wenn die Limite von 200 CHF überschritten würde. Laut Bank sei der Betrug darauf zurückzuführen, dass die Elemente zur Identifikation, die der Kunde besass, an Dritte weitergegeben worden waren. Durch die bestehenden Sicherheitsmassnahmen habe der Schaden auf 200 CHF begrenzt werden können.

Nachdem sich der Ombudsman mehrmals schriftlich und telefonische mit der Bank ausgetauscht hatte, willigte diese schliesslich ein, einen Kulanzbetrag von 100 CHF zu bezahlen und dem Kunden damit die Hälfte des geltend gemachten Betrages zurückzuvergüten. Der Kunde nahm dieses Vergleichsangebot an. Der Ombudsman empfahl der Bank, bei jedem Wechsel der Telefonnummer im Zusammenhang mit ihrem Zahlungssystem künftig generell eine 2-Faktor-Authentifizierung einzufordern, um eine Wiederholung solcher Vorfälle zu verhindern.