Kreditkartenbetrug im Zusammenhang mit einer Transaktion auf einer Online-Verkaufsplattform
Der Ombudsman war im Berichtsjahr mehrmals mit der vorliegenden Betrugsmethode konfrontiert. Sie steht mit Transaktionen auf gängigen Online-Plattformen im Zusammenhang. Die Betrüger bringen die Verkäufer dazu, ihre Kreditkartendaten auf einer gefälschten Website der Post einzugeben, welche angeblich der sicheren Überweisung des Kaufpreises auf das Kreditkartenkonto des Verkäufers dient. Mit den betrügerisch erlangten Daten tätigen sie Kreditkartentransaktionen.
Im vorliegenden Fall war die Kundin während des ganzen Vorgangs von einem angeblichen Supporter in einem Chat begleitet. Nachdem sie ihre Kreditkartendaten auf der gefälschten Website eingegeben hatte, gab dieser ihr zu verstehen, dass sie einen Code auf ihr Mobiltelefon erhalten werde, damit die Überweisung des Kaufpreises für das inserierte Bett finalisiert werden könne. Tatsächlich handelte es sich dabei um den Code, welchen die Kreditkartenherausgeberin der Kundin per SMS auf ihr Mobiltelefon sandte, um die Kreditkartenbelastung zu autorisieren, welche die Betrüger mit den erhaltenen Daten tätigten. Der angebliche Supporter gab dann vor, die Überweisung des Kaufpreises habe nicht funktioniert und wiederholte die Aufforderung zur Eingabe von neu zugeschickten Codes mehrmals. Tatsächlich versuchten die Betrüger im Hintergrund, mehr als eine missbräuchliche Kreditkartentransaktion zu tätigen.
Auf den SMS mit den Bestätigungscodes war ersichtlich, dass es sich dabei nicht um Gutschriften, sondern um Belastungen handelte, welche aufgrund der Währung und des angegebenen Händlers nichts mit der angeblichen Kaufpreiszahlung an die Kundin zu tun haben konnten. Diese stellte zwar kritische Rückfragen und lehnte mehrere Ersuchen nach Übermittlung der erhaltenen Codes ab, wurde aber von den Betrügern so beeinflusst und unter Druck gesetzt, dass sie für zwei Transaktionen den verlangten Code an diese übermittelte. Damit autorisierte sie in Wirklichkeit Kreditkartenbelastungen über total rund 900 CHF durch zwei internationale Zahlungsverkehrsdienstleister. Die Kundin konsultierte während des Vorgangs ihre Kreditkartenapp und realisierte aufgrund der dort ersichtlichen Belastungen sofort, dass sie einem Betrug zum Opfer gefallen war. Sie nahm unverzüglich mit der Kreditkartenherausgeberin Kontakt auf, welche die Karte sperrte.
Eine Rückerstattung der missbräuchlich erwirkten Zahlungen lehnte die Kreditkartenherausgeberin unter Hinweis auf die vertraglichen Bedingungen zur Nutzung der Karte ab, da die Kundin diese im Rahmen einer sogenannten 2-Faktoren-Authentifizierung, d. h. durch Weitergabe der ihr auf ihr Mobiltelefon zugesandten Codes, bestätigt hatte. Die Kundin legte den Fall danach dem Ombudsman vor. Sie war verzweifelt, da sie gemäss ihren Angaben als alleinerziehende Mutter in sehr bescheidenen Verhältnissen lebte und der Verlust für sie eine grosse Belastung darstellte.
Der Ombudsman kontaktierte die Kreditkartenherausgeberin und stellte präzisierende Fragen zum genauen Ablauf der Belastungen und zum Authentifizierungsverfahren. Er bat zudem um eine nähere Erläuterung der vertraglichen Grundlagen, zufolge derer der Kundin die Rückerstattung verweigert wurde. Schliesslich fragte er die Kreditkartenherausgeberin, ob sie bei den begünstigten Zahlungsverkehrsdienstleistern den Versuch unternommen hatte, den Betrag zurückzufordern, so dass diese die Möglichkeit gehabt hätten, die Weiterleitung des Geldes zu blockieren, wie dies im Zahlungsverkehr bei einer Betrugsmeldung gemäss der Erfahrung des Ombudsman üblich ist.
In ihrer Antwort an den Ombudsman erläuterte die Kreditkartenherausgeberin den Ablauf der Transaktionen und das Authentifizierungsverfahren aus ihrer Sicht im Detail und erklärte, die anwendbaren Kartenbedingungen schlössen eine Schadensübernahme aus, wenn Kartendaten und der Code für die Bestätigung der Transaktion an unberechtigte Dritte weitergegeben würden. Zudem sei eine Schadensübernahme generell ausgeschlossen, wenn Transaktionen wie im vorliegenden Fall im Rahmen einer 2-Faktoren-Authentifizierung vom Kunden bestätigt würden. Die Kartenherausgeberin verwies zudem auf die einschlägigen Warnungen vor Phishing auf ihrer Website und diejenigen der betroffenen Online-Verkaufsplattform.
Schliesslich führte sie aus, dass eine Kartentransaktion nach Durchführung der 2-Faktoren-Authentifizierung, anders als eine Banküberweisung, nachträglich grundsätzlich nicht zurückgefordert werden könne, selbst wenn die Unrechtmässigkeit unmittelbar danach festgestellt werde. In seltenen Fällen würden Händler eine Rückabwicklung vornehmen, wenn die mit der Karte bezahlte Lieferung oder Dienstleistung noch nicht erbracht worden sei. Diese Voraussetzungen seien vorliegend nicht gegeben gewesen. Offen blieb in der Antwort, ob die Kreditkartenherausgeberin überhaupt einen Versuch unternommen hatte, die begünstigten Zahlungsverkehrsdienstleister zu kontaktieren.
Nach einer zweiten Kontaktnahme des Ombudsman und einer Diskussion des Falles erklärte sich die Kreditkartenherausgeberin schliesslich bereit, der Kundin aus Kulanzgründen und ohne Anerkennung einer Rechtspflicht 50 % des Schadens zu erstatten. Der Ombudsman erläuterte der Kundin die ihm unterbreiteten Argumente und empfahl ihr, das Angebot anzunehmen, welches er unter den Gesamtumständen als angemessen erachtete. Die Kundin akzeptierte das Angebot.