Ein Berater des Gerichtshofs der Europäischen Union hat erklärt, dass Banken Kunden zurückerstatten sollten, die durch Phishing-Betrügereien Geld verlieren, selbst wenn der Kunde möglicherweise zu dem Vorfall beigetragen hat.
Die Stellungnahme wurde von Athanasios Rantos, Generaladvokat am Gerichtshof der Europäischen Union, dem höchsten EU-Gericht, das für die Auslegung des Rechts der Europäischen Union zuständig ist, veröffentlicht. Die Meinung betrifft, wie Banken mit unautorisierten Transaktionen umgehen sollten, die nach der Täuschung von Kunden durch Phishing-Angriffe durchgeführt werden. Es bezieht sich auf die Auslegung der Regeln der EU-Zahlungsdienstrichtlinie, die elektronische Zahlungen in der gesamten Europäischen Union regelt.
Laut der Stellungnahme müssen Banken den Kunden nach einer unbefugten Zahlung sofort erstatten, es sei denn, es gibt vernünftige Gründe für den Verdacht, dass der Kunde Betrug begangen hat. In solchen Fällen muss die Bank die zuständige nationale Behörde schriftlich benachrichtigen.
Das Urteil folgt auf einen Antrag auf Klarstellung des Bezirksgerichts in Koszalin, Polen. Das Gericht bat das EU-Gericht, die Richtlinie in einem Streit zwischen PKO Bank Polski, einer staatlich kontrollierten polnischen Bank, und einem ihrer Kunden auszulegen.
Der Fall betrifft einen Phishing-Vorfall bei einem Kunden, der einen Artikel über eine Online-Plattform verkaufte. Der Kunde erhielt eine Nachricht von einer Person, die sich als Käufer ausgab und einen Link schickte, der die Website der Bank nachahmte. Nach dem Klicken auf den Link gab der Kunde seine Bankdaten auf der betrügerischen Seite ein.
Die Informationen ermöglichten es dem Angreifer, auf das Bankkonto des Kunden zuzugreifen und eine unbefugte Überweisung zu starten. Der Kunde entdeckte die Transaktion und meldete sie am folgenden Tag der Bank.
PKO Bank Polski weigerte sich, die Mittel zurückzuerstatten. Die Bank argumentierte, der Kunde habe grobe Fahrlässigkeit gezeigt, indem er auf der betrügerischen Website Zugangsdaten bereitstellte. Der Kunde brachte den Fall daraufhin vor das polnische Gericht.
In seiner Meinung erklärte Rantos, dass die Bank nach EU-Zahlungsregeln zunächst den Betrag der unautorisierten Transaktion zurückerstatten muss. Wenn die Bank glaubt, dass der Kunde absichtlich gegen Sicherheitsverpflichtungen verstoßen oder grob fahrlässig gehandelt hat, kann sie später versuchen, die Gelder zurückzufordern.
Laut dem Urteil würde die Rückzahlungslast auf die Bank lasten. Wenn der Kunde sich weigert, die Gelder zurückzugeben, kann die Bank rechtliche Schritte einleiten, um den Betrag zurückzufordern.
Das Urteil besagt, dass die Authentifizierung einer Transaktion mit korrekten Zugangsdaten nicht automatisch beweist, dass die Zahlung vom Kunden autorisiert wurde. Banken müssen nachweisen, dass der Kunde betrügerisch oder schwerwiegende Fahrlässigkeit gehandelt hat, wenn sie beabsichtigen, die Erstattung zu verweigern.
Eine Stellungnahme des Generaladvokaten ist keine endgültige Entscheidung. Es handelt sich um eine rechtliche Empfehlung, die den Richtern des Gerichtshofs der Europäischen Union bei der Vorbereitung einer Entscheidung helfen soll. Das Gericht wird sein Urteil zu einem späteren Zeitpunkt fällen.