Vor ein paar Tagen erreichte das tägliche Konto einer digitalen Betrügerei die höchsten Schritte des europäischen Rechts: ein polnischer Klient verlor Geld nach einem Phishing-Angriff und seine Bank, PKO BP, weigerte sich, ihn zurückzuzahlen. Dieser Fall - ein Verkauf auf einer Auktionsplattform, eine bösartige Verbindung, die den Zugang der Bank imitierte, Anmeldeinformationen und eine Übertragung durch die Kriminellen eingeführt - endete am Koszalin District Court, der eine vorläufige Frage vor dem Gerichtshof der Europäischen Union (AEUV) erhoben.
Generalanwalt Athanasios Rantos hat nun eine förmliche Stellungnahme zu dem Fall veröffentlicht, der zwar kein verbindliches Urteil ist, aber die wahrscheinliche Richtung markiert, in der das Gericht sich bewegen wird. Einfach: Rantos ist der Ansicht, dass die Bank gemäß der Europäischen Zahlungsdienstrichtlinie (PSD2) den Kunden unverzüglich für die Höhe einer unberechtigten Transaktion erstatten muss, es sei denn, es hat vernünftige Gründe zu vermuten, dass der Kunde selbst betrügerisch gehandelt hat.. Dieser Verdacht sollte auch der zuständigen nationalen Behörde schriftlich mitgeteilt werden.
Die offiziellen Texte erläutern die Empfehlung des Generalanwalts im Detail. Das TEU-Kommuniqué enthält die Feststellungen von Rantos und einen Teil der rechtlichen Analyse, die die vorläufige Erstattungspflicht unterstützt, die auf der offiziellen Website des Gerichtshofs verfügbar ist: Mitteilung der EU. Der vollständige Wortlaut der Stellungnahme des Generalanwalts findet sich auch in der Rechtsprechung des Gerichtshofes: Vollständiger Wortlaut der Stellungnahme.
Es ist wichtig, dies im Regulierungsrahmen zu platzieren: Die Richtlinie (EU) 2015 / 2366, die als PSD2 bekannt ist, regelt die Verpflichtungen von Zahlungsdienstleistern - einschließlich Banken - und die Rechte von Nutzern auf unbefugte Transaktionen. Die Richtlinie und deren Zweck können auf dem Portal der Europäischen Union über Zahlungsdienste gelesen werden: Erklärung des PSD2 in der Europäischen Kommission und der Rechtstext im EUR-Lex-Repository: Richtlinie (EU) 2015 / 2366.
Was bedeutet das in der Praxis für eine Person, die Phishing gelitten hat? Erstens, dass die anfängliche Vermutung zu Gunsten des Kunden sein würde: Wenn er die Operation als unberechtigt erklärt, sollte die Bank den Betrag unverzüglich an ihn zurückgeben, es sei denn, er hat klare Gründe zu glauben, dass dieser Kunde betrügerisch gehandelt hat. Zweitens schließt die anfängliche Erstattung die Sache nicht ab: wenn die Bank später nachweisen kann, dass der Kunde absichtlich oder mit ernste Fahrlässigkeit Ihre Sicherheitsdaten (z.B. durch bewusstes Teilen von Passwörtern) können Sie den Kunden verlangen oder verlangen, den Verlust anzunehmen; und, wenn der Verlust abgelehnt wird, müssen Sie vor Gericht gehen, um eine solche Rückerstattung zu erhalten.
Diese Balance - sofortige Rückerstattung mit der Möglichkeit der späteren Wiederherstellung - soll den Benutzer, der Opfer von immer anspruchsvolleren Techniken, ohne völlig überragende persönliche Verantwortung, wenn es Verhaltensweisen deutlich in Konflikt mit Sicherheitsverpflichtungen. In der Praxis wäre dies erforderlich, dass die Entitäten schnell auf Betrugsbeklagen reagieren und auch streng alle Gründe für den Verdacht des Verhaltens des Klienten dokumentieren, weil dieser Verdacht gemäß der vom Generalanwalt vorgeschlagenen Auslegung schriftlich an die nationale Behörde übermittelt werden muss.
Die Folgen für das finanzielle Ökosystem und die Betrugsbekämpfung können tiefgreifend sein. Für die Opfer ist der Vorteil offensichtlich: Geld zurückzugewinnen vermeidet schnell wirtschaftliche Not und verringert die unmittelbare Wirkung eines Betrugs. Für die Banken bedeutet die vorläufige Erstattungspflicht jedoch eine Erhöhung der Betriebskosten und die Notwendigkeit, ihre Vorfallerkennungs- und Analysefähigkeiten zu verbessern, um gegebenenfalls eine Nichterfüllung und anschließende Forderung rechtfertigen zu können. Für Betrug macht die Maßnahme es für Kriminelle schwierig, die Beute in nicht beanspruchten Konten auf unbestimmte Zeit zu halten, obwohl sie keine anfänglichen sozialen Engineering-Taktiken verhindert, die der Mehrheitsvektor der Betrügereien wie Phishing bleiben, nach europäischen Gremien, die das Phänomen studieren (siehe z.B. Europols Nachfolge bei Phishing: Europol: Phishing)
In der Praxis setzt dies auch zusätzlichen Druck auf Unternehmen, um in eine robustere Authentifizierung zu investieren und Maßnahmen, die verhindern, dass gestohlene Anmeldeinformationen unbefugte Transaktionen erlauben. Das PSD2 und die damit verbundenen technischen Standards haben bereits in die verstärkte Authentifizierung des Kunden investiert, aber die Interpretation des Generalanwalts verstärkt den Anreiz: Wenn die Bank die erste Reaktion ist, interessiert es sich, die Wahrscheinlichkeit eines betrügerischen Zugangs zu verringern.
Schließlich muß ein Verfahren und eine politische Frage betont werden: Die Meinung eines Generalanwalts ist nicht das letzte Wort. Der Gerichtshof hat für Recht erkannt und entschieden: Bis dahin ist die Stellungnahme von Rantos ein klares Zeichen dafür, wo der Gerichtshof hingehen könnte, aber kein Mandat mit sofortiger und einheitlicher Wirkung in der gesamten Union.
Diese Arten von Entscheidungen reformieren, wie das Risiko im digitalen Zeitalter zwischen Kunden und Banken geteilt wird. Das Ziel ist einfach und legitim: dass eine Person eine schnelle Antwort erhält und dass die Verantwortlichkeiten durch Beweise bestimmt werden, nicht durch die Trägheit des leeren Kontos. Das Urteil des TEU muss genau verfolgt werden, und in der Zwischenzeit muss daran erinnert werden, dass die Vorbeugung - nicht auf verdächtige Links, immer Überprüfung einer Bank-URL, die Authentifizierung in zwei Schritten und die Berichterstattung so bald wie möglich - die erste Barriere gegen Betrug bleibt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...