Ich habe im Forum über mehrere Themen verstreut verschiedene Informationen dazu gefunden. Ich fasse diese nachfolgend zusammen und habe dazu dann noch Fragen.
Kontaktloses Bezahlen mittels NFC Chip ohne PIN geht nur bis zu einem Kleinbetrag i.H.v. insgesamt 25 Euro (Limit der Consorsbank). Ist der Betrag ausgegeben, muss man bei der nächsten Zahlung die PIN eingeben, reaktiviert so das Limit und kann erneut 25 Euro kontaktlos bezahlen (usw).
Das System funktioniert also ähnlich wie eine Geld- oder Prepaidkarte mit diesem Betrag, d.h. ist der Betrag alle, muss man die Karte wieder "aufladen".
VISA selbst nennt hier jedoch ein Limit von 50 Euro.
Außerdem soll es wohl möglich sein, dass Händler auch größere Beträge ohne PIN oder Unterschrift kontaktlos abbuchen, in dem Fall soll das Risiko für die Zahlungsausführung jedoch beim Händler liegen.
Daraus ergeben sich für mich folgende Fallkonstellationen und Fragen:
1. Ein Händler akzeptiert mehr als 25 Euro aber weniger als 50 Euro ohne PIN oder Unterschrift kontaktlos. Hier handelt es sich um das von VISA garantierte 50€-Limit.
Führt die Consorsbank diese Abbuchung aus? Und falls ja: kann ich als Kunde dieser Abbuchung erfolgreich widersprechen, sofern sie unrechtmäßig war?
2. Ein Händler akzeptiert mehr als 25 bzw. 50 Euro ohne PIN oder Unterschrift kontaktlos:
Führt die Consorsbank diese Abbuchung aus? Und falls ja: kann ich als Kunde dieser Abbuchung erfolgreich widersprechen, sofern sie unrechtmäßig war?
3. Es gelingt einem Angreifer, im Gedränge den NFC Chip auszulesen und im Weiteren unrechtmäßig Geld abzubuchen bzw. zu bezahlen. Wer haftet (ggf. bis zu welchem Betrag)? Und wie weise ich nach (auch in den Fällen 1 und 2), dass die Zahlung nicht von mir autorisiert war (sofern die bloße Aussage nicht reicht)?
1. Das wird nicht passieren, Zahlungen über 25€ werden erst ausgeführt wenn sie mittels PIN autorisiert worden sind.
2. siehe "1."
3. - Wenn man eine Visa Card, bspw. mit einer speziellen Mobile App, via NFC ausliest, erhält man lediglich die Kreditkartennummer und das Ablaufdatum. Name und CVC sind auf diese Weise nicht auslesbar und somit könnte ein potentieller Dieb mit den Daten i.d.R. gar nichts anfangen.
- Abhebungen sind ohnehin nur mittels PIN möglich, die natürlich ebenfalls nicht auslesbar ist.
- Außer bei grober Fahrlässigkeit haftet immer die Bank wenn ihre Sicherheitsmechanismen ausgehebelt werden - die Bank ist für die Sicherheit ihrer Produkte zuständig, nicht der Kunde.
- Die Beweislast liegt im Betrugsfall bei der Bank.
Ihre Antworten zu 1.und 2. haben leider keinen Bezug zu den von mir geschilderten Fallkonstellationen.
Und Ihre Antwort zu 3. zur Bankenhaftung ist erkennbar falsch.
Vielleicht antwortet mal ein Mitarbeiter der Consorsbank, denn nur dort wird man diese Fragen anhand interner Informationen korrekt und rechtssicher beantworten können.
(...)Ihre Antworten zu 1.und 2. haben leider keinen Bezug zu den von mir geschilderten Fallkonstellationen.(...)
Doch, da Sie aber offenbar nicht wissen wie eine solche Zahlung funktioniert, erkennen Sie ihn nicht. Ich erkläre es mal vereinfacht: Das Limit ist auf Ihrer Karte gespeichert, bei Zahlungen über 25€ wird vom Terminal automatisch die PIN abgefragt, folglich kann der Händler dies nicht akzeptieren - er erhält sonst gar keine Zahlung. Ergo wird dies nicht geschehen.
(...)Und Ihre Antwort zu 3. zur Bankenhaftung ist erkennbar falsch.(...)
Wenn Sie schon meine Antwort als falsch bezeichen, seien Sie doch bitte zumindest so nett und teilen mir mit, was Sie daran für falsch halten.
In dem von Ihnen geschilderten Szenario "nachweislicher Kreditkartenbetrug in Folge von Datendiebstahl via NFC-Schnittstelle" trägt die Bank dafür die volle Verantwortung. Die gesetzliche Haftungsgrenze gilt hier nach meiner Rechtsauffassung nicht, da es nicht in der Sphäre des Kunden liegt - es gibt keine Pflicht bspw. seine Karte abzuschirmen oder permanent jedem Passanten mit Handy entsprechend auszuweichen. Diesen Sachverhalt müssten Sie allerdings schon beweisen können. Generell gilt aber im Betrugsfall: "Kann sie diesen Nachweis nicht führen, muss die Bank den abgebuchten Geldbetrag dem Kunden erstatten. (Az.: 242 C 28708/08)." Die neue gesetzliche Haftungsgrenze bei Missbrauch von Bank- und Kreditkarten beträgt seit Januar 2018 50€.
(...)Vielleicht antwortet mal ein Mitarbeiter der Consorsbank, denn nur dort wird man diese Fragen anhand interner Informationen korrekt und rechtssicher beantworten können.(...)
Wenn Sie ausschließlich Antworten von Mitarbeitern wünschen, sollten Sie vielleicht den telefonischen Kundenservice anrufen oder einen Brief, evtl. mit der Bitte um Weiterleitung an die entsprechende Fachabteilung, an die Consorsbank senden. Eine Community ist dann evtl. nicht der richtige Ort für Sie.
Hallo @The4Apes,
vielen Dank für Ihren Beitrag zum Thema kontaktloses Bezahlen mittels NFC und die damit verbundenen Anfragen.
Kontaktloses Bezahlen mit Visa basiert auf dem derzeit höchsten verfügbaren Sicherheitsstandard – der internationalen EMV-Technologie. Nach der Einführung von kontaktlosen Zahlungen hat Visa Europe von seinen Mitgliedsbanken keine Meldungen über einen Anstieg der Betrugsfälle erhalten.
Der Vergleich mit einer Geld- oder Prepaidkarte ist nicht korrekt. Auf die Visakarte wird kein Geldbetrag geladen (=prepaid).Die Kontaktlos-Transaktionen werden immer gegen das Girokonto bzw. Kreditkartenkonto verrechnet. Die Pin-Eingabe definiert nur, dass ab diesem Zeitpunkt wieder kleine Beträge bis 25€ per NFC bezahlt werden können.
Visa hat dieses Limit von 25€ auf 50€ erhöht, jedoch kann die zugelassene kumulierte Summe von Bank zu Bank unterschiedlich definiert sein.
zu Ihren Fallbeispielen:
1. Wenn ein Händler mehr als 25€ aber weniger als 50€ kontaktlos akzeptiert, ist dies eine reguläre Kontaktlos-Transaktion. Wurde diese ordnungsgemäß und positiv bestätigt, führt die Consorsbank diese Abbuchung aus.
2. Akzeptiert ein Händler Beträge größer als 25€ bzw. 50€ kontaktlos, werden diese Abbuchungen ebenfalls durchgeführt, wenn diese ordnungsgemäß und positiv bestätigt wurden. Sofern ein Betrag nicht autorisiert wurde, können Sie den Umsatz bei der Consorsbank reklamieren. Die Beweispflicht liegt beim Händler. Kann der Händler die positive Autorisierung nicht beweisen, muss der Umsatz erstattet werden.
3. Die beschriebene Situation, dass ein Unbefugter im Gedränge die Chip-Daten ausliest und erfolgreich weiter verwendet, ist der Consorsbank in der Praxis nicht bekannt. Die Kommunikation zwischen Karte und Kartenleser erfolgt über Nahfunktechnologie. Sie findet nur dann statt, wenn die Karte sehr nah – maximal 4 cm entfernt – an den Kartenleser gehalten wird. Versehentliche Zahlungen im Vorbeigehen sind somit ausgeschlossen. Sollte das dennoch erfolgreich geschehen, kann ein max. Schaden bis 25€ oder 50 € (je nach Terminaleinstellung) ohne PIN entstehen. Hier haftet jedoch nicht der betroffenen VISA Karteninhaber. Sollte es zu einem Abgriff der Daten kommen, ist der Consorsbank bzw. Visa bekannt, vom welchen Gerät der Chip ausgelesen wurde
Ich hoffe, ich konnte ihre Fragen ausreichend beantworten.
Viele Grüße
CB_Susan
Community-Moderatorin
(...)"1. Wenn ein Händler mehr als 25€ aber weniger als 50€ kontaktlos akzeptiert, ist dies eine reguläre Kontaktlos-Transaktion. Wurde diese ordnungsgemäß und positiv bestätigt, führt die Consorsbank diese Abbuchung aus.
2. Akzeptiert ein Händler Beträge größer als 25€ bzw. 50€ kontaktlos, werden diese Abbuchungen ebenfalls durchgeführt, wenn diese ordnungsgemäß und positiv bestätigt wurden. Sofern ein Betrag nicht autorisiert wurde, können Sie den Umsatz bei der Consorsbank reklamieren. Die Beweispflicht liegt beim Händler. Kann der Händler die positive Autorisierung nicht beweisen, muss der Umsatz erstattet werden. "(...)
Von einem Mitarbeiter eines anderen Kreditinstitutes wurde mir mitgeteilt, dass jede Bank das Limit (25€ oder 50€) selbst festlegt, es auf dem EMV-Chip der Karte gespeichert ist und gar nicht überschritten werden kann. Jetzt sagen Sie die Grenze bestimmt der Händler? Kontaktlose Zahlungen sind also in der Höhe überhaupt nicht bzw. nicht mehr begrenzt und allein Entscheidung des Händlers bzw. des Acquirers?
Hallo @Herr_von_Bpunkt
nach meinen Informationen ist auf der Karte kein Limit hinterlegt.
Hallo @CB_Susan
leider scheinen Sie meinen Beitrag nur teilweise gelesen zu haben.
Natürlich ist der Vergleich mit einer Geld- oder Prepaidkarte in Bezug auf das Limit korrekt und nur darauf habe ich mich bezogen.
Sie haben im Weiteren auch nicht die von mir geschilderte Fallkonstellation beachtet, denn diese basiert darauf, das bei der Zahlung von Kleinbeträgen gerade keine Bestätigung bzw. Autorisierung erforderlich ist, bzw. diese vom Händler umgangen wird.
Das Umgehen der PIN-Bestätigung bei überschreiten des Limits wäre allerdings dann nicht möglich, wenn die Karte selbst das Limit vorgibt und dazu die Transaktionen speichert, oder dieses über die Kommunikation mit der Bank beim Zahlungsvorgang erfolgt.
Wie das bei der Consorsbank ist, ist mir jedoch nicht bekannt.
Was Ihre Antwort zu 3. betrifft: Wenn es einem Angreifer gelingt, die Daten erfolgreich auszulesen und weiter zu verwenden, dann dürfte genügend technischer Sachverstand vorliegen, mit welcher der Angreifer seine Identität verschleiern kann. Natürlich erfahren Sie, bei welchen Händlern die Kartendaten missbräuchlich verwendet wurden.
Mir als Kunde bleibt in diesem Fall nur, die Karte bei Verdacht auf Missbrauch sperren zu lassen und mir entsteht gegebenenfalls ein Schaden von 50€.
Hallo @The4Apes, so wurde es mir von meinem Bankberater (anderes Institut) erklärt. In der Praxis habe ich es auch noch nicht erlebt, dass mit der "Fremdbank Visa" oder meiner CB Visa Beträge über 25€ kontaktlos abgewickelt worden sind.
Was ich auch noch nicht erlebt habe ist, dass ich mit meinen NFC Visa Cards die PIN eingeben muss bei Beträgen unter 25€, auch nicht wenn ich schon mehrmals hintereinander Kleinbeträge mit den den Karten bezahlt habe. Ich kenne es nur von den neuen girocard kontaktlos, dass nach 5 Zahlungen die PIN eingegeben oder die Karte sogar gesteckt werden muss. Wie hoch ist denn die besagte kumulierte Summe bei der CB @CB_Susan?
Hallo liebe Community,
da ich der Ansicht bin, dass meine Kollegin CB_Susan bereits auf alle Fallbeispiele ausreichend eingegangen ist, fasse ich abschließend noch einmal wie folgt zusammen:
Limits:
Die Consorsbank begrenzt seine Kartenzahlungen per NFC-Funktion auf ein Limit von 25,00 EUR pro Transaktion. VISA hat hier wiederum ein eigenes Akzeptanzlimit in Höhe von 50,00 EUR. Unabhängig dieser Limits akzeptieren einige Händler auch größere Beträge ohne PIN oder Unterschrift über eine entsprechende Terminal-Steuerung und „unterdrücken“ die Bank- oder VISA-seitig vorgegebenen Limits. Das Risiko der Ausführung dieses Umsatzes liegt somit allerdings beim Händler.
Natürlich sollte sich der Händler, auch in eigenem Interesse, an die vorgegebenen Regelungen zu Limits halten. Auf die angesprochenen Einstellungen bzw. „Unterdrückung“ des Limits des jeweiligen Terminals hat die Consorsbank aber keinerlei Einfluss. Wie bereits erwähnt, liegt das Risiko für die Zahlungsausführung beim Händler.
Reklamation bei Missbrauch:
Bei einem unberechtigten Umsatz per NFC-Funktion, unabhängig der Limits, haben Sie also die Möglichkeit, diesen Umsatz bei uns zu reklamieren. Die Beweispflicht liegt beim Händler. Kann der Händler die positive Autorisierung nicht beweisen, muss der Umsatz erstattet werden. Hier haftet also nicht der betroffene Karteninhaber.
Ich möchte noch einmal betonen, dass der Consorsbank in der Praxis bisher kein erfolgreiches Auslesen und Verwenden von Chip-Daten durch Angreifer bekannt ist. Sollte dies in der Zukunft dennoch geschehen, kann ein maximaler Schaden in Höhe von 25,00 EUR bis 50,00 EUR, bei Einhaltung der Limits, ohne PIN entstehen. Hier haftet jedoch wie bereits erwähnt nicht der VISA-Karteninhaber.
Wir gehen davon aus, dass nun auch die letzten Unklarheiten beseitigt werden konnten.
Viele Grüße
CB_Mine
Community-Moderatorin
Hallo @CB_Mine,
Also - Kontaktlos-Limit der CB = 25€, von Visa = 50€, die Akzeptanzstelle kann aber beide Limits auf eigenes Risiko "ignorieren". Letzteres war mir neu, aber man lernt ja nie aus.
Aber wie verhält es sich denn nun mit den "kumulierten Beträgen"? Ab welcher angesammelten Summe wird denn bei regulären kontaktlosen Zahlungen die PIN abgefragt?