Finanzbetrug: Gerichte weltweit definieren Haftung neu
10.06.2026 - 20:42:42 | boerse-global.de
Gerichte weltweit – von Indien über Europa bis in die USA – definieren neu, wann Banken zahlen müssen und wann Kunden selbst schuld sind. Der Treiber: immer raffiniertere Cyberangriffe und der Siegeszug der Künstlichen Intelligenz.
Indische Gerichte: Zwei Urteile, zwei Botschaften
Die indische Justiz sendet aktuell widersprüchliche Signale. Das Delhi High Court entschied am 9. Juni, dass Banken nicht automatisch haften, selbst wenn ein Kunde die Weitergabe eines Einmalpassworts (OTP) bestreitet. Wer auf dubiose Links klickt oder unbekannte Apps installiert, handle fahrlässig. Konkret ging es um einen Verlust von umgerechnet rund 3.000 Euro von einem Konto Anfang 2021. Das Gericht hob eine frühere Anordnung auf, die eine vollständige Rückerstattung verlangt hatte. Die Botschaft: Technische Untersuchungen sind unerlässlich, um zu klären, ob die Sicherheitslücke im Banksystem oder beim Kunden lag.
Anzeige: Die widersprüchlichen Urteile aus Indien und Europa machen es schwer, eine einheitliche Haftungslinie zu fahren. Wer jetzt nicht die PSD3-Echtzeitüberwachung und eine KI-Risikobewertung vorbereitet, riskiert Millionen-Rückzahlungen. Dieser Report liefert die entscheidenden Checklisten und Leitfäden. Jetzt kostenlosen Compliance-Report anfordern
Ganz anders urteilte am selben Tag die Verbraucherschutzkommission in Chandigarh. Sie verurteilte die Axis Bank zur Rückzahlung von umgerechnet etwa 1.100 Euro an einen Kunden. Die Bank hatte es versäumt, Beweise vorzulegen – weder den Nachweis der OTP-Zustellung noch Geräteprotokolle oder IP-Adressen, die eine Autorisierung der betrügerischen Transaktionen belegt hätten. Zusätzlich zur Rückzahlung muss das Institut Schadensersatz für Belästigung und Verfahrenskosten leisten.
Europa: Klick allein ist noch keine grobe Fahrlässigkeit
Auch in Europa verändert sich die Rechtslage. Bereits im April 2026 hatte das Oberlandesgericht Koblenz ein wegweisendes Urteil gefällt: Eine Bank muss einem Kunden über 56.000 Euro ersetzen, die er durch eine Phishing-Attacke verloren hatte. Das Gericht befand, dass das bloße Anklicken eines Aktivierungslinks nicht den Tatbestand der groben Fahrlässigkeit erfülle. Die Sicherheitslücke – so das Gericht – liege im Verantwortungsbereich des Instituts.
Regulierungsdruck: RBI greift bei KI durch
Die Aufseher reagieren auf die neuen Bedrohungen. Die indische Zentralbank (RBI) hat am 10. Juni eine Direktive erlassen: Alle Banken müssen bis Ende Juni eine vom Vorstand genehmigte Cyber-Risikobewertung für fortschrittliche KI-Modelle vorlegen. Besonders im Fokus stehen sogenannte „Frontier-KI"-Modelle wie Mythos. Die Institute müssen zeitgebundene Aktionspläne einreichen, die sicherstellen, dass der Einsatz dieser Tools die Bankeninfrastruktur nicht gefährdet.
In der Europäischen Union steht die finale Zustimmung zur Payment Services Regulation (PSR) und PSD3 kurz bevor. Die neuen Regeln verschärfen die Betrugsbekämpfung drastisch: Echtzeit-Transaktionsüberwachung wird Pflicht, und Banken müssen künftig prüfen, ob der Name des Empfängers mit der Kontonummer übereinstimmt, bevor eine Überweisung freigegeben wird. Nach Inkrafttreten haben die Institute 27 Monate Zeit für die vollständige Umsetzung.
Großbritannien: Neue Straftat für Unternehmen
Das Vereinigte Königreich geht mit seiner Betrugsstrategie 2026–2029 noch einen Schritt weiter. Sie führt einen neuen Straftatbestand ein: das Versäumnis, Betrug zu verhindern. Banken sollen nicht länger nur Opfer von Autorisierter-Zahlungsempfänger-Betrug (APP-Betrug) entschädigen, sondern proaktiv verhindern. Branchenberichte zeigen, dass die Pflicht zur Rückerstattung zwar im ersten Jahr umgerechnet über 200 Millionen Euro zurückbrachte – die Betrugsverluste aber mit umgerechnet über 740 Millionen Euro in der ersten Jahreshälfte 2025 weiterhin erschreckend hoch blieben.
Haftung erweitert: Tech-Konzerne und Telekom-Anbieter in der Pflicht
Die Verantwortung für Finanzbetrug beschränkt sich längst nicht mehr nur auf Banken. Am 8. Juni reichte der thailändische Verbraucherrat Zivilklagen gegen mehrere große Technologiekonzerne und neun Banken ein. Die Klage wirft den Plattformen vor, Anlagebetrug ermöglicht zu haben, der Opfer umgerechnet über sieben Millionen Euro kostete. Die Unternehmen hätten es versäumt, betrügerische Anzeigen und Chatgruppen ausreichend zu prüfen. Die erste Anhörung ist für den 3. August 2026 angesetzt.
Anzeige: Frontier-KI-Modelle wie Mythos werden von der RBI bereits reguliert – die EU wird folgen. Banken, die keine vom Vorstand genehmigte Cyber-Risikobewertung vorlegen, haften künftig persönlich. Unser Report zeigt, wie Sie Ihr Institut rechtssicher aufstellen. KI-Risikoanalyse-Tool jetzt sichern
Auch Telekommunikationsanbieter geraten ins Visier. Das Karnataka High Court verurteilte den Staatskonzern BSNL zur Zahlung von umgerechnet rund 66.000 Euro an eine Genossenschaftsbank. Hintergrund war ein SIM-Swap-Betrug Anfang 2019: BSNL hatte eine Duplikat-SIM-Karte ohne ausreichende Autorisierung ausgegeben. Betrüger konnten so OTPs abfangen und Gelder abfließen lassen. Das Urteil umfasst den verlorenen Kapitalbetrag plus Schadensersatz und erhebliche jährliche Zinsen.
Datenlecks: Millionen-Settlements für Drittanbieter
Selbst Software-Anbieter, die sensible Finanzdaten verarbeiten, bleiben nicht verschont. Am 5. Juni wurde vor einem US-Bezirksgericht ein Vergleich über umgerechnet rund 5,1 Millionen Euro eingereicht, um Ansprüche gegen den Software-Anbieter Doxim Inc. nach einem Datenleck Ende 2023 beizulegen. Der Fall unterstreicht die anhaltenden rechtlichen Risiken für Drittanbieter in der Finanzkette.
