Die Implementierung virtueller Zahlungskarten, wie beispielsweise Apple Pay, durch Banken und Sparkassen mittels einfacher Bestätigung über das pushTAN-Verfahren wirft erhebliche Sicherheitsbedenken auf. Ein zentrales Problem besteht darin, dass viele Nutzer von Android-Geräten fälschlicherweise annehmen, nicht von Apple Pay betroffen zu sein. Diese Annahme kann dazu führen, dass sie Freigaben in ihrer pushTAN-App unkritisch bestätigen, ohne zu erkennen, dass sie damit die Einrichtung von Apple Pay autorisieren.
Ein konkreter Fall illustriert diese Problematik: Ein Bankkunde erhielt einen Anruf von einem vermeintlichen Bankmitarbeiter, der ihn aufforderte, eine pushTAN-Freigabe mit dem Hinweis „Registrierung Karte“ zu bestätigen. Ohne zu wissen, dass es sich dabei um die Aktivierung von Apple Pay handelte, autorisierte der Kunde die Anfrage. In der Folge wurden über 13.000 Euro mittels Apple Pay von seinem Konto abgebucht. Das Landgericht Köln entschied in diesem Fall zugunsten des Kunden und verurteilte die Bank zur Rückzahlung des Betrags, da der angezeigte Text in der pushTAN-App keinen eindeutigen Hinweis auf die Einrichtung von Apple Pay enthielt. citeturn0search5
Dieses Urteil verdeutlicht die Notwendigkeit klarer und verständlicher Informationen bei der Freigabe von Diensten wie Apple Pay. Der Hinweis „Registrierung Karte“ oder „Digitalisierung einer Karte“ ist nicht ausreichend, um den Kunden über die Tragweite seiner Zustimmung aufzuklären. Insbesondere Android-Nutzer könnten solche Hinweise missverstehen und unbewusst die Einrichtung von Apple Pay autorisieren, obwohl sie diesen Dienst nicht nutzen.
Daher sollten Banken und Sparkassen darauf verzichten, virtuelle Zahlungskarten allein durch eine einfache pushTAN-Bestätigung einzurichten. Stattdessen ist ein mehrstufiges Authentifizierungsverfahren erforderlich, das sicherstellt, dass der Kunde vollständig über den Prozess informiert ist und bewusst zustimmt. In der Folge muss der Kunde über die Transaktionen ebenfalls via push-Nachricht informiert werden. Nur so kann er kurzfristig überprüfen, ob er den Bezahlvorgang angestoßen hat und auf einen ggf. vorliegenden Missbrauch zeitnah reagieren
Nur so kann das Risiko von Betrug und unautorisierten Transaktionen minimiert werden.