Auf einen Blick
- SBB und Cembrapay haben eine Sicherheitslücke. Betrüger können leicht Konten erstellen
- Konsumentenschutz kritisiert Cembrapay für mangelnde Verantwortung und dominante Marktstellung
- Eine 450-Franken-Rechnung für gefälschte Zugtickets flatterte einem ahnungslosen Opfer ins Haus
Diese Sicherheitslücke bei den SBB und ihrem Partner Cembrapay ist für Betrüger wie ein verfrühtes Weihnachtsgeschenk. Reto Pfammatter* wurde Opfer der perfiden Masche, die Blick am Mittwoch aufgedeckt hat. Kriminelle haben nur mit seinem Namen und seiner Adresse ein SBB-Konto erstellt – alle anderen Angaben waren gefälscht. Mittels der Zahlungsmethode Cembrapay konnten sie so auf Pump Zugtickets kaufen. Die Rechnung über 450 Franken flatterte wenig später beim ahnungslosen Pfammatter ins Haus. «Ich bin immer noch fassungslos, was mir widerfahren ist», sagt er zu Blick.
«Bei einem neu lancierten Dienst wie Cembra – seit 2023 – darf so etwas schlichtweg nicht vorkommen», sagt Sara Stalder (58), Geschäftsleiterin des Konsumentenschutzes. Was sie besonders stört: «Cembrapay war sich dieser Problematik durchaus bewusst.» Tatsächlich schreibt die Zürcher Firma in den allgemeinen Geschäftsbedingungen (AGB): «Ausserdem übernimmt Cembrapay keine Haftung für Schäden, die aufgrund eines Datenmissbrauchs entstehen.»
Stalder: «Da wird die Verantwortung von diesem Finanzgiganten – verantwortungslos – auf die Kundschaft abgeschoben. Cembrapay wäre in der Pflicht, eine sichere Lösung anzubieten.» Dass sich die Firma aus der Verantwortung stehle, zeige auch, wie unantastbar sie sei. «Sie können sich das leisten, da sie eine dominante Stellung im Markt haben.»
Rechtsexperte gibt Tipps
Auch der Basler Anwalt Moritz Gall (49) ist sich sicher, dass Cembrapay und die Bundesbahnen die Sicherheitslücke schon länger kennen. «Eine Art Missbrauchsmarge wird von Cembrapay und in diesem Fall von den SBB bewusst in Kauf genommen. Sie wissen, dass es nicht sicher ist und Missbrauch geben wird.» Weil viele Betroffene letztlich trotzdem bezahlen, gehe die Rechnung am Ende auf. «Bewusste unternehmerische Risiken kann man einkalkulieren – aber sicher nicht zulasten der Konsumenten», findet Gall.
Rechtlich sei die Sachlage anders, als es Cembrapay den Opfern vorgaukle. Im Fall von Reto Pfammatter lief es so ab: «Cembrapay hat mich am Telefon indirekt bedroht: Ich müsse entweder eine Anzeige bei der Polizei erstatten oder die Rechnung selber bezahlen. Obwohl ich das Opfer bin, bin ich plötzlich in der Beweispflicht. Dass ich wegen eines Fehlers in deren System in eine solche Lage gerate, ist eine Unverschämtheit.»
Rechtsexperte Moritz Gall dazu: «Die Beweispflicht obliegt der Abrechnungsstelle – in diesem Fall also Cembrapay – und nicht der betroffenen Person.» Opfer müssen sich auch nicht auf längere Diskussionen einlassen, sagt er. «Wenn Cembrapay den Beweis nicht erbringt, werden sie mit ihrer Geldforderung vor Gericht nicht durchkommen. Das weiss das Unternehmen aber auch – und wird es gar nicht so weit eskalieren lassen», meint Gall.
Was tun die SBB jetzt?
Klar ist: Die SBB versuchen nun, die Sicherheitslücke zu schliessen. Man sei mit Cembrapay in Kontakt, damit «raschmöglichst Massnahmen ergriffen werden», richtet ein Sprecher am Donnerstag auf Blick-Nachfrage aus. Wie diese konkret aussehen? Da halten sich die SBB bedeckt. Man wolle kommunizieren, wenn die Massnahmen festgelegt seien.
Ein Rauswurf von Cembrapay ist für die Bundesbahnen indes noch gar keine Option – weil sie rechtlich an die Zusammenarbeit gebunden sind. Der Sprecher dazu: «Die SBB haben einen laufenden Vertrag mit Cembrapay.»
* Name von der Redaktion geändert