Immer mehr Gerichte in Europa und Asien verpflichten Geldinstitute zur schnellen Erstattung von Phishing-Schäden – doch es gibt auch Grenzen.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. 7 psychologische Schwachstellen jetzt entlarven
Belgien: Banken müssen zahlen – und dann erst prüfen
Ein wegweisendes Urteil aus Antwerpen sorgt für Aufsehen. Anfang Juni entschied ein Richter, dass Banken Opfer von Phishing-Betrug sofort entschädigen müssen. Konkret ging es um ein älteres Ehepaar, das 50.000 Euro an Betrüger verloren hatte. Das Gericht stellte klar: Die Institute müssen gestohlene Gelder zunächst zurückerstatten. Erst danach dürfen sie rechtlich gegen den Kunden vorgehen – und das auch nur, wenn ihnen der Nachweis grober Fahrlässigkeit gelingt.
Der belgische Verbraucherschutzminister Rob Beenders reagierte prompt: Er forderte von der Bankenbranche klarere und transparentere Kriterien für solche Fälle. Das Urteil steht im Einklang mit der jüngeren Rechtsprechung des Europäischen Gerichtshofs.
Spanien: Beweislast liegt bei den Banken
Auch in Spanien dreht sich der Wind. Die Gerichte verlagern die Beweislast zunehmend auf die Finanzinstitute. Mehrere Geldhäuser wurden bereits zur Rückzahlung verurteilt – die Summen reichen von 700 Euro bei der Unicaja bis zu stattlichen 83.000 Euro bei der Ibercaja. Auch Triodos Bank und ING mussten für nicht autorisierte Transaktionen haften.
Der spanische Oberste Gerichtshof hat klargestellt: Banken müssen nachweisen, dass eine Transaktion ordnungsgemäß authentifiziert wurde und kein Sicherheitsversagen vorlag. Gelingt ihnen das nicht, haften sie.
Indien: Wer auf Phishing-Links klickt, haftet mit
Doch die Haftung ist nicht grenzenlos. Ein Urteil des Delhi High Court vom 29. Mai 2026 zeigt die Kehrseite der Medaille. Ein Informatikprofessor hatte 260.000 Rupien (rund 2.900 Euro) verloren, nachdem er auf verdächtige Links geklickt hatte. Das Gericht wertete dies als Fahrlässigkeit und sprach die State Bank of India von der Haftung frei.
Die Begründung: Es gab keine Hinweise auf einen Systemeinbruch, und die Bank hatte das Konto nach der Meldung umgehend eingefroren.
Deutschland: Versicherung muss nicht zahlen
Ein aktuelles Urteil des Amtsgerichts Bernau vom 4. Juni 2026 beschäftigt sich mit der Frage, wann die Hausratversicherung bei Cyberbetrug einspringen muss. Der Fall: Ein Kunde hatte freiwillig seine IBAN und Kreditkartendaten in einem Chat preisgegeben und anschließend eine Zahlung in seiner Banking-App bestätigt.
Das Gericht entschied: Die Versicherung muss nicht zahlen. IBAN und Kreditkartennummern gelten nicht als vertrauliche Zugangsdaten. Der Verlust sei die direkte Folge der eigenhändigen Autorisierung der Zahlung durch den Nutzer.
Philippinen: Neues Gesetz zwingt Banken in die Pflicht
Die Philippinen gehen mit einem neuen Gesetz gegen den wachsenden Betrug per Social Engineering vor. Der „Anti-Financial Account Scamming Act“ (Republic Act 12010) verpflichtet Banken zur Rückerstattung, wenn sie keine ausreichenden Risikomanagement-Systeme vorweisen können. Transaktionen aus Social-Engineering-Maschen gelten künftig als streitig – die Institute müssen die betroffenen Gelder vorübergehend einfrieren, bis die Ermittlungen abgeschlossen sind.
Indien: Neue Sicherheitshürden für Überweisungen
Auch die indische Aufsicht reagiert. Die National Payments Corporation of India (NPCI) führt verschärfte Sicherheitsfunktionen für die Unified Payments Interface (UPI) ein. Künftig sollen vor der Bestätigung einer Zahlung die verifizierten Namen der Empfänger angezeigt werden. Bei größeren Beträgen ist zusätzlich zur PIN eine weitere Authentifizierung nötig – etwa per Fingerabdruck oder Geräteverifizierung.
EZB warnt vor KI-gesteuerten Angriffen
Die Europäische Zentralbank sieht neue Gefahren am Horizont. Frank Elderson, Mitglied des EZB-Direktoriums, kündigte diese Woche an, dass die Aufsicht eine formelle Mitteilung an die Banken des Euroraums herausgeben werde. Ziel: Die Institute sollen praktische Abwehrmaßnahmen gegen KI-gestützte Angriffe entwickeln.
Angesichts der Rekord-Schäden durch Cyberkriminalität setzen immer mehr Unternehmen auf gezielte Awareness-Kampagnen. Experten erklären in diesem kostenlosen Paket, wie Sie Ihr Unternehmen in 4 Schritten effektiv vor Phishing-Angriffen schützen. Kostenloses Anti-Phishing-Paket herunterladen
Solche Attacken können Sicherheitslücken in atemberaubendem Tempo ausnutzen. Elderson warnte: Während große Häuser womöglich die Ressourcen für eine Anpassung hätten, stünden kleinere Banken vor enormen Herausforderungen. Die strategische Bedrohung durch Künstliche Intelligenz wachse rasant – und mit ihr der Druck auf die gesamte Finanzbranche.
