Kreditkartenbesitzer können unverschuldet in die Situation kommen, daß ihre Kreditkarte mißbräuchlich für Online-Shopping verwendet wird. Da im Allgemeinen die Angabe von Name sowie Kreditkartennummer genügt, ist Einkaufen auf Kosten anderer kein Problem. Mittlerweile gibt es auch schon eigene Programme, die gültige, wenn möglicherweise auch fiktive, Kreditkartennummern errechnen.
Im Allgemeinen gelten bei allen Kreditkartenunternehmen sinngemäß gleiche AGB, wobei auszugsweise die von Europay Austria angeführt werden sollen:
10.1 Der KI ist verpflichtet, die Karte sorgfältig und von der PIN, die geheim zu halten ist, getrennt zu verwahren. Keine sorgfältige Verwahrung stellt insbesondere das Zurücklassen der Karte in einer Weise dar, daß Dritte an ihr ohne erheblichen Aufwand unbefugt Gewahrsame erlangen können. Der ungesicherte/unverschlüsselte Transport der Kartendaten über frei zugängliche Datennetze gilt gleichfalls nicht als sorgfältige Verwahrung. Der KI (Anm.: Karteninhaber) ist nicht berechtigt, die Karte oder Kartendaten an Dritte weiterzugeben, und haftet in diesem Fall für das Verhalten des Dritten. Bei der Verwendung der PIN ist darauf zu achten, daß diese nicht von Dritten ausgespäht werden kann. Verletzt der KI diese Obliegenheiten, kann er sich nicht auf die Haflungsbefreiung des Punktes 10.3. berufen.
10.3. Nach dieser Verständigung EPAs (Anm.: Europay Austria) haftet der KI nicht für den Ersatz von Schäden aus einer mißbräuchlichen Verwendung der Karte. Für den Ersatz solcher Schäden, die bis zur Verständigung EPAs entstanden sind, haftet der KI, unbeschadet der Bestimmung des Punktes 10.4., nur bis zu einem Betrag von ATS 1.000,-.
Wie zu ersehen ist muß klar differenziert werden wie Dritte an fremde Kartendaten kommen. Kann eine sorgfältige Verkahrung der Kartendaten gegenüber dem Kreditkartenunternehmen glaubhaft gemacht werden. so haftet das Kreditkartenunternehmen für fälschliche Belastungen des Kontos vom Karteninhaber. Sollte sich der Karteninhaber jedoch nachweislich einmal dem Risiko ausgesetzt haben, ungesichert Informationen Karteninformationen verschickt zu haben, so kann ihm das teuer zu stehen kommen wenngleich auch in solchen Fällen eine Obergrenze, bei EPA in der Höhe von ATS 15.000,- pro Abrechnungszeitraum festgelegt wird.
Die Haftungsbedingungen bei Mißbrauch für die am meisten verbreiteten Kreditkarten läßt sich wie folgt zusammenfassen. American Express publiziert leider nicht ihre AGBs, damit diese in diesen Vergleich mit eingehen können.
| Mastercard | Visa | Diners Club | |
| Haftungsverlust bei ungesicherter Übermittlung von Kartendaten | Ja | Ja | Ja |
| Haftungsverlust bei gesicherter Übermittlung von Kartendaten | k.A. bei Verwendung von SET sicher nicht |
k.A. bei Verwendung von SET sicher nicht |
Grundsätzlich ja (außer wenn Anbieter von Diners Club nicht explizit dafür zugelassen wurde) |
| Beweislast bei Mißbrauch liegt bei | Karteninhaber | Karteninhaber | Diners Club |
| max. Haftung bei Einhaltung der Sorgfaltspflichten des KI [ATS] | 1.000,- | 1.000,- | 500,- |
| Unterstützung von SET | Ja | Ja | k.A, daher Nein |
Mastercard sowie Visa bieten mittlerweile das System SET zum sicheren Online-Einkauf an. Hierbei ist es nicht mehr notwendig die Kreditkartennummer anzugeben. Persönliche Zahlungsinformationen werden im Netz nur mehr verschlüsselt übertragen. Zwar wird die Kartennummer nur durch eine eigene SET-Nummer ersetzt, aber durch die Errichtung einer PKI soll fälschungssicheres Bestellen ermöglicht werden. SET ist sicherlicher ein guter Ansatz zu sicherem Online-Handel jedoch finden sich nur sehr wenige Portale, bei denen über SET auch abgerechnet werden kann.