Die bevorstehende Instant Payments Verordnung stellt die europäischen Banken vor neue Herausforderungen, da sie bis Ende 2024 in der Lage sein müssen, Instant Payments zu empfangen sowie bis Q3 2025 zu senden. Während die Schnelligkeit von Instant Payments viele Vorteile für Kunden, Banken und andere Zahlungsdienstleister bietet, verkürzen sie die Transaktionsverarbeitungszeit in den Zahlungssystemen und erhöhen das Betrugsrisiko, da die Zahlungen unwiderruflich und sofort abgewickelt werden. Daher lohnt es sich, die Rolle der Betrugssysteme zu analysieren, die als Teil der Systemkette in der Regel nur einen Bruchteil einer Sekunde Zeit haben, um eine endgültige Betrugsentscheidung zu treffen. Als Teil der Verordnung soll die obligatorische Verifizierung des Zahlungsempfängers (Verification of Payee, VoP) die Sicherheit von Instant Payments erhöhen. In diesem Artikel gehen wir kurz darauf ein, warum die Verifizierung des Zahlungsempfängers zwar Vorteile bietet, aber keine Lösung für alle Arten von Betrug darstellt und warum dessen Implementierung durch zusätzliche Betrugsbekämpfungsmaßnahmen ergänzt werden sollte.
Verification of Payee: Ein wichtiger erster Schritt
Das Verification of Payee (VoP)-Scheme zielt darauf ab, sicherzustellen, dass Zahlungen vom Auftraggeber an den beabsichtigten Empfänger gesendet werden. Dieses neue Scheme, das in Zukunft verpflichtend sein wird, befindet sich derzeit in der Konsultationsphase des EPC. Es wird erwartet, dass das endgültige Regelwerk für das VoP-Scheme im September 2024 veröffentlicht wird, wobei Banken nur bis Ende 2025 Zeit für die Umsetzung haben. VoP kann besonders wirksam gegen Betrugsschemata wie Zahlungsumleitungen sein, bei denen Betrüger entweder Rechnungen umleiten oder sich als Empfänger ausgeben. Dies reduziert nicht nur die Wahrscheinlichkeit von Zahlungsausfällen, sondern kann auch das Vertrauen in A2A (Konto-zu-Konto) Zahlungen stärken.
In Ländern wie den Niederlanden und dem Vereinigten Königreich, wo bereits ein “Confirmation of Payee”-Service (analog zum VoP) existiert, konnte insbesondere der Betrug durch Zahlungsumleitungen reduziert werden. Es ist jedoch entscheidend zu verstehen, dass Verification of Payee allein nicht ausreichend ist, um den sich ständig ändernden Taktiken von Betrügern entgegenzuwirken. Daher sollte VoP, obwohl es einen positiven Schritt zur Verbesserung der Betrugsprävention darstellt, als erster Schritt in einer umfassenderen Strategie gesehen werden.
Antworten auf die neuen Betrugsherausforderungen
Bisher war es möglich, verdächtige SEPA-Zahlungen anzuhalten und manuell zu prüfen, ohne das Zahlungserlebnis des Kunden zu beeinträchtigen. Bei Instant Payments ist dieser Ansatz jedoch nicht mehr umsetzbar. Bei erfolgreichen Instant Payments muss das Geld innerhalb von 10 Sekunden auf dem Konto des Empfängers gutgeschrieben sein, was eine Rückforderung erschwert. Das Betrugspräventionssystem hat folglich nur einen Bruchteil einer Sekunde Zeit hat, um eine Zahlung als “verdächtig” oder “nicht verdächtig” zu klassifizieren. Dies stellt insbesondere für Banken, die diese Prozesse noch über Nacht in Batchverfahren durchführen, eine Herausforderung dar.
Banken stützen sich bei der Betrugsprävention auf vorhandene Datenpunkte, die auf den Eigenschaften und Verhaltensweisen ihrer Kunden basieren. Dazu gehören Daten auf der Auftraggeberseite (wie IP-Adresse, Uhrzeit usw.), Merkmale vergangener Betrugsfälle und Informationen über gewöhnliche und ungewöhnliche Verhaltensmuster des eigenen Kunden. Dies bietet jedoch nur Einblick in eine Seite der Transaktion und ist daher nicht ausreichend, um ein umfassendes Bild vom Betrugsrisiko zu erhalten.
Wie können Banken sich nachhaltig aufstellen?
Um die mit Instant Payments verbundenen Herausforderungen zu meistern und schnell fundierte Entscheidungen treffen zu können, ist es für Banken unerlässlich, einen umfassenden Überblick zu erlangen, indem sie qualitativ hochwertige Daten und zusätzliche Informationen von der Empfängerseite nutzen. Dies können Banken nur gemeinsam erreichen, indem sie in diesem nicht kompetitiven Betrugsumfeld zusammenarbeiten.
Diesbezüglich gibt es bereits vielversprechende Entwicklungen auf dem europäischen Markt. EBA CLEARING hat in Zusammenarbeit mit seinen Teilnehmerbanken die Fraud Pattern and Anomaly Detection (FPAD) -Funktionalität entwickelt. Diese Funktionalität verspricht den Banken erweiterte Netzwerk-Einblicke, insbesondere zum Betrugsrisiko auf Empfängerseite, zu liefern, was diesen ganzheitlichen Überblick schaffen könnte. Ein solcher Netzwerkansatz ist neu für A2A-Zahlungen am europäischen Markt und könnte Banken nachhaltig unterstützen, qualifiziertere Betrugsentscheidungen in Echtzeit zu fällen und das Vertrauen in Instant Payment zu stärken.
Autoren: Oliver Maskus und Alois Brügge
