Bekämpfung von Instant-Payment-Betrug in der EU

Die Finanzbranche bewegt sich rasant in Richtung Instant Payments – in der EU wurden 2023 7,6 Milliarden Instant Payments getätigt, und bis 2028 wird ein Anstieg auf nahezu 21,2 Milliarden erwartet. Doch das hohe Tempo bringt neue Betrugsrisiken mit sich, denen Banken und Zahlungsdienstleister (PSPs) in der EU rasch begegnen müssen.

Bereits jetzt beobachten Betrugsteams besorgniserregende Trends. Autorisierte Push-Zahlungsbetrugsfälle (APP Fraud) nehmen in Europa stark zu, mit Schäden von bis zu 2,4 Milliarden Euro und jährlichen Wachstumsraten von bis zu 25 %. Auch die Kundenserviceteams haben es zunehmend mit betrugsbezogenen Beschwerden zu tun.

Letztlich erwarten Privatpersonen und Unternehmen denselben Schutz, den sie vom traditionellen Bankwesen gewohnt sind – auch wenn Geldtransfers statt Tagen nur noch Sekunden dauern. Doch das Gleichgewicht zwischen Geschwindigkeit und Sicherheit herzustellen, ist eine Herausforderung.

In diesem Artikel beleuchten wir die wichtigsten Betrugsrisiken bei Instant Payments und zeigen, wie Banken und PSPs ihre Kund:innen schützen und gleichzeitig ein exzellentes Kundenerlebnis bieten können.

Heutige Betrüger kombinieren Social Engineering mit raffinierten Phishing-Angriffen, um Zahlungsverkehrssysteme von Banken und PSPs auszunutzen. Sie verschicken täuschend echte E-Mails und SMS, um an persönliche Daten zu gelangen, erschaffen gefälschte Identitäten und nutzen psychologische Manipulation, um Sicherheitsmechanismen wie Einmalpasswörter zu überwinden. Oder sie setzen KI ein, um gezielte Angriffe auf Basis von Social-Media-Daten zu starten.

Der Schaden ist enorm: Über 1 Milliarde Euro betrügerischer Kredittransfers wurden allein im ersten Halbjahr 2023 von PSPs innerhalb der EU und EWR durchgeführt. Im gleichen Zeitraum belief sich der Kartenbetrug auf 633 Millionen Euro.

Während die Verluste durch Betrug weiter steigen, nimmt die Nutzung von Instant Payments noch schneller zu. Bis 2027 sollen knapp 28 % aller weltweiten elektronischen Zahlungen in Echtzeit verarbeitet werden. Und mit inzwischen über der Hälfte der europäischen E-Commerce-Umsätze über Smartphones finden Betrüger ständig neue Angriffsmöglichkeiten.

Die Herausforderung für Banken und PSPs besteht darin, ihre Maßnahmen zur Betrugsprävention schnell genug zu verstärken, um mithalten zu können.

Die Vorteile von Instant Payments für Kund:innen sind gleichzeitig attraktiv für Betrüger: Geld bewegt sich in Sekunden, ist sofort verfügbar und Zahlungssysteme laufen rund um die Uhr. Das sind ideale Bedingungen für Betrug zu jeder Tageszeit.

Banken und PSPs stehen vor drei Hauptproblemen:

• Weniger Zeit zur Betrugserkennung: Zahlungen werden in weniger als 10 Sekunden abgewickelt, sodass Betrugserkennungssysteme extrem schnell arbeiten müssen.
• Keine Möglichkeit zur Rückholung von Geldern: Das Geld kann nach Abschluss der Zahlung sofort abgehoben werden – eine Rückholung ist fast unmöglich.
• Internationale Komplexität: Länderübergreifende Instant Payments müssen verschiedene Regularien beachten (z. B. widersprüchliche Prüfanforderungen), was die Betrugsprävention erschwert.

Da 2023 die meisten Kartenbetrugsfälle (71 % des Gesamtwerts) sowie ein großer Anteil der Kredittransfers (43 %) und Lastschriftbetrugsfälle (47 %) grenzüberschreitend waren, ist dies ein besonders schwieriges Problem.

Geldmule bedeutet, dass Personen ihr Bankkonto (wissentlich oder unwissentlich) zur Weiterleitung gestohlener Gelder zur Verfügung stellen. „Muling“ ist inzwischen ein zentrales Element moderner Finanzkriminalität und ermöglicht Betrügern, Geld schnell zu bewegen und zu verschleiern.

Instant Payments haben Geldmule-Aktivitäten erleichtert:

• Gestohlene Gelder können in wenigen Minuten über mehrere Konten verschoben werden, bevor etwas bemerkt wird.
• Geld kann sofort grenzüberschreitend transferiert werden, was Rückholungen durch unterschiedliche Rechtssysteme erschwert.
• Aktuelle Betrugsüberwachungssysteme sind auf langsamere Zahlungen ausgelegt und erkennen verdächtige Instant Payments oft nicht.
• Die meisten Bankkund:innen wissen wenig über Geldmule-Aktivitäten  und sind daher besonders gefährdet.

Die Problematik ist so gravierend, dass die Europäische Bankenaufsichtsbehörde (EBA) die Notwendigkeit betont, dass Banken und PSPs sich auf diese Bedrohung einstellen.

Es ist eine große Herausforderung, Betrüger am Eintritt ins Zahlungssystem zu hindern. Dafür müssen Banken mehrere Sicherheitsebenen einbauen, um betrügerische Aktivitäten zu erkennen, bevor Geld vom Konto abfließt.

Empfohlene Ansätze:

• Bessere Identitätsprüfung: Banken können Biometrie (z. B. Fingerabdruck, Gesichtserkennung) und Analysen des typischen Nutzerverhaltens einsetzen, um Zahlungen zu verifizieren. Die EU-Zahlungsdiensterichtlinie (PSR) verlangt außerdem Monitoring-Mechanismen, die historische Transaktionen und typische Verhaltensmuster analysieren.
• Instant Monitoring: Banken können KI-Systeme nutzen, um in Millisekunden ungewöhnliche Aktivitäten zu erkennen. Die PSD3 der Europäischen Kommission hebt die Bedeutung des Transaktions-Monitorings unter Einsatz innovativer Technologien wie KI hervor.
• Schutz gefährdeter Kundengruppen: Banken sollten spezielle Überwachung für besonders gefährdete Gruppen (z. B. Studierende, ältere Menschen oder Personen mit finanziellen Schwierigkeiten) einrichten.
• Aufklärungskampagnen: Banken können ihre Kund:innen über die Risiken von Geldmule-Aktivitäten und sicheres Verhalten online und offline informieren.

Neue Vorschriften wie die geplante PSD3 und PSR erhöhen die Anforderungen an die Betrugsprävention in der EU. Diese Regelungen sollen Verbraucher:innen und Unternehmen besser vor dem wachsenden Risiko finanziellen Betrugs schützen.

In manchen Märkten, wie etwa Großbritannien, sind Banken verpflichtet, Betrugsopfer schnell zu entschädigen (sofern kein grobes Verschulden der Kund:in vorliegt). Dies schafft ein sichereres Umfeld, da Kund:innen nicht mehr auf den finanziellen Schäden sitzen bleiben. Es motiviert Banken zudem, in bessere Betrugsprävention zu investieren.

Drei wichtige Trends zeichnen sich ab:

• Erhöhte Sicherheitsanforderungen: Die EU-Kommission will den verpflichtenden IBAN/Namensabgleich (Confirmation of Payee) auf reguläre Überweisungen ausweiten und die Starke Kundenauthentifizierung (SCA) weiter verstärken, die bereits „spektakuläre Ergebnisse“ bei der Betrugsbekämpfung zeigt.
• Geteilte Haftung: Die EU erwägt, das britische Modell der geteilten Haftung zwischen Zahler- und Empfängerbank einzuführen. Dies würde die Empfängerbank ebenfalls zur Betrugsbekämpfung motivieren und eine ganzheitliche Überwachung entlang der gesamten Transaktionskette fördern.
• Mehr Transparenz: Die PSD3 will Betrugsbekämpfung fördern, indem sie PSPs ermöglicht, „betrugsbezogene Informationen untereinander auszutauschen“ und das Bewusstsein der Verbraucher:innen für das Verhalten ihrer Banken bei Betrug und Erstattungen zu schärfen. So soll mehr Verantwortungsbewusstsein entstehen.
• Absicherung des ersten kritischen Schritts der Online-Zahlung durch Verifizierung des Zahlungsempfängers (Verification of Payee, VoP): VoP adressiert das Problem direkt, indem es einen einfachen, aber wirkungsvollen Überprüfungsschritt in den Zahlungsprozess integriert.

Um diese Anforderungen zu erfüllen, sind erhebliche Investitionen in Technologie und Prozesse nötig, etwa durch maschinelles Lernen und Echtzeit-Transaktionsanalyse.

Banken und PSPs müssen ihre Systeme überprüfen, die Betrugserkennung anpassen und Mitarbeitende schulen. Ebenso braucht es klare Richtlinien, was als „normales Kundenverhalten“ gilt, sowie Vorgaben zu den jeweils angemessenen Sicherheitsprüfungen je nach Transaktionstyp und Risikolevel.

Um den wachsenden Herausforderungen bei Instant Payments zu begegnen, hat G+D Netcetera ein umfassendes Sicherheitsframework entwickelt, das Spitzentechnologie und praxiserprobte Implementierung vereint.

Unser Lösungsansatz umfasst:

• Starke Authentifizierung: Wir implementieren moderne Sicherheitsprotokolle, einschließlich FIDO-Standards und sicheren Tokens, um einen robusten Schutz gegen Authentifizierungsangriffe zu bieten. Dadurch wird die Sicherheitslast von den Nutzer:innen auf die Technik verlagert und das Risiko unbefugter Zugriffe erheblich reduziert – selbst bei ausgeklügelten Betrugsmaschen.
• Verhaltensanalyse: Unser SDK analysiert das Interaktionsverhalten der Nutzer:innen bei Registrierung und Zahlung und erstellt einzigartige Profile, die Betrüger kaum nachahmen können. Mit modernsten Methoden stärken wir die Sicherheit, ohne das Nutzererlebnis zu beeinträchtigen.
• Intelligentes Transaktionsmonitoring: Unsere Systeme analysieren Zahlungsströme in Echtzeit, erkennen Anomalien, die auf Betrug hindeuten können, und passen sich neuen Betrugsmustern an. Dadurch sind wir in der Lage, verdächtige Transaktionen in Millisekunden zu erkennen – im Takt mit Instant Payments.

Mit besserer Technologie, Zusammenarbeit in der Branche und Kundenschulungen schaffen wir die notwendige Verbindung aus Geschwindigkeit und Sicherheit für das moderne Banking.

Sie möchten erfahren, wie G+D Netcetera Ihrer Bank hilft, sichere Echtzeitzahlungen umzusetzen? Kontaktieren Sie unsere Expert:innen!