PSD3/PSR: Betrugsprävention und Verbraucherschutz im digitalen Zahlungsverkehr stärken

Für die englische Version klicken Sie hier.

Die vorgeschlagenen Regelwerke der Zahlungsdiensterichtlinie 3 (PSD3)¹ und der Zahlungsdiensteverordnung (PSR)² markieren einen bedeutenden Fortschritt in den regulatorischen Bestrebungen der Europäischen Union, die Sicherheit digitaler Zahlungen zu erhöhen. Insbesondere die PSR enthält zentrale Bestimmungen zur Betrugsprävention, die unmittelbar in allen EU-Mitgliedstaaten gelten werden, ohne die Notwendigkeit einer nationalen Umsetzung. Diese Bestimmungen werden wir im folgenden Artikel untersuchen.

Während PSD2 den Weg für sicherere digitale Transaktionen ebnete, hat die zunehmende Komplexität moderner Betrugsmethoden eine Weiterentwicklung des regulatorischen Rahmens notwendig gemacht. PSD3 und PSR setzen genau hier an: Sie schließen bestehende Lücken in den Bereichen Verbraucherschutz, Betrugsprävention und Haftung und schaffen die Grundlage für ein widerstandsfähigeres und transparenteres Finanzsystem innerhalb der Europäischen Union³.

Die fortschreitende Digitalisierung, das rasante Wachstum von Online-Transaktionen und die zunehmende Raffinesse krimineller Methoden führen zu einem kontinuierlichen Anstieg betrügerischer Aktivitäten im digitalen Zahlungsverkehr. Laut Commerzbank sind die Betrugsraten bei Instant Payments bis zu siebenmal höher als bei klassischen Überweisungen – ein alarmierender Indikator für die Verwundbarkeit bestehender Systeme.⁴  Cyberkriminelle nutzen gezielt Schwachstellen in Zahlungsinfrastrukturen, setzen auf Social Engineering und missbrauchen digitale Identitäten, um Nutzer⁵ zu manipulieren und finanzielle Schäden zu verursachen.

Diese Bedrohungslage macht eine regulatorische Verschärfung unumgänglich. Die PSR adressiert dies durch die Einführung strengerer Vorgaben, die Förderung der sektorübergreifenden Zusammenarbeit zwischen Zahlungsdienstleistern (payment service providers - PSPs) und Anbietern elektronischer Kommunikationsdienste (electronic communication services providers - ECSPs) sowie durch den Aufbau robuster Mechanismen zur frühzeitigen Betrugserkennung.

Im Folgenden beleuchten wir die zentralen Bestimmungen der PSR zur Bekämpfung digitaler Zahlungsbetrugsrisiken.

Erhöhte Sicherheit für Überweisungen

Die Sicherheit von Überweisungen ist ein zentraler Hebel zur Stärkung des Verbrauchervertrauens im digitalen Zahlungsverkehr. Um Fehler und betrügerische Transaktionen frühzeitig zu erkennen, sieht die PSR eine verpflichtende Überprüfung der Übereinstimmung zwischen dem Namen des Zahlungsempfängers und dessen individueller Kennung (z. B. IBAN oder andere von der EBA definierte Identifier) vor. Bei festgestellten Abweichungen muss der Zahler aktiv darüber informiert werden.

Diese Maßnahme erweitert die bereits im Rahmen der Instant Payments Regulation (IPR) vorgesehene „Verification of Payee“ (VoP), die ab dem 9. Oktober 2025 für Banken in der Eurozone verpflichtend wird. Die PSR geht darüber hinaus und etabliert einen umfassenden regulatorischen Rahmen, der darauf abzielt, Betrug nicht nur zu erkennen, sondern bereits im Vorfeld zu verhindern. Zahlungsdienstleister haften künftig für finanzielle Schäden, wenn sie ihrer Informationspflicht bei Unstimmigkeiten nicht nachkommen.

Durch die verpflichtende Identitätsprüfung vor der Autorisierung sollen insbesondere Betrugsszenarien wie Identitätsdiebstahl, Rechnungsbetrug und Kontoübernahmen unterbunden werden. Für Zahlungsdienstleister bedeutet dies jedoch auch, dass sie leistungsfähige Echtzeit-Verifizierungssysteme implementieren müssen, die hohe Transaktionsvolumina zuverlässig verarbeiten können – ein Vorhaben, das erhebliche Investitionen in die technologische Infrastruktur erfordert.

Verbraucherzentrierter Schutz vor digitalem Betrug

Social-Engineering-Betrug zählt zu den am dynamischsten wachsenden Bedrohungen im digitalen Zahlungsverkehr. Betrüger nutzen gezielt Methoden wie Phishing, Vishing (Voice-Phishing) und Smishing (SMS-Phishing), um sich als legitime Zahlungsdienstleister auszugeben und Nutzer zur Autorisierung betrügerischer Transaktionen zu verleiten. Die PSR begegnet dieser Entwicklung mit klaren Vorgaben: Zahlungsdienstleister sind verpflichtet, betroffene Kunden – auch bei autorisiertem Betrug – innerhalb von zehn Werktagen nach Eingang der Meldung und Vorlage eines Polizeiberichts zu entschädigen, es sei denn, sie legen eine begründete Ablehnung mit Nachweisen vor und geben Hinweise zur Anfechtung der Entscheidung.

Darüber hinaus müssen Zahlungsdienstleister sichere und leicht zugängliche Kommunikationskanäle etablieren, über die Nutzer verdächtige Transaktionen melden, qualifizierte Beratung erhalten und Zahlungsprobleme klären können. Die Verordnung fordert zudem eine verstärkte Zusammenarbeit zwischen PSPs und ECSPs, etwa durch die Implementierung von Anrufleitungsidentifikation und E-Mail-Sicherheitsprotokollen.

Artikel 59 der PSR weitet die Betrugshaftung auf ECSPs aus – ein Schritt, der von Telekommunikationsanbietern kritisch betrachtet wird. Sie argumentieren, dass Akteuren ohne direkten Einfluss auf Finanztransaktionen eine unverhältnismäßige Verantwortung übertragen wird. Branchenvertreter fordern daher eine klare, technisch umsetzbare und verhältnismäßige Verteilung der Verantwortlichkeiten, die den tatsächlichen Einfluss der jeweiligen Akteure auf die Betrugsprävention berücksichtigt.

Verpflichtende Datenerhebung und strukturierter Informationsaustausch

Ein zentrales Element der PSR ist die Einführung verbindlicher Anforderungen zur Analyse und Speicherung von Transaktionsdaten. Zahlungsdienstleister sind verpflichtet, Kundenaktivitäten systematisch auf auffällige Muster zu prüfen und relevante Daten bis zu zehn Jahre nach Ende der Geschäftsbeziehung vorzuhalten. Ziel ist es, potenzielle Betrugsrisiken frühzeitig zu erkennen und die Nachverfolgbarkeit sicherzustellen.

Darüber hinaus wird der Austausch betrugsrelevanter Informationen – etwa eindeutiger Identifikatoren, angewandter Betrugstechniken und zugehöriger Details – zwischen Zahlungsdienstleistern verpflichtend geregelt. Um eine betrügerische Transaktion zu klassifizieren, müssen mindestens zwei Kunden unabhängig voneinander den Missbrauch derselben Kennung melden. Die bloße Weitergabe von Verdachtsmomenten reicht nicht aus, um Bankdienstleistungen ohne weitere Prüfung einzuschränken.

Zur Unterstützung dieses Informationsaustauschs wird die Europäische Bankenaufsichtsbehörde (EBA) eine zentrale IT-Plattform bereitstellen. Eine zentralisierte Betrungsdatenbank soll helfen, Wiederholungstäter zu identifizieren, neue Betrugsmuster zu erkennen und finanzielle Schäden zu vermeiden. Gleichzeitig betont die PSR die Notwendigkeit, Datenschutzbedenken ernst zu nehmen und die Einhaltung der EU-Datenschutzvorgaben sicherzustellen.

Compliance- und Berichtspflichten: Transparenz und Aufklärung als regulatorische Säulen

Im Rahmen der PSR sind Zahlungsdienstleister verpflichtet, jährlich umfassende Betrugsstatistiken an die zuständigen nationalen Behörden zu übermitteln. Diese Berichte müssen sowohl die Anzahl als auch das Volumen erstatteter betrügerischer Transaktionen enthalten sowie die Begründungen für etwaige Ablehnungen von Erstattungsanträgen. Die aggregierten Daten werden anschließend an die Europäische Bankenaufsichtsbehörde (EBA) und die Europäische Zentralbank (EZB) weitergeleitet, um eine EU-weite Transparenz und Vergleichbarkeit zu gewährleisten.

Darüber hinaus tragen Zahlungsdienstleister eine zentrale Verantwortung für die Aufklärung und Sensibilisierung der Verbraucher. Sie sind verpflichtet, zielgerichtete Informationskampagnen zur Betrugsprävention durchzuführen – mit besonderem Fokus auf besonders gefährdete Kundengruppen. Ergänzend dazu müssen sie jährlich Schulungsprogramme für ihre Mitarbeitenden etablieren, um diese kontinuierlich über aktuelle Betrugsrisiken und Präventionsmaßnahmen zu informieren. Die EBA wird hierzu Leitlinien veröffentlichen, um eine einheitliche Umsetzung und Standardisierung dieser Initiativen innerhalb der EU sicherzustellen.

Fazit: Ein regulatorischer Meilenstein für mehr Sicherheit im Zahlungsverkehr

Mit der PSR etabliert die Europäische Union einen umfassenden Rechtsrahmen, der gezielt auf die wachsenden Betrugsrisiken im digitalen Zahlungsverkehr reagiert. Durch die Einführung verstärkter Sicherheitsmaßnahmen, die Verpflichtung zur Nutzung von Echtzeit-Betrugserkennungssystemen, die Förderung der sektorübergreifenden Zusammenarbeit zwischen PSPs und ECSPs sowie die Stärkung der Verbraucheraufklärung wird der Schutz von Endkunden in der gesamten EU signifikant erhöht.

Bei Capco begleiten wir Finanzinstitute dabei, regulatorische Anforderungen nicht nur zu erfüllen, sondern strategisch zu nutzen. Von der Entwicklung robuster Compliance-Strategien über die technische Implementierung bis hin zur Optimierung Ihrer Betrugspräventionsmaßnahmen – wir unterstützen Sie dabei, regulatorische Komplexität in operative Resilienz zu übersetzen.

Sprechen Sie uns an, um gemeinsam zu erarbeiten, wie Sie sich optimal auf die PSR vorbereiten und Ihre Sicherheitsarchitektur zukunftssicher gestalten können.

Referenzen
¹ Angenommene Texte - Zahlungsdienste und E-Geld-Dienste im Binnenmarkt - Dienstag, 23. April 2024
² Angenommene Texte - Zahlungsdienste im Binnenmarkt und zur Änderung der Verordnung (EU) Nr. 1093/2010 - Dienstag, 23. April 2024
³ https://finance.ec.europa.eu/consumer-finance-and-payments/payment-services/payment-services_en
⁴ Instant Payments: Schnelle und sichere Transaktionen | Firmenkunden - Commerzbank
⁵ Diversity gehört zu den Kernwerten von Capco. Um Texte für Sie so kurz wie möglich zu halten, lesen Sie an einigen Stellen nur die männliche Form, gemeint sind jedoch ausdrücklich sämtliche Geschlechter.