Vergangenen Monat hat die EU-Kommission einen Vorschlag für die neue Zahlungsdiensterichtlinie PSD3 vorgelegt. Besonderes Augenmerk liegt dabei auf der Ausweitung der Haftbarkeit für Banken, um den Betrug im Zahlungsverkehr einzudämmen. Denn in den letzten Jahren haben Cyberkriminelle immer raffiniertere Methoden entwickelt, um selbst die starke Kundenauthentifizierung (SCA) oder die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Eine dieser Methoden ist der so genannte Law Enforcement Scam. Hier gibt sich der Betrüger beispielsweise als Bankmitarbeiter aus, um den Kunden telefonisch zu kontaktieren. Im Gespräch behauptet er, dass das Konto des Kunden in Gefahr sei und fordert diesen auf, eine bestimmte Summe auf ein anderes, vermeintlich sicheres Konto zu überweisen. Starke Authentifizierungsverfahren wie MFA greifen hier nicht, da der Kunde selbst die Überweisung auslöst. Meist wird der Betrug erst entdeckt, wenn das Geld unwiederbringlich verloren ist. Und dann stellt sich die Frage: Wer haftet?
„In einem solchen Fall stellt § 675u BGB klar, dass bei einer nicht-autorisierten Überweisung eigentlich die Bank als Zahlungsdienstleister den entstandenen Schaden zu ersetzen hat. Allerdings kann die Bank gemäß § 675v BGB einwenden, dass der Kunde grob fahrlässig gehandelt hat, weil er den Betrug ermöglicht hat. Was als grobe Fahrlässigkeit gilt, muss im Einzelfall geklärt werden“, erläutert Maximilian Wittig, Fachanwalt für Arbeits- und Versicherungsrecht bei der Wittig Ünalp Nord Rechtsanwaltsgesellschaft mbH.
Der Vorschlag für die neue Zahlungsdiensterichtlinie greift dieses Thema auf, um Kunden besser vor Betrug im Zahlungsverkehr zu schützen. So sollen bei Social-Engineering-Varianten wie Law Enforcement Scams die Erstattungsansprüche erweitert werden.
Mehr Digital Banking – mehr Online-Betrug
Die Banken stehen vor einem Dilemma: Auf der einen Seite wollen sie ihre digitalen Services weiter ausbauen, auf der anderen Seite müssen sie auf die zunehmende Finanzkriminalität reagieren. Einer gemeinsamen Studie von BioCatch und Forrester Consulting zufolge befürchten 78 Prozent der Finanzinstitute weltweit, nicht schnell und effektiv genug auf neue Bedrohungen reagieren zu können. Acht von zehn Befragten gaben an, Schwierigkeiten bei der Bereitstellung reibungsloser und sicherer digitaler Angebote zu haben. Besonders alarmierend ist jedoch, dass nur acht Prozent der Finanzinstitute über ausreichend Personal sowie über Prozesse und Tools verfügen, die vollständig in ihre Teams für Enterprise Fraud Management (EFM) und Anti-Money Laundering (AML) integriert sind.
„Wenn der PSD3-Vorschlag in seiner jetzigen Form umgesetzt wird, gibt es mehr Anreize für Banken, die proaktive Überwachung von Transaktionen zu verbessern, genau was die Europäische Kommission erreichen möchte. Für viele Finanzinstitute bedeutet es allerdings eine große Herausforderung, ihren Kunden integrierte und nahtlose digitale Erlebnisse und gleichzeitig einen umfassenden Schutz zu bieten. Denn häufig sind die Technologien veraltet und die Ressourcen überlastet“, sagt Wiebe Fokma, Director EMEA Global Advisory bei BioCatch.
Die frühzeitige Erkennung verdächtiger Aktivitäten ist die effektivste Strategie, um das Risiko sowie den Zeit- und Ressourcenaufwand für die Aufarbeitung von Betrugsfällen zu reduzieren. Allerdings agieren viele EFM-Teams rein defensiv und entdecken kriminelle Machenschaften erst wenn die betrügerische Transaktion stattfindet, oder wenn es zu spät ist und das Geld verloren.
Abhilfe schaffen Technologien zur digitalen Analyse menschlichen Verhaltens, die auf künstlicher Intelligenz (KI) und maschinellem Lernen (ML) basieren. Damit lassen sich Betrugsversuche proaktiv erkennen, bevor der „echte“ Kunde die Überweisung auslöst.
„Den Banken sollte bewusst sein, dass Cyberkriminelle nicht nur ihre IT-Systeme oder die ihrer Kunden angreifen. Die Betrugsversuche werden immer persönlicher und zielen zunehmend auf Privatpersonen ab. Daher plädieren wir dafür, dass Banken, Behörden und Anbieter gemeinsam Lösungen und Regeln entwickeln sowie aktiv auf aktuelle Betrugsversuche hinweisen, um die Verbraucher umfassend zu schützen“, so Fokma abschließend.
Überarbeitete Zahlungsdiensterichtlinie „PSD3-E“, abrufbar hier
PSR-E“, abrufbar hier
FIDA-E“, abrufbar hier