Etwas mehr als ein Jahr ist es her, dass die Europäische Kommission ihre Vorschläge für die Payment Services Directive 3 („PSD3”) vorgelegt hat.
PSD3-Richtlinie: Betrugsprävention und Kundenschutz bleiben hinter Erwartungen zurück
Iain Swaine, Global Advisory Director bei BioCatch, hat den Entwurf noch einmal genauer unter die Lupe genommen und stieß dabei insbesondere auf drei Fakten, die die Betrugsprävention und Haftung, den Austausch von Betrugsdaten und den Schutz besonders schutzbedürftiger Verbraucher betreffen.
Betrugsprävention und Haftung
Während die PSD2 die Banken für nicht autorisierte Betrugsfälle wie Kontoübernahmen haftbar machte, umfasst eine Erweiterung in den Vorschlägen der PSD3 mit Impersonation Scams erstmals auch eine autorisierte Betrugsart – ein richtiger und wichtiger Schritt in Sachen Kundenschutz. Allerdings greift die PSD3 damit weiterhin kürzer als beispielsweise die Bestimmungen der britischen Regulierungsbehörde für Zahlungssysteme (Payment Systems Regulator, PSR) laut der Banken für alle Arten von Betrug haften sollen, unter anderem auch für Liebes- und Anlagebetrug.
Die EU-Kommission verpasst durch die Einschränkungen in den Vorschlägen zwei Chancen:
- Der britische PSR sieht eine geteilte Haftung zwischen absendender und empfangender Bank vor. Damit wird der Frustration einzelner Banken begegnet, die im Vergleich zu anderen Instituten mehr in Betrugspräventionsmaßnahmen investieren, nur um dann festzustellen, dass der Betrug wieder zunimmt, weil die Betrüger das Geld zu anderen Banken mit laxer Betrugserkennung verschieben. Gleichzeitig wird das gesamte Ökosystem des Zahlungsverkehrs gestärkt, wenn Betrug reduziert wird: Indem Banken motiviert werden, mehr in die Eliminierung von Money-Mule-Konten zu investieren, gehen sie aktiv gegen Finanzbetrug vor. Diese Chance verpasst die EU-Kommission.
- Die Auslegung der derzeit gültigen PSD2 ist von Land zu Land sehr unterschiedlich. Nach der PSD2 müssen nicht autorisierte Betrugsfälle erstattet werden, es sei denn, der Kunde war an dem Betrug beteiligt oder hat grob fahrlässig gehandelt. Grobe Fahrlässigkeit wird jedoch international unterschiedlich ausgelegt. Auch in den PSD3-Vorschlägen lässt die EU die Definition der groben Fahrlässigkeit vage und verweist wieder auf das nationale Recht. Damit wurde erneut eine Chance verpasst, die Haftung der Banken und den Kundenschutz international zu harmonisieren.
Austausch von Betrugsdaten
Der aktuelle Entwurf der PSD3 sieht die Möglichkeit vor, dass Banken Betrugsdaten austauschen können. Dies wird durch die Vorschläge des PSR weiter untermauert, der den Austausch aller relevanten Informationen zwischen Zahlungsdienstleistern auf multilateraler Basis ermöglichen will. Der Austausch personenbezogener Daten, einschließlich der eindeutigen Identifikatoren von möglicherweise in Betrugsfälle verwickelten Zahlungsempfängern, soll erlaubt sein. Allerdings schränkt die EU-Kommission den Begriff „Kundenidentifikator“ weiter ein und beschränkt ihn auf die „IBAN“. Dies hätte zur Folge, dass ein ganzes Universum von Zahlungsmethoden, die keine IBAN verwenden, wie PayPal, Apple Cash oder direkte Kreditkartenzahlungen, von der Betrugsprävention ausgeschlossen wären.
Ein Informationsaustausch in Echtzeit ist hilfreich, aber insgesamt ist der von der EU vorgeschlagene Informationsaustausch nicht ausreichend, da selbst die Echtzeit-Erkennung von Betrug immer noch reaktiv ist. Verhaltensbasierte biometrische Intelligenz könnte Mule-Konten bereits vor einer Zahlung oder Transaktion mit hoher Genauigkeit erkennen. In etwa 90 Prozent der Fälle werden die Konten gefunden, bevor die bestehenden Betrugs- und Geldwäschekontrollen überhaupt greifen.
Schutz besonders gefährdeter Verbraucher
Der PSD3-Vorschlag deckt einen wichtigen Punkt ab: Banken müssen sicherstellen, dass jeder Kunde eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) durchführen kann, unabhängig von Behinderung, Alter, geringer digitaler Kompetenz oder fehlendem Zugang zu digitalen Kanälen oder Zahlungsinstrumenten. Der Besitz eines Smartphones darf dabei nicht erforderlich sein und die bereitgestellten Mittel müssen auf die spezifische Situation des Kunden abgestimmt sein.
Diese Regelung ist weitreichend, aber absolut gerechtfertigt. Sie stellt sicher, dass auch besonders schutzbedürftige Kunden die Vorteile des digitalen Zeitalters voll nutzen können und die Möglichkeit haben, Transaktionen beim Bezahlen online zu autorisieren.
Die Überwachung von Transaktionen ist jedoch nicht nur im Hinblick auf besonders schutzbedürftige Verbraucher notwendig, sondern zum Schutz aller Kunden, da Betrüger äußerst geschickt vorgehen. Mit den PSD3-Richtlinienvorschlägen hat die EU daher zwar eine gute Ausgangsbasis geschaffen, gleichzeitig besteht aber noch erheblicher Verbesserungsbedarf.
„Die PSD3-Verordnung enthält einige gute Ansätze, greift aber teilweise noch zu kurz oder stellt die Banken vor große neue Herausforderungen“, fasst Swaine zusammen. Beispielsweise hat der Europäische Rat im Februar 2024 die EU-weite Einführung von Instant Payments beschlossen, bei denen Transaktionen innerhalb von nur zehn Sekunden abgewickelt werden sollen. Die Banken fragen sich zu Recht, wie sie Betrug in so kurzer Zeit effektiv aufdecken können – um im besten Fall Schadenersatzforderungen rechtzeitig abzuwenden. All dies unterstreicht die Dringlichkeit robuster Betrugspräventionsmaßnahmen.