Thought Leadership
Die Einführung der Verification of Payee (VoP) im Rahmen der EU Instant Payments Regulation ist ein willkommener und längst überfälliger Fortschritt für mehr Zahlungssicherheit im SEPA-Raum. Der Abgleich der IBAN des Zahlungsempfängers mit dem angegebenen Namen korrigiert den Fehler, dass die in Deutschland vor SEPA verpflichtende Namensprüfung abgeschafft wurde.
Die Erfahrungen aus Pionierländern wie Großbritannien und den Niederlanden zeigen jedoch, dass man sich nicht auf VoP als einzige Lösung verlassen darf. Dort wurden zwar beeindruckende Ergebnisse erzielt – beispielsweise ein Rückgang des Rechnungsbetrugs um 81 % in den Niederlanden. Diese Erfolge stehen jedoch immer im Kontext einer umfassenderen Strategie und in Verbindung mit anderen Präventionssystemen.
Warum VoP allein nicht ausreicht
Die Praxis zeigt, dass VoP als alleinstehendes Werkzeug an Grenzen stößt:
Anpassungsfähigkeit der Betrüger: Kriminelle agieren dynamisch. Mit der flächendeckenden Einführung von VoP ist zu erwarten, dass sie ihre Angriffe auf Betrugsmuster verlagern, die nicht von VoP erfasst werden, oder ihre Vorgehensweisen innerhalb der Zahlungsabwicklung anpassen. Ein Anstieg anderer Betrugsarten ist zu befürchten, z.B. bei Lastschriften oder BNPL.
Der Faktor Mensch bei „Close Match“: Das System liefert Ergebnisse wie „Match“, „No Match“ oder „Close Match“. Gerade bei einer nur nahen Übereinstimmung müssen Zahlungsdienstleister klare Handlungsanweisungen geben. Die Schutzwirkung wird untergraben, wenn Kunden Warnungen ignorieren und die Zahlung trotzdem freigeben.
Betrugsszenarien ohne VoP-Schutz: VoP ist bei vielen gängigen Betrugsformen wirkungslos. Dazu gehören Kontoübernahmen (Account Takeovers), Lastschriftbetrug (wo VoP aktuell nicht greift), Kreditbetrug oder Social-Engineering-Angriffe, bei denen Opfer zur Überweisung auf Konten von Money Mules mit korrektem Namen manipuliert werden.
Wachsende Bedeutung von Money Mules: Durch die Empfängerprüfung wird die missbräuchliche Nutzung von Konten Dritter (Money Mules) eine noch größere Rolle spielen. Insbesondere die Eröffnung von Firmenkonten wird für Betrüger attraktiver, was das Haftungsrisiko für die kontoführenden Institute erhöht.
Was Finanzdienstleister und Unternehmen jetzt tun sollten
Die Einführung von VoP ist der richtige Anlass, die eigene Anti-Betrugs-Strategie ganzheitlich zu überprüfen und zu stärken. Statt sich nur auf die Erfüllung der regulatorischen Vorgabe zu konzentrieren, sollten Unternehmen und Zahlungsdienstleister jetzt proaktiv handeln. Für einen wirksamen und nachhaltigen Schutz ist es unerlässlich, VoP in ein umfassendes Sicherheitskonzept einzubetten. Dies erfordert die intelligente Kombination mit weiteren Technologien wie Device Fingerprinting zur Geräteerkennung, Systemen zur Abwehr von Kontoeröffnungsbetrug und einem robusten Echtzeit-Transaktionsmonitoring. Nur ein mehrschichtiger Ansatz kann einen Schutzwall errichten, der auch dort greift, wo die reine Empfängerprüfung an ihre Grenzen stößt.
