Weiter, schneller – jetzt auch sicherer? SEPA-Zahlungen sicherer adressieren mit der Verification of Payee

Ursprünglich als zusätzlicher Sicherheitsmechanismus für Echtzeitüberweisungen (sogenannte Instant Payments) definiert, weitet die EU-Kommission in ihrem aktuellen Entwurf der Verordnung über Zahlungsdienste im SEPA- Raum (PSR) die Verification of Payee (VoP) auch auf gewöhnliche SEPA-Überweisungen aus. Noch gibt es offene Fragen zur Umsetzung, doch verheißt dieses neue Instrument erhöhte Sicherheit und damit gestärktes Vertrauen in den europäischen Zahlungsverkehr.

Was ist Verification of Payee (VoP)?

Verification of Payee bezeichnet den Abgleich des Zahlungsempfängers (in Form des angegebenen Na- mens) gegen die im selben Zahlungssatz angegebene Kontoidentifikation des Empfängerkontos (in SEPA in Form einer IBAN). Diese Prüfung hat vor Zahlungsauslösung zu erfolgen und zielt darauf ab, fehlgeleitete Zahlungen zu verhindern.

Ein Beispiel: Angenommen, Alfred Auftraggeber möchte eine Zahlung an Emil Empfänger tätigen. Alfred gibt die IBAN von Emil in die Banking-App seiner Bank ein. Leider hat Emil die IBAN vorher falsch kopiert und es handelt sich tatsächlich um die IBAN von Max Mustermann.

Weil „Emil Empfänger“ nicht mit „Max Mustermann“ übereinstimmt, sollte die Banking-App von Alfred Auftraggeber ihn warnen, dass die Zahlung nicht an Emil, sondern an jemand anderen – in unserem Beispiel Max – gehen würde, wenn er diese IBAN verwendet.

Die EU macht VoP für alle Payment Service Provider (PSP) verpflichtend, wodurch es allen Payment Service Usern (= PSU/Zahlungsdienstnutzern) zur Verfügung steht. Daraus ergibt sich in zweierlei Hinsicht ein Sicherheitsgewinn: Einerseits werden zwei Identifikationsmerkmale (IBAN + Name) gegen die beim Empfänger-PSP hinterlegten Stammdaten abgeglichen, andererseits erhält der Auftraggeber im Falle von Unstimmigkeiten vor der Freigabe der Zahlung einen Hinweis und hat die Möglichkeit zur Klärung und Korrektur der Zahlungsdaten.

Schatten der Vergangenheit: die Kontoanrufprüfung

Einen Abgleich zwischen Kontoidentifikation und Name des Zahlungsempfängers kannte der deutsche Zahlungsverkehr bereits lange vor SEPA: Das Abkommen zum Überweisungsverkehr sah mit der Kontoanrufprüfung bereits einen derartigen Abgleich vor: Die Bank des Zahlungsempfängers war prinzipiell vor der Gutschrift auf dem Konto des Empfängers zu einem solchen Abgleich und Rückfrage im Falle von Unstimmigkeiten verpflichtet. Mit der Einführung von IBAN, SEPA-Überweisungen und der europäischen Zahlungsdienstrichtlinie PSD entfiel diese Prüfung ersatzlos.

Fortan galt die IBAN als einziges und zentrales Kriterium für das Zielkonto. Eine Verpflichtung zu weitergehender Überprüfung der Empfängerdaten – auch seitens des kontoführenden Instituts – entfiel.¹

Nun kehrt diese Prüfung in die digitale Welt von Echtzeitzahlungen und STP-Prozessen zurück – und zwar sehr viel umfassender und viel weiter vorne in der Prozesskette.

Ablauf und Einordnung der Verification of Payee in den Zahlungsprozess

Um die Verfahrensregeln zu definieren, also die Art und Weise, wie Banken die notwendigen Informationen austauschen, arbeitet das European Payments Council (EPC) derzeit am sogenannten Verification-of- Payee-Rulebook. Das VoP-Verfahren ist nicht komplett neu – ganz im Gegenteil: In den Niederlanden, dem Vereinigten Königreich, Skandinavien und Belgien wurden bereits nationale Verfahren etabliert. Eine Aufgabe des EPC besteht nun darin, die unterschiedlichen, aber im Kern doch sehr ähnlichen Verfahren zusammenzubringen.

Die Zahlungsempfängerbestätigung muss getrennt beziehungsweise dem eigentlichen Zahlungsvorgang vorgelagert betrachtet werden. Bevor eine Zahlung ausgeführt wird, kann der Zahler die Zahlungskontodaten eines Zahlungsempfängers bestätigen und mithilfe des Ergebnisses eine Zahlungsentscheidung treffen. Zur besseren Einordnung unterteilen wir den Prozess in folgende Einzelschritte:

1. Der Wunsch, eine Zahlung zu veranlassen

Der erste Schritt im Verification-of-Payee-Prozess beginnt mit dem Wunsch des Zahlers, eine Zahlung zu veranlassen. Es handelt sich um eine alltägliche Situation, in der ein Zahler Geld an einen Zahlungsempfänger überweisen möchte, sei es aus geschäftlichen oder persönlichen Gründen.

2. Der Verification-of-Payee-Request

Nach dem Entstehen des Zahlungswunschs folgt die Auslösung eines sogenannten VoP-Requests: Der Zahler erfasst die Empfängerdaten, bestehend aus Namen und IBAN, über den Banking-Kanal seiner Wahl (zum Beispiel Mobile oder Onlinebanking). Die Bank des Zahlers erstellt daraufhin eine Anfrage (sogenannte VoP-Request) und übermittelt sie an den PSP des Zahlungsempfängers.

3. Der Verification-of-Payee-Response

In diesem Schritt erfolgen sowohl Prüfung der Empfängerdaten als auch Erstellung der VoP-Response durch den Zahlungsempfänger-PSP: Dieser überprüft die Kontodaten des Zahlungsempfängers in Kombination mit dessen Namen für den eingegangenen VoP-Request gegen die bei ihm hinterlegten Daten und ermittelt ein Ergebnis (Übereinstimmung, teilweise Übereinstimmung, keine Übereinstimmung, keine Prüfung möglich). Der Zahlungsempfänger-PSP sendet das Ergebnis mittels der VoP-Response zurück an den Zahler-PSP. Der Zahler-PSP teilt das Prüfungsergebnis über den Banking-Kanal des Zahlers mit.

4. Die Zahlung

Nachdem der Auftraggeber das Prüfergebnis erhalten hat, steht ihm die Entscheidung offen: Er kann nun wählen, die Zahlung nicht auszuführen, zu korrigieren oder ohne Änderungen auszulösen. Die tatsächliche Freigabe und Auslösung des Bezahlvorgangs erfolgt erst nach dieser Überprüfung und Entscheidung. Dieser Prozess gewährleistet eine zusätzliche Sicherheit und Kontrolle vor der finalen Durchführung der Zahlung.

Abbildung 2 beschreibt den Ablauf und das Zusammenspiel der verschiedenen Akteure etwas detaillierter.

Schwierigkeiten im Abgleich

Bei der Beantwortung eingehender VoP-Requests können Fallstricke auftreten, die dazu führen, dass die Prüfung keine direkte Übereinstimmung zurückgibt, sondern keine oder nur teilweise Übereinstimmungen. Diese Herausforderungen können auf unterschiedlichen Faktoren beruhen:

Verwendung verschiedener Alphabete: In Fällen, in denen verschiedene Alphabete verwendet werden, zum Beispiel aufgrund internationaler Überweisungen, kann die VoP-Überprüfung Schwierigkeiten haben, ein exaktes Übereinstimmungsmuster zu erkennen. Unterschiede in den verwendeten Alphabeten oder Zeichensätzen können dazu führen, dass keine Übereinstimmung gegeben ist, selbst wenn die Konten korrekt zugeordnet sind. Ein gemeinsamer Zeichensatz, der analog SEPA für alle teilnehmenden Länder gleich lautet, wird also vorausgesetzt.

Verwendung abweichender oder unvollständiger Namen: Ein Zahler könnte den zweiten Namen oder den Geburtsnamen des Zahlungsempfängers verwenden, auch wenn diese nicht in der Datenbank gespeichert sind, und umgekehrt. Ebenso könnten einfache Tippfehler im Namen auftreten, wie zum Beispiel „Christine“ anstelle von „Christina“.

Rechtsformen und Firmenkürzel: Das Konto eines Unternehmens wird bei einer Bank stets unter dem rechtlichen Namen geführt, sprich Firmenname inklusive der jeweiligen Rechtsform (zum Beispiel GmbH). Wenn der Zahler diese bei Auslösung einer VoP-Anfrage nicht angibt, werden vermutlich nur teilweise oder gar keine Übereinstimmungen ermittelt, selbst wenn es sich um das korrekte Unternehmen handelt.

Gemeinschaftskonten: Bei Gemeinschaftskonten sind mehrere Personen als Kontoinhaber aufgeführt, was die eindeutige Identifizierung des Zahlungsempfängers erschwert. Wenn der Zahler folglich nur den Namen einer Partei angibt, wird es zwangsweise zu nur teilweisen oder gar keinen Übereinstimmungen führen.

Abweichung von Rechnungsadresse und Kontoinhaber: In der Praxis kann es vorkommen, dass die Rechnungsadresse nicht mit dem Namen des Kontoinhabers übereinstimmt. In solchen Fällen kann es keine direkte Übereinstimmung geben und der Zahler muss entscheiden, ob er die Zahlung trotzdem auslösen möchte oder nicht.

Die Berücksichtigung dieser Herausforderungen ermöglicht es, die VoP-Prüfung weiter zu verbessern und gleichzeitig einen effektiven Schutz vor betrügerischen Aktivitäten zu bieten.

Wie Verification of Payee den Zahlungsverkehr sicherer gestaltet

Vermutlich gibt es kaum jemanden, der nicht schon zumindest von einer betrügerischen Masche in seinem Umfeld gehört hat. VoP sensibilisiert, bei Unstimmigkeiten der eingegebenen Zahldaten einen zweiten Blick darauf zu werfen. Und es ist eine Chance, sich vor folgenden beispielhaften betrügerischen Praktiken zu schützen:

Zahlungen an Betrüger: Eine Reihe weitverbreiteter Onlineplattformen dient als Kulisse für Betrüger, die darauf abzielen, ahnungslose Kunden für nichtexistierende Waren oder Dienstleistungen zu gewinnen. Wenn jemand auf diese Täuschung hereinfällt, erhalten die Betrüger zwar das Geld, jedoch ohne jemals die versprochene Leistung zu erbringen, sodass das Opfer am Ende mit leeren Händen dasteht.

Falsche Rechnungen: Eine weitere Betrugsmasche besteht darin, gefälschte Rechnungen auszustellen, häufig unter Verwendung des Namens eines bekannten Unternehmens. Diese gefälschten Rechnungen werden entworfen, um Empfänger zur Zahlung zu verleiten. Tatsächlich handelt es sich jedoch um einen betrügerischen Versuch, Geld oder persönliche Daten zu erlangen. Ein Abgleich der Zahlungsdaten kann helfen, einen solchen Betrugsversuch zu erkennen.

Vertragsabschluss durch Täuschung: Betrüger schließen gerne Handyverträge ab, indem sie persönliche Informationen ergaunern, ohne dass die Betroffenen davon wissen. Auf diese Weise bekommen sie zum Beispiel ein neues Smartphone. Die Opfer werden dann mit den finanziellen Verpflichtungen dieser Verträge konfrontiert, ohne jemals eingewilligt zu haben. Eine Überprüfung der Person bei Vertragsabschluss hätte die Verwendung einer falschen IBAN aufdecken können.

Die Beispiele verdeutlichen, dass die Zahlungsempfängerbestätigung die Chance hat, unseren Zahlungsverkehr sicherer zu gestalten. Die Einführung dieses Sicherheitsmechanismus trägt zu einem insgesamt verbesserten Kundenerlebnis bei und verbessert die Betrugsprävention. Die Gewissheit, dass die Zahlungsdaten des Empfängers korrekt sind, ermöglicht es dem Zahler, mit Vertrauen und Sicherheit zu handeln.

Eine Mammutaufgabe für unsere Zahlungsdienstleister

Vor allem große Zahlungsdienstleister stehen vor der Aufgabe, unter Millionen von Datensätzen nach einer IBAN zu suchen, den zugehörigen Namen zurückzugeben und diesen in wenigen Sekunden mit dem vom Absender eingegebenen Namen zu vergleichen – und das Millionen Mal täglich. Der Umfang dieses Services und die Einhaltung der zeitlichen Anforderungen stellen für viele Banken eine Mammutaufgabe dar.

Das wird insbesondere für traditionelle Banken, deren Stammdatensysteme mitunter auf mehreren Altsystemen laufen, schwierig. Denn diese Altsysteme sind in der Regel nicht darauf ausgelegt, große Mengen an Anfragen in Echtzeit zu beantworten. Und das rund um die Uhr. Die meisten Zahlungsdienstleister werden höchstwahrscheinlich neue Systeme erstellen oder einkaufen (müssen), die die Konto- und Namensdaten ihrer Kernsysteme spiegeln und die notwendige Performance und Verfügbarkeit unterstützen.

Die Uhr tickt

Im aktuellen Legislativvorschlag wurde den Zahlungsdienstleistern eine Frist von 18 Monaten nach der Annahme des Vorschlags zur Einhaltung des Verification-of-Payee-Services eingeräumt.

Alle betroffenen Zahlungsdienstleister sind jetzt dazu angehalten, in kürzester Zeit einen komplett neuen und für sie heute unbekannten Service aufzubauen. Dieser Service muss rund um die Uhr verfügbar sein und hoch performant sowie zuverlässig arbeiten. Auch wenn die Einführung der Zahlungsempfängerbestätigung die Sicherheit im Zahlungsverkehr auf ein neues Level hebt: Die Uhr tickt.