Blogpost

Verification of Payee (VoP) – die technische Umsetzung

Verification of Payee (VoP) bietet durch die Überprüfung der Empfängerdaten vor Transaktionsfreigabe einen entscheidenden Schutz vor Fehlüberweisungen und Betrugsversuchen. Diese Technologie wird mit der Einführung der Instant-Payment-Regulierung zur Pflicht für europäische Finanzinstitute, die VoP bis Oktober 2025 flächendeckend verfügbar machen müssen.

404
5 Minuten Lesezeit
Verification of Payee (VoP), technische Umsetzung

In dieser Collection enthalten:

Collection öffnen

Unsere Antwort auf das EPC-Regelwerk

Im Zeitalter von Instant Payments, in dem Transaktionen innerhalb weniger Sekunden abgeschlossen sein müssen, ist der Schutz vor Fehlüberweisungen und Betrugsversuchen wichtiger denn je. Hier erfüllt Verification of Payee (VoP) durch die Überprüfung der Empfängerdaten vor Transaktionsfreigabe eine entscheidende Schutzfunktion.

VoP wird mit der Einführung der Instant-Payment-Regulierung zur Pflicht für europäische Finanzinstitute, die diese Technologie bis Oktober 2025 flächendeckend verfügbar machen müssen.

Die VoP-Lösung BV VoP powered by msg, die in Kooperation mit dem Bank-Verlag entstanden ist, bietet eine robuste und vollständig integrierte SaaS- sowie die eigenentwickelte und individuell betriebene On-Premise-Lösung, die auf den neuesten Anforderungen des EPC Rulebooks basiert und weit über die regulatorischen Anforderungen hinausgeht.

Systemarchitektur und technische Infrastruktur

Die VoP-Lösung ist als containisierter Service konzipiert und kann somit entweder als SaaS per API dem Zahlungsverkehrsprozess angeschlossen als auch On-Premise in der eigenen Umgebung betrieben werden.

Durch seine Multi-Mandanten-Architektur ermöglicht der Service den gleichzeitigen Betrieb für mehrere Banken auf einer gemeinsamen Plattform und wird – zur Sicherstellung einer hohen Verfügbarkeit und Skalierbarkeit gerade bei bei Spitzenlasten – auf Kubernetes- und Hyperscaler-Umgebungen betrieben.

Verification of Payee, Gesamtübersicht

Abbildung 1: Routing- und Verification-Mechanismus - eine Gesamtübersicht

Die Hauptkomponenten: Routing und Verifizierung

Annahme der Anfrage über die API-Schnittstelle

Das EPC-API-Framework bildet die Grundlage für den Service. Es sorgt dafür, dass die Verarbeitung von VoP-Anfragen unabhängig vom Anfragensteller sicher und schnell erfolgen kann.

Die Anwendung kann eine Anfrage innerhalb von 3 Sekunden beantworten, gleichzeitig bis zu 10.000 Anfragen pro Sekunde annehmen – und erfüllt dabei stets die Anforderungen des EPC.

Interne Verarbeitung und Routing über den EPC Directory Service (EDS)

Bei einer eingehenden Anfrage prüft das Tool, ob die Bank des Empfängers ebenfalls Teil des Services BV VoP – powered by msg ist. Wenn ja, wird die Anfrage intern verarbeitet. Andernfalls wird sie an den spezifischen Routing- und Verifizierungsmechanismus (RVM) weitergeleitet, der für die Empfängerbank zuständig ist.

Dieser Ansatz hat den Vorteil, dass bei interner Verarbeitung (Sender- und Empfängerbank sind beide Teil des Services BV VoP – powered by msg) Kosten und Zeit eingespart werden, da keine externe Instanz eingeschaltet werden muss.

Gleichzeitig entsteht dadurch ein Netzwerkeffekt: Je mehr Banken sich dem Service anschließen, desto kostengünstiger wird es für alle Beteiligten. Beim Routen einer Anfrage nach Extern (RVM) dient das Verzeichnis des EPC dabei als Basis für die Routing-Entscheidungen.

Durch die Integration des EPC-Directory-Service (EDS) als „Telefonbuch“ aller SEPA-Teilnehmer wird sichergestellt, dass alle Institute jederzeit erreichbar sind. Ein tägliches Update des EDS-Verzeichnisses gewährleistet, dass Routing-Informationen stets aktuell bleiben.

Diese Struktur ermöglicht bei externem Routing die Einhaltung der regulatorischen Anforderungen des EPC Rulebooks für die korrekte Adressierung der Empfängerbank, und sorgt außerdem auch für Effizienz und Kostengewinn durch interne Verarbeitung, wenn die Banken an das VoP-Netzwerk angeschlossen sind.

Verifizierungsalgorithmus: IBAN-Namensprüfung und Levenshtein-Distanz

Im Kern der Lösung steht der Verifizierungsalgorithmus, der jede Anfrage durch eine Kombination aus exakter Namensprüfung und phonetischer Distanzmessung nach dem Levenshtein-Prinzip bewertet. Hierbei vergleicht der Algorithmus den Namen im Zahlungsauftrag mit den in den Stammdaten hinterlegten Informationen und ermöglicht so eine zuverlässige Prüfung, selbst bei kleineren Abweichungen.

Der Verifizierungsprozess umfasst drei Schritte:

Datenbereinigung: Sobald eine Anfrage eingeht, werden alle Sonderzeichen sowie Füllwörter wie (“Herr”,”und”) und alle Rechtsformen wie (“AG”,”GmbH”) gelöscht und nach den Vorgaben des EPC Rulebook bereinigt.

Direkter Abgleich: Der angegebene Name wird direkt mit dem in den Stammdaten hinterlegten Namen verglichen. Eine exakte Übereinstimmung führt zu einem „Match“ und zur sofortigen Freigabe der Transaktion.

Erweiterter Abgleich mit Permutationen: Wenn kein exaktes Match vorliegt, erzeugt der Algorithmus verschiedene Permutationen des Namens (zum Beispiel Änderung der Reihenfolge oder Entfernung von Zweitnamen) und überprüft diese Varianten auf Ähnlichkeit. Dies ermöglicht eine „Close-Match“-Antwort, die auch bei ungenauen Eingaben ein verlässliches Ergebnis liefert.

Die Levenshtein-Distanz ermöglicht eine Differenzierung zwischen „Close Match“ und „No Match“. Der gesamte Prozess dauert, je nach Länge des Namens, maximal eine Sekunde. Um die Genauigkeit weiter zu steigern, können Banken eine unbegrenzte Anzahl von Namens-Aliassen hinzufügen, die über die Benutzeroberfläche verwaltet werden können.

Erweiterte Funktionen: Bulk-Anfragen und Rückmeldeformat

Für Firmenkunden, die regelmäßig eine Vielzahl von Sammelanfragen stellen, stellt der VoP-Service eine Bulkschnittstelle zur Verfügung. Diese unterstützt die Verarbeitung von Massendaten, die beispielsweise über EBICS oder FinTS eingereicht werden.

Die Zahlungsverkehrsdateien im pain.001-Format werden vom Service empfangen und die individuellen Anfragen intern aufgeteilt und verarbeitet. Die Rückmeldungen werden anschließend im pain.002-Format bereitgestellt und an die ursprüngliche Senderbank zurückgegeben, die die Daten dann in die Clearinginfrastruktur weiterleiten kann oder bei fehlender Übereinstimmung auch an den Kunden zurückgibt.

Durch diese flexible Verarbeitung wird insbesondere Corporate-Kunden eine Lösung geboten, die ihre Anforderungen an eine schnelle und zuverlässige Verifikation effizient erfüllt.

Datenintegration und -aktualisierung

Der Service bietet zwei Möglichkeiten zur Integration und Aktualisierung von Stammdaten, sodass die Datenqualität stets hoch ist:

Erstens Batch-Uploads: Über eine API können Stammdaten regelmäßig im JSON-Format hochgeladen werden. Mit Hilfe von dahinter liegenden Kafka Messages ermöglicht dies eine effiziente und performante Aktualisierung der Stammdaten.

Zweitens eine Echtzeit-API, die die Möglichkeit bietet, die im Request angegebene IBAN direkt an die kontoführende Bank zu übermitteln, die dann den zugehörigen Datensatz zurücksendet. Der Verifizierungsalgorithmus führt anschließend die IBAN-Namensprüfung durch und gibt das Ergebnis zurück. Diese Option hat den Vorteil, dass keine Stammdaten in die Anwendung geladen werden müssen.

Datensicherheit, Verschlüsselung und Mandantentrennung

Die Datensicherheit wird durch mehrschichtige Verschlüsselung und Authentifizierung über QWAC-Zertifikate gewährleistet. Alle Anfragen und Antworten werden verschlüsselt, und die Identität der Anfragenden wird verifiziert, bevor auf den VoP-Service zugegriffen werden kann. Das VoP-Produkt ist so konzipiert, dass es den strengen Sicherheitsanforderungen der SEPA-Regulierung entspricht und übertrifft.

Das VoP-Produkt gewährleistet eine strikte Trennung der Daten für verschiedene Mandanten. Die Mandantentrennung wird durch die Zuweisung individueller Bank-IDs und BICs gewährleistet, die auf der Plattform aggregiert werden. Zusätzliche Sicherheitsmaßnahmen sorgen dafür, dass jede Bank ausschließlich Zugriff auf ihre spezifischen Daten erhält.

Yannik Osterloh

Yannik Osterloh

hat einen Master in Wirtschaftsinformatik und unterstützt als Project Manager bei msg for banking Kunden bei der Einführung von Instant Payments.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.