Ab dem 09. Oktober 2025 müssen Banken ihren Kunden Instant Payments anbieten. „Instant“ bedeutet: Ab Auslösung der Zahlung dürfen nur zehn Sekunden vergehen, bis das Geld beim Empfänger ankommt. Das bietet höheren Komfort für die Zahlenden und größere Sicherheit für die Gläubiger, die den Empfang des Geldes sofort bestätigen können.
Zahlungen in Echtzeit bedeuten aber auch, dass Betrug in Echtzeit erkannt werden muss. Banken haben nicht mehr bis zur nächsten Batchverarbeitung Zeit, um auf einen verdächtigen Überweisungsauftrag zu reagieren (inklusive des Pausierens der Überweisung für eine intensive Prüfung), sondern höchstens zehn Sekunden, bevor die Überweisung entweder bestätigt oder abgelehnt werden muss. Dass dies Institute vor große Herausforderungen stellt, zeigt sich in der Statistik: Betrugsraten bei Instant Payments sind vier- bis fünfmal so hoch wie bei klassischen SEPA-Zahlungen. Hinzu kommt, dass eine Rückabwicklung so gut wie unmöglich ist; schließlich kann das Geld nach erfolgter Überweisung erneut in Echtzeit weitergeleitet werden.
Manuelle Bearbeitungen sind aufgrund der Zeitspanne selbstredend ausgeschlossen. Die aktuell für klassische Überweisungen geltenden Betrugsprüfungsprozesse funktionieren nicht mehr. Die etablierten regelbasierten Systeme stoßen an ihre Grenzen.
Ein Ansatz ist das Einbeziehen der Kunden in den Prozess. Das kann in der Praxis so aussehen, dass bei verdächtigen Überweisungen vor Bestätigung der Zahlung ein Popup darüber informiert, welcher Verdachtsfall vorliegt. Dieses Popup könnte bei Maschen wie den Love Scams helfen, bei denen Kunden eine Fernbeziehung vorgegaukelt wird, die dann scheinbar in finanzielle Nöte gerät und Unterstützung anfordert.
Ausreichen wird das nicht: In Zukunft wird künstliche Intelligenz (KI) in der Betrugserkennung nicht wegzudenken sein. Hybride Systeme sind in Banken bereits teilweise umgesetzt. Diese kombinieren festgelegte Regeln mit KI. Entscheidungen über das Ablehnen von Überweisungen kommen zustande, indem neben dem Regelwerk auch ein ML (Machine Learning)-Score konsultiert wird. Dieser wird vom KI-Modul basierend auf dem Gesamtzusammenhang der Indikatoren errechnet. Eine große Stärke von KI ist, dass sie neue Zusammenhänge und Muster erkennen kann, die ein von menschlichen Experten definiertes Regelwerk nicht abbildet, und, dass diese Muster deutlich komplexer sein können und mehr Indikatoren berücksichtigen, als es in regelbasierten Systemen vorkommt.
Klassische Indikatoren, die bereits in regelbasierten Systemen Anwendung finden, sind Zugriffe auf das Konto von neuen Geräten, IP-Adressen aus neuen Orten (eventuell sogar aus dem Ausland), ungewöhnliche Beträge, Zahlungen an neue Empfänger (eventuell sogar ins Ausland) und ähnliche Variablen. Weitere Indikatoren kann der session-based Approach liefern: Bereits ab dem Login wird das Verhalten der Kunden analysiert, abweichende Verhaltensweisen als Indikator für einen Betrug erkannt. So können zusätzliche nutzerspezifische Muster erkannt werden.
Aber: Wenn die KI eine Zahlung stoppt, dem Kunden aber nicht erklärt werden kann, wieso, ist das eine unangenehme Situation. Das Schlagwort hier lautet: explainable AI (XAI). Diese Methode bietet den Experten die Möglichkeit, die Muster nachzuvollziehen, indem sie die Auswirkungen einzelner Indikatoren und von Indikator-Kombinationen auf den ML-Score beobachten.
Ein weiterer wichtiger Bestandteil der Instant Payments Fraud Detection werden externe Datenquellen sein, beispielsweise der Service FPAD (Fraud Pattern and Anomaly Detection) der EBA-Clearing, der europaweit Informationen zum Empfängerkonto liefert. Ähnlich hilft Verification of Payee, der IBAN-Namensabgleich, der Teil der Instant Payments Regulierung ist. Der eingegebene Empfängername muss bei einer Überweisung mit dem Namen übereinstimmen, der mit der eingegebenen IBAN verknüpft ist. Dies kann beispielsweise gegen Betrug durch Identitätsdiebstahl helfen.
Eine Kombination dieser Bestandteile (Verhaltensprofil, Maschinelles Lernen, externe Datenquellen) wird Banken dabei helfen, False Positives deutlich zu senken.
Die Herausforderungen im Bereich der Fraud Detection bei Instant Payments sind erheblich und sollten von Banken nicht unterschätzt werden. Durch die Implementierung fortschrittlicher Technologien und Methoden sowie durch die Einbindung der Kunden kann die Sicherheit und Benutzererfahrung maßgeblich verbessert werden.
Marc-Nicolas Glöckner
Marc-Nicolas Glöckner ist seit über 10 Jahren bei der PPI AG tätig und leitet die Business Unit mit Fokus auf Fraud Detection. Er bringt umfangreiche Erfahrungen aus Projekten bei Banken mit. Zuletzt war er an einem wichtigen europaweiten Fraud-Projekt beteiligt und hat als Experte bereits zahlreiche Vorträge zu Fraud gehalten (z.B. Fraudmanagement for Banks 2023 und 2024).
