EBA startet Konsultation zu Leitlinien im Berichtswesen von Betrugsvorfällen im Zahlungsverkehr Keyfacts
KEY FACTS
- EBA veröffentlicht Entwurf mit Leitlinien für ein Berichtswesen von Vorfällen nach Artikel 96(6) der PSD II – Konsultation läuft bis zum 3. November, Empfehlungen gelten ab
13. Januar 2018 - Kontoinformationsdienstleister (AISP) von Regelung ausgenommen
- EBA gibt detaillierte Datenaufschlüsselung vor – Zahlungsdienstleister werden Berichtssystem anpassen oder aufbauen müssen
- EBA definiert „Betrug“ neu
- Unterschiedliche Berichtstiefen in Quartals- und Jahresbericht
- Bericht nur von ausgeführten, nicht von versuchten betrügerischen Transaktionen
- Bei Vorfällen mit Kartenzahlungen müssen Kartenausgeber und Kartenakzeptant berichten –
WESENTLICHE INHALTE
Abbildung 1: Aufschlüsselung der Daten für jährliche und Quartalsberichte korrespondierend zu den Tabellen des EBA-Entwurfs
Gemäß Artikel 96(6) der PSD II müssen Zahlungsdienstleister den Aufsichtsbehörden mindestens einmal jährlich statistische Daten zu Betrugsfällen in Verbindung mit den unterschiedlichen Zahlungsmitteln vorlegen. Die betreffenden zuständigen Behörden stellen der EBA und der EZB diese Daten in aggregierter Form zur Verfügung.
Für beide benannte Meldeziele gibt die EBA in insgesamt 10 Empfehlungen – 7 für Zahlungsdienstleister und 3 für Aufsichtsbehörden – detaillierte Anforderungen vor. Kontoinformationsdienstleister sind von der Regulierung ausgenommen, da sie keine Zahlungstransaktionen ausführen und somit nicht zu betrügerischen Zahlungstransaktionen berichten können. Bezüglich der Tiefe der Datenaufschlüsselung unterscheidet die EBA zwischen sehr detaillierten jährlichen und weniger detaillierten vierteljährlichen Berichten. Darüber hinaus richtet sich die Tiefe der Datenaufschlüsselung nach dem angebotenen Zahlungsinstrument , so müssen zum Beispiel bei Finanztransfers und Lastschriften nur wenige grunsätzliche Daten berichtet werden, während bei Kartenzahlungen und Überweisungen sehr viele Informationen übermittelt werden müssen.
Die EBA stellt eine eigene Definition von „Betrug“ (Fraud) im Sinne der Verwendung in „betrügerischen Zahungstransaktionen“ auf. Demnach umfassen betrügerische Zahlungstransaktionen alle Arten von Zahlungsbetrug im Zahlungsmarkt. Hierzu zählt die EBA neben nicht autorisierten Transaktionen auch Betrug durch Manipulation des Zahlers sowie betrügerisches Handeln des Zahlers selbst. Abstrakte, frei interpretierbare und nicht eindeutig zurechenbare Begriffe wie „Phishing“, „Social Engineering“ oder „Trojaner“ werden bewusst nicht gebraucht; alle betrügerischen Transaktionen müssen unterschiedslos gemeldet werden. Stattdessen bietet die EBA eine neue, Technologie-neutrale Kategorisierung an, die auf vier Attributen aufbaut:
- Ort in der Zahlungskette, an dem der Betrug stattfindet, z.B. der Zahlungsdienstleister von Zahler oder Zahlungsempfänger
- Authentifikationsart, die Betrug nicht verhindert hat, z.B. starke/nicht starke Authentifizierung
- Zahlungskanal, in dem der Betrug stattfand
- Weg, über den Betrüger sich Zugang zu geheimen Zahlungsdaten verschafft haben, z.B. Manipulation des Zahlers
Betrügerische Kartenzahlungen müssen sowohl vom Zahlungsdienstleister des Zahlers als auch vom Zahlungsdienstleister des Empfängers gemeldet werden. So hofft die EBA, ein umfängliches Bild des Kartenbetrugs zu erhalten. Die Betrugsarten beim Kartenausgeber und beim Kartenakzeptanten können sich einerseits stark unterscheiden, andererseits können beide Endpunkte von den Erfahrungen des jeweiligen Anderen bei der Verhinderung neuer Betrugsarten lernen.
Dem Risiko des doppelten Zählens beim doppelten Bericht eines Vorfalls will die EBA Rechnung tragen, indem die Zahlen des gleichen Vorfalls nicht aufaddiert werden. Dabei formuliert sich die EBA geschickt um die Zuschreibung der Rechenarbeit herum. Zu hoffen ist, dass die Stelle, bei der beide Meldungen auflaufen, diese Logik installieren muss. Hierzu müssen sich die nationalen Aufsichten entsprechend aufstellen. Die gleiche Logik muss bei eine Zahlung initiierenden Zahlungsauslösediensten (PISP) und eine Zahlung ausführenden Zahlungsdiensten (ASPSP) angewendet werden.
Zur Entlastung der Zahlungsdienstleister verzichtet die EBA auf Berichte zum versuchten Betrug, nur tatsächlich ausgeführter Betrug muss berichtet werden. Hierbei muss jeder Vorfall in dem Berichtzeitraum erfasst werden, in dem er aufgetreten ist und nicht erst in dem Zeitraum, in dem der Vorfall geschlossen wurde. Interessant ist auch die Vorgabe zum Bericht von Bruttoverlust (vor z.B. Erstattung aus einer Versicherung) und Nettoverlust (der finale Verlust der beim Zahlungsdienstleister verbleibt). So erhofft die EBA weitere Erkenntnisse über die Effektivität von Authentifiezirungsmethoden, Betrugsüberwachungssystemen und weiteren Maßnahmen gewinnen zu können.
Der erste Quartalsbericht muss im zweiten Halbjahr 2018 an die nationale Aufsichtsbehörde übermittelt werden und Vorfälle ab dem 2. Quartal 2018 umfassen. Der erste Jahresbericht wird im ersten Halbjahr 2020 erwartet, er muss Vorfälle ab dem Gültigkeitszeitpunkt des technischen Regulierungsstandards zu starker Kundenauthentifizierung und sicherer Kommunikation (RTS SCA&SC) enthalten. Nach heutiger Erwartung sollte dieses RTS ab Februar 2019 gültig sein.
Über das Berichtsformat und die Kommunikationsmittel können die Aufsichtsbehörden selbst entscheiden. Beides wird sich an den ebenfalls notwendigen Schittstellen zu Meldepflichten im bargeldlosen Zahlungsverkehr im Kontext PSD II orientieren müssen.
Abbildung 1: Aufschlüsselung der Daten für jährliche und Quartalsberichte korrespondierend zu den Tabellen des EBA-Entwurfs
Vierteljährlich will sich die EBA einen statistisch unterlegten Überblick verschaffen zum Brutto/Netto-Verhältnis der Schadenstransaktionen, zum Zahlungskanal (fern ja/nein), zur Authentifizierungsmethode (stark ja/nein), zum Dienstleister (Zahlungsauslösedienst / Zahlungsdienst), zum Verhältnis elektronisch/nicht elektronisch initiierter Zahlungen, zum Einverständnis (E-Mandat ja/ nein) und zur Kartenfunktion (Debit / div. Credit). Auf Basis dieser Daten wird über die Zeit ein Überblick über die tatsächlich auftretenden Schäden, Angriffsvektoren, Schwächen von Verfahren, Organisationen und Systemen des bargeldlosen Zahlungsverkehrs und die Wirkung von Maßnahmen möglich.
FAZIT
Nach Auffassung der Autoren stellen die 10 Empfehlungen zum Berichtswesen eine logische und gute Fortführung zum Meldewesen von schwerwiegenden Zahlungsverkehrsvorfällen im bargeldlosen Zahlungsverkehr im Kontext der PSD II dar.
Auch die nationalen Aufsichtsbehörden müssen sich entsprechend dieser Elektrifizierungsbedarfe aufstellen. Für den Erfolg dieser und weiterer Pflichten kommt es maßgeblich darauf an, wie die nationalen Aufsichten, EBA und EZB die gesammelten Informationen der weiteren Auswertung und Operationalisierung zuführen. Sinnvoll wäre die Zurverfügungstellung der Daten an die Fachcommunity in geeigneter Form, um die Zahlungssysteme weiter zu härten und den eigenen Aufsichtsobjekten aktiv bei der Markt- und Produktgestaltung zu helfen.
Beide Anforderungsklassen (Meldung und Bericht) hätten Banken vor Jahren zu geringeren Kosten, zu geringeren organisatorischen Aufwänden und zu geringeren politischen Friktionen haben können. Nun gilt es, auch diese aus der PSD II entstandenen Pflichten in kurzer verbliebener Zeit umzusetzen. Die Anforderungen werden die Zahlungsdiensteanbieter zwingen, ihre IT- und Datenbanken-Infrastruktur weiter anzupassen. Im besten Fall sollten alle Melde- und Berichtsanforderungen in einer Engine zusammengeführt werden, um den Aufwand für die verschiedenen, jedoch zumeist ähnlichen Melde- und Berichtsbedarfe möglichst gering zu halten.
Die durch Regulierung und Aufsicht forcierte Digitalisierung der Datengewinnung und Datenübermittlung bei Banken kann als Blaupause für die automatisierte Erhebung aller aufsichtsrelevanten Daten zur echtzeitfähigen, risikoadäquaten Bankenaufsicht dienen.
QUELLEN
Internet
www.eba.europa.eu/news-press/calendar
Vorausgehende Posts der Serie
COREinstitute 2016/2017