Die EBA-Empfehlungen zum Berichtswesen von Betrugsvorfällen bei Bezahltransaktionen sollen die Transparenz im Zahlmarkt verbessern.
alinghiblue | iStock
Die Konsultation läuft bis zum 3. November 2017. Die Empfehlungen im EBA-Entwurf sollen ab Januar 2018 im Kontext der Zahlungsdiensterichtlinie PSD 2 greifen. Nach Artikel 96 (6) der Richtlinie müssen Zahlungsdienstleister den Aufsichtsbehörden einmal jährlich statistische Daten zu Betrugsfällen melden, die in Verbindung mit den unterschiedlichen Zahlungsmitteln stehen. Die Informationen werden an die EBA sowie die Europäische Zentralbank (EZB) übermittelt.
In ihrem Entwurf gibt die Aufsichtsbehörde zehn Empfehlungen für Zahlungsdienstleister und Aufsichtsbehörden heraus, die gestaffelt je nach dem angebotenen Zahlungsinstrument unterschiedliche Anforderungen zu Datentiefe und -inhalten beinhalten. So müssen beispielsweise bei Finanztransfers oder Lastschriften nur wenige Informationen bereitgestellt werden. Anders ist dies bei kartenbasierten Bezahltransaktionen und Überweisungen. Ausgenommen sind Kontoinformationsdienstleister, da sie selbst keine Zahlungstransaktionen durchführen.
Mehr Transparenz über Betrugsfälle
Nach EBA-Definition sollen alle Arten von betrügerischen Aktionen im Zahlungsmarkt gemeldet werden. Dies soll noch mehr Transparenz schaffen. Dabei kategorisiert die Aufsichtsbehörde nicht mehr nach Begriffen wie "Phishing" oder "Trojaner", sondern nach Attributen. Zu ihnen gehören laut Angaben des IT-Beratungshauses Core
- der Ort in der Zahlungskette, an dem der Betrug stattfindet, also bei Zahlungsdienstleistern von Zahler oder Zahlungsempfänger,
- die Authentifikationsart, die den Betrug nicht verhindert hat, also etwa eine starke oder nicht starke Authentifizierung,
- der Bezahlkanal, in dem der Betrug stattfand, sowie
der Weg, über den Betrüger sich Zugang zu geheimen Zahlungsdaten verschafft haben, etwa durch Manipulation des Zahlers.
Betrügerische Kartenzahlungen müssen vom Zahlungsdienstleister sowohl des Zahlers als auch des Empfängers gemeldet werden. Dies gilt nur für tatsächlich ausgeführte Betrugsvorfälle. Diese müssen zudem im Berichtszeitraum übermittelt werden, in dem sie aufgetreten sind. Etwaige doppelte Meldungen von Betrugsfällen sollen nicht aufaddiert werden.
Der erste Quartalsbericht mit Betrugsvorfällen, die das zweite Quartal 2018 umfassen, soll im zweiten Halbjahr 2018 an die nationale Aufsichtsbehörde übermittelt werden. Die Meldungen müssen sich auf betrügerische Bezahltransaktionen beziehen, die ab Gültigkeit des neuen technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kundenkommunikation aufgetreten sind.