Offiziell sicher, real abgezockt: Warum Europas Zahlungsverkehr bei Scams versagt

SCA hat den klassischen Kartenbetrug gebremst, aber beim manipulierten Überweisungsbetrug steigt der Schaden weiter. Das System wirkt auf dem Papier stabil, lässt aber genau dort Lücken, wo Menschen unter Druck Fehlzahlungen freigeben. Der Grund ist unbequem: Technik schützt Prozesse, aber nicht vor psychologischer Manipulation im entscheidenden Moment.

von Oliver Jessner

Die Sicherheit im europäischen Zahlungsverkehr wird oft über die Fraud-Quote erzählt. Das Problem: Diese Zahl beruhigt, während der Schaden steigt. Für IT-Leiter ist das die eigentliche Nachricht: Das Kontrollmodell schützt den Kanal, aber zu oft nicht die Freigabeentscheidung unter Manipulation.

Stabile Quote, wachsender Schaden

Die aktuellen EWR-Daten zeigen ein hartes Paradox: 2024 lag die Betrugsquote weiterhin bei rund 0,002 % des gesamten Transaktionswerts, gleichzeitig stieg der absolute Schaden auf 4,2 Mrd. Euro (nach 3,5 Mrd. Euro in 2023). Das ist kein Messfehler, sondern ein Architekturproblem unter Last: Bei wachsendem Volumen reichen kleine Quoten für große Verluste (Website).

SCA bleibt wirksam, aber am falschen Angriffsvektor

SCA wirkt weiterhin gegen die Betrugsmuster, für die sie gebaut wurde, vor allem im Kartenumfeld. Gleichzeitig verschiebt sich der Verlustpfad: Der Report beschreibt die Zunahme manipulationsgetriebener Fälle („manipulation of payers“). Technisch gesagt: Der Angreifer bricht seltener den Authentifizierungs­schritt, sondern kapert den Entscheidungskontext davor (1, 2).

Der Datensatz zeigt auch, warum „SCA vorhanden“ als KPI nicht reicht: Bei elektronisch initiierten Credit Transfers liegt SCA nach Wert hoch, bei Karten- und E-Geld-Transaktionen nach Stückzahl deutlich niedriger. Wer nur SCA-Quoten reportet, sieht Compliance, aber nicht zwingend Risikowirkung pro Kanal (Website).

Wenn Nutzer den Schaden tragen, ist es ein IT-Problem

Bei Credit-Transfer-Betrug trugen Zahlungsnutzer 2024 rund 85 % der Verluste. Das ist keine Randnotiz für Kommunikation oder Recht, sondern eine rote Linie für Bank-IT: Wenn formal „autorisierte“ Zahlungen systematisch in den Schaden laufen, fehlt eine wirksame technische Bremse im Freigabepfad (Website).

Außerhalb des EWR steigt das Risiko massiv

Ein weiterer Befund mit direkter Architekturfolge: Kartenbetrug war bei Gegenparteien außerhalb des EWR etwa 17-mal höher als innerhalb des EWR. Das ist nicht nur Fraud-Analytics, sondern auch Routing-, Acquiring- und Policy-Thema. Wer diese Geodimension nicht in Echtzeit in die Entscheidung integriert, verliert kontrolliert (Website).

So sieht ein wirksames Zielbild für 2026 aus

Einsetzbar ist nur eine Freigabearchitektur mit zentralem Authorization-Control-Plane:

• Ein Risk-Decision-Service vor finaler Autorisierung (allow, step-up, hold, block).
• p95-Latenz im niedrigen zweistelligen bis niedrigen dreistelligen Millisekundenbereich.
• Kein fail-open bei Modell-/Daten-Ausfall.
• VoP als Risiko-Feature mit harter Policy-Kopplung (nicht nur UI-Hinweis).
• Incident-Feedback in Stunden, nicht in Wochen.

Das ist nicht „nice to have“, sondern die technische Voraussetzung, um manipulierte Autorisierung überhaupt wirksam zu bremsen (Website).

Fristen bis 2027: Das ist ein Release-Programm, kein Legal-Update

Die regulatorischen Termine sind fix: Empfang von Echtzeitüberweisungen im Euroraum seit 9. Januar 2025, Pflicht zum Senden ab 9. Oktober 2025, Empfängerüberprüfung ebenfalls ab 9. Oktober 2025, EU-weite Ausdehnung ab 9. Juli 2027. Wer das als reines Rechtsprojekt behandelt, verpasst API-Design, Runbooks, Observability und Incident-Response. Mehr dazu hier: Website.

Was IT-Leiter ab morgen messen sollten

Wenn diese Kennzahlen nicht monatlich auf dem Tisch liegen, fehlt die operative Wahrheit:

• Manipulationsverlust je 1 Mio. Überweisungen.
• Override-Rate bei roten Warnungen.
• Time-to-Intervention (Erstsignal bis Gegenmaßnahme).
• Time-to-Rule-Update nach bestätigtem Muster.
• Anteil Zahlungen im degradierten Modus (Scoring/Datenpfad eingeschränkt).
• Friktionskosten pro 10.000 Zahlungen (False Positives).

Diese Sicht trennt Compliance-Theater von echter Steuerung. „Autorisierter Betrug“ ist in vielen Fällen nur ein höflicher Begriff für fehlende Echtzeitabwehr. Wenn ein Institut 2026 Scams noch mit Warntexten statt mit kontrollierter Freigabearchitektur bekämpft, ist das keine Strategie, das ist ein geplanter Verlustpfad.Oliver Jessner

Nachweise:

• https://www.eba.europa.eu/publications-and-media/press-releases/joint-eba-ecb-report-payment-fraud-strong-authentication-remains-effective-fraudsters-are-adapting
• https://www.eba.europa.eu/sites/default/files/2025-12/1709846a-84d9-47cf-86a0-b155efb34d66/EBA%20and%20ECB%20Report%20on%20Payment%20Fraud.pdf
• https://www.eba.europa.eu/publications-and-media/press-releases/joint-eba-ecb-report-payment-fraud-strong-authentication-remains-effective-fraudsters-are-adapting
• https://www.bundesbank.de/dynamic/action/de/aufgaben/unbarer-zahlungsverkehr/veroeffentlichungen/fragen-und-antworten-zu-echtzeitueberweisungen-und-empfaengerueberpruefung/963980/fragen-und-antworten-zu-echtzeitueberweisungen-und-empfaengerueberpruefung-