STRATEGIE28. Juli 2023

Zeitnah IBAN-Namensprüfung implementieren – spätestens mit PSD3 ist das unumgänglich

Friso Schutte informiert über die voraussichtlich kommende IBAN-Namensprüfung
Friso Schutte, SurePay SurePay

Im Oktober letzten Jahres hat die EU-Kommission einen Gesetz­gebungs­vorschlag angenommen, demzufolge Instant Payments sicherer, problemlos abwickelbar und schneller werden sollen. Um die Sicherheit zu erhöhen, soll eine automatisierte IBAN-Namensprüfung verpflichtend eingeführt werden. Zeitrahmen: für die meisten Banken innerhalb von zwölf Monaten nach Inkrafttreten. Letzteres wird voraussichtlich noch 2023 passieren. 

von Friso Schutte und Michael Hülsiggensen, SurePay

Ob Eigenentwicklung oder Implementierung einer bestehenden Lösung: beides erfordert Vorlaufzeit. Es ist also höchste Zeit, sich damit auseinanderzusetzen, wie eine gute IBAN-Namensprüfung aussieht, was sie leisten können muss und sollte, wie die Integration einer bereits bestehenden Lösung aussehen kann und warum auch ein “Close Match”, eine Meldung über eine nahe Übereinstimmung, wichtig ist.

Friso Schutte informiert über die voraussichtlich kommende IBAN-Namensprüfung
Michael Hülsiggensen SurePay SurePay

Was eine gute IBAN-Namensprüfung ist

Bei einer IBAN-Namensprüfung gleicht ein Algorithmus den vom Zahler eingegebenen Namen des Zahlungsempfängers anhand der zugehörig eingegebenen IBAN mit den von der Bank des Zahlungsempfängers registrierten Kontoinhaberdaten ab. Bei diesem Abgleich sollte nicht zwischen Groß- und Kleinschreibung unterschieden und alle Zeichen unterstützt werden, die im UTF-8-Standard möglich sind.

Als Ergebnis gibt die Überprüfung ein “Match” (Übereinstimmung) oder “No Match” (keine Übereinstimmung) aus, oder bestenfalls auch noch ein “Close Match” (enge Übereinstimmung).
Für eine optimale Kundenerfahrung und den größtmöglichen Schutz vor Betrug und fehlgeleiteten Zahlungen hat dabei die Verwendung eines ausgereiften Algorithmus höchste Priorität. Dieser sollte darauf abzielen, die Anzahl der positiven Übereinstimmungen zu maximieren und gleichzeitig die Häufigkeit der falschen “No Match”-Ergebnisse zu minimieren.

Die Prüfungs-Ergebnisse wiederum sollten als aussagekräftige Rückmeldung für die jeweiligen Zahler in die Bankanwendungen implementiert werden. Einerseits, um ihnen die Gewissheit zu geben, an die richtige Person oder das richtige Unternehmen zu zahlen. Andererseits, um zu verhindern, dass jemand zahlt, wenn die Angaben des Zahlungsempfängers eindeutig falsch sind.

Die technische Implementierung einer bestehenden IBAN-Namensprüfung

Der Ablauf einer externen IBAN-Namensprüfung kann wie folgt aussehen: Ein Bankkunde gibt bei einer Echtzeitüberweisung, oder auch einer klassischen Online-Überweisung, den Namen des angedachten Zahlungsempfängers und die vermeintliche IBAN ein, beispielsweise über die Banking-App.

SurePay
Sodann werden die vom Zahler eingegebenen Informationen an die API des Lösungsanbieters gesendet und der Router weiß, wohin er die Anfrage weiterleiten muss. Das kann auch ein angeschlossenes System zur Verarbeitung grenzüberschreitender Zahlungen sein. Der IBAN-Namensprüfungsanbieter verarbeitet die eingehenden Anfragen mittels eines Algorithmus und beantwortet sie, im einfachsten und besten Fall direkt im Namen der kontoführenden Bank, die ebenfalls über eine API angeschlossen sein sollte. Nach der Rückmeldung wird dem Bankkunden im Front-End der genutzten Banking-Anwendung das Ergebnis zurückgespielt.

Autoren Friso Schutte und Michael Hülsiggensen, SurePay
Friso Schutte, SurePay SurePay

Friso Schutte ist seit 2019 CTO bei SurePay (Website) – bei der er auch die IT-Ab­tei­lung lei­tet. Zu­vor ar­bei­te­te er meh­re­re Jah­re bei der Ra­bo­b­ank im Be­reich On­line-Ban­king. Sei­ne vor­he­ri­gen be­ruf­li­chen Sta­tio­nen wa­ren sehr viel­fäl­tig und reich­ten vom lang­fris­ti­gen Vi­sio­när und Un­ter­neh­mens­ar­chi­tek­ten bis zum So­lu­ti­ons-Ar­chi­tek­ten oder Tech­no­lo­gie-Evan­ge­lis­ten, vom lei­ten­den Ma­na­ger bis zum Hard­core-Ingenieur.

Michael Hülsiggensen, SurePay SurePay

Michael Hülsiggensen ist Head of DACH Market SurePay (Website). Vor sei­nem Start bei Sur­e­Pay war Hül­sig­gen­sen vier Jah­re lang für den Bun­des­ver­band Di­gi­ta­le Wirt­schaft (BVDW) tä­tig. Zu­vor hat­te er lei­ten­de Po­si­tio­nen bei b4pay­ment, CPG Fi­nan­ce Sys­tems, PPRO Fi­nan­ci­al und EOS Pay­ment So­lu­ti­ons in­ne. Sei­ne Schwer­punk­te lie­gen im Pay­ment, Zah­lungs­ver­kehr so­wie Risikomanagement.

Alles, was der Zahler sieht, sind die selbst eingegebenen Daten, die als Request an die Bank gesendet werden, sowie – bestenfalls – eine hilfreiche Bestätigung oder Warnung der Bank. Bestenfalls mit Antwortzeiten < 100ms und natürlich einer hohen Verfügbarkeit.

Da die meisten Banken ihre Daten vor Ort oder in ihrer privaten Cloud aufbewahren wollen, ist eine Datenintegration hilfreich. Vorzugsweise sollte auch diese Echtzeitverbindung über eine API hergestellt werden, bei der die gewählte Lösung einzelne IBANs in einer Anfrage an die Bank senden kann und die Bank mit den Namensdaten des Kontoinhabers antwortet; beispielsweise mit Vorname, Nachname, Initialen, Name des Partners, Präfixe, Ehrentitel, Adelsbezeichnungen usw. für jeden Kontoinhaber des Kontos.

Die Integration einer ausgereiften API für eine IBAN-Namensprüfung in das Front-End der Online- und Mobile-Banking-Kanäle sollte für die meisten Banken lediglich einen Aufwand von ein bis zwei Sprints bedeuten, je nach Reifegrad der IT-Organisation.”

Die Bedeutung von ausgereiften Algorithmen und dem “Close Match”

IBAN-Namensprüfungen sollten aus vielfältigen Gründen nicht auf historischen oder statistischen Daten basieren, sondern in Echtzeit abgefragt werden:
Zum einen kann mit aktuellen, verifizierten Bankdaten ein viel umfassenderer Abgleich erfolgen. Um eine ausreichende Abgleichqualität für Geschäftskonten vorzunehmen, ist zudem eine Datenanreicherung hilfreich, um auch alle Handels-/Handelsnamen des Unternehmens abrufen zu können. Solche Zusatzinformationen steigern die Qualität der Datenprüfung nochmals. Ganz zu schweigen von Grenzfällen wie Factoring, bei denen der Kontoinhaber nicht der Begünstigte ist. Da kommen dann auch dynamische Datenüberschreibungen ins Spiel.

Zum anderen gibt es mit Echtzeit-Daten deutlich weniger falsche “No Match”-Meldungen. Das ist von entscheidender Bedeutung, da sich falsche Nichtübereinstimmungen negativ auf das Kundenerlebnis auswirken, das Vertrauen beeinträchtigen und langfristig zum Ignorieren der Meldungen führen können.

Weitere häufige Fragen beziehen sich auf die Ergebnismeldungen. Reichen “Match” und “No Match”? Oder sollte es auch etwas dazwischen geben, einen “Close Match”-Hinweis?

Bei näherer Betrachtung zeigt sich schnell, dass IBAN-Namensabgleiche kein Schwarz-Weiß-Szenario sein sollten. Denn: Bei jedem Namen werden häufig Tippfehler gemacht, wenn sie händisch eingegeben werden. Zudem gibt es häufig alternative Schreibweisen oder Sonderzeichen, besonders über Ländergrenzen weg, sowie Ehrentitel, Akronyme, Homonyme, Tokenisierung, Synonymisierung, Titelinitialisierung, Umlautverarbeitung, lexikalische Analysen, Abkürzungen, Standardisierungen, trunkierte Datenverarbeitung und mehreren Sprachen bzw. Übersetzungen für einen Namen oder ein Unternehmen. Mit all diesen Dingen muss der Algorithmus sinnvoll umgehen können.

Wenn jeder kleine Fehler zu einer Nichtübereinstimmung führen würde, würde das Zahlungen lähmen. Schließlich ist eine Übereinstimmung nur dann ein “Match”, wenn die Schreibweise exakt richtig ist.

Eine der wohl größten Herausforderung für IBAN-Namensabgleiche ist – so zeigt es uns seit sechs Jahren die Praxis – dass der Algorithmus hinter so einer Lösung fortwährend angepasst und optimiert werden muss. Es ist ein lernendes System.”

Aus diesem Grund setzen einige Lösungen auf Grautöne: die enge Übereinstimmung, das “Close Match”. Damit “Michael Hülsiggensen” und “Michael Huelsiggensen” oder auch “Michi Hülsiggensen” eben auch kein “No Match” ergeben. In solch engen Fällen, oder beispielsweise bei übersetzten Unternehmensnamen in verschiedenen Länder, ist es sinnvoll, dass die API-Antwort einen Namensvorschlag enthält, mit dem der Nutzer seine Eingabe korrigieren kann. Denn nur der Nutzer kennt seine eigene Intention und nur er kann entscheiden, ob er die Zahlung durchführen will und ob ein “Close Match” eigentlich eine Übereinstimmung ist oder nicht.

Über SurePay
SurePay ist Initiator und führender Anbieter vom IBAN-Name Check. Das 2016 gegründete niederländische FinTech-Unternehmen bietet mit seiner Lösung eine innovative Echtzeit-Namensprüfung, die Zahlenden mehr Sicherheit darüber gibt, dass ihre Zahlungen an den vorgesehenen Empfänger gehen. Dadurch werden Überweisungen an falsche Personen oder Unternehmen vermieden, sei es absichtlich durch Zahlungsbetrug oder unbeabsichtigt durch fehlgeleitete Zahlungen. SurePay ist bereits mit 100 Banken in Europa und im Vereinigten Königreich sowie mit Hunderten von Organisationen verbunden.

Der Einsatz von Punktzahlen oder Prozentsätzen wiederum bietet sich nicht an. Oder würden Sie jemandem 5.000 € zahlen, wenn die Bank einen Sicherheitswert von 87 % angibt? Endnutzer möchten, wenn es um ihr Geld geht, nicht mit Scores oder Prozentsätzen umgehen.

Ausblick

Die Zeit rennt und brennt. Banken und Zahlungsdienstleister haben nur noch eine absehbare Zeitspanne, um eine möglichst gut funktionierende IBAN-Namensprüfung an den Start zu bekommen, die über einen ausgereiften Algorithmus und eine breite Datengrundlage verfügt, auch für Crossborder-Zahlungen. Probleme und fehlerhafte Systeme könnten sich dabei wirtschaftlich und im Wettbewerbsvergleich immens nachteilig auswirken und sich wie ein Rattenschwanz durchziehen.

Die Frage kann also kaum noch lauten, ob sie bald beginnen, ein eigenes System zu entwickeln, sondern für welche am Markt etablierte Lösung sie sich entscheiden, und wann.”

Friso Schutte und Michael Hülsiggensen, SurePay

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/155934

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert