RTS reloaded: Gefahrenzone e‑Geldbörse – Vorschriften im Kampf gegen Online-Kartenbetrug
Digital Element
Wenn es um Digitalbetrug geht, steht die Abzocke mit Kryptowährung oft im Vordergrund. Wenn etwa mit viel Medienfuror davon berichtet wird, wie eine einzige Gruppe Krimineller seine Opfer um bis zu 100 Millionen Euro erleichtern konnte, ist das nicht weiter verwunderlich. Aber wie steht es um gewöhnliche Online-Zahlungen? Schäden aus Kreditkartenbetrug haben laut Deutscher Bank mittlerweile € 132 Millionen im Jahr erreicht. Die PSD2 RTS zu SCA soll es richten.
von Kate Owen, VP Northern Europe, Digital Element
Zunächst einmal ist es lediglich Wunschdenken, dass etablierte Zahlungsmethoden immer der sicherere Weg sind. Der Wert bargeldloser Zahlungen geht steil bergauf und kletterte 2018 auf € 55,8 Milliarden – und Betrüger folgen dem Geld. Die Notwendigkeit strengerer Regulierung ist also nicht von der Hand zu weisen, wenn sichergestellt werden soll, dass die Geldbörsen der Verbraucher und E-Commerce-Umsätze geschützt sind.Vorhang auf für die überarbeitete EU-Zahlungsdienstrichtlinie (PSD2) oder genauer gesagt den technischen Regulierungsstandard (RTS), mit dessen Hilfe digitale Kartentransaktionen bald schon nahezu betrugssicher werden könnten.
PSD2 und RTS: die Zukunft des Zahlungsgeschäfts
Die wichtigste Änderung der im Januar eingeführten PSD2 ist die gesteigerte Flexibilität des Bankwesens. In Ergänzung der früheren PSD-Rahmenverordnung wird nun eine größere Palette an Dienstleistungen angeboten – insbesondere Zahlungsinitiierung – indem Kontozugriffe für Drittanbieter zugelassen werden. Die größere Freiheit kommt natürlich mit gewissen Vorbehalten: Kunden müssen den Zugriff genehmigen und Anbieter müssen ihren Schutz sicherstellen. Und genau hier kommt der RTS ins Spiel. Laut PSD2 sollten Zahlungsdienste „sicher abgewickelt werden, wobei Technologien einzusetzen sind, die eine sichere Authentifizierung […] gewährleisten und das Betrugsrisiko […] einschränken“. Wie genau das vonstatten geht, das ist im RTS zu finden.
Kate Owen arbeitet seit 2011 als Digital Elements Vice President, Northern Europe, und kann in dieser Rolle auf eine fast zwanzigjährige Erfahrung im Bereich digitale Werbung und technologische Lösungen zurückblicken. Eine gebürtige Neuseeländerin, die 1994 nach Europa umsiedelte, bis 2010 lebte und arbeitete Kate zwölf Jahre lang in Deutschland; seitdem nennt sie London ihre Zuhause. Frau Owen verfügt über einen MA in europäischer BWL und spricht fließend Deutsch. In ihrem früheren Leben als klassische Musikerin absolvierte sie einen Laureatsstudiengang und Fachlaureatsstudiengang für Violoncello. Kate ist dafür bekannt, dass sie gelegentlich das eine oder andere Monty Python Lied ertönen lässt.Der RTS, der Ende 2019 eingeführt werden soll, verpflichtet Anbieter, Prozesse für eine starke Kundenauthentifizierung (Strong Customer Authentication – SCA) zu verwenden und sicherzustellen, dass betrügerische Aktivitäten erfasst und unterbunden werden, bevor Geld die Konten verlässt.”
Dabei gibt es einige Ausnahmen, wie „kontaktlose“ Kartenkäufe bis zu 50 Euro. Da aber eine Personenverifizierung bei Käufen ab 150 Euro erforderlich ist, sind Kontrollen weiterhin von höchster Bedeutung.
Was bedeuten die Rechtsvorschriften?
Zusammen läuten PSD2 und RTS eine neue Ära rationalisierter, kanalübergreifender Einkaufsabwicklungen und Betrugsprävention ein. Kunden, die vorzugsweise mit Karten bezahlen und auf schnelle, vereinfachte Transaktionen Wert legen – immerhin 52 Prozent in Deutschland – erhalten eine größere Auswahl an Zahlungsanbietern. Darüber hinaus geben sie internationale Richtlinien zur Minimierung von Cyber-Kriminalität und für sicheres Einkaufen über verschiedene digitale Kanäle vor.
Die neuen Vorschriften stellen Unternehmen jedoch vor technische Herausforderungen. Anforderungen an stärkere Sicherheitskontrollen, Compliance und Risikomanagement bei gleichzeitigem Schutz der Verbraucher sind komplex. Nehmen wir den SCA-Prozess als Beispiel: Wie im RTS vorgegeben, muss eine Authentifizierung mindestens zwei von drei Elementen einschließen – Wissen, Besitz und Inhärenz – die voneinander unabhängig sind. In der Praxis muss eventuell ein einzigartiger, zeitbegrenzter Verifizierungscode an ein mobiles Gerät gesendet werden, wenn die Zahlung von einem Desktop oder bei App-Einkäufen per E-Mail initiiert wird.
Wenn darüber hinaus die Tore für eine Unzahl von Anwendungen von Drittanbietern geöffnet werden, steigt das Risiko eines Angriffs durch Hacker und Betrüger.”
Für Banken kann dies bedeuten, dass Sicherheitsmaßnahmen über einfache Firewalls hinausgehen und umfassende Zahlungs-Screenings und Verhaltensanalysen einschließen müssen. Und da Zahlungsanbieter außerdem für Verstöße haftbar sind, die auf unzureichende Authentifizierung zurückzuführen sind, ist es auch für sie äußerst wichtig, Kundenaktivitäten sehr genau zu verfolgen.
Maximierung des Verbraucherschutzes
Wie der PSD2 zu entnehmen ist, spielt Technologie eine entscheidende Rolle bei der Einhaltung der Vorschriften. Neben der Infrastruktur für vielseitige Zahlungsweisen – wie etwa eine Schnittstelle, die verschiedenste Dienstleistungen von Drittanbietern unterstützen kann – wird eine Technologie benötigt, die Bedrohungen ständig überwachen und gegen sie vorgehen kann. Anbieter müssen feststellen können, was für einzelne Personen typisch ist und was nicht, damit außergewöhnliches Verhalten schnell erfasst und untersucht werden kann.
Einige bedeutende Akteure im deutschen Bankwesen haben hinsichtlich der Definition dieser Sicherheitssysteme bereits Stellung bezogen und konzentrieren sich auf die Art und Weise, wie Verbraucher Kontakt aufnehmen.
IP-Geolocation ist ein Schlüsselelement jener Plattformen, die tiefgehende Einblicke in Aktivitäten gewähren, ohne dabei den Datenschutz zu verletzen.”
Durch die Kombination von anonymen Handelsdaten mit Traceroute-Technologie liefern IP-Intelligence-Tools zuverlässige Informationen über Standort und Verbindungstyp, ohne dass die jeweilige Person identifiziert werden kann. Daten sind unverzüglich verfügbar und können dazu beitragen, Probleme in Echtzeit genau zu lokalisieren, wie zum Beispiel als bereits bekannte verdächtige VPN oder risikoreiche Standorte. Mithilfe langfristig gesammelter und in ein Profil übertragener Daten kann ein umfassendes Bild der individuellen Gewohnheiten aufgebaut werden, sodass ungewohnte Verbindungen und Einkäufe an ungewöhnlichen Orten hervorstechen. Anbieter können darüber hinaus Geschwindigkeitsmuster evaluieren, um unwahrscheinliche Verbindungsänderungen zu identifizieren, die auf Betrug hinweisen können. Sie können den Aufenthaltsort des Kontoinhabers mit dem Ort der IP-Adresse vergleichen und so potenziell verdächtige Aktivitäten erkennen, die eine zusätzliche Identitätsverifizierung erfordern.
Obwohl dies nicht die einzige Lösung zur Ausmerzung von Cyber-Kriminalität ist, sind Banken und Drittanbieter damit einen wichtigen Schritt weiter auf dem Weg hin zu sichereren Zahlungen. Durch die Anwendung gemeinsamer Standards und erweiterter Authentifizierung können Dienstleistungsanbieter Betrügern Steine in den Weg legen, sodass sie nicht durch das Netz und in die elektronischen Geldbörsen der Verbraucher gelangen. Mithilfe von IP-Geolocation Intelligence können sie die erforderlichen Einblicke gewinnen, um Compliance zu gewährleisten und echte Verbraucher, die ihr Geld auszugeben versuchen, von Betrügern unterscheiden, die es zu stehlen versuchen.Kate Owen, VP Northern Europe, Digital Element
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/95811
Schreiben Sie einen Kommentar