Die Bestätigung des Zahlungsempfängers kommt nach Großbritannien, aber wird sie Bankkunden vor Betrug schützen?

Steven Murdoch, 20. August 2019
Confirmation of Payee is coming to the UK, but will it protect bank customers from fraud?

Der Payment System Regulator (PSR) hat gerade angekündigt dass die sechs größten Banken Großbritanniens prüfen müssen, ob der Name des Empfängers einer Überweisung mit dem übereinstimmt, was der Absender denkt. Diese neue Funktion soll helfen, eine Sicherheitslücke bei Online-Zahlungen zu schließen: Der Name des Empfängers von Überweisungen wird entgegen den Erwartungen und im Gegensatz zu Schecks ignoriert. Diese verbesserte Sicherheit dürfte einige Betrugsfälle erschweren, aber die Banken müssen daran gehindert werden, die Änderung auszunutzen, um die Haftung für das verbleibende Verbrechen auf unfaire Weise auf die Opfer zu verlagern.

Ziel des PSR ist es, dass die Kontrollen bis März 2020, etwas später als, vollständig umgesetzt werden ihr erstes Versprechen an das Parlament vom September 2018 und späteres Ziel von Juli 2019 . Der neue Vorschlag, der als Bestätigung des Zahlungsempfängers bekannt ist, deckt auch nur die sechs größten Bankengruppen ab, sollte jedoch 90% der Überweisungen abdecken. Ihr Ziel ist es, sich gegen Kriminelle zu verteidigen, die Opfer dazu verleiten, Geld zu überweisen, unter dem falschen Vorwand, dass das Geld auf das neue Konto des Opfers fließt, während es tatsächlich an den Kriminellen geht. Die Verluste aus einem solchen Betrug, bekannt als Push-Zahlungsbetrug , sind oft lebensverändernd , was zu Elend für die Opfer führt.

Überprüfungen des Empfängernamens erschweren diesen Betrug. Obwohl es unwahrscheinlich ist, dass alle Arten von Push-Zahlungsbetrug verhindert werden, werden sie Kriminelle hoffentlich dazu zwingen, Strategien zu entwickeln, die leichter zu verhindern sind. Das Risiko, auf das Verbrauchervertreter und Regulierungsbehörden achten müssen, besteht darin, dass diese neuen Sicherheitsmaßnahmen dazu führen können, dass Opfer zu Unrecht haftbar gemacht werden. Dieses Szenario ist leider wahrscheinlich, weil die freiwilliger Verbraucherschutzkodex Bei Push-Zahlungsbetrug entschuldigt die Bank die Haftung, wenn sie dem Kunden eine Warnung zur Bestätigung des Zahlungsempfängers zeigt.

ebook cover
E-Buch

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Tragen Sie dazu bei, Betrug durch Account-Übernahmen zu verhindern und Kunden in jeder Phase ihrer digitalen Aktivitäten zu schützen.

Jetzt herunterladen

Warnung vor Müdigkeit und falsch ausgerichteten Anreizen

In meinem Antwort auf die Konsultation zu diesem Verbraucherschutzkodex Ich habe das Thema angesprochen Warnung vor Müdigkeit - dass Kunden beim Online-Banking viele irrelevante Warnungen erhalten, was die Wahrscheinlichkeit verringert, dass Kunden wichtige Warnungen bemerken. Selbst die Bestätigung von Warnungen des Zahlungsempfängers ist häufig falsch, z. B. wenn das Bankkonto des Empfängers einen anderen Namen hat als vom Absender erwartet. Wenn die beiden Namen sehr unterschiedlich sind, werden dem Absender keine weiteren Details mitgeteilt. Wenn der eingegebene Name jedoch nahe am Namen in den Bankunterlagen liegt, sollte dem Absender mitgeteilt werden, welcher Name der richtige ist, und er wird gebeten, ihn zu vergleichen.

Ich habe auch festgestellt, dass die Verlagerung der Haftung von der Bank auf das Opfer, wenn eine Warnung zur Bestätigung des Zahlungsempfängers angezeigt wird, die falschen Anreize für die Banken schafft. Die Aufforderung an den Kunden, den Namen des Empfängers zu überprüfen, ist nur eine von vielen Sicherheitsmaßnahmen, die die Bank anwenden kann. Beispielsweise könnten sie Transaktionen erkennen, die für den Kunden nicht charakteristisch sind, und sie blockieren, oder sie könnten nach ungewöhnlichen Überweisungsmustern auf das Empfängerkonto suchen. Banken sollten Anreize erhalten, jedes ihnen zur Verfügung stehende Betrugspräventionssystem einzusetzen. Mit dem Code wie geschrieben können sie jedoch die Haftung auf das Opfer verlagern, ohne weitere Maßnahmen zu ergreifen, sobald die Banken eine Warnung zur Bestätigung des Zahlungsempfängers vorgelegt haben.

Abschließend argumentierte ich, dass der Standard der Sorgfalt, den Kunden anwenden müssen, um sich vor Push-Zahlungsbetrug zu schützen, wie folgt sein sollte die Richtlinie über Zahlungsdienste erfordert für andere Arten von Betrug: dass sie nicht handeln mit grober Fahrlässigkeit . Das heißt, die Bank kann die Haftung für Betrug nur auf das Opfer verlagern, wenn sie nachweist, dass ein Kunde „bewusst und freiwillig die Notwendigkeit angemessener Sorgfalt missachtet hat, was zu vorhersehbaren schweren Verletzungen oder Schäden für Personen führen kann , Eigentum oder beides “. Wenn ein Kunde nicht auf eine Warnung zur Bestätigung des Zahlungsempfängers reagiert, kann dies zu einem Argument beitragen, dass er grob fahrlässig gehandelt hat, dies allein wäre jedoch nicht ausreichend. Zum Beispiel könnten die Auswirkungen der Warnung vor Müdigkeit, der Geisteszustand des Kunden und die Raffinesse des Verbrechers zeigen, dass der Kunde dennoch vernünftig gehandelt hat.

Wenn Betrug durch Banken oder andere Institutionen verursacht wird, die ihre Sorgfaltspflicht nicht erfüllen, um dies zu verhindern, werden neue Sicherheitsmaßnahmen, die genutzt werden, um die Haftung auf die Opfer zu verlagern, die Situation im Allgemeinen verschlechtern und nicht verbessern. Institutionen handeln nicht mehr kompetent und könnten sogar dazu angeregt werden, schlechter zu werden. Dies passierte mit Chip und PIN , scheint wahrscheinlich für Push-Zahlungsbetrug aufzutreten und könnte in Zukunft leicht wieder vorkommen, wenn die Aufsichtsbehörden nicht unverzüglich handeln.

Dieser Artikel, der ursprünglich am 5. August 2019 veröffentlicht wurde, erschien erstmals am Benthams Blick .

Steven Murdoch ist Architekt für Innovationssicherheit im OneSpan Innovation Center in Cambridge. Er ist ein Forschungsstipendiat der Royal Society University in der Forschungsgruppe für Informationssicherheit des Instituts für Informatik am University College London.