Bislang war lediglich die IBAN ausschlaggebend für die Durchführung einer Transaktion, auch wenn ein abweichender oder fiktiver Name eingetragen wurde. Eben das öffnet Betrügern jedoch Tür und Tor, weshalb Überweisungen durch die neuen Regeln nun sicherer werden sollen.

Von den neuen Sicherheitsvorgaben betroffen sind alle Euro-Überweisungen im Euroraum ab Oktober 2025. Ab dem 9. Juli 2027 gilt die Regelung dann für den gesamten EU-Raum. Für Zahlungen in Länder außerhalb der EU, wie Großbritannien oder die Schweiz, bleibt es hingegen bei den bisherigen Regelungen ohne automatische Empfängerprüfung.

Der neue Namensabgleich mit der IBAN erfolgt in Echtzeit und betrifft sowohl Standard- als auch Echtzeitüberweisungen. Verbraucher erhalten innerhalb weniger Sekunden eine Rückmeldung über die Übereinstimmung der Daten. Für Kunden soll der Abgleich kostenfrei bleiben.

Im Sinne einer klaren Kommunikation setzen einige Banken dabei auf ein dreistufiges Ampelsystem: „Grün“ signalisiert eine vollständige Übereinstimmung von Name und IBAN – die Überweisung gilt damit als sicher. Bei geringfügigen Abweichungen, etwa durch Tippfehler oder abgekürzte Namen, wird „Gelb“ angezeigt.

In diesem Fall kann die Überweisung zwar durchgeführt werden, die Verantwortung liegt dann jedoch vollständig beim Auftraggeber. Bei einer klaren Nichtübereinstimmung erscheint „Rot“. Der Zahlungsvorgang sollte dann unterbrochen und der Empfänger kontaktiert werden, um die korrekten Angaben zu verifizieren.

Bei einer gelben oder roten Warnmeldung obliegen Entscheidung und Risiko dem Verbraucher. Im Falle eines Schadens trägt nicht die Bank, sondern der Kunde selbst die Verantwortung, sofern die Zahlung trotz Warnung durchgeführt wurde. Dementsprechend sollen die neuen Vorgaben nicht nur vor bekannten Betrugsmaschen wie dem sogenannten CEO-Fraud, Rechnungsbetrug oder fingierten Anlagegeschäften schützen, sondern auch die Verantwortung der Kunden schärfen.

Das wirft Fragen bezüglich der Haftung bei Onlinebetrug auf. Laut der Zahlungsdiensterichtlinie PSD2 müssen Banken unautorisierte Zahlungen erstatten, sofern keine grobe Fahrlässigkeit des Kunden vorliegt. Kommt es allerdings zu einer Überweisung infolge einer Phishing-Attacke, verweigern viele Institute eine Rückerstattung unter Berufung auf ein als fahrlässig eingestuftes Verhalten – etwa das Weitergeben von PINs oder das Ausführen von Handlungen auf gefälschten Webseiten.

Mit der geplanten PSD3-Richtlinie könnte sich die Rechtslage jedoch ändern. Ein Entwurf des EU-Rats sieht vor, dass Banken künftig bei Spoofing-Fällen haften sollen – also dann, wenn Betrüger sich als Bankangestellte ausgeben, um an sensible Kundendaten zu gelangen.