Finale EBA Leitlinien zur Meldung von Betrugsfällen im Rahmen der PSD2
Am 18. Juli 2018 hat die europäische Bankenaufsichtsbehörde (EBA) ihre finalen Leitlinien zur Meldung von Betrugsfällen im Rahmen der PSD2 veröffentlicht.
Worum geht's?
Diese Leitlinien, die die EBA in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB) entwickelt hat und die sich an Zahlungsdienstleister und zuständige Behörden richten, sollen zum Ziel der PSD2 beitragen, die Sicherheit von Massenzahlungen in der EU zu verbessern.
Die Leitlinien zur Meldung von Betrugsfällen fordern von europäischen Zahlungsdienstleistern, bestimmte Daten über Zahlungsvorgänge zu sammeln und auf halbjährlicher Basis an ihre zuständigen Aufsichtsbehörden zu melden, wobei einheitliche Methodiken, Definitionen und Datenaufschlüsselungen zugrunde gelegt werden.
Hintergrund der Leitlinien
Die Leitlinien hatte EBA basierend auf Art 96 Abs 6 PSD2 auszuarbeiten, wonach die Mitgliedstaaten sicherstellen müssen, dass Zahlungsdienstleister statistische Daten über Betrug im Zusammenhang mit verschiedenen Zahlungsmitteln zumindest auf jährlicher Basis an ihre zuständigen Aufsichtsbehörden melden. Die nationalen Behörden haben diese Daten der EBA und der EZB in aggregierter Form weiterzuleiten.
Die Leitlinien haben ihren Ausgang in einem im August 2017 veröffentlichten Konsultationspapier der EBA genommen. Auf Basis der vielen Stellungnahmen zu diesem Entwurf – insgesamt ca. 200 – beschloss die EBA nun erfreulicherweise, die Leitlinien und dazugehörigen Anhänge noch deutlich zu überarbeiten.
Ab wann gelten die Leitlinien?
Zahlungsdienstleister müssen mit Jänner 2019 beginnen, Meldedaten entsprechend den Vorgaben der Leitlinien zu sammeln. Die erste Meldung hat daher nach unserem Verständnis zum 30. Juni 2019 zu erfolgen. Die Sammlung von Daten im Zusammenhang mit den Schwellenwerten für die Anwendbarkeit der Ausnahme von starker Kundenauthentifizierung wegen entsprechender Transaktionsrisikoanalysen hat mit dem Datum der Anwendbarkeit der delegierten Verordnung (EU) 2018/389 für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (delVO) zu beginnen, sprich dem 14. September 2019.
Die wichtigsten Änderungen zusammengefasst
Die wichtigsten Änderungen in den finalen Leitlinien im Vergleich zum früheren Konsultationsentwurf lassen sich wie folgt zusammenfassen:
- Es wird keine vierteljährliche Berichterstattung von Daten auf hoher Ebene und detailliertere Daten auf jährlicher Basis mehr, sondern eine bloß halbjährliche Berichterstattung über einheitliche Daten verlangt.
- Im Vergleich zum Konsultationsentwurf wurde der geografische Umfang der Daten in Größe und Komplexität reduziert, da für die Leitlinien keine länderspezifischen Datenaufschlüsselungen mehr erforderlich sind. Es ist nun eine einheitliche geographische Aufschlüsselung (anstelle von drei verschiedenen) notwendig.
- Die EBA hat klargestellt, dass die finalen Leitlinien zur Meldung von Betrugsfällen für die Berechnung der Betrugsquoten gemäß Art 18 delVO heranzuziehen sind. Dies betrifft die Ausnahme von der Anwendung starker Kundenauthentifizierung auf Grundlage der Analyse des Transaktionsrisikos. In diesem Sinne enthält der endgültige Leitfaden eine Definition des Begriffs „betrügerische Zahlungstransaktion“, wonach nicht autorisierte Zahlungstransaktionen sowie Transaktionen, die aus einer Manipulation des Zahlers resultieren, umfasst sind. Im Entwurf wurden auch die Transaktionen, bei denen der Zahler der Betrüger ist, als Betrug eingestuft. Solche betrügerischen Transaktionen, bei denen der Zahler der Betrüger ist, fallen nun jedoch nicht in den Anwendungsbereich der Leitlinien, weil diese Art von Betrug nach EBA-Sicht nicht der Kontrolle des Zahlungsdienstleisters unterliegt.
- Darüber hinaus hat die EBA gemeinsam mit der EZB besondere Anstrengungen unternommen, um die Leitlinien an die entsprechenden Berichtspflichten anzupassen, insbesondere an die EZB-Verordnung über Zahlungsstatistiken.
- Die EBA hat in der finalen Fassung der Leitlinien auch geklärt, dass Kontoinformationsdienstleister von der Meldeverpflichtung gemäß Art 96 Abs 2 PSD2 ausgenommen.
Wie können wir Ihnen helfen?
Wenn Sie Fragen zur Implementierung der Meldepflichten bzw. Sammlung von Daten oder Erstellung von entsprechenden unternehmensinternen Richtlinien basiernd auf den EBA Leitlinien zur Meldung von Betrugsfällen haben, stehen wir Ihnen gerne zur Verfügung.
Ihr Ansprechpartner: Dr. Bernd Fletzberger