Neue Nacha-Regeln treiben Banken dazu, Betrug in Echtzeit aufzudecken

Die regelmäßige Überprüfung wird zu einer ständig aktiven Funktion, die Aktualisierungen der Datenflüsse, Identitätsprüfungen und interne Koordination über zahlungsorientierte Risiko- und Onboarding-Systeme hinweg erfordert.

Betrug schreitet schneller voran als Kontrollen

Betrüger gehen weit über die Grenzen isolierter, nicht autorisierter Abbuchungen hinaus und versuchen nun, Schwachstellen in der Identitätsüberwachung und Zahlungsabwicklung auszunutzen. PYMNTS Intelligence in Zusammenarbeit mit Trulioo hat dokumentiert, in welchem ​​Ausmaß Finanzdienstleistungsunternehmen auf digitale Kanäle angewiesen sind: 76 % erwirtschaften mindestens drei Viertel ihres Umsatzes digital. Diese Konzentration erhöht die Gefährdung durch synthetische Identitäten, Kontoübernahmen und Identitätsdiebstahl.

Dieselbe Untersuchung zeigt, dass Identitätsfehler keine Randerscheinung sind. Umsatzverluste aufgrund von Ausfällen bei „Know Your Buyer“ (KYC) und „Know Your Enterprise“ (KYB) betragen durchschnittlich 3 % und belaufen sich branchenweit auf quick 34 Milliarden US-Greenback. Betrug mit synthetischen Identitäten und Kontoübernahmen gehören neben der Kompromittierung geschäftlicher E-Mails und Identitätsdiebstahl in der Gehaltsabrechnung zu den am häufigsten genannten Bedrohungen.

Was die Nacha-Regeln tatsächlich erfordern

Der Regeländerungen sind Teil eines umfassenderen Risikomanagementpakets, das darauf abzielt, erfolgreiche Betrugsversuche zu reduzieren und die Wiederherstellungsraten zu verbessern. Die Kernanforderung besteht darin, dass Institute „risikobasierte Prozesse und Verfahren einrichten müssen, die vernünftigerweise darauf abzielen, aufgrund von Betrug veranlasste ACH-Einträge zu identifizieren“.

Dies ist eine wesentliche Erweiterung, da sich die Überwachung nun sowohl auf Gutschriften als auch auf Lastschriften erstreckt und widerspiegelt, wie sich Betrug in Bereiche ausgebreitet hat, die alle Zahlungsarten und Anwendungsfälle durchdringen.

Die Umsetzung erfolgt stufenweise. Die Frist vom 20. März galt für große Absender, Drittsender und Empfangsinstitute mit erheblichem ACH-Volumen. In einer zweiten Part, die am 19. Juni in Kraft tritt, werden die Anforderungen auf alle verbleibenden Teilnehmer ausgeweitet.

Die Regeln erfordern außerdem standardisierte Firmeneintragsbeschreibungen, einschließlich „Lohnabrechnung“ für Lohngutschriften und „Einkauf“ für E-Commerce-Abbuchungen, damit Institutionen Transaktionen nach Zweck identifizieren und überwachen können.

Wo die Überwachung jetzt stattfindet

Wir sind gerne Ihr Ansprechpartner bevorzugte Quelle für Nachrichten.

Bitte fügen Sie uns zu Ihrer bevorzugten Quellenliste hinzu, damit unsere Nachrichten, Daten und Interviews in Ihrem Feed angezeigt werden. Danke!

Die Überwachung beginnt somit vor der Initiierung von Transaktionen durch eine stärkere Validierung der Kontodaten und wird nach dem Eingang der Transaktionen durch eine fortlaufende Überprüfung der Kontoaktivität fortgesetzt.

Die Ursprungsinstitute müssen beurteilen, ob die Transaktionen dem erwarteten Verhalten entsprechen. Empfangende Institutionen müssen eingehende Gutschriften anhand von Kontoprofilen, Transaktionshistorie und Anomalieerkennung bewerten. Die Regeln erlauben es den Instituten ausdrücklich, die Überwachung auf der Grundlage des Risikos zu kalibrieren, einschließlich Transaktionsgeschwindigkeit, Kontomerkmalen und Verhaltensmustern.

Mit dieser Flexibilität geht Verantwortung einher. Banken müssen nachweisen, dass ihre Überwachung aktiv und im Verhältnis zum Risiko erfolgt.

Die Daten von PYMNTS Intelligence und Trulioo deuten darauf hin, dass viele Institutionen noch nicht auf diesen Pivot ausgerichtet sind. Quick 75 % berichten von inkonsistenten Ergebnissen der Identitätsprüfung, und mehr als die Hälfte gibt an, dass bestehende Prozesse zu Reibungsverlusten führen, ohne die Ergebnisse zu verbessern. Diese Ergebnisse deuten auf fragmentierte Systeme hin, in denen Onboarding, Betrug und Zahlungen unabhängig voneinander ablaufen.

Compliance-Kosten oder Betriebsmodellwechsel

Die praktische Frage für Banken ist, ob diese Regeln als zusätzliche Verpflichtung oder als Auslöser für eine Neugestaltung behandelt werden.

Institutionen, die die Änderungen als Compliance-Arbeit angehen, werden den bestehenden Systemen Ebenen hinzufügen. Dieser Ansatz erhöht die Kosten und führt häufig zu einer Zunahme falsch positiver Ergebnisse, was das Onboarding und die Zahlungen verlangsamt, ohne die Betrugserkennung wesentlich zu verbessern.

Ein anderer Ansatz zeichnet sich bei Banken ab, die Kontovalidierung und Betrugsüberwachung als gemeinsame Dienstleistung behandeln. In diesem Modell unterstützen dieselben Verifizierungsprozesse ACH, Echtzeitzahlungen und andere Konto-zu-Konto-Abläufe. Die beim Onboarding gesammelten Daten dienen der Transaktionsüberwachung. Signale von Zahlungen fließen in die Risikobewertung ein.

Diese Struktur ermöglicht es den Banken, schneller zu agieren und gleichzeitig die Kontrolle zu behalten. Es unterstützt die Echtzeitüberprüfung während des Onboardings, reduziert die Duplizierung zwischen Systemen und verbessert die Erkennung durch die Verbindung von Datenpunkten, die sonst isoliert bleiben würden.

Die Nacha-Fristen schreiben diese Architektur nicht vor, aber man könnte sehen, dass sie in diese Richtung weisen. Die Betrugsüberwachung wird immer stärker in die Artwork und Weise einbezogen, wie Konten eröffnet werden, wie Zahlungen abgewickelt werden und wie das Risiko über den gesamten Lebenszyklus einer Transaktion hinweg bewertet wird.

Für Banken gibt es einige praktische Überlegungen: Behandeln Sie die Regeln als Checkliste, und die Kosten steigen. Behandeln Sie sie als Grundlage, und dieselben Kontrollen, die der Compliance genügen, können zu schnelleren Zahlungen sowie zu einem saubereren Onboarding und, was entscheidend ist, zu einer dauerhafteren Betrugsabwehr führen.