Regulierung spielt im Bereich Payments eine große Rolle und hat in den vergangenen Jahren deutlich an Relevanz gewonnen. Mit der erwarteten Verabschiedung der Payment Services Regulation (PSR) bis voraussichtlich Anfang 2026 steht ein grundlegender Paradigmenwechsel im Umgang mit autorisiertem Betrug bevor. Künftig sollen Kundinnen und Kunden auch dann einen Erstattungsanspruch erhalten, wenn sie Opfer von sogenanntem Social-Engineering-Betrug wurden und die Zahlung selbst autorisiert haben. Dies führt zu einer deutlichen Verlagerung der Beweislast – und damit der Haftungsverantwortung – hin zu den Kreditinstituten.

Social-Engineering-Betrug bereits heute auf Höchststand 

Cyberkriminalität befindet sich auf einem historischen Höchststand – rund 69 Prozent aller Betrugsversuche erfolgen heute über digitale Kanäle. Deutschland zählt mittlerweile zu den am stärksten betroffenen Ländern weltweit und rangiert bei Phishing-Attacken auf Platz zwei, mit rund 90.000 gemeldeten Fällen im Jahr 2023. Phishing macht bei den analysierten Kreditinstituten etwa die Hälfte aller Angriffe aus – allerdings mit vergleichsweise moderater Schadenshöhe pro Fall. Rund 80 Prozent der Gesamtschäden entfallen auf Privatkundinnen und -kunden, was auf das hohe Volumen an Angriffen zurückzuführen ist. Bei Firmenkunden sind die Einzelfälle zwar deutlich seltener, verursachen jedoch im Schnitt rund sechsmal höhere Verluste. Insgesamt schätzt Bain die jährlichen Kosten durch Social-Engineering-Betrug in Deutschland bereits heute auf rund 300 Millionen Euro.

KI verleiht Social-Engineering-Betrug eine völlig neue Dynamik

Der technologische Fortschritt trägt zunehmend zur Ausbreitung von Social-Engineering-Betrug bei. Neben der wachsenden Nutzung von Online-Banking und der zunehmenden Verbreitung von SEPA Instant Payments ist es vor allem die rasante Entwicklung im Bereich KI, die das Schadenspotenzial in verschiedenen Szenarien weiter steigen lässt. KI-gestützte Werkzeuge ermöglichen beispielsweise den Einsatz von Deepfakes und anderen Täuschungstechnologien, ohne dass Angreifende über tiefergehende technische Kenntnisse verfügen müssen. Gleichzeitig verbessert sich die Qualität der Fälschungen deutlich. Zudem kann KI die Automatisierung breit angelegter Betrugsangriffe erheblich vereinfachen – sowohl in der Ansprache als auch in der Skalierbarkeit.

Neben dem technischen Fortschritt birgt auch das Kundenverhalten zusätzliche Risiken: Es besteht die Gefahr eines zunehmenden „Moral Hazard“, da sich Kundinnen und Kunden verstärkt auf die Schutzmechanismen der Kreditinstitute verlassen – insbesondere dann, wenn Rückerstattungen im Betrugsfall als gesichert gelten. Zudem geraten vermehrt vermögende Kundengruppen in den Fokus von Betrugsmaschen, da hier höhere potenzielle Schadenssummen locken.

Vor dem Hintergrund dieser dynamischen Entwicklungen geht Bain im Basisszenario davon aus, dass sich die Gesamtschäden durch Social-Engineering-Betrug in Deutschland bis 2030 mehr als verdoppeln dürften – auf rund 650 bis 700 Millionen Euro jährlich. Im Worst-Case-Szenario könnte die Schadenssumme sogar auf über eine Milliarde Euro steigen.

Potenzielle Auswirkungen für Banken sind umfassend

Neben dem erwarteten Anstieg der Gesamtschadenssumme ist davon auszugehen, dass sich die Haftungsverteilung zunehmend zulasten der Kreditinstitute verschiebt – ihr Anteil könnte dabei auf bis zu 80 Prozent steigen.

Die Kombination aus steigenden Schadenssummen und wachsendem Haftungsanteil könnte – je nach Szenario – dazu führen, dass sich die von Kreditinstituten zu tragenden Beträge bis 2030 im Vergleich zu 2024 um das zwanzig- bis vierzigfache erhöhen. Sollten diese Kosten an die Kundschaft weitergegeben werden, könnten sich beispielsweise die jährlichen Kontoführungsgebühren im Basisszenario bis 2030 um rund sechs Euro erhöhen. Alternativ könnten Transaktionskosten um rund acht Cent je Überweisung steigen.

Neben der finanziellen Mehrbelastung wären Kreditinstitute zudem gezwungen, die Sicherheitsmaßnahmen deutlich zu verschärfen – etwa durch häufigere Authentifizierungsabfragen, wiederholte Rückfragen oder umfangreichere Prüfprozesse. Dies würde die User Experience spürbar beeinträchtigen.

Klare Handlungsmöglichkeiten können Kosten drastisch reduzieren

Die beschriebenen Entwicklungen müssen nicht zwangsläufig zu einer spürbaren Mehrbelastung der Kreditinstitute führen. Es gibt eine Reihe von regulatorischen und strukturellen Stellhebeln, mit denen sich sowohl die Risiken für Kreditinstitute als auch die indirekten Auswirkungen auf Kundinnen und Kunden wirksam begrenzen lassen. Dadurch würde die Kundschaft in Summe bessergestellt als heute, aber gleichzeitig die Haftung nur zielgruppenspezifisch beziehungsweise verursachergerecht erweitert:

1. Haftung auf spezifische Use Cases beschränken. Die geplanten Haftungsregelungen würden dann ausschließlich für ausgewählte Schadensfälle, etwa Fake-Bankangestellte, Account-Take-Over etc. angewandt – potenzielle Begrenzung der Kosten für Kreditinstitute um etwa 70 Prozent.
2. Absolute Haftungsgrenze einführen. Die Haftung der Kreditinstitute würde bei Privatkundinnen und -kunden auf 5.000 Euro pro Jahr, bei Firmenkunden auf 10.000 Euro pro Jahr begrenzt – potenzielle Begrenzung der Kosten für Kreditinstitute um etwa 50 Prozent.
3. Haftungsübernahme auf Privatkundschaft fokussieren. Die neuen Regelungen greifen ausschließlich im Privatkundenbereich und schließen Firmenkunden explizit aus – potenzielle Begrenzung der Kosten für Kreditinstitute um etwa 15 Prozent.
4. Haftung auf KI-Anbieter verlagern. KI-Unternehmen würden für Schäden haften, die durch KI-generierte Täuschungen wie beispielsweise Deepfakes entstehen. Beispiele hierfür wären etwa CEO-Betrug, sogenannte Romance-Scams oder fingierte Bankanrufen – potenzielle Begrenzung der Kosten für Kreditinstitute um etwa 25 Prozent.

Die Berechnungen von Bain zeigen: Wird eine Kombination dieser Maßnahmen umgesetzt, könnten die auf Kreditinstitute entfallenden Kosten um bis zu 90 Prozent begrenzt werden.