Fraud Benchmark 2026: Warum falsche Ablehnungen Banken dreimal teurer kommen als Betrug

Die Branche misst Betrugsverluste seit Jahren. Nur misst jede Bank sie anders, mit eigenen Definitionen, eigenen Schwellen, eigenen Erfolgsgeschichten. Wer wirklich gut ist und wer sich das nur einredet, lässt sich von außen kaum sagen. Genau in diese Lücke stößt der „State of Fraud Performance"-Report, den Feedzai Ende April vorgestellt hat: der erste Versuch, Banken in einem echten Like-for-Like-Vergleich einzuordnen, auf Basis von neun Billionen US-Dollar bewertetem Zahlungsvolumen pro Jahr.

Ein Befund aus dem Report brennt sich ein: Falsche Ablehnungen kosten Banken bis zu dreimal mehr als der eigentliche Betrug. Entgangene Umsätze, Beschwerden, abwandernde Kundinnen und Kunden. Trotzdem messen viele Häuser intern noch fast ausschließlich Erkennungsraten und feiern eine Zahl, die nur die halbe Wahrheit erzählt.

Was das strukturell bedeutet, besprechen wir in der Abschlussfolge unserer Themenwoche Cybersecurity mit jemandem, der das Thema nicht aus der Vogelperspektive kennt, sondern aus dem Maschinenraum: aus den Projekten, in denen Banken ihre Fraud-Systeme tatsächlich umbauen.

Vom Beratungstisch auf die Anbieterseite

Marius Trotz hat Compliance-Transformationsprojekte und regulatorische Audits begleitet, bevor er auf die Anbieterseite gewechselt ist. Heute verantwortet er als European Payments Lead bei Feedzai genau die Schnittstelle, an der Banken, Technologie und Finanzkriminalität aufeinandertreffen. Feedzai selbst wurde 2011 in Portugal gegründet – von Menschen, die zuvor im Umfeld der europäischen Raumfahrt gearbeitet haben, einer Welt, in der Echtzeit, Skalierung und Zuverlässigkeit existenziell sind.

In der Folge nehmen wir uns die zwei Kennzahlen vor, auf denen der Report aufbaut: die Value Detection Rate, also wie viel des versuchten Betrugsvolumens eine Bank überhaupt erkennt, und die False Positive Rate, also wie viele legitime Transaktionen sie dabei fälschlich blockiert. Beide werden bei einer fixen Interventionsrate von 0,1 Prozent verglichen und sortieren Banken in vier Stufen von „Best-in-Class" bis „Developing".

KI-Wettrüsten, Echtzeit und ein neuer Haftungsrahmen

Der vielleicht wichtigste Block der Folge schaut auf die Gegenseite. Generative KI hat das Betrugsproblem in den letzten 18 Monaten massiv beschleunigt: Stimm-Klone aus wenigen Sekunden Audio, synthetische Identitäten aus KI-generierten Ausweisbildern, Echtzeit-Phishing, das Einmalpasswörter parallel zur Bank-Sitzung des Opfers abgreift. Der Täter von 2026 ist nicht mehr der einsame Hacker, sondern eine ganze Wertschöpfungskette: „Fraud-as-a-Service", von gestohlenen Identitäten über Phishing-Kits bis zur Money-Mule-Rekrutierung. Allein die globalen Scam-Verluste lagen 2024 bei über einer Billion US-Dollar.

Auf der Verteidigungsseite steht mit dem Risk Foundation Model RiskFM nach Feedzais Aussage das erste Tabular Foundation Model für Risikoentscheidungen. Was das konkret an der Arbeit von Risk- und Compliance-Teams ändert und wo der Konflikt zwischen Modellqualität und Erklärbarkeit liegt, ist eines der Themen, bei denen wir nicht lockerlassen.

Dazu kommt der regulatorische Umbruch: PSD3 und die PSR verschieben die Bankenhaftung deutlich, künftig auch für autorisierte Zahlungen bei Impersonation Fraud. Mit dem verpflichtenden IBAN-Namensabgleich, der Verification of Payee, kommt ein Mechanismus, der simpel klingt und im EU-weiten Rollout alles andere als das ist. Und während SEPA-Echtzeitüberweisungen das Reaktionsfenster der Banken seit 2025 von Stunden auf Sekunden verkürzt haben, werden Money-Mule-Konten zum eigentlichen Nadelöhr der Betrugsbekämpfung.

Worum es wirklich geht

Am Ende läuft vieles auf eine unbequeme Frage hinaus: Wenn ein Kunde durch Social Engineering dazu gebracht wird, eine Überweisung selbst auszulösen, ist das ein Versagen der Bank-Systeme, der Kundenaufklärung, oder beides? Und sehen die Banken das plötzlich anders, seit PSD3 ihnen mehr Haftung aufbürdet?

Marius Trotz gibt darauf eine ehrliche Antwort aus dem Maschinenraum und eine klare Empfehlung an Risk- und Compliance-Verantwortliche der Häuser.

Diese Folge ist der Abschluss unserer Themenwoche Cybersecurity. Alle Beiträge, Interviews und Analysen der Woche findet ihr hier auf paymentandbanking.com. Ein großer Dank geht an Feedzai, die diese Themenwoche als Partner unterstützt haben. Der vollständige „State of Fraud Performance"-Report ist frei zugänglich unter feedzai.com.

Jetzt reinhören – und vor allem: die richtigen Dinge messen.