← Zurück zur Startseite

Verification of Payee – was es ist, wie es funktioniert

Mehr Sicherheit im Zahlungsverkehr: Verification of Payee (VoP) wird zur Pflicht für Payment Service Provider. Welche Herausforderungen kommen konkret auf sie zu?
Picture of Ole Barkmann
Ole Barkmann
Jetzt teilen:

Ab Oktober 2025 ist die Überprüfung des Zahlungsempfängers – Verification of Payee – für Payment Service Provider (PSP) verpflichtend. Die EU-Verordnung zielt darauf ab, Fehler und Betrug bei Überweisungen zu unterbinden, indem sichergestellt wird, dass der Name des Empfängers mit den hinterlegten Bankdaten übereinstimmt. Im Kontext der Instant Payments Regulation (IPR) stellt VoP eine der größten Herausforderungen dar – denn der Zeithorizont für die Umsetzung ist ambitioniert und viele Detailfragen sind noch offen.

Inhaltsverzeichnis

Was ist Verification of Payee?

Verification of Payee ist ein Verfahren, welches sicherstellen soll, dass SEPA-Zahlungen und Echtzeitüberweisungen den korrekten Empfänger erreichen. Ziel ist es, den Zahler vor Fehlüberweisungen und Betrug zu schützen, bevor eine Zahlung ausgeführt wird. Dazu werden die vom Zahler angegebenen Daten mit den beim Finanzinstitut des Empfängers hinterlegten Informationen abgeglichen. Das heißt, vor Transaktionsfreigabe findet eine Plausibilitätsprüfung zwischen der IBAN des Kontoinhabers und weiteren Identifikationsmerkmalen (Name, LEI, Steuernummer, EUID etc.) statt. Im Gegensatz zum bisherigen SEPA-Verfahren, bei dem Zahlungen allein auf Basis der IBAN verarbeitet werden, stellt VoP damit sicher, dass auch weitere Identifikationsmerkmale berücksichtigt werden. Dieser Service ist für alle Kunden unentgeltlich, und zwar 24 Stunden täglich an 365 bzw. 366 Tagen im Jahr.

Die Uhr tickt: Sind Sie ready für Verification of Payee?

Tage
Stunden
Minuten
Sekunden

Was sind die Gründe für die Einführung der VoP?

Die EU-Kommission sieht Verification of Payee als Kernmaßnahme zur Förderung sicherer digitaler Zahlungen. Im Rahmen der Digital Finance Strategy soll sie das Vertrauen der Verbraucher in Sofortzahlungen und SEPA-Überweisungen stärken und die Sicherheit für alle Beteiligten erhöhen:

  • Betrugsprävention: Verification of Payee soll betrügerische Aktivitäten – wie z.B. Rechnungsumleitungsbetrug, CEO-Fraud, Fake Invoices und Authorised Push Payment Fraud – verhindern, indem sichergestellt wird, dass Gelder an die richtigen Personen bzw. das richtige Unternehmen gesendet werden. Gerade KMU sind aktuell besonders häufig Opfer von Rechnungsumleitungsbetrug.
  • Sicherheit: Die Sicherheit von Finanztransaktionen soll durch die Überprüfung der Empfängerdaten erhöht werden.
  • Vertrauen: Die Bestätigung der Empfängeridentität soll das Vertrauen der Kunden in Bankdienstleistungen und digitale Zahlungssysteme fördern, indem eine zusätzliche Sicherheitsebene geschaffen wird. Vielen Privatpersonen ist auch nicht bewusst, dass bisher keine Namensprüfung stattfindet.
  • Reduzierung von Fehlüberweisungen: VoP soll das Risiko von Fehlüberweisungen, die auftreten können, wenn Kontodaten falsch eingegeben werden, minimieren. Denn falsch eingegebene IBANs können zu technisch gültigen, aber falsch adressierten Zahlungen führen. Eine Rückforderung ist dabei oft schwierig und zeitaufwändig.
  • Prozesseffizienz: Das frühzeitige Erkennen von Datenabweichungen soll Zeit und Ressourcen sparen, indem aufwendige Korrekturen und manuelle Prüfungen reduziert werden.
  • Förderung von Echtzeitzahlungen: Die EU will Instant Payments flächendeckend durchsetzen. Verification of Payee soll Verbraucher und Unternehmen motivieren, diese mit einem sicheren Gefühl zu nutzen.

Was sind die rechtlichen Rahmenbedingungen für VoP?

Die VoP-Pflicht ist Teil der EU-Verordnung 2024/886 über Sofortzahlungen und wurde am 8. April 2024 in Kraft gesetzt. Sie gilt für alle Zahlungsdienstleister mit Euro-Konten in der EU. Ab Oktober 2025 wird sie gemäß der Instant Payments Regulation (IPR) für Payment Service Provider (PSP) in Euro-Ländern verbindlich – ab 2027 auch in Nicht-Euro-Ländern innerhalb Europas. Ab diesem Zeitpunkt müssen Finanzinstitute und Banken sicherstellen, dass die Empfängerdaten korrekt sind. Da dies einen großen Bedarf an Standardisierung und Interoperabilität erzeugt, stellte das European Payments Council (EPC) im Oktober 2024 ein umfangreiches Rulebook bereit. Dieses ist die Basis für eine europaweite VoP-Umsetzung und regelt u.a. das Rollenmodell und weitere Mechanismen. Ergänzt wird es von den im November 2024 veröffentlichten VoP Scheme Inter-PSP API Specifications, welche die Regeln für die Implementierung definieren.

Wie funktioniert Verification of Payee?

  1. Der Payer (Zahler) gibt im Zuge des Zahlvorganges den Empfängernamen oder ein anderes Identifikationsmerkmal (LEI, Steuernummer, EUID etc.) und die IBAN (oder eine ID) im Online- oder Mobile-Banking ein.
  2. Der Requesting PSP (Bank des Zahlers) stellt eine VoP-Anfrage an den Responding PSP (Empfängerbank).
  3. Der Responding PSP prüft, ob Name und Kontonummer übereinstimmen und gibt eine der folgenden Rückmeldungen an den Requesting PSP:
    • Match: IBAN und Empfängername stimmen überein
    • Close Match: Der gesendete Name stimmt teilweise überein
    • No Match: Name und IBAN stimmen nicht überein
    • No Response: Die Empfängerbank kann aktuell keine Auskunft geben oder es kam zu einer Zeitüberschreitung
  1. Der Zahler wird über das Ergebnis informiert. Bei einem Close Match beinhaltet dies die Rückgabe des Namens des Kontoinhabers. Dagegen muss bei einem No Match oder No Response der Hinweis erfolgen, dass die Gefahr besteht, an ein falsches Konto zu überweisen.
  2. Nach Erhalt der Rückmeldung entscheidet der Zahler in jedem Fall selbst, ob er die Überweisung freigibt und damit ausführt oder abbricht. Eine Freigabe kann dabei auch dann erfolgen, wenn ein No Match vorliegt – allerdings auf eigenes Risiko. Voraussetzung ist, dass der Zahler vorher über die Folgen einer solchen Autorisierung aufgeklärt wurde.

Der gesamte Vorgang muss laut Regelwerk innerhalb von fünf Sekunden – idealerweise in unter einer Sekunde – abgeschlossen sein.

Was sind Routing and Verification Mechanisms (RVMs)?

Üblicherweise übernimmt ein RVM im Auftrag des Payment Service Providers die Umsetzung der VoP-Anforderungen einschließlich der erforderlichen Leistungen und Services. Als Vermittlungsinstanzen routen RVMs die VoP-Anfragen zwischen PSPs und/oder prüfen im Auftrag. Damit ermöglichen sie Interoperabilität und eine Konsolidierung der Dienste. RVMs können dabei z.B. von Softwareanbietern, den PSPs selbst oder auch jedem anderen Unternehmen bereitgestellt werden. Notwendig ist eine Registrierung bei EPC mit eigener BIC.

Was ist der EPC Directory Service?

Der EPC Directory Service (EDS) ist ein zentrales Verzeichnis und stellt alle relevanten Informationen zur Erreichbarkeit der Zahlungsdienstleister innerhalb des SEPA-Raums bereit. Das umfasst den BIC, die Zahlungsverfahren, an denen ein Institut teilnimmt, und die URL des VoP-API-Endpunktes, an die die VoP-Anfrage geroutet werden muss. Teilnehmer müssen sicherstellen, dass ihre Erreichbarkeitsdaten im EDS gespeichert sind. Der EDS prüft selbst keine IBAN-Empfängernamen oder Kundendaten, sondern ist ein infrastruktureller Service zur technischen Erreichbarkeit im SEPA-System. Als Lieferant für die Entwicklung und den Betrieb des EDS hat das European Payments Council (EPC) Swift ausgewählt.

Welche Herausforderungen bestehen beim Namensabgleich (Matching)?

Ähnlich wie bei einem Namensabgleich im Rahmen eines Know-your-Customer-Prozesses (KYC) treten auch beim VoP-Matching diverse Herausforderungen auf:

1. Namensabweichungen:

  • Umlaut-Varianten: „Müller“ vs. „Mueller”
  • Abkürzungen: „Max Mustermann GmbH“ vs. „M. Mustermann GmbH“
  • Sonderzeichen & Groß-/Kleinschreibung
  • Doppelnamen: „Meier-Schmidt“ vs. „Schmidt-Meier“
  • Unterschiedliche Zeichensätze/Transkriptionen: „Γεώργιος“ vs. „Geōrgios“ vs. „Georg“

Die Herausforderung: Ein zu strenger Vergleich führt dazu, dass zu viele legitime Empfänger fälschlicherweise als No Match rückgemeldet werden.

2. Mehrere Kontoinhaber:

  • IBANs können auf zwei oder mehr Personen lauten – der Zahler kennt aber meistens nur einen Namen.

Die Herausforderung: Das System muss entscheiden, welchen Namen es für den Abgleich verwendet.

3. Fehlertoleranz vs. Sicherheit:

  • Wenn das System zu tolerant ist, steigt das Risiko für Betrug.
  • Wenn das System zu restriktiv ist, steigen die potenziellen Abbruchquoten bei legitimen Zahlungen.

Die Herausforderung: Es braucht eine balancierte Matching-Logik, die u.a. den Kontext berücksichtigt (z.B. B2B vs. P2P).

Welche Lösungsansätze bestehen für das Matching?

Für das Namens-Matching hat das EPC grobe Empfehlungen formuliert [pdf], diese sind allerdings nicht rechtlich bindend. Unstrittig ist, dass die Daten vor dem Matching bereinigt werden sollten. Das umfasst Parameter wie z.B.:

  • Groß-/Kleinschreibung
  • Diakritische Akzente
  • Zahlen & Sonderzeichen
  • Leerzeichen am Anfang und/oder Ende
  • Titel

Das Haftungsrisiko für Matching-Fehler liegt klar beim Responding PSP:

 „The Responding PSP bears the full responsibility for the matching outcome and therefore remains entirely free to apply different criteria to determine the result of the matching process and whether that consitutes a Match, a Close Match, or results in a No Match.“

Um diese zu minimieren, kommen PSPs nicht herum, selbst klare Workflows aufzustellen. Ein Ansatz für die Namensprüfung ist dabei z.B. ein Fuzzy Matching mit Schwellenwerten wie bei der Ermittlung der Levenshtein-Distanz. Weitere denkbare Methoden sind u.a. das Regex-replace-Verfahren, Kosinus-Ähnlichkeit, Hamming-Abstand, Tokenisierung, die phonetische Analyse sowie die Permutation der Namenselemente. Das Matching ist dabei deutlich mehr als „nur“ ein einfacher Datenbankabgleich. Es handelt sich um einen sicherheitskritischen Dialog zwischen Technik, Sprache und User Experience. Erfolgreiche VoP-Umsetzungen kombinieren leistungsfähige Matching-Algorithmen und klare Entscheidungsregeln mit kundenfreundlicher Kommunikation und regulatorischer Konformität.

Gibt es bereits Praxiserfahrungen aus anderen Ländern?

Die Niederlande haben bereits 2017 mit der Einführung eines IBAN-Name Checks durch die Rabobank begonnen. Die dortigen Erfahrungen zeigen, dass ein Abgleich von IBAN und Empfängername Betrugsfälle effektiv reduzieren kann und damit einen bedeutenden Schritt zur Erhöhung der Sicherheit im Zahlungsverkehr darstellt. Insgesamt führte die VoP-Einführung in den Niederlanden zu einem Rückgang aller Betrugsarten um 81 Prozent und einer Reduzierung fehlgeleiteter Zahlungen um 67 Prozent.

Welche Herausforderungen gibt es bei der VoP-Implementierung?

Für Payment Service Provider besteht sowohl eine aktive als auch eine passive VoP-Verpflichtung. Ob sie sich nun entscheiden, eine eigene Infrastruktur aufzubauen, oder auf einen externen Provider (RVM) zurückzugreifen – neben den Herausforderungen rund um das Thema Matching sind noch weitere technische, regulatorische, kommunikative und prozessuale Hürden zu meistern:

1. Technische Herausforderungen

  • Echtzeitfähigkeit und Performance: VoP-Antworten müssen innerhalb von maximal fünf Sekunden, idealerweise innerhalb von einer Sekunde erfolgen. Gleichzeitig müssen aber – z.B. bei Massenzahlungen – tausende Anfragen parallel verarbeitet werden können. Die Prozesse sind demnach so zu implementieren, dass die Abwicklung jederzeit zuverlässig und performant erfolgt.
  • API-Integration: Der EPC stellt standardisierte API-Spezifikationen zur Verfügung – deren Implementierung erfordert eine sichere Authentifizierung (z.B. OAuth 2.0), eine saubere Fehlerbehebung, eine Versionierung und eine Rückwärtskompatibilität.
  • Verfügbarkeit & Redundanz: VoP-Dienste müssen rund um die Uhr erreichbar sein, d.h., auch Störungen dürfen die Zahlungsabwicklung nicht blockieren.

2. Regulatorische Herausforderungen

  • Datenverarbeitung: Da personenbezogene Daten verarbeitet werden, müssen entsprechende Datenschutz- und Sicherheitsvorkehrungen getroffen werden. Im Rahmen der Authentifizierung sowie sicheren Kommunikation verlangt dies gemäß Spezifikation [pdf] u.a. den Einsatz eines QWAC-Zertifikats (Qualified Web Authentication Certificate). Mit Blick auf den Datenschutz ist die Einhaltung der DSGVO zu beachten. Stichworte sind hier Datensparsamkeit, Zweckbindung und Löschkonzepte.
  • Fehlklassifikation: Berücksichtigung von Haftungsrisiken bei einem „False Match“ oder „No False Match“.

3. Herausforderungen an der Kundenschnittstelle

  • Usability: Der Endkunde muss die Abfrageergebnisse schnell einsehen und sicher verstehen sowie schnell Anpassungen vornehmen können. Dies erfordert das Design klarer und handlungsleitender Hinweise – andernfalls ist das Risiko hoch, dass Zahlungen abgebrochen oder fälschlicherweise als Betrugsversuch gewertet werden.
  • Beratung: Schulung der Callcenter- und Supportteams.

4. Organisatorische und prozessuale Herausforderungen

  • Klare Verantwortlichkeiten: Da VoP mit IT, Compliance, Legal, Produktmanagement und Kundenservice gleich mehrere Bereiche betrifft, ist es zentral, einen dezidierten Product Owner zu implementieren.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Gibt es Ausnahmen für Verification of Payee?

Während VoP für Verbraucher verbindlich ist, können Firmenkunden einen Opt-out erklären. Sie überspringen bei einem Verzicht den VoP-Prozess und versenden die Zahlung ohne Prüfung. Dazu können sie weiterhin das EBICS-Verfahren mit den Auftragsarten CCT (SEPA) und CIP (Instant Payment) nutzen. Sollte kein Opt-out gewünscht sein oder es sich um eine Einzeltransaktion handeln (für diese ist generell keine Opt-out-Option erlaubt), stehen ab Oktober die neuen Auftragsarten CTV (SEPA) und CIV (Instant Payment) bereit.

Es ist davon auszugehen, dass die meisten Firmenkunden – sofern möglich – einen Opt-out wählen werden. Denn der Versand einer EBICS-Datei mit Verification of Payee erfordert deutlich mehr Prozessschritte:

  1. Senden der Zahldatei
  2. Abholen des Ergebnisses (pain.002-Datei)
  3. Analyse des Risikos
  4. Abholung der VEU-Daten
  5. Freigabe bzw. Stornierung der Zahlung

Zusätzlich sind aktuell keine Teilausführungen vorgesehen. Das heißt, entscheidet sich der Kunde gegen die Ausführung, kann er dies nur im Gesamten tun.

Welche neuen Geschäftsmodelle könnten sich aus VoP ergeben?

Im Zusammenhang mit einer Zahlung müssen Institute den VoP-Prozess kostenlos anbieten – denkbar wären aber kostenpflichtige Zusatzservices, denn der strukturierte Zugriff auf Bankkontenverifikation schafft ein neues Segment für vertrauensbasierte Dienste, die weit über den klassischen Zahlungsverkehr hinausgehen:

1. Onboarding und KYC-Validierungsdienste

Beim digitalen Onboarding, bei Kontoeröffnungen oder bei Vertragsabschlüssen (z.B. Strom, Versicherung, Mobilfunk) wird häufig eine IBAN abgefragt – aber nie direkt verifiziert. Mit VoP kann nun…

  • … geprüft werden, ob der Nutzer wirklich Inhaber des angegebenen Kontos ist.
  • … der Name mit dem Vertragspartner übereinstimmt.
  • … das Risiko von Zahlungsabbrüchen und Identitätsmissbrauch minimiert werden.

Damit bietet es sich an, Verification of Payee im Rahmen eines digitalen KYC-Flows oder einer Buy-Now-Pay-Later-Risikoentscheidungen zu nutzen.

Lieferanten- und Kreditorenvalidierung

Unternehmen haben häufig lange Lieferantenlisten mit zugeordneten IBANs. Fehlerhafte oder manipulierte Bankverbindungen führen zu hohen Schäden. VoP kann helfen…

  • … bei der regelmäßigen Prüfung der IBAN-Namens-Zuordnung von Kreditoren.
  • … bei Rechnungsverarbeitungssystemen (AP Automation).
  • … beim Schutz vor Fake-Invoice-Fraud.

Ein Geschäftsmodell wäre die Integration von VoP-Checks in Buchhaltungs- und ERP-Systeme.

VoP-Analytics & datenbasierte Mehrwertdienste

Durch Verification of Payee entstehen neue Datenpunkte – z.B., wie oft ein Name-IBAN-Match gelingt, oder wo es zu auffälligen Mustern kommt (z.B. häufige Close Matches). Diese Daten sind nutzbar für…

  • … Risikoprofile bei Zahlungen (Scoring).
  • … Optimierung von Eingabesystemen (UX-Feedback).
  • … Anomalieerkennung im Fraud- oder Compliance-Kontext.

So könnte ein Zahlungsdienstleister beispielsweise systematisch erkennen, welche Händler „häufig“ falsch benannte Bankverbindungen angeben – und kann gezielt gegensteuern.

API-Brokerage & Identitätsnetzwerke

VoP wird über standardisierte APIs umgesetzt. Daraus ergeben sich Chancen für API-Managementplattformen, die Banken, Händler und RVMs verbinden. Hier entstehen potenzielle Rollen für…

  • … Identitätsanbieter (eID).
  • … Datenbroker, die (unter DSGVO-Regeln) IBAN-Namensverknüpfungen aggregieren.
  • … digitale Vertrauensdienste im Sinne der eIDAS-Verordnung.

VoP-Daten könnten darüber hinaus auch in verifizierte Identitätsprofile einfließen – z.B. für B2B-Marktplätze oder Plattformökonomien.

Fazit: Die Verification of Payee enabelt neue Finanzstrukturen

Die VoP-Verpflichtung ist ein klassisches Beispiel dafür, wie regulatorische Anforderungen Zahlungstransaktionen im SEPA-Raum faktisch sicherer machen und gleichzeitig neue digitale Geschäftsmodelle ermöglichen – insbesondere durch:

  • API-zentrierten Datenzugang
  • Standardisierte Verifizierungsprozesse
  • Hohes Vertrauen bei Endkunden und Unternehmen

Banken und FinTechs, die frühzeitig in marktfähige Zusatzdienste investieren, können sich nicht nur als compliant, sondern auch als innovationsstark positionieren.

Verification of Payee made by PASS

Die PASS Consulting Group bietet als RVM eine VoP-Lösung, welche sowohl die Aufgaben des Responding PSP als auch des Requesting PSP abdeckt. Die Cloud-Lösung lässt sich per abgesicherter VoP-Schnittstelle auf Basis eines QWAC-Zertifikates nahtlos in bestehende Systeme integrieren – gehostet wird sie in eigenen ISO-zertifizierten Bankenrechenzentren in Deutschland. PASS begleitet seine Kunden bei der EPC-Registrierung sowie bei der Zertifikatsbeantragung und -verwaltung. Des Weiteren gehört eine lokale Kopie des EPC Directory Services (EDS) zum Leistungsumfang. Zur statistischen Auswertung speichert PASS anonymisierte Daten und bietet detaillierte Logs und Analysen der Verifizierungen.
Jetzt informieren
Tipp!

Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel
Linkedin Instagram Facebook Youtube Soundcloud Rss