Verification of Payee: Banken brauchen dringend APIs für VoP – bis zum 9. Oktober muss alles einwandfrei laufen

Schwerpunkt: API & Schnittstellen

Mit der neuen EU-Verordnung zur Einführung eines verpflichtenden IBAN-Namensabgleichs wird ein Mechanismus Realität, der Zahlende vor Fehlüberweisungen und Betrug schützen soll: die „Verification of Payee“ (VoP). Technisch verlangt dies eine präzise, schnelle und sichere Prüfung, ob eine angegebene IBAN tatsächlich zum Namen des Empfängers gehört – und das in Echtzeit, rund um die Uhr, EU-weit.

von Yannik Osterloh, Project Manager und Teamleiter, msg for banking

VoP klingt simpel, ist aber komplex: Banken müssen in Sekunden prüfen, ob Name und IBAN zusammengehören, ohne personenbezogene Daten preiszugeben oder die Zahlung zu verzögern. Die Lösung muss interoperabel, hochverfügbar und datenschutzkonform sein – aber gleichzeitig nahtlos in bestehende Zahlungsprozesse integriert werden.

Technisches Modell

Im Zentrum steht eine REST-basierte API, die Banken untereinander nutzen: Die Bank des Zahlers (Requesting PSP) sendet eine Anfrage mit IBAN und Namen an die Bank des Empfängers (Responding PSP). Diese prüft die Daten und antwortet mit einem von vier Statuswerten: Match, Close Match, No Match oder No Result. Die Verarbeitung erfolgt idealerweise synchron – das Ergebnis wird dem Zahler in Echtzeit angezeigt.

Dieser als SaaS-Lösung betriebene Service bietet eine einfache All-in-One-Lösung, die das einschlägige Anforderungsspektrum der EU-Regulatorik abdeckt und verschiedenste (je nach Bedarf) Anbindungsmöglichkeiten bereithält.

Der Service agiert als ein  „Routing und Verification Mechanismus“ (RVM), wobei der RVM als Vermittler zwischen dem Sender einer Anfrage (Request) und dem zu identifizierenden Zahlungsempfänger auf.”

Der Service besteht aus einer auf einer containerisierten Multi-Mandanten-Architektur basierenden Plattform, einer Matching-Logik und API-Komponenten sowie Infrastruktur, Betrieb und Zertifikatsmanagement. Die Anbindung erfolgt über eine zentrale API, das heißt die Teilnehmer müssen sich nicht bilateral vernetzen.

Matching & Datenschutz

Die Matching-Logik basiert auf Fuzzy-Matching-Algorithmen, die z. B. Tippfehler oder alternative Schreibweisen erkennen. Die Namen werden standardisiert (Groß-/Kleinschreibung, Umlaute, Sonderzeichen), bevor sie mit den Kontostammdaten abgeglichen werden. Der tatsächliche Name des Kontoinhabers wird bei Close Match als Vorschlag angezeigt – bei No Match erscheint ein Warnhinweis.

Datenschutz wird großgeschrieben:

Die Plattform arbeitet mit QWAC-Zertifikaten, TLS-Verschlüsselung und strikter Mandantentrennung.”

Eine Weitergabe oder zentrale Speicherung vollständiger Kontodaten findet nicht statt, sofern Banken dies nicht explizit wünschen. Alternativ kann die Anfrage auch direkt an die kontoführende Bank geroutet werden.

Integration und Ausblick

Die VoP-Lösung lässt sich in allen Kanälen integrieren – vom Online-Banking über Banking-Apps bis zu EBICS-Zahlungsverkehr im Firmenkundengeschäft. Die Plattform unterstützt auch Massenzahlungen: XML-Dateien (pain.001) werden analysiert, für jede Transaktion erfolgt ein VoP-Check, und die Resultate werden via pain.002 rückgemeldet.

Somit bietet der als SaaS-Lösung betriebene Service einen vollumfänglichen, regelwerkkonformen Service, der Banken die Implementierungspflicht abnimmt – und gleichzeitig Endkunden sowie Unternehmen mehr Sicherheit beim Bezahlen bietet.Yannik Osterloh, msg for banking/dk