Das Finanzsystem hat einen Wendepunkt erreicht. Betrug ist keine periphere Bedrohung mehr, die von Compliance-Teams in Back-Offices verwaltet wird – er ist zur eigenen Schattenwirtschaft des Systems geworden und expandiert in direktem Verhältnis zu der Innovation, die ihn eigentlich sichern sollte. Diese unausgesprochene Krise wird in den neuesten Erkenntnissen der London Stock Exchange Group Risk Intelligence sichtbar und stellt ein existenzielles Risiko für die gesamte digitale Zahlungsarchitektur dar, die Banken und Fintechs im letzten Jahrzehnt aufgebaut haben.

Das Paradoxon ist brutal. Jede Beschleunigung der Banktechnologie – Instant Payments, Echtzeit-Clearing, Machine-Learning-Betrugserkennung, Open-Banking-APIs – wurde von einem gleich sophistizierten kriminellen Ökosystem begleitet. Betrüger hinken nicht hinter Innovationen hinterher; sie absorbieren sie. Sie setzen die gleiche KI ein, die Banken einsetzen. Sie verstehen SEPA-Instant-Rails so genau wie die Europäische Zentralbank. Sie bewegen Kapital über Jurisdiktionsgrenzen hinweg schneller, als Regulatoren Richtlinien erlassen können. Die Asymmetrie, die früher die Verteidiger begünstigte – Komplexität, Intransparenz, institutionelles Gatekeeping – hat sich umgekehrt. Jetzt agieren die Verteidiger unter öffentlichem Blick, gebunden durch Regulierung und Audit Trails, während Kriminelle mit Maschinengeschwindigkeit über offene Infrastruktur hinweg operieren.

Was diesen Moment besonders macht, ist das Ausmaß und die Durchdringung. Betrug im Jahr 2026 ist keine Anomalie, begangen von einer kriminellen Randgruppe. Er ist in die Struktur von Systemen eingewebt, die täglich Billionen verarbeiten. Zahlungsnetzwerke, die friktionslosen Handel ermöglichen sollten, sind zu Vektoren für Synthetic-Identity-Schemes, Account-Takeover-Angriffe und Geldwäsche-Pipelines geworden, die gestohlene Gelder in Sekunden über Grenzen hinweg bewegen. Für Kartenaussteller und Banking-as-a-Service-Plattformen bedeutet dies, dass die Kosten für Vertrauen – einst als Posten in Betrugsvorsorgereserven absorbiert – nun die gesamte Unit Economics des digitalen Banking gefährden. Wenn ein Kunde einen Betrugsverlust erleidet, macht er nicht sein eigenes Sicherheitsverhalten verantwortlich. Er macht das System verantwortlich. Er geht. Er weicht auf Bargeld aus. Er wechselt zu einem Konkurrenten. Oder schlimmer noch, er stellt ganz auf digitale Zahlungen ein.

Der LSEG-Bericht ist ein Spiegel, den die Bankenwelt sich selbst vorhält, und das Spiegelbild ist unangenehm: Das System ist schneller skaliert als die Vertrauensinfrastruktur. Instant-Payment-Systeme wie die, die in der EU unter dem SEPA Instant Credit Transfer-Standard betrieben werden, haben die Abwicklungszeit von Tagen auf Sekunden reduziert, aber Rückgängigmachungsfenster haben sich entsprechend verkleinert. Bis ein Kunde realisiert, dass er Gelder auf ein Mule-Konto transferiert hat, ist das Geld weg. Europäische Bankaufsichtsbehörden stehen nun vor einem Designproblem, das sie nicht einfach regulatorisch lösen können: Je schneller die Rails, desto kleiner das Fenster für Erkennung und Rückgängigmachung. Die Kriminellen haben sich darauf optimiert. Sie bewegen Geld durch schnelle Kaskaden von Weitertransfers, jeder unter Meldungsschwellen, jeder so konzipiert, um die Verzögerung zwischen Erkennung und Intervention auszunutzen.

Die Open-Banking-Architektur, verpflichtend vorgeschrieben durch PSD2 und ihre Nachfolger, sollte Finanzen demokratisieren und das Oligopol der etablierten Banken durchbrechen. Im Prinzip ist das gelungen. In der Praxis hat es auch die Betruginfrastruktur demokratisiert. Anbieter von Drittanwendungen können jetzt mit expliziter Zustimmung auf Kundenkontodaten zugreifen und Transaktionen initiieren – eine echte Innovation. Aber Zustimmung wird routinemäßig durch Phishing, Social Engineering und gefälschte Authentifizierungsbildschirme eingeholt, die von echten Bankschnittstellen nicht zu unterscheiden sind. Die API ist nicht das Problem; die Vertrauensgrenze ist es. Und sobald diese Grenze aufgelöst ist, schlägt die gesamte Architektur fehl.

Für Kartenaussteller und programmatische Kartenplattformen ist die unmittelbare Frage operativ: Wie behält man die Kundengewinnung und -bindung, wenn die Betrugquote – gemessen nach angefochtenen Transaktionen, Account-Takeover-Vorfällen oder Infiltration synthetischer Identitäten – schneller steigt als deine Betrugerkennungsmodelle folgen können? Die Standardantwort – Machine Learning, Verhaltensanalytik, biometrische Verifizierung – ist notwendig, aber nicht ausreichend. Dies sind Rüstungswettlauf-Inkremente. Kriminelle lernen aus jedem Erkennungsereignis und passen sich an. Sie trainieren ihre eigene KI mit deinen Sperrlisten. Sie fälschen Biometrie. Sie modellieren deine Velocity Checks und strukturieren ihre Angriffe, um sie zu umgehen. Du bist nicht voraus; du bist in einem perpetuellen Aufholwettlauf engagiert, der Geld kostet und die Nutzererfahrung mit jedem Reibungspunkt, den du hinzufügst, erodiert.

Was die LSEG-Daten uns wirklich sagen, ist, dass das Problem strukturell geworden ist, nicht taktisch. Das Vertrauen in digitale Zahlungssysteme hängt von der vernünftigen Überzeugung ab, dass deine Transaktion erst nach echter Verifizierung irreversibel ist und dass die Institution, an die du Geld sendest, real ist. Keine dieser Annahmen hält mehr. Die Empfängerverifizierung ist trivial zu umgehen. Institutionen können gefälscht werden. Und sobald der Nutzer Geld verloren hat, ist der psychologische Schaden permanent. Er kann das System weiterhin aus Notwendigkeit nutzen – Gehaltseinzahlungen, Rechnungszahlungen – aber er wird ihm bei diskretionären Transaktionen nicht vertrauen. Er wird kein Early Adopter neuer Zahlungsservices sein. Er wird seinen digitalen Finanz-Fußabdruck nicht ausbauen. Das Wachstum stagniert. Und in einem Sektor, der auf Netzwerkeffekten und Nutzerwachstum aufgebaut ist, ist stagnierendes Wachstum der Tod.

Die regulatorische Antwort bestand bisher darin, die Compliance-Last zu vertiefen. Stärkeres KYC, kontinuierliche Überwachung, Transaction-Monitoring-Regeln, API-Sicherheitsmandaten, Berichtspflichten für Betrug – alles notwendig, alles erhöht Kosten, alles verschiebt die Last zu den Rändern des Systems (die Banken, die Fintechs, die Zahlungsabwickler), anstatt die Grundursache anzugehen, nämlich dass instant, irreversible, pseudonym-zu-pseudonym-Zahlungsrails im Endpunkt inhärent schwer zu sichern sind. Du kannst nicht einfach regulatorisch vorgeben, dass ein Nutzer in Sekunden nicht durch Social Engineering dazu gebracht werden kann, einen betrügerischen Transfer zu autorisieren. Du kannst keine Authentifizierungsstandards vorschreiben, die funktionieren, wenn das Gerät des Nutzers bereits kompromittiert ist. Du kannst Banken nicht zwingen, Betrugsverluste zu erstatten, ohne diese Verluste schließlich in die Marge einzupreisen, was bedeutet, dass weniger Menschen sich Finanzdienstleistungen leisten können.

Die Systeme, die diesen Wendepunkt überstehen, sind die, die Vertrauen auf der Anwendungsebene wieder aufbauen, nicht auf der Infrastrukturebene. Das bedeutet, über Transaktions-Level-Betrugserkennung hinauszugehen und zu Beziehungs-Level-Vertrauensverifizierung zu gelangen. Das bedeutet biometrische Authentifizierung, die nicht gefälscht oder gestohlen werden kann. Das bedeutet Echtzeit-Counterparty-Verifizierung, eingebettet in den Zahlungsfluss selbst. Das bedeutet, dass bevor dein Geld sich bewegt, du einen irreduziblen Nachweis erhältst, dass der Empfänger ist, wer er behauptet zu sein, und dieser Nachweis ist teuer genug zu erstellen, dass er Identitätswechsel im Maßstab abschreckt. Ein Teil davon entsteht bereits in Embedded-Finance-Plattformen, die beide Seiten der Transaktion kontrollieren (z. B. Zahlungsintegrationen innerhalb von Marken-Apps, wo die Handelsidentität vom Anwendungseigentümer verifiziert wird). Aber für Open Banking, für Interoperabilität, für die Vision eines wahrhaft demokratischen Finanzsystems ist das Vertrauensproblem schwerer zu lösen, und das Regulierungsfenster zu seiner Lösung könnte sich schließen.

Die Einsätze sind nicht akademisch. Zentralbanken, Zahlungssystembetreiber und Regulatoren weltweit stellen eine einzige Frage: Wenn Menschen dem System nicht vertrauen, werden sie es nutzen? Die historische Antwort ist nein. Sie werden auf Bargeld zurückgreifen. Sie werden informelle Werttransfersysteme nutzen. Sie werden das Vertrauen in regulierte Finanzdienstleistungen insgesamt verlieren und zu Jurisdiktionen oder Instrumenten migrieren, wo sie das Risiko als niedriger empfinden – auch wenn diese Wahrnehmung falsch ist. Und sobald diese Migration beginnt, bricht das gesamte Infrastrukturmodell zusammen, weil es für seine Funktion auf Volumen und Geschwindigkeit angewiesen ist.

Der LSEG-Bericht ist der Kanarienvogel in der Kohlenmine. Es ist Zeit, Vertrauen absichtlich, explizit und auf Systemdesign-Ebene wieder aufzubauen – nicht als Compliance-Häkchen, sondern als primäre Architektur moderner Finanzen.

Geschrieben vom Editor der Codego Press – unabhängige Banking- und Fintech-Journalistik powered by Codego, europäischer Banking-Infrastruktur-Anbieter seit 2012.

Quellen: The Finanser / Chris Skinner's Blog · Mai 2026