Biometrie-Pflicht: Banken haften jetzt für Betrug ohne Gesichtsscan

Ab sofort müssen Banken in der EU Betrugsschäden ersetzen, wenn sie hohe Zahlungen nicht per Gesichts- oder Fingerabdruck-Erkennung absichern. Die neue Haftungsregel unter PSD3 trat diese Woche in Kraft und zwingt Finanzinstitute zum sofortigen Handeln. Hintergrund ist die explosionsartige Zunahme KI-gestützter Betrugsmethoden im vergangenen Jahr.

Die neue Haftungsregel: Kein Scan, kein Schutz

Kern der Neuerung ist der vollzogene „Liability Shift“ (Haftungsübergang). Laut einer aktuellen Analyse von Compliance Week haften Zahlungsdienstleister nun für Kundenverluste, wenn sie nicht nachweisen können, dass sie „angemessene Betrugsbekämpfungsmaßnahmen“ ergriffen haben. Konkret bedeutet das: die starke Kundenauthentifizierung (SCA) mit biometrischen Faktoren.

War Biometrie bisher eine Empfehlung, ist sie nun de facto verpflichtend für das Risikomanagement. Verarbeitet eine Bank eine Überweisung ohne biometrische Prüfung und diese erweist sich als betrügerisch, muss sie den Kunden sofort entschädigen. Dies gilt auch für betrügerische „Authorized Push Payments“, bei denen Kunden manipuliert wurden – sofern die Bank die Anomalie nicht erkannt oder eine biometrische Nachverifikation verlangt hat.

Passend zum Thema starke Authentifizierung: Viele Bank-Apps schützen sensible Zahlungen nicht optimal — Angriffe über manipulierte Apps und Deepfakes nehmen zu. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones, mit Schritt-für-Schritt-Anleitungen zu sicheren Einstellungen, App-Prüfungen und Biometrie-Konfiguration. Ideal, wenn Sie Mobile-Banking oder Zahlungs-Apps nutzen. So verhindern Sie, dass Betrüger über kompromittierte Geräte Zugang zu Zahlungsdaten bekommen. Gratis-Sicherheitspaket für Android herunterladen

Ein Branchenreport vom 6. Januar 2026 zeigt: Zwar setzen 92 Prozent der EU-Banken bereits Gesichts- oder Fingerabdruck-Erkennung in ihren Apps ein. Doch die verbleibenden 8 Prozent sind durch die neue Regelung massiven finanziellen Risiken ausgesetzt.

AMLA startet durch – BaFin mit digitalem Fokus

Parallel zum Haftungswechsel nahm die neue EU-Geldwäschebehörde (AMLA) ihre Arbeit auf. Sie soll die Aufsicht in den Mitgliedsstaaten harmonisieren und direkt die risikoreichsten Unternehmen überwachen.

In Deutschland koordiniert sich die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit diesen europäischen Entwicklungen. Ihre seit Ende 2025 auf rein digitale Meldungen umgestellten Meldewege nutzt die Behörde nun auch, um die Einhaltung der neuen Betrugspräventionsstandards zu überwachen.

Beobachter deuten BaFins Vorgehen als „Null-Toleranz-Strategie“ gegenüber Instituten, die Verbraucher nicht ausreichend vor Deepfake-Betrug schützen. Die Abstimmung mit den EU-weiten Haftungsregeln sendet ein klares Signal: Die Sicherheitsprotokolle müssen schneller evolvieren als die Betrüger.

Technologiewettlauf: Dezentrale Biometrie im Fokus

Mit der praktischen Verpflichtung rückt die zugrundeliegende Technologie in den Blickpunkt. Analysen deuten darauf hin, dass die Branche von einfachen, geräteeigenen Systemen (wie Standard-FaceID) zu „dezentralen Biometrie“-Modellen übergeht.

Diese fortschrittlichen Systeme stellen sicher, dass biometrische Referenzdaten verschlüsselt und geteilt, aber niemals in verwertbarer Form das Gerät des Nutzers verlassen. Die Bank kann so die Identität des Nutzers verifizieren – und nicht nur die Gültigkeit des Entsperrcodes. Dieser Unterschied ist entscheidend.

Die neuen Standards für 2026 verlangen „Liveness Detection“ (Lebenderkennung) und „Intent Verification“ (Absichtsnachweis). Sie sollen sicherstellen, dass der Nutzer nicht nur anwesend ist, sondern der spezifischen Transaktion auch aktiv zustimmt. Cybersecurity-Experten betonen: Die Regulation zwinge Banken dazu, „Inhärenz“ (wer der Nutzer ist) nachzuweisen, nicht nur „Besitz“ (welches Gerät er hat).

Reaktion auf die „Scampocalypse“ von 2025

Die scharfe regulatorische Wende ist eine direkte Antwort auf die Betrugsstatistiken der letzten zwei Jahre. Der gemeinsame Bericht von EZB und EBA zur Zahlungsbetrugsstatistik 2025 zeigte deutlich höhere Betrugsraten bei Transaktionen ohne starke biometrische Authentifizierung.

Marktanalysten halten diesen „Compliance-Schock“ für notwendig. Durch generative KI konnten Kriminelle sogenannte APP-Betrugsmaschen (Authorized Push Payment) massiv hochskalieren, bei denen Opfer manipuliert werden, Geld zu überweisen. Indem sie die Haftung auf die Banken verlagern, setzen Regulierer Anreize für den Einsatz verhaltensbiometrischer KI. Diese kann erkennen, ob ein Nutzer unter Druck gesetzt wird oder ungewöhnlich zögert – Signale, die ein einfaches Passwort oder SMS-Code nie erfassen könnte.

„Die Ära, in der dem Kunden die Schuld gegeben wurde, ist vorbei“, kommentiert ein Fintech-Analyst. „Wenn das System einer Bank nicht zwischen einem treuen Kunden und einem Deepfake oder einem erpressten Opfer unterscheiden kann, zahlt die Bank den Preis. Biometrie ist kein Feature mehr; sie ist die Firewall.“

Ausblick: Biometrie-Pflicht bald auch für Krypto und E-Commerce?

Das erste Halbjahr 2026 wird wohl einen Aktivitätsschub bei den noch nicht konformen Instituten bringen, bevor die ersten großen Durchsetzungsstrafen verhängt werden. Die AMLA wird voraussichtlich im zweiten Quartal 2026 erste technische Standards für „akzeptable biometrische Verfahren“ veröffentlichen.

Diskussionen in Brüssel deuten darauf hin, dass das Modell der strengen Haftung bald über das Bankwesen hinausreichen könnte. Ähnliche Regeln für Krypto-Asset-Dienstleister (CASPs) und große E-Commerce-Plattformen werden bereits erwogen. Das Ziel: Der biometrische Schutzschild soll die gesamte digitale Wirtschaft abdecken. Für die Banken gilt ab sofort: Mit Biologie verifizieren – oder die Strafe zahlen.

PS: Viele Nutzer kennen nur die Grundfunktionen ihres Smartphones — aber oft verstecken sich Risiken in App-Berechtigungen oder veralteten Systemen. Das kostenlose Sicherheitspaket zeigt die fünf wichtigsten Maßnahmen, mit Checklisten für WhatsApp, Online-Banking und Zahlungstools sowie einfachen Schritten, um Biometrie sicher zu nutzen. Schützen Sie Ihr Android jetzt vor Datendieben und betrügerischen Transaktionen. Jetzt Gratis-Sicherheitspaket anfordern