Strategiewechsel 2026 – Wenn Regulierung auf KI-Agenten trifft

Jan 2026:

Der Auftakt in das Jahr 2026 macht deutlich, dass die Ära der rein technischen Absicherung zu Ende geht. Während der aktuelle EBA-Bericht zeigt, dass Kriminelle die starke Kundenauthentifizierung (SCA) zunehmend durch Social Engineering umgehen, antwortet die EU mit der PSD3 und verschärften Haftungsregeln für Zahlungsdienstleister. Gleichzeitig eröffnen Innovationen wie Googles Universal Commerce Protocol (UCP) für den KI-gestützten Handel völlig neue Angriffsflächen, die traditionelle Risiko-Modelle herausfordern. Für Fraud Manager bedeutet das: Die Priorität verschiebt sich von der reinen Transaktionsprüfung hin zu einer tiefgreifenden Identitätslogik und dem Schutz vor systemischen Infrastruktur-Risiken.

1. Strategiewechsel: Social Engineering schlägt technische Barrieren

Artikel: https://www.finextra.com/blogposting/30514/2025-eba-ecb-payment-fraud-report-key-insights-and-takeaways-for-fintechs-and-psps

Der EBA/ECB Payment Fraud Report bestätigt, dass trotz strenger Sicherheitsvorkehrungen die Verluste durch autorisierten Betrug (APP-Fraud) weiter anstiegen, da Betrüger gezielt den Faktor Mensch manipulieren. Der Bericht verdeutlicht, dass Prävention künftig weit über SCA hinausgehen muss, um die zunehmenden Social-Engineering-Angriffe effektiv zu stoppen. Dieses Thema ist kritisch, da Regulierer nun verstärkt präventive Maßnahmen fordern, statt nur über die Haftung im Schadensfall zu diskutieren.

2. Krypto-Sicherheit: Hoher Aufwand nach der Betrugswelle

Artikel: https://www.crypto-insiders.fr/actualites/altcoin/trust-wallet-renforce-les-controles-face-aux-fraudes-apres-le-hack/

Trust Wallet verschärft Kontrollen – nach einem massiven Hack steht Trust Wallet vor der Herausforderung, legitime Rückerstattungsansprüche von betrügerischen
Trittbrettfahrern zu unterscheiden. Die verschärften Monitoring- und Prüfmechanismen zeigen, dass die Bereinigung von Betrugsfällen oft komplexer und teurer ist als der ursprüngliche Schaden. Für die Branche ist dies eine wichtige Lektion in Sachen Post-Incident-Management und On-Chain-Validierung.

3. PSD3: Die EU definiert die Haftungsregeln neu

Artikel: https://www.ad-hoc-news.de/boerse/news/ueberblick/psd3-eu-zieht-mit-strengen-betrugsregeln-nach/68458293

Strenge EU-Betrugsregeln durch PSD3: Die Einführung der PSD3 bringt eine signifikante Verschärfung der Haftungs- und Sicherheitsanforderungen für alle europäischen Zahlungsanbieter mit sich. Ein besonderer Fokus liegt auf der Betrugserkennung und dem verbesserten Kundenschutz, insbesondere bei der Verifizierung von Empfängerdaten. Experten müssen sich hier auf neue Erstattungsregeln einstellen, die das finanzielle Risiko für PSPs bei Social-Engineering-Fällen deutlich erhöhen.

4. KI-Agenten im Payment: Neue Identitätslogik erforderlich

Artikel: https://thepaypers.com/payments/news/google-launches-ucp-a-new-agentic-commerce-protocol-for-retailers

Google führt mit dem Universal Commerce Protocol (UCP) einen Standard für den „agentischen“ Handel ein, bei dem KI-Assistenten autonom Transaktionen durchführen. Diese Entwicklung erfordert völlig neue Ansätze in der Betrugserkennung, da die Unterscheidung zwischen legitimen Bots und schädlicher Automatisierung zur Kernaufgabe wird. Das Protokoll bietet eine Chance, Sicherheit direkt in die KI-gestützte Kaufreise zu integrieren.

5. Systemrisiko Cybersicherheit: Infrastrukturen unter Druck

Artikel: https://www.lejdd.fr/Societe/cybersecurite-la-france-en-situation-de-tres-grande-fragilite-numerique-165805

Die Einstufung Frankreichs als digital fragil zeigt, dass staatliche und wirtschaftliche Infrastrukturen kaum mit der Professionalisierung von Hackern Schritt halten. Angreifer nutzen bereits flächendeckend KI-Tools, während die Verteidigung oft durch bürokratische Strukturen ausgebremst wird. Für das Payment-Ökosystem ist diese Warnung alarmierend, da Schwachstellen in der nationalen Infrastruktur das Risiko für großflächige Datenlecks und Identitätsdiebstahl massiv erhöhen.