idensity check is dead

Die Art und Weise, wie Unternehmen die Identität ihrer Kunden verifizieren, steht vor einem grundlegenden Wandel. Was das bedeutet – und warum das eigentlich eine gute Nachricht ist.

Wichtigste Erkenntnisse

  • Einmalige KYC-Prüfungen sind konzeptionell unzureichend – sie erfassen keine Betrugsmuster, die erst nach dem Onboarding entstehen.
  • eIDAS 2.0, die EU-Geldwäscheverordnung (AMLR) und PSD3 laufen auf dieselbe Antwort zu: eine kontinuierliche, ereignisgesteuerte Identitätssicherung. 
  • Die Frist 2027 – für die Akzeptanz des EUDI Wallet und die Aufnahme der AMLA-Aufsicht – rückt schneller näher, als es scheint. 
  • Die Lösung liegt nicht in einer einmaligen Identitätsprüfung, sondern in einer dauerhaften Identitätsbeziehung.

Stellen Sie sich folgende Situation vor: Ein Kunde eröffnet ein Bankkonto. Er lädt sein Ausweisdokument hoch, macht ein Selfie, blinzelt auf Befehl. Die automatisierte Prüfung läuft durch. Grünes Licht. Konto angelegt. Compliance-Pflicht erfüllt. Erledigt.

Oder etwa nicht?

Sechs Monate später wurde das Mobiltelefon desselben Kunden per SIM-Swap übernommen. Seine E-Mail-Adresse ist kompromittiert. Das Gerät, mit dem er das Konto eröffnet hat, wurde geklont und meldet sich nun von einer IP-Adresse aus drei Ländern entfernt an. Der Betrüger, der den Angriff durchgeführt hat, weiß all das. Er ist im Konto, verschiebt Gelder, fügt Zahlungsempfänger hinzu – und arbeitet schnell. 

Die KYC-Prüfung der Bank, die vor sechs Monaten durchgeführt wurde, weiß davon nichts. Sie konnte es nie wissen. Sie war nie dafür ausgelegt.   

Die Grenzen der einmaligen KYC-Prüfung sind kein technologisches Versagen – sie sind ein konzeptionelles. Und genau das soll die neue europäische Regulierungsarchitektur beheben.

Drei Regelwerke. Eine Richtung.

Was den aktuellen regulatorischen Moment in Europa so bemerkenswert macht, ist nicht das Ausmaß der Veränderungen – es ist ihre Kohärenz. eIDAS 2.0, die AMLR (Anti-Geldwäsche-Verordnung) und die überarbeitete zweite Zahlungsdiensterichtlinie (PSD3) werden gleichzeitig erarbeitet und umgesetzt.

„Was wir beobachten, sind nicht drei separate regulatorische Aktualisierungen”, sagt Liudmyla Rabchynska, Director of Global Regulatory and Government Affairs bei IDnow. „Es ist eine einzige, koordinierte Neudefinition der Art und Weise, wie Vertrauen in der europäischen digitalen Wirtschaft aufgebaut und aufrechterhalten wird. Die Frage, die Regulatoren stellen – und die Unternehmen nun beantworten müssen – lautet: ‚Können Sie in diesem Moment sicher sein, dass Ihr Kunde der ist, der er vorgibt zu sein?'”

Die Compliance-Uhr tickt.

Die Compliance-Uhr tickt.  Die Europäische Behörde zur Bekämpfung der Geldwäsche (AMLA) muss ihre Entwürfe der technischen Regulierungsstandards zur Sorgfaltspflicht gegenüber Kunden im Juli 2026 vorlegen. Das EUDI-Wallet, das jeder EU-Mitgliedstaat bis Ende 2026 ausgeben muss, ist von regulierten Unternehmen im Rahmen von eIDAS 2.0 bis 2027 zu akzeptieren. PSD3 bringt die Anforderungen an die starke Kundenauthentifizierung mit beiden in Einklang. 

Für Unternehmen, die ihre Compliance-Architektur auf einer einmaligen KYC-Prüfung aufgebaut haben, bedeutet das einen grundlegenden Umbau.

Die gute Nachricht, die niemand ausspricht.

Für Finanzdienstleister gibt es eine konkrete Frist – und bis die Compliance-Uhr Mitternacht schlägt, ist noch viel zu tun. Dennoch ist festzuhalten: Diese Veränderungen werden Unternehmen nicht gegen ihre Interessen aufgezwungen. Sie werden zum Teil deshalb vorangetrieben, weil das alte Modell bereits versagt hatte.  

Das Ausmaß des Problems ist alles andere als abstrakt. Laut dem gemeinsamen Bericht der EZB und der EBA zu Zahlungsbetrug beliefen sich betrügerische Zahlungstransaktionen im EWR im Jahr 2022 auf 4,3 Milliarden Euro – und diese Zahl stieg bereits an, wobei allein im ersten Halbjahr 2023 bereits 2 Milliarden Euro verzeichnet wurden. Bis 2024 waren betrügerische Überweisungen laut dem EBA-EZB-Zahlungsbetrugsreport 2025 gegenüber dem Vorjahr um weitere 16 % auf 2,2 Milliarden Euro gestiegen, während Kartenbetrug weitere 1,3 Milliarden Euro hinzufügte. Das ist der Preis eines Modells, das nie darauf ausgelegt war, mit modernem Betrug Schritt zu halten.  

Synthetischer Identitätsbetrug gehört zu den am schnellsten wachsenden Bedrohungen und macht laut einer Analyse von Experian zu britischen Kreditanträgen inzwischen fast ein Drittel aller Identitätsbetrugsfälle aus. Der Global Fraud Report 2023 von TransUnion bezeichnete ihn als die am schnellsten wachsende Form des digitalen Betrugs weltweit. Account-Takeover-Angriffe, die die Lücke zwischen einer einmaligen KYC-Prüfung und jeder nachfolgenden Authentifizierung ausnutzen, stellen eine ebenso schnell eskalierende Bedrohung dar.

„Die Unternehmen, mit denen ich spreche und die dieser Entwicklung voraus sind, betrachten eIDAS 2.0 nicht als Compliance-Verpflichtung”, sagt Jonas Mendes, Director of Product für die IDnow Trust Platform. „Sie sehen darin den Moment, in dem sie endlich eine Infrastruktur erhalten, die der Komplexität der Bedrohungen entspricht, mit denen sie konfrontiert sind. Der regulatorische Moment und der geschäftliche Moment fallen zusammen.”   

Unternehmen, die den regulatorischen Wandel als Chance begreifen, eine dauerhaft resilientere Beziehung zu ihren Kunden aufzubauen, werden bis 2027 rechtskonform sein – und vor allem: bessere Unternehmen.  

Mit der IDnow Trust Platform profitieren Nutzer von einer kontinuierlichen Beziehung zu ihren Kunden – einer Beziehung, die eine erneute Identitätsprüfung auslösen kann, wenn sich etwas verändert. Die verschiedene Identifizierungsmethoden je nach Risikoniveau einsetzen kann. Die das EUDI-Wallet integrieren kann, sobald es verfügbar ist – ohne ein separates Integrationsprojekt. 

 „Das Ziel”, so Jonas Mendes, „ist, dass die IDnow Trust Platform Veränderungen auffängt – ob eine Regulierung sich ändert, eine neue Verifizierungsmethode verfügbar wird oder eine neue Betrugsform auftaucht. Der Kunde muss nichts neu aufbauen. Er muss es nicht einmal bemerken. Genau das ist die Aufgabe einer Infrastruktur.” 

Die Identitätsbeziehung aufbauen – bis 2027.

Es gibt eine Version dieser Geschichte, die beängstigend klingt. Drei konvergierende Regelwerke. Ein neues digitales Wallet, das in 27 Mitgliedstaaten akzeptiert werden muss. Betrugsmethoden, die herkömmliche Prüfungen aushebeln. Eine Frist bis 2027, die näher ist, als sie aussieht. 

Diese Version ist nicht falsch. Aber sie ist unvollständig. 

Der Grund, warum europäische Regulatoren gleichzeitig in diese Richtung gehen, liegt darin, dass das alte Modell genau die Probleme erzeugte, die es zu verhindern vorgab. Eine einmalige Prüfung, die an den Beginn einer Kundenbeziehung angehängt und nie wieder aufgegriffen wurde, war nie echte Compliance. Sie war ein Ritual. Das neue Modell stellt höhere Anforderungen – und ermöglicht dadurch erstmals das Ziel eines dauerhaften Vertrauensverhältnisses zwischen Unternehmen und ihren Kunden. 

Die Identitätsprüfung ist tot. Es lebe die Identitätsbeziehung. 

Erfahren Sie mehr von Jonas Mendes über die Konzeption hinter den Funktionen Orchestrate, Observe und Decide der IDnow Trust Platform in seinem Blog „Lessons From… Eine Plattform entwickeln, die Compliance wieder beherrschbar macht.”

Von

Warum 10 % der europäischen Banken innerhalb von zwei Jahren geschlossen oder fusioniert wurden. 1

Jody Houton
Senior PR & Content Manager bei IDnow
Jetzt mit Jody auf LinkedIn vernetzen