This article addresses the rising prevalence of Authorized
Push Payment (APP) fraud in the digital payment landscape and the need for new
regulations by the EU legislature. APP fraud, where the payment service user
(PSU) authorizes a payment under the influence of a fraudster, presents a
growing issue that is inconsistently addressed under the current EU Payment
Services Directive (PSD2). The article analyses existing legal frameworks and
case law across various EU Member States, highlighting inconsistencies in the
interpretation of authorized and unauthorized transactions. It emphasizes the
need for the EU legislature to clarify liability for payment service providers
(PSPs) in the proposed Payment Services Regulation (PSR) regarding APP fraud.
The authors advocate for a harmonized approach where PSPs are held liable for
APP fraud, particularly in cases of bank impersonation fraud. The authors
further suggest that the definition of ‘gross negligence’ in the context of APP
fraud should be clarified. They also propose that if PSPs take on greater
responsibility for fraud monitoring and prevention in order to improve safety
of payment transactions this should be balanced with the privacy and autonomy
of the PSU. Key conclusions include the necessity for the EU legislature to
ensure a uniform interpretation of authorized transactions and clarify the
potential for national liability rules. Additionally, the authors recommend
that liability for APP fraud should not be limited to bank impersonation fraud
but should also cover other scenarios of payment fraud, provided the fraudster
abuses the trust in the payment system by convincing the PSU that he needs to
take action to keep his funds safe.
Résumé: Cet article, aborde la prévalence croissante de la
fraude par paiement push autorisé (APP) dans le paysage des paiements
numériques et la nécessité de nouvelles réglementations par le législateur de
l’UE. La fraude APP, où l’utilisateur du service de paiement (PSU) autorise un
paiement sous l’influence d’un fraudeur, présente un problème croissant qui est
traité de manière incohérente sous la directive actuelle sur les services de
paiement de l’UE (PSD2). L’article analyse les cadres juridiques existants et
la jurisprudence dans divers États membres de l’UE, mettant en évidence les
incohérences dans l’interprétation des transactions autorisées et non
autorisées. Il souligne la nécessité pour le législateur de l’UE de clarifier
la responsabilité des prestataires de services de paiement (PSP) dans le
règlement proposé sur les services de paiement (PSR) en ce qui concerne la
fraude APP. Les auteurs plaident pour une approche harmonisée où les PSP sont
tenus responsables de la fraude APP, en particulier dans les cas de fraude par
imitation de banque. Les auteurs suggèrent en outre que la définition de la
‘négligence grave’ dans le contexte de la fraude APP soit clarifiée. Ils
proposent également que si les PSP assument une plus grande responsabilité en
matière de surveillance et de prévention de la fraude afin d’améliorer la sécurité
des transactions de paiement, cela devrait être équilibré avec la
confidentialité et l’autonomie du PSU. Les principales conclusions incluent la
nécessité pour le législateur de l’UE de garantir une interprétation uniforme
des transactions autorisées et de clarifier la portée des règles de
responsabilité nationales. De plus, les auteurs recommandent que la
responsabilité pour la fraude APP ne soit pas limitée à la fraude par imitation
de banque, mais couvre également d’autres scénarios de fraude de paiement, à
condition que la confiance des personnes dans le système de paiement soit
abusée par le fraudeur, en convainquant l’utilisateur du service de paiement
qu’il doit prendre des mesures pour assurer la sécurité de ses fonds.
Zusammenfassung: Dieser Artikel behandelt die zunehmende
Verbreitung von Betrug durch autorisierte Push-Zahlungen (APP fraud) im
digitalen Zahlungsverkehr und die Notwendigkeit neuer Vorschriften durch den
EU-Gesetzgeber. APP fraud, bei dem der Zahlungsdienstnutzer (PSU) eine Zahlung
unter dem Einfluss eines Betrügers autorisiert, stellt ein wachsendes Problem
dar, das unter der aktuellen EU-Zahlungsdienste-Richtlinie (PSD2) uneinheitlich
behandelt wird. Der Artikel analysiert bestehende Rechtsrahmen und
Rechtsprechung in verschiedenen EU-Mitgliedstaaten und hebt Inkonsistenzen in
der Interpretation von autorisierten und nicht autorisierten Transaktionen
hervor. Er betont die Notwendigkeit, dass der EU-Gesetzgeber in der
vorgeschlagenen Zahlungsdienste-Verordnung (PSR) die Haftung der
Zahlungsdienstleister (PSP) bei APPBetrug klärt. Die Autoren plädieren für
einen harmonisierten Ansatz, bei dem PSPs für APP-Betrug haftbar gemacht
werden, insbesondere in Fällen von Bankimitationsbetrug (bank impersonation
fraud). Die Autoren schlagen auch vor, die Definition von ‘grober
Fahrlässigkeit’ im Kontext von APP-Betrug zu klären. Sie schlagen außerdem vor,
dass PSPs, wenn sie mehr Verantwortung für die Betrugsüberwachung und
-prävention übernehmen, um die Sicherheit von Zahlungstransaktionen zu
verbessern, dies mit der Privatsphäre und Autonomie des PSU abwägen sollen. Zu
den wichtigsten Schlussfolgerungen gehört die Notwendigkeit, dass der
EU-Gesetzgeber eine einheitliche Interpretation von autorisierten Transaktionen
sicherstellt und den Spielraum für nationale Haftungsregeln klärt. Darüber
hinaus empfehlen die Autoren, dass die Haftung für APP-Betrug nicht auf
Bankimitationsbetrug beschränkt sein sollte, sondern auch andere Szenarien von
Zahlungsbetrug umfassen sollte, sofern das Vertrauen der Menschen in das
Zahlungssystem vom Betrüger missbraucht wird, indem er den PSU davon überzeugt,
dass er Maßnahmen ergreifen muss, um seine Gelder zu schützen.
Resumen: Este artículo aborda la creciente prevalencia del
fraude de pagos autorizados por el cliente (APP) en el panorama de los pagos
digitales y la necesidad de nuevas regulaciones por parte del legislador de la
UE. El fraude de APP, en el que el usuario de servicios de pago (PSU) autoriza
un pago bajo la influencia de un estafador, representa un problema creciente
que se aborda de forma inconsistente en la actual Directiva de Servicios de
Pago de la UE (PSD2). El artículo analiza los marcos legales y la
jurisprudencia vigentes en varios Estados miembros de la UE, destacando las
inconsistencias en la interpretación de las transacciones autorizadas y no
autorizadas. Destaca la necesidad de que el legislador de la UE aclare la
responsabilidad de los proveedores de servicios de pago (PSPs) en el Reglamento
de Servicios de Pago (PSR) propuesto en relación con el fraude de APP. Los
autores abogan por un enfoque armonizado que responsabilice a los PSP del
fraude de APP, especialmente en los casos de suplantación de identidad
bancaria. Además, sugieren que se aclare la definición de ‘negligencia grave’
en el contexto del fraude de APP. También proponen que, si los PSPs asumen una
mayor responsabilidad en la vigilancia y prevención del fraude para mejorar la
seguridad de las transacciones de pago, esto debería equilibrarse con la
privacidad y la autonomía del PSU. Entre las conclusiones clave se incluye la
necesidad de que el legislador de la UE garantice una interpretación uniforme
de las transacciones autorizadas y aclare la posibilidad de establecer normas
nacionales de responsabilidad. Además, los autores recomiendan que la
responsabilidad por fraude en APP no se limite al fraude de suplantación de
identidad bancaria, sino que abarque también otros supuestos de fraude en los
pagos, siempre que el defraudador abuse de la confianza depositada en el sistema
de pago al convencer al PSU de que debe tomar medidas para proteger sus fondos.