Wie Schlupflöcher in Aadhaar-fähigen Zahlungen arme Menschen der Gefahr aussetzen, betrogen zu werden

Jean Dreze und Vipul Paikra schreiben: In Latehar, Jharkhand, sind viele ähnliche Fälle von AePS-aktiviertem Betrug aufgetaucht. Die meisten sind ungelöst

Das AePS ist eine wertvolle Einrichtung für diejenigen, die es sicher verwenden können.

Eine Reihe neuer Betrügereien hat die Schwachstellen des Aadhaar-fähigen Zahlungssystems (AePS) aufgedeckt. Die AePS ermöglicht es einer Person, über einen lokalen Geschäftskorrespondenten (BC) überall im Land Geld von ihrem Bankkonto abzuheben. Ein BC ist ein informeller Bankagent, der mit einem biometrischen Point-of-Sale (PoS)-Automaten ausgestattet ist – einer Art Mikro-ATM. Wenn Sie beispielsweise 500 Rupien von Ihrem Bankkonto mit einem BC abheben möchten, müssen Sie ihm nur den Namen Ihrer Bank nennen und sich der Aadhaar-basierten biometrischen Authentifizierung (ABBA) unterziehen. Der BC gibt Ihnen Rs 500 in bar, und der gleiche Betrag wird seinem eigenen Konto gutgeschrieben. Damit dies möglich ist, muss Ihr Bankkonto mit Aadhaar verknüpft sein.

So weit, ist es gut. Aber was ist, wenn der BC tausend Rupien in die PoS-Maschine eingibt, während er Ihnen fünfhundert gibt? In diesem Fall werden tausend von Ihrem Konto abgebucht und dem Konto des BC gutgeschrieben, aber Sie erhalten nur fünfhundert – Betrug! Dies ist unwahrscheinlich, wenn Sie gebildet und aufmerksam sind. Sie werden um eine Quittung bitten und das BC wird Ihnen umgehend die vom PoS-Gerät generierte Quittung aushändigen. BCs verweigern jedoch armen Leuten routinemäßig Quittungen, wenn sie überhaupt eine verlangen. Aus Sicherheitsgründen verfügen einige PoS-Maschinen über ein Voice-Over, das jedoch leicht deaktiviert werden kann. Es liegt eine große Schwachstelle von AePS.

Ein korrupter BC kann sogar einen leichtgläubigen Kunden unter irgendeinem Vorwand bitten, seinen Finger in den POS-Automaten zu stecken, ohne ihr Geld zu geben. So erging es Nagina Bibi, einer älteren Frau, die im Dorf Vishunbandh im Bezirk Latehar in Jharkhand lebt. Eines Tages kam ein umherstreifender BC aus einem benachbarten Bezirk zu ihrem Haus. Er behauptete, er helfe ihr, einen Benzinzuschuss zu bekommen, überredete sie, ihren Finger achtmal in den POS-Automaten zu stecken, und buchte ohne ihr Wissen 24.000 Rupien von ihrem Bankkonto ab. Der größte Teil dieses Geldes bestand aus ihrer mageren Rente und ihrem hart verdienten Lohn, der für die Ehe ihrer Tochter gespart wurde.

Später entdeckte Nagina, dass 24.000 Rupien von ihrem Konto abgebucht worden waren. Sie beschwerte sich beim Bankdirektor, aber er plädierte auf Hilflosigkeit. Er hatte keine Aufzeichnungen über das betrügerische BC (nur AePS zeigte in seinen Transaktionsaufzeichnungen). Aus seiner Sicht war dies eine Angelegenheit zwischen Nagina und der Acquirer-Bank, also der Bank, die das betreffende BC eingesetzt hatte. Er fügte hinzu, dass er detailliertere Transaktionsaufzeichnungen online anfordern könne, wenn Nagina eine FIR einreiche. Die Polizei weigerte sich jedoch, eine FIR zu registrieren.

In Latehar sind viele ähnliche Fälle von AePS-gestütztem Betrug aufgetaucht. Die meisten davon sind ungelöst. Selbst wenn das BC zurückverfolgt werden kann, ist es für ihn leicht zu behaupten, dass er laut Aufzeichnungen Bargeld ausgezahlt hat – es ist sein Wort gegen das des Opfers. Kurz gesagt, korrupte BCs operieren praktisch ungestraft.

All dies ist jedoch nur ein Trailer. Ein freundlicher BC teilte uns mit, dass in ganz Jharkhand ähnliche Tricks zur Massenveruntreuung von Stipendien für Minderheitenkinder eingesetzt wurden. Nach vorläufigen Ermittlungen, die seine Anschuldigungen bestätigten, alarmierten wir die Medien und eine detaillierte Untersuchung von The Indian Express deckte den Betrug auf.

Kurz gesagt, der Betrug funktionierte wie folgt. Korrupte Zwischenhändler bestachen Schulleiter, um die Namen von Minderheitenkindern und andere Informationen wie den Code des Unified District Information System for Education (UDISE) und den Login der Schule zu erhalten. Sie reichten im Namen der Kinder Stipendienanträge ein, nachdem sie mit einem lokalen BC für sie Aadhaar-gebundene Bankkonten eröffnet hatten. Kinder erhielten Nominalbeträge und der Rest wurde ohne ihr Wissen abgeschöpft. Möglich wurde dies durch AePS. Hätten Kinder ihre Stipendien bei einer Bank abholen müssen, hätten sie die richtigen Stipendienbeträge aus ihren Sparbüchern erfahren, wenn nicht von einem Bankangestellten. Der Stipendienbetrug in Jharkhand zeigt, dass AePS-gestützter Betrug kein sporadisches Problem, sondern eine systemische Schwachstelle ist.

Das AePS ist eine wertvolle Einrichtung für diejenigen, die es sicher verwenden können. Wie andere Mikro-ATM-Systeme hat es dazu beigetragen, Banken zu entlasten. Es kann besonders für Wanderarbeiter nützlich sein, die keinen Geldautomaten haben. Aber AePS birgt ein ernsthaftes Risiko, betrogen zu werden, für diejenigen, die sich nicht sicher sind, wie es funktioniert. Diese Risiken werden noch verstärkt, wenn Banken sich weigern, kleine Beträge an ihre Kunden auszuzahlen und sie stattdessen an BCs senden, eine Routine im ländlichen Jharkhand.

Es gibt Möglichkeiten, die Schwachstellen von AePS zu reduzieren. BCs könnten beispielsweise dazu verpflichtet sein, manuelle, wenn nicht gar digitale Einträge in gedruckte Kundensparbücher vorzunehmen. Das wäre eine dauerhafte, nachprüfbare Quittung, die dem Kunden nicht so leicht abgewiesen werden kann (ein Leereintrag wäre belastend). Es wäre auch hilfreich sicherzustellen, dass BCs in Transaktionsaufzeichnungen eindeutig identifiziert werden. Ebenso SMS-Benachrichtigungen, wenn der Kunde eine Handynummer hat. Roaming-BCs sollten vielleicht verboten werden, zumindest in Staaten mit geringer Alphabetisierung. Und am wichtigsten ist, dass den Opfern von AePS-Betrug bessere Möglichkeiten zur Beschwerdebeseitigung zur Verfügung gestellt werden.

Und jetzt das Happy End. Nagina gehört einer Arbeiterorganisation an, also beschloss sie, sich zu wehren. Sie und ihre Kameraden schafften es schließlich, den Bankdirektor und die Polizei dazu zu bewegen, den Täter ausfindig zu machen, der festgenommen und angeklagt wurde. Es stellte sich jedoch heraus, dass er viele andere Leute auf die gleiche Weise betrogen hatte und dass auch andere korrupte BCs in der Gegend herumschlichen. Laut der Cybercrime-Zelle in Latehar beinhalten einige der jüngsten Betrugsfälle im Zusammenhang mit AePS viele Rupien.

Naginas Sieg ist die Ausnahme, nicht die Regel. Die Schwachstellen von AePS bringen unzählige Menschen in Gefahr, ihrer hart verdienten Ersparnisse beraubt zu werden.

Diese Kolumne erschien erstmals in der Printausgabe am 5. Oktober 2021 unter dem Titel „Die Aadhaar-Lücke“. Drèze ist Gastprofessorin am Department of Economics der Ranchi University; Paikra ist ein unabhängiger Forscher