Achtung, PSD3 (Zahlungsdiensterichtlinie 3) und PSR (Zahlungsdiensterichtlinie) stehen vor der Tür. Das bevorstehende EU-Regulierungspaket wird den digitalen Zahlungsverkehr in Europa weiter harmonisieren, dessen Sicherheit verbessern und den Wettbewerb fördern. Was können Unternehmen bereits jetzt tun, um sich darauf vorzubereiten?
Wir haben vier wichtige Maßnahmen zusammengestellt:
Die PSD3 wird eine Vielzahl von Akteuren im europäischen Zahlungsökosystem betreffen:
Banken
Traditionelle (Privatkunden-) und Online-Banken gehören weiterhin zu den wichtigsten regulierten Unternehmen im Rahmen von PSD3. Das bedeutet jedoch nicht, dass keine neuen Verpflichtungen hinzukommen. Banken müssen Betrugsbekämpfungsmaßnahmen einführen, ihre IT-Infrastruktur aktualisieren und sich an strengere Haftungsregelungen anpassen.
Zahlungsdienstleister (PSPs)
Wie Banken sollten auch lizenzierte externe Zahlungsdienstleister mit der PSD2 vertraut sein, müssen jedoch die wachsenden Anforderungen ihrer Branche berücksichtigen. Zahlungsdienstleister werden verpflichtet sein, fortschrittlichere Verfahren zur Transaktionsüberwachung, zum Informationsaustausch und zur Kundenüberprüfung einzuführen.
Zahlungsinstitute (PIs) und E-Geld-Institute (EMIs)
PIs und EMIs unterlagen bisher separaten Richtlinienrahmen wie der E-Geld-Richtlinie. Die PSD3 führt nun umfassendere aufsichtsrechtliche Anforderungen ein und fasst EMIs als Unterkategorie in einen einheitlichen Lizenzrahmen für Zahlungsinstitute zusammen.
Open-Banking-Anbieter
Sie profitierten von PSD2 durch offene APIs zum Zugriff auf Kundenkontodaten. Nun sehen sich diese Anbieter mit verschärften Anforderungen an operativen Widerstandsfähigkeit, Betrugsprävention und Kundenschutz konfrontiert.
Telekommunikationsunternehmen und technische Dienstleister
Bestimmte technische Vermittler und digitale Plattformen, die zuvor in weniger klar regulierten Bereichen tätig waren, können nun einer strengeren Aufsicht unterliegen, wenn ihre Aktivitäten eng mit der Zahlungsabwicklung oder der Transaktionsausführung verbunden sind.
Einzelhandel
Für Händler können sich Änderungen an Authentifizierungsverfahren, der Haftungsverteilung und den Standards für die Zahlungsabwicklung ergeben, insbesondere bei Online- und Sofortzahlungen.
Multinationale Unternehmen
Die PSR gilt unmittelbar in der gesamten EU. Dies erweitert den praktischen Geltungsbereich und die Einheitlichkeit der Zahlungsvorschriften erheblich. Unternehmen, die grenzüberschreitend tätig sind, sehen sich daher einem stärker harmonisierten, aber auch konsequenter durchgesetzten regulatorischen Umfeld gegenüber.
Die Nichteinhaltung neuer Vorschriften ist oft eine Frage des richtigen Zeitpunkts. Unternehmen, die die Komplexität unterschätzen oder Dinge aufschieben, neigen dazu, die notwendigen Schritte zu spät einzuleiten. Noch schlimmer ist es, wenn Fristen schlichtweg vergessen werden. Um sicherzustellen, dass Ihnen dies nicht passiert, sollten Sie die folgenden Zeitpläne unbedingt im Auge behalten:
Gesetzgebungsphase: Die formelle Verabschiedung und Veröffentlichung werden für 2026 erwartet.
Inkrafttreten: PSD3 und PSR werden voraussichtlich kurz nach der Veröffentlichung in Kraft treten (in der Regel innerhalb von ~20 Tagen).
Umsetzungsfrist: Als Richtlinie erfordert die PSD3 eine nationale Umsetzung, in der Regel innerhalb von 18 Monaten (möglicherweise bis zu 24 Monaten, je nach endgültiger Vereinbarung). Als Verordnung hingegen wird die PSR nach einer 18-monatigen Übergangsfrist ab ihrer Veröffentlichung EU-weit unmittelbar anwendbar sein.
Praktische Anwendung: Die vollständige Einhaltung der PSD3 in der gesamten EU wird für 2027 bis Anfang 2028 erwartet.
Zu den durch die PSD3 eingeführten Änderungen gehören Identifizierung, Authentifizierung und Verifizierung als zentrale Themen. Das allgemeine regulatorische Umfeld wird immer strenger: DORA, AML/KYC, das EUDI-Wallet und die starke Kundenauthentifizierung erfordern nachweisbare Integrität, Identitätssicherung und Datenqualität. Anstatt für jede Vorschrift isolierte Lösungen zu entwickeln, sollten Institute eine zentralisierte Vertrauensschicht einrichten, die mehrere Herausforderungen gleichzeitig bewältigt.
Qualifizierte elektronische Signaturen (QES) kehren die Beweislast um und verlagern das Haftungsrisiko bei Betrugsfällen vom Institut weg. Qualifizierte elektronische Siegel schützen Protokolle und Genehmigungsworkflows und unterstützen damit direkt die DORA-Anforderungen an Integrität und Nachvollziehbarkeit. Gleichzeitig erfüllen integrierte Vertrauensdienste bereits viele Anforderungen, die unter PSD3 und FIDA noch strenger werden.
Über die Compliance hinaus ist der operative Return on Investment erheblich: Der Verzicht auf papierbasierte und filialgebundene Unterschriften ermöglicht vollständig digitale Prozesse, von der Kontoeröffnung bis hin zu komplexen Unternehmenskrediten. Vertrauensdienste sollten daher nicht lediglich als IT-Kosten betrachtet werden, sondern vielmehr als eine Art Versicherung gegen Bußgelder sowie als technische Grundlage für Open Finance und neue digitale Erlösmodelle.
Durch die Zusammenarbeit mit einem qualifizierten Vertrauensdienstleister können Finanzinstitute ihr strategisches Risikomanagement stärken, regulatorische Synergien schaffen, die operative Widerstandsfähigkeit verbessern und die Kapitalrendite durch schnellere digitale Prozesse steigern. Im Gegensatz zu einfachen digitalen Verträgen verlagern qualifizierte elektronische Signaturen die Beweislast bei mutmaßlichem Betrug von der Bank weg und verringern damit das Haftungsrisiko.
Anstatt für jede neue Vorschrift – wie PSD3/PSR oder DORA für die IT-Sicherheit oder FIDA für den Datenaustausch – isolierte Lösungen zu entwickeln, etablieren Vertrauensdienstleister eine zentrale Vertrauensschicht, die bereits die Anforderungen an starke Authentifizierung und Datenintegrität erfüllt. Darüber hinaus trägt die Absicherung von Systemprotokollen durch qualifizierte elektronische Siegel dazu bei, die regulatorischen Anforderungen an die Integrität von IT-Systemen zu erfüllen und einen zuverlässigen Prüfpfad zu schaffen. Einmal integriert, ermöglichen Vertrauensdienste vollständig digitale Prozesse ohne kostspielige Medienbrüche und können bereichsübergreifend eingesetzt werden, um die Effizienz zu steigern und neue Umsatzmöglichkeiten zu erschließen.
Swisscom Trust Services können als praktische Vertrauensschicht für Banken und Fintechs dienen, die mehrere regulatorische Anforderungen gleichzeitig erfüllen müssen. Qualifizierte elektronische Signaturen, qualifizierte Siegel und ein eIDAS-konformes Onboarding können dazu beitragen, rechtlich fundierte, vollständig digitale Kundenprozesse zu schaffen und gleichzeitig Nachweisfähigkeit, Authentizität, Integrität und Nachvollziehbarkeit in den Bereichen PSD3/PSR, AML/KYC, DORA, FIDA sowie in zukünftigen Wallet-basierten Szenarien zu gewährleisten.
Wenn Sie sich eingehender mit diesen Themen befassen möchten, haben wir die wichtigsten Informationen in einem übersichtlichen Whitepaper zusammengestellt. Hier kostenlos herunterladen.