PSD3 ist nicht länger eine ferne regulatorische Diskussion. Für Banken, Zahlungsinstitute, E-Geld-Anbieter und Akteure des eingebetteten Finanzwesens wird sie zu einer praktischen Herausforderung, die Betrugsprävention, Customer Journey, Überwachung, operative Belastbarkeit sowie die Fähigkeit, die Einhaltung der Vorschriften zuverlässig nachzuweisen, betrifft.
Die PSD3 signalisiert einen breiteren Wandel in der Art und Weise, wie die EU den Zahlungsverkehr gestalten möchte: kohärenter, sicherer und mit weniger Raum für fragmentierte nationale Auslegungen. Zusammen mit der PSR, die direkt anwendbare Regeln für das Verhalten und den Betrieb im Zahlungsverkehr aufstellen soll, markiert die PSD3 den Übergang von einem Compliance-Modell, das auf Flickschusterei beruht, zu einem Modell, das auf einer stärkeren Governance, klarerer Rechenschaftspflicht und besserem Kundenschutz aufbaut.
Der neue Rechtsrahmen hat unmittelbare Auswirkungen auf das Onboarding von Kunden, die Benutzerauthentifizierung, die Überwachung von Zahlungen und vieles mehr. PSD3-Bereitschaft ist im Kern eine operative Bereitschaft. Institute, die immer noch auf fragmentierte Systeme, manuelle Beweiserfassung oder inkonsistente Genehmigungsabläufe angewiesen sind, könnten feststellen, dass das neue Umfeld Schwachstellen aufdeckt, die zuvor unter PSD2 toleriert wurden.
Mehr Gewicht auf Betrugsprävention
Einer der deutlichsten Gründe, frühzeitig zu handeln, ist der stärkere Fokus auf die Betrugsprävention. Nach dem neuen Rahmenwerk wird von den Anbietern mehr erwartet als nur die korrekte Verarbeitung von Transaktionen. Sie müssen angemessene Kontrollen einführen, Namens- und Identitätsprüfungen für Zahlungsempfänger unterstützen, Kundenwarnungen verstärken und mit Transparenz und Rückverfolgbarkeit arbeiten, die einer behördlichen Prüfung standhalten. Dadurch wird die Einhaltung der Vorschriften von einer Back-Office-Verpflichtung zu einem sichtbaren Teil der Kundenreise und erhöht die Kosten für eine schlechte Prozessgestaltung.
Gleichzeitig ist die PSD3-Bereitschaft untrennbar mit der PSR-Bereitschaft verbunden. Die Unterscheidung zwischen beiden ist wichtig. PSD3 konzentriert sich auf Zulassung, Lizenzierung und Aufsicht, während PSR viele der alltäglichen operativen Regeln für Betrug, Authentifizierung, Transparenz und offenen Bankzugang regeln soll. Für die Institute handelt es sich jedoch nicht um getrennte Umsetzungsprojekte. Sie konvergieren in denselben internen Prozessen, Kontrollrahmen und Datenumgebungen, weshalb die Bereitschaftsplanung mit einer End-to-End-Sicht darauf beginnen muss, wie Geld durch das Unternehmen fließt.
Die Uhr tickt
Die Europäische Kommission schlug PSD3 und PSR erstmals im Juni 2023 vor, und die vorläufige politische Einigung, die Ende 2025 erzielt wurde, hat die Unsicherheit hinsichtlich der strategischen Ausrichtung des Pakets erheblich verringert. Auch wenn die formelle Verabschiedung noch aussteht, riskieren Unternehmen, die bis zur Veröffentlichung des endgültigen Wortlauts zögern, eine eigentlich mehrjährige Umstellung auf ein kurzes und teures Sanierungsprogramm zu komprimieren. Bereitschaft bedeutet daher, die aktuelle Vorlaufzeit zu nutzen, um Lücken zu identifizieren, Prioritäten für die betroffenen Prozesse zu setzen und die Compliance-, Betriebs-, Produkt- und IT-Teams auf einen gemeinsamen Fahrplan auszurichten.
Der breitere regulatorische Hintergrund macht dies noch dringender. Die GwG, die neue EU-Behörde für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung, wurde 2024 eingerichtet und nahm 2025 ihre Arbeit auf, wobei die direkte Beaufsichtigung ausgewählter Unternehmen mit hohem Risiko voraussichtlich 2028 beginnen wird. Selbst für Unternehmen, die in der ersten Welle nicht direkt beaufsichtigt werden, ist die Botschaft klar: Die Aufsichtsbehörden in ganz Europa bewegen sich auf ein stärker evidenzbasiertes, harmonisiertes und zentralisiertes Modell zu. Das bedeutet, dass die Fähigkeit nachzuweisen, wer was genehmigt hat, wann eine Kontrolle durchgeführt wurde und wie die Entscheidungen dokumentiert wurden, zu einer Kernkompetenz des Unternehmens wird und nicht nur eine Nischenanforderung zur Einhaltung der Vorschriften darstellt.
Dies ist auch der Grund, warum die PSD3-Bereitschaft weit über die traditionellen Banken hinausgeht. Zahlungsinstitute, E-Geld-Anbieter, Fintechs, Marktplätze, Wallet-Anbieter und eingebettete Finanzunternehmen müssen alle ihre jeweiligen Gefährdungen bewerten. Wenn ein Unternehmen Geld bewegt, Gelder hält, den Zugang zu Konten ermöglicht oder die technische Schicht aufbaut, über die Zahlungsdaten fließen, wird sich der neue Rahmen wahrscheinlich auf sein Betriebsmodell auswirken. Unternehmen, deren Wachstum von digitalen Onboardings, Open Banking, Händlerdiensten oder Konto-zu-Konto-Zahlungen abhängt, sollten besonders aufmerksam sein, da diese Modelle direkt an der Schnittstelle von Authentifizierung, Betrugskontrolle, Haftungszuweisung und Kundenvertrauen liegen.
Die Rolle von Vertrauensdiensten
Trust Services fungieren als einheitliche digitale "Vertrauensschicht" für Banken und Fintechs und helfen ihnen, mehrere Vorschriften gleichzeitig zu erfüllen und zugleich eine vollständig digitale Customer Journey zu ermöglichen. Anstatt separate Lösungen für PSD3/PSR, AML/KYC, DORA, FIDA und künftige EU-Anforderungen für die digitale Identitätsbörse zu verwenden, können sich Institute auf eIDAS-konforme Tools wie qualifizierte elektronische Signaturen (QES), qualifizierte Siegel und eine sichere digitale Identitätsprüfung verlassen.
Diese Vertrauensschicht verbessert die Einhaltung der Vorschriften und die Sicherheit in verschiedenen Bereichen:
-
Im Rahmen von DORA schützen qualifizierte Siegel Protokolle und Genehmigungsabläufe vor Manipulationen und sorgen so für Nachvollziehbarkeit und betriebliche Ausfallsicherheit.
-
Für AML/KYC ermöglichen Identitätsüberprüfung und QES ein sicheres Remote-Onboarding, das Betrugs- und Deepfake-Risiken reduziert, ohne dass Papierformulare oder Filialbesuche erforderlich sind.
-
In den Anwendungsfällen Open Finance und FIDA stellt die kryptografische Signatur sicher, dass gemeinsam genutzte Finanzdaten authentisch, nachvollziehbar und geschützt sind.
-
Für PSD3/PSR und die starke Kundenauthentifizierung (SCA) bieten qualifizierte Vertrauensdienste bereits eine robuste kryptografische Authentifizierung, die fragmentierte proprietäre Systeme ersetzen kann.
In praktischen Bankprozessen wie Kontoeröffnung, Kreditvergabe, Kartenausstellung, Einlagen und Wertpapiervereinbarungen können Dokumente mit voller Rechtsgültigkeit digital vorgelegt, unterzeichnet und versiegelt werden. Dies schafft eine durchgängig revisionssichere Beweiskette, stärkt die rechtliche Durchsetzbarkeit im Rahmen von eIDAS, vereinfacht behördliche Überprüfungen und unterstützt einen vollständig papierlosen Betrieb.
Der empfohlene Ansatz besteht darin, dass die Institute zunächst regulatorische Schwachstellen in den wichtigsten Kundenprozessen identifizieren, einen qualifizierten Vertrauensdienstleister (Qualified Trust Service Provider, QTSP) einbinden und Vertrauensdienste als zentrale Compliance-Ebene einrichten. Im Laufe der Zeit kann diese Infrastruktur auf die Bereiche Kreditvergabe, Verwahrung und Open-Finance-APIs ausgeweitet werden, sodass Compliance zu einem Wettbewerbsvorteil wird.
Mit Kunden wie der Baloise und der St. Galler Kantonalbank verfügt Swisscom über einen ausgewiesenen Leistungsausweis im Finanzsektor. Als zertifizierter Trust Service Provider (TSP) kann das Unternehmen qualifizierte elektronische Signaturen und Siegel anbieten, die sowohl in der Schweiz als auch in der Europäischen Union gültig und zertifiziert sind.
Möchten Sie weitere Einblicke in PSD3 und PSR erhalten? Verpassen Sie nicht unser aktuelles Whitepaper. Laden Sie es kostenlos herunter.
.svg)
.svg)
