PSD3 news

Die EU ersetzt die Zahlungsdiensterichtlinie 2 (PSD2) durch ein neues zweiteiliges Regelwerk. Was sich ändert, warum es relevant ist und was Finanzdienstleister als nächstes tun müssen.

Wichtigste Erkenntnisse 

  • Die EU ersetzt PSD2 durch ein zweiteiliges Paket: die Payment Services Regulation (PSR) und die Payment Services Directive 3 (PSD3).  
  • Starke Kundenauthentifizierung muss künftig Biometrie umfassen  
  • Betrugsprävention wird verbindliches Recht  
  • Haftung bei Identitätsbetrug geht auf PSPs über

Die PSD2 – das Regelwerk der EU für den Zahlungsverkehr – hat die Starke Kundenauthentifizierung eingeführt und die Grundlage für Open Banking gelegt. Mit Stand Juni 2026 hat sie jedoch ihren Zweck erfüllt. Wie bei jeder Iteration der Geldwäschebekämpfungsrichtlinie haben die EU-Mitgliedstaaten die PSD2-Anforderungen unterschiedlich umgesetzt, was zu einer fragmentierten Auslegungslandschaft bei der SCA, uneinheitlichem Verbraucherschutz und inkonsistenter Durchsetzunggeführt hat. 

Diese Ära geht nun zu Ende. Die EU ersetzt PSD2 durch ein zweiteiliges Paket: die Payment Services Regulation (PSR) und die PSD3. Die Veröffentlichung im Amtsblatt wird bis Ende Q2 2026 erwartet. Die Mitgliedstaaten haben anschließend maximal 21 Monate Zeit, die Änderungen in nationales Recht umzusetzen. Da die regulatorischen Fristen aus verschiedenen Gründen – darunter eIDAS 2.0 und die Anti-Money Laundering Regulation (AMLR) – bereits laufen, müssen Finanzdienstleister jetzt mit der Vorbereitung beginnen.

PSD3-News: Was ist der Unterschied zwischen PSR und PSD3?

Das neue Paket teilt den Rahmen in eine Verordnung und eine Richtlinie auf: 

  • PSR (Verordnung) regelt die operativen Anforderungen, einschließlich SCA, Betrugsprävention, IBAN-/Namensverifizierung, Open Banking und Transparenz. Als Verordnung gilt sie in jedem Mitgliedstaat unmittelbar ab ihrem Inkrafttreten – ohneAuslegungsspielraum oder Abweichungen. 
  • PSD3 (Richtlinie) regelt den institutionellen Rahmen, also Zulassung, Autorisierung, Aufsicht und Zugang zu Zahlungssystemen. Hier haben die Mitgliedstaaten die Flexibilität, diese Bestimmungen in ihre bestehenden Aufsichtsstrukturen zu integrieren. 

Die 5 wichtigsten Änderungen durch PSD3 und PSR für Finanzdienstleister

1. SCA erhält eine Biometrie-Ausnahme 

Die grundlegende SCA-Regel bleibt unverändert: Die Authentifizierung muss zwei Elemente aus unterschiedlichen Kategorien umfassen – etwas, das man weiß, etwas, das man besitzt, und etwas, das man ist. Die PSR führt jedoch eine neue Ausnahme ein: Zahlungsdienstleister können die SCA-Anforderung künftig auch durch zwei Elemente ausschließlich aus der Kategorie der Inhärenz erfüllen – also allein durch Biometrie. In der Praxis könnte dies beispielsweise die Kombination aus Gesichtserkennung und Spracherkennung oder aus Gesichtserkennung und Verhaltensbiometrie bedeuten. Zwei Passwörter oder zwei Geräte fallen hingegen nicht darunter. 

„Die Europäische Bankenaufsichtsbehörde (EBA) wird innerhalb von 18 Monaten nach Inkrafttreten der PSR Leitlinien entwickeln, um die Einzelheiten zu definieren – insbesondere, was ‚Unabhängigkeit der Elemente’ in der Praxis bedeutet. Für Finanzdienstleister und ihre Kunden ist die Richtung jedoch klar: Die ausschließlich biometrische Authentifizierung kommt sehr bald,” so Liudmyla Rabchynska, Director of Global and Regulatory Affairs bei IDnow. 

Der EU Digital Identity Wallet fügt sich ebenfalls nahtlos in diesen Rahmen ein. Ein im Wallet gespeicherter Nachweis (Besitz) in Kombination mit einer biometrischen Entsperrung (Inhärenz) erfüllt die standardmäßige Zwei-Kategorien-Anforderung.

2. Der EUDI Wallet wird für Zahlungsdienstleister verpflichtend

Gemäß eIDAS 2.0 sind Zahlungsdienstleister verpflichtet, den EU Digital Identity Wallet zur Unterstützung der SCA bei der Online-Kontoanmeldung und der Transaktionsinitiierung zu akzeptieren. Die PSR operationalisiert diese Verpflichtung durch technischeStandards der EBA (Artikel 89) und bestätigt die regulierungsübergreifende Verknüpfung in Erwägungsgrund 111. 

Was das konkret bedeutet: Jeder Zahlungsdienstleister (PSP) in der EU muss die Akzeptanz des EUDI Wallet in seine Authentifizierungsabläufe integrieren – nicht als Option, nicht als Zusatzfunktion, sondern als gesetzliche Anforderung. 

Für Verbraucher ist das ein Paradigmenwechsel: Der EUDI Wallet ermöglicht eine sichere Authentifizierung bei jedem Zahlungsdienst in jedem Mitgliedstaat – mit einer einzigen, vertrauenswürdigen digitalen Identität. Für PSPs wird die Integrationsfrist durchdie technischen Regulierungsstandards (RTS) der EBA festgelegt, die Verpflichtung selbst steht jedoch außer Frage.

3. IBAN-Namensverifizierung wird auf alle Überweisungen ausgeweitet

Bislang galt die Pflicht zur Überprüfung, ob der Name des Zahlungsempfängers mit seiner IBAN übereinstimmt, nur für Sofortüberweisungen in Euro im Rahmen der Instant Payments Regulation. PSR Artikel 50 ändert dies grundlegend. Die Verification of Payee (VoP)-Pflicht wird auf alle Überweisungen ausgeweitet – einschließlich Nicht-Euro-Überweisungen und solcher, die außerhalb des SEPA-Rahmens fallen. 

Die Mechanismen entsprechen denen der Instant Payments Regulation: Vor Ausführung einer Überweisung muss der sendende PSP den Namen des Zahlungsempfängers mit dem Namen abgleichen, der dem Zielkonto zugeordnet ist. Bei einer Abweichungmuss der Zahler vor Durchführung der Transaktion informiert werden. 

Für Verbraucher bedeutet das weniger Fehlüberweisungen und weniger erfolgreiche Betrugsversuche durch autorisierte Push-Zahlungen. Für PSPs hingegen ist dies ein erhebliches Infrastrukturprojekt.

4. Betrugsprävention wird verbindliches Recht 

Unter PSD2 waren die Pflichten zur Betrugsprävention weitgehend „Soft Law” – bestehend aus EBA-Leitlinien und allgemeinen SCA-Anforderungen. Die PSR überführt diese in explizite, rechtsverbindliche Verpflichtungen mit klaren Haftungsfolgen. 

PSR Artikel 83 verpflichtet PSPs beispielsweise dazu, Transaktionsüberwachungsmechanismen zu implementieren – sowohl vor Ausführung einer Zahlung als auch vor der Bereitstellung der Mittel für den Zahlungsempfänger. Führt ein PSP eine solcheÜberwachung nicht durch und erleidet der Zahler dadurch einen finanziellen Schaden, haftet der PSP. 

„Dies schließt eine erhebliche Haftungslücke im bestehenden Regelwerk. Der empfangende PSP steht nun klar in der Pflicht – nicht nur der sendende. Die Botschaft ist eindeutig: Betrugsprävention ist keine Frage bewährter Branchenpraktiken mehr. Sie isteine gesetzliche Verpflichtung mit Haftungsfolgen,” so Liudmyla. 

Die PSR führt zudem einen verpflichtenden Austausch von Betrugsinformationen zwischen PSPs über strukturierte Vereinbarungen ein.

5. Haftung bei Identitätsbetrug geht auf PSPs über 

Die wohl verbraucherfreundlichste Änderung des gesamten Pakets ist PSR Artikel 59, der ein Erstattungsrecht bei Identitätsbetrug einführt. Die am schnellsten wachsende Betrugsform in Europa tritt auf, wenn ein Verbraucher von einem Dritten manipuliertwird, der sich als sein eigener PSP ausgibt. Dabei nutzen Betrüger dem PSP zugeordnete Kommunikationskanäle – gefälschte Telefonnummern, E-Mail-Domains, SMS-Absender-IDs –, um eine betrügerische autorisierte Zahlungstransaktion zu veranlassen. 

Gemäß PSR müssen PSPs den Verbraucher vollständig erstatten, wenn: 

  • Der Verbraucher von jemandem manipuliert wurde, der sich als sein PSP ausgegeben hat  
  • Die Manipulation über dem PSP zugeordnete Kommunikationskanäle erfolgte  
  • Der Verbraucher seinen PSP unverzüglich informiert und den Betrug bei der Polizei angezeigt hat 

Die Erstattung muss innerhalb von 15 Werktagen erfolgen. 

Entscheidend: Die Beweislast liegt nun beim PSP, nicht beim Verbraucher. Will der PSP eine Erstattung verweigern, muss er Betrug oder grobe Fahrlässigkeit auf Seiten des Verbrauchers nachweisen. PSPs müssen zudem sicherstellen, dass sie über„angemessene Präventionsmaßnahmen und robuste technische Schutzmaßnahmen” verfügen, um zu verhindern, dass Betrüger ihre Kommunikationskanäle imitieren.

PSR und PSD3: Zeitplan 

  • Ende Q2 2026: Erwartete Veröffentlichung im Amtsblatt  
  • Q4 2027 / Q1 2028: PSR tritt in Kraft (18 Monate nach Inkrafttreten)  
  • Q2 / Q3 2028: Umsetzungsfrist für PSD3 (24 Monate nach Inkrafttreten)  
  • Q3 2028 / Q1 2029: VoP-Bestimmungen treten in Kraft (27 Monate nach Inkrafttreten) 

Achtzehn Monate von der Veröffentlichung bis zur Anwendung sind kein langer Vorlauf für den Umfang der erforderlichen Infrastrukturveränderungen. Unternehmen, die erst auf die technischen Regulierungsstandards der EBA warten, bevor sie mit der Vorbereitung beginnen, werden erheblich in Rückstand geraten.

Was PSD3 und PSR für Finanzdienstleister bedeuten

Für Verbraucher leiten PSD3 und PSR eine Welle von Änderungen im Nutzererlebnis ein: Die ausschließlich biometrische Authentifizierung verspricht ein reibungsloses Zahlungserlebnis, und die Integration des EUDI Wallet ermöglicht eine einzige, sicheredigitale Identität für alle Zahlungsdienste in Europa. Die verpflichtende Empfängerverifizierung reduziert das Risiko von Fehlüberweisungen und betrügerischen Zahlungen, und das neue Erstattungsrecht bei Identitätsbetrug bietet wirksamen Schutz vor der am schnellsten wachsenden Betrugsform in Europa. 

Für Banken, Zahlungsinstitute, Fintechs und Neobanken laufen die regulatorischen Fristen mit jedem Tag: SCA-Upgrades, EUDI Wallet-Integration, IBAN-/Namensverifizierung für alle Überweisungen, rechtsverbindliche Transaktionsüberwachung mitHaftungsfolgen sowie verpflichtender Betrugsaustausch mit DSGVO-konformer Governance. 

PSR und PSD3 stellen die umfassendste Reform des europäischen Zahlungsdienstleistungsrechts seit der Verabschiedung der PSD2 im Jahr 2015 dar. 

Möchten Sie erfahren, wie IDnow Sie auf Ihrem Weg zur PSR- und PSD3-Konformität unterstützen kann? Kontaktieren Sie unser Team.

Weitere Beiträge von IDnow ‘Wie ETSI- und CEN-Standards die Zukunft der digitalen Identität in Europa gestalten’

FAQ PSD3

Was ist der Unterschied zwischen PSR und PSD3? 

Das neue EU-Zahlungsrahmenwerk ist in zwei Instrumente aufgeteilt. Die Payment Services Regulation (PSR) gilt unmittelbar in allen EU-Mitgliedstaaten ab ihrem Inkrafttreten und umfasst operative Regelungen wie Starke Kundenauthentifizierung, Betrugsprävention, IBAN-/Namensverifizierung und Open Banking. Die PSD3 (Richtlinie) regelt institutionelle Aspekte – Zulassung, Autorisierung und Aufsicht – und räumt den Mitgliedstaaten Flexibilität beider Umsetzung in nationales Recht ein. Gemeinsam ersetzen sie die PSD2.

Wann tritt PSD3 in Kraft? 

Die Veröffentlichung im Amtsblatt der EU wird bis Ende Q2 2026 erwartet. Ab diesem Zeitpunkt gilt die PSR ca. 18 Monate später (Q4 2027 / Q1 2028). Die PSD3 muss von den Mitgliedstaaten innerhalb von 24 Monatenumgesetzt werden (Q2/Q3 2028), und die Verification of Payee-Bestimmungen gelten 27 Monate nach Inkrafttreten (Q3 2028 / Q1 2029).

Was ändert sich bei der Starken Kundenauthentifizierung (SCA) unter der PSR? 

 Die grundlegende SCA-Regel – zwei Elemente aus unterschiedlichen Kategorien (etwas, das man weiß, etwas, das man besitzt, etwas, das man ist) – bleibt unverändert. Die PSR führt jedoch eine wesentliche neue Ausnahme ein: Zahlungsdienstleister können die SCA-Anforderung künftig durch zwei Elemente ausschließlich aus der Inhärenz-Kategorie erfüllen, d. h. eine rein biometrische Authentifizierung (z. B. Gesichtserkennung kombiniert mit Spracherkennung oder Verhaltensbiometrie) wird zulässig. Die EBA wird innerhalb von 18 Monaten nach Inkrafttreten der PSR Leitlinien zur Konkretisierung veröffentlichen.

Sind Zahlungsdienstleister verpflichtet, den EU Digital Identity Wallet zu akzeptieren?

Ja. Gemäß PSR (in Umsetzung von eIDAS 2.0) sind alle Zahlungsdienstleister in der EU gesetzlich verpflichtet, den EUDI Wallet für die Starke Kundenauthentifizierung zu akzeptieren – sowohl bei der Online-Kontoanmeldung als auch bei der Transaktionsinitiierung. Es handelt sich um eine verbindliche Anforderung, keine optionale Integration. Die genauen technischen Standards und die Integrationsfrist werden durch die technischen Regulierungsstandards (RTS) der EBA festgelegt. 

Was ist die Verification of Payee (VoP) und für wen gilt sie unter der PSR? 

Die Verification of Payee (VoP) verpflichtet den sendenden Zahlungsdienstleister, vor Ausführung einer Überweisung zu prüfen, ob der Name des Zahlungsempfängers mit dem der Ziel-IBAN zugeordneten Namen übereinstimmt. Bei einer Abweichung muss der Zahler vor Durchführung der Transaktion informiert werden. Gemäß PSR Artikel 50 wird diese Pflicht – bislang auf Sofortüberweisungen in Euro beschränkt – auf alle Überweisungen ausgeweitet, einschließlich Nicht-Euro- und Nicht-SEPA-Transaktionen. 

Wer haftet bei Identitätsbetrug nach den neuen Regelungen?

Gemäß PSR Artikel 59 muss ein PSP den Verbraucher vollständig innerhalb von 15 Werktagen erstatten, wenn dieser von einem Betrüger manipuliert wurde, der sich als sein Zahlungsdienstleister ausgegeben hat – unter Verwendung gefälschter Telefonnummern, E-Mail-Domains oder SMS-Absender-IDs. Die Beweislast liegt beim PSP: Will er eine Erstattung verweigern, muss er Betrug oder grobe Fahrlässigkeit auf Seiten des Verbrauchers nachweisen. PSPs müssen zudem technische Schutzmaßnahmen implementieren, um die Imitation ihrer Kommunikationskanäle durch Betrüger zu verhindern.

Welche Pflichten zur Betrugsprävention haben PSPs unter der PSR? 

Die PSR überführt Betrugsprävention von Soft-Law-Leitlinien in rechtsverbindliche Verpflichtungen. Gemäß Artikel 83 sind PSPs verpflichtet, Transaktionsüberwachungsmechanismen zu implementieren – vor Ausführung einer Zahlung und vor Bereitstellungder Mittel für den Zahlungsempfänger. Kommt ein PSP dieser Überwachungspflicht nicht nach und erleidet ein Zahler dadurch einen finanziellen Schaden, haftet der PSP unmittelbar. Die PSR verpflichtet PSPs zudem, Betrugsdaten untereinander überstrukturierte, DSGVO-konforme Vereinbarungen auszutauschen. 

Worin unterscheidet sich PSD3 von PSD2? 

Die PSD2 ließ erheblichen Spielraum für eine inkonsistente nationale Umsetzung, was zu einer fragmentierten Auslegungslandschaft bei der SCA und uneinheitlichem Verbraucherschutz in der EU führte. PSD3 und PSR begegnen dem, indem sie: zentrale operative Regelungen unmittelbar anwendbar machen (über die PSR als Verordnung); rein biometrische SCA einführen; die Akzeptanz des EUDI Wallet vorschreiben; die Verification of Payee auf alle Überweisungen ausweiten; und rechtsverbindliche Pflichten zur Betrugsprävention mit expliziten Haftungsfolgen schaffen – eine erhebliche Weiterentwicklung gegenüber dem weitgehend leitlinienbasierten Ansatz der PSD2. 

Von

Warum 10 % der europäischen Banken innerhalb von zwei Jahren geschlossen oder fusioniert wurden. 1

Jody Houton
Senior PR & Content Manager bei IDnow
Jetzt mit Jody auf LinkedIn vernetzen