IT-Lösungen für Kritis hautnah erleben. Treffen Sie uns auf der protekt 2025 - Noris Network
STRATEGIE14. November 2025

PSD3 und PSR – Revolution oder Evolution? Handlungsfelder, um regulatorisch auf Kurs zu bleiben

. Die Finanzwelt verändert sich rasant: neue Technologien, Ka I gestützte Betrugsmodelle, dichte Plattformökonomie und steigende Kundenerwartungen an sichere, reibungslose Zahlungen. PSD2 hat die Grundlagen gelegt, aber der regulatorische Feinschliff folgt nun mit PSD3 und Payment Services Regulation (PSR). Obwohl sich beide Regelwerke noch in den Trilogverhandlungen befinden und voraussichtlich erst bis 2027 umgesetzt sein müssen, ist der Rahmen weitgehend sichtbar. Für Banken heißt das: nicht warten, sondern vorbereiten, und zwar bereichsübergreifend in Technologie, Prozessen und Compliance. von Lilli Looks, zeb consulting. Die wesentlichen regulatorischen Veränderungen zu PSD2 lassen sich für Banken auf sieben Kernthemen herunterbrechen:. Strengere Anforderungen an Betrugsprävention: Gegenüber PSD2 werden Präventions- und Überwachungsmaßnahmen konkretisiert und angehoben Stärkere Transparenzpflichten gegenüber Verbrauchern: Informations- und Darstellungspflichten zu Kosten und Umrechnung werden erweitert und vereinheitlicht Neue Haftungsregelungen: Insbesondere Zuständigkeiten und Erstattungswege bei nicht autorisierten Zahlungen werden klarer gefasst und verschärft Strengere Anforderungen an starke Kundenauthentifizierung (SCA): SCA Vorgaben werden präzisiert und um zusätzliche Anforderungen ergänzt Neue Anforderungen im Rahmen von Open Banking: Der Zugang über Schnittstellen wird weiter standardisiert und der Umgang mit Berechtigungen geschärft Verpflichtung zur Bereitstellung von Zahlungskonten für Zahlungsinstitute: Die Pflicht für Banken wird eingeführt und Ausnahmen sind enger zu begründen Erweiterung des Anwendungsbereichs von „Verification of Payee“: Die Empfängerprüfung wird auf weitere Überweisungen ausgeweitet. Diese Themen sind sehr heterogen und erfordern unterschiedlich viel Umsetzungsaufwand – prozess, technologie- und complianceseitig. Sie gelten in weiten Teilen für Privat- und Firmenkunden. Zudem lohnt sich eine Prüfung möglicher Überschneidungen mit weiteren EU Initiativen wie der Financial Data Access (FiDA) Verordnung. .  . Was muss eine Bank konkret im Bereich Technologie tun?!. . Drittanbieterzugang (API) überprüfen und ggf. anpassen: Die Standardisierung soll gestärkt werden. Banken müssen die Einhaltung von Branchenstandards und Normen sowie einen diskriminierungsfreien Zugang für Drittanbieter sicherstellen „Erlaubnis Dashboard“ entwickeln und integrieren: Kund-innen sollen Drittanbieterzugriffe zentral einsehen, steuern und widerrufen können. Da FiDA ebenfalls ein solches Dashboard vorsieht, bietet sich eine gemeinsame, zukunftsfähige Lösung an Fallback Drittanbieterzugang abschalten (bei Bedarf): Es ist nicht mehr notwendig eine Fallback Schnittstelle vorzuhalten, dies stellt eine Erleichterung für Banken dar Barrierefreie SCA bereitstellen: Es müssen Verfahren entwickelt oder angepasst werden, so dass sich auch Menschen mit Behinderung, ohne durchgängigen Digitalzugang oder ältere Personen verlässlich authentifizieren können Fraud Detection Systeme überprüfen: Anforderungen an Transaktionsüberwachungsmechanismen sollten mit dem bestehenden Setup abgeglichen werden. Hier wird es, wie bei einigen anderen Themen noch eine Konkretisierung über RTS (Regulatory Technical Standards) geben. . Was muss eine Bank konkret im Bereich Prozesse tun?!. . Zusätzliche Informationspflichten umsetzen: Bei Zahlungsauslösung und Bargeldabhebung klare Hinweise zu Währungsumrechnung und Entgelten geben und dem Zahler eine Zustimmung zu diesen ermöglichen Rückerstattungs- und Haftungsprozesse anpassen: Klare Es El Eis und Verantwortlichkeiten definieren. Besonderheit: Haftung der Bank bei Identitätsbetrug gilt nur für Privatkunden (allerdings derzeit noch in Diskussion) Jährliche Mitarbeiterschulung zu Zahlungsbetrug implementieren sowie Kunden regelmäßig vor neuen Betrugsformen warnen: Hier wird es ebenfalls RTS geben „Verification of Payee“ ausweiten: Prozess auf alle Überweisungen in EU Währungen übertragen Prozess für Informationsaustausch mit Drittanbietern im Störungsfall überarbeiten: Eskalationswege, Kommunikationskanäle und Zuständigkeiten überprüfen Eröffnungsprozess für Zahlungskonten von Zahlungsinstituten anpassen: Banken sind verpflichtet, Zahlungsinstituten eine Zahlungskontoeröffnung zu gewähren und begründete Ausnahmen zu dokumentieren. . Was muss eine Bank konkret im Bereich Compliance/Legal tun?!. . AGB anpassen: Neue Haftungsbestimmungen und Meldewege im Betrugsfall sowie Informationspflichten konsistent verankern Berichte an Behörden aktualisieren: Bestehende Reports zu Betrugsdaten erweitern und neue Berichte zur Nutzung der Kommunikationsschnittstellen aufsetzen Firmenkundenverträge überprüfen: Regelungen zu nicht autorisierten Zahlungen überprüfen. . Womit kann man bereits noch in 2025 starten?!. . Auch wenn vieles nach Evolution klingt: Die Varianz der Anpassungen ist hoch. Eine Vorstudie noch in diesem Jahr verschafft einen guten Überblick, was konkret im eigenen Haus zu tun ist und verhilft, entspannt vor der Welle zu bleiben. In der Vorstudie werden Lücken im aktuellen Setup im Vergleich zu PSD3/PSR Anforderungen identifiziert und priorisiert. Diese Lücken werden zu betroffenen Geschäftsbereichen und Prozessen zugeordnet und es kann eine erste Einschätzung des Anpassungsaufwands erfolgen. Die Aufstellung einer initialen Roadmap und Projektgovernance für die Umsetzung rundet die Vorstudie ab. Fazit!. . PSD3 und PSR sind die nächste Ausbaustufe nach PSD2, die Richtung ist gesetzt, auch wenn finale Texte und RTS noch ausstehen. Sinnvoll ist, bereits jetzt interne Grundlagen zu legen und Anpassungen vorzubereiten. Sie hörten einen Beitrag von “Lilli Looks, zeb consulting”

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/235594

 

Eine professionell gekleidete Frau steht vor einem Fenster und blickt nachdenklich in die Ferne. Ihr Ausdruck vermittelt Entschlossenheit und Konzentration, was auf die Herausforderungen im Bereich der Zahlungsvorgänge hinweist, die durch neue regulatorische Rahmenbedingungen geprägt sind.
Lilli Looks, Senior Managerin zeb consulting

Die Finanzwelt verändert sich rasant: neue Technologien, KI-gestützte Betrugsmodelle, dichte Plattformökonomie und steigende Kundenerwartungen an sichere, reibungslose Zahlungen. PSD2 hat die Grundlagen gelegt, aber der regulatorische Feinschliff folgt nun mit PSD3 und Payment Services Regulation (PSR). Obwohl sich beide Regelwerke noch in den Trilogverhandlungen befinden und voraussichtlich erst bis 2027 umgesetzt sein müssen, ist der Rahmen weitgehend sichtbar. Für Banken heißt das: nicht warten, sondern vorbereiten – und zwar bereichsübergreifend in Technologie, Prozessen und Compliance.

von Lilli Looks, zeb consulting

Die wesentlichen regulatorischen Veränderungen zu PSD2 lassen sich für Banken auf sieben Kernthemen herunterbrechen:
Autor. Lilli Looks, zeb Consulting
Lilli Looks ist Senior Managerin bei zeb consulting in Frankfurt und seit über 11 Jahren in der Beratungsbranche tätig – mit einem klaren Fokus auf Unternehmen der Finanz­dienst­leistungsbranche. Zuvor arbeitete sie bei Capgemini und Accenture. Sie befasst sich derzeit intensiv mit den europäischen Regulierungsvorhaben, wie PSR/PSD3 und FiDA , und begleitete bereits beim Inkrafttreten der PSD2 zahlreiche Banken bei der Umsetzung der regulatorischen Anforderungen. Looks besitzt einen Master­abschluss in Dienst­leistungs­management von der Universität Trier sowie einen Bachelor­abschluss in Wirtschafts­psychologie von der Leuphana Universität Lüneburg.
  • Strengere Anforderungen an Betrugsprävention: Gegenüber PSD2 werden Präventions- und Überwachungsmaßnahmen konkretisiert und angehoben
  • Stärkere Transparenzpflichten gegenüber Verbrauchern: Informations- und Darstellungspflichten zu Kosten und Umrechnung werden erweitert und vereinheitlicht
  • Neue Haftungsregelungen: Insbesondere Zuständigkeiten und Erstattungswege bei nicht autorisierten Zahlungen werden klarer gefasst und verschärft
  • Strengere Anforderungen an starke Kundenauthentifizierung (SCA): SCA-Vorgaben werden präzisiert und um zusätzliche Anforderungen ergänzt
  • Neue Anforderungen im Rahmen von Open Banking: Der Zugang über Schnittstellen wird weiter standardisiert und der Umgang mit Berechtigungen geschärft
  • Verpflichtung zur Bereitstellung von Zahlungskonten für Zahlungsinstitute: Die Pflicht für Banken wird eingeführt und Ausnahmen sind enger zu begründen
  • Erweiterung des Anwendungsbereichs von „Verification of Payee“: Die Empfängerprüfung wird auf weitere Überweisungen ausgeweitet

Diese Themen sind sehr heterogen und erfordern unterschiedlich viel Umsetzungsaufwand – prozess-, technologie- und complianceseitig. Sie gelten in weiten Teilen für Privat- und Firmenkunden. Zudem lohnt sich eine Prüfung möglicher Überschneidungen mit weiteren EU-Initiativen wie der Financial Data Access (FiDA)-Verordnung.

Die Grafik illustriert zentrale Aspekte der PSD3 und PSR im Zahlungsverkehr. Sie umfasst Anforderungen an Technologie, Prozesse sowie rechtliche Compliance. Wichtige Themen sind Drittanbieterzugang, Haftungsregelungen und die Verpflichtung zur Bereitstellung von Zahlungskonten für Zahlungsinstitute.
Änderungsbereiche im Vergleich zu PSD2, inkl. geschätztem Umsetzungsaufwand und Auswirkungzeb consulting/ leider nur in niedriger Auflösung verfügbar

 

Was muss eine Bank konkret im Bereich Technologie tun?

  • Drittanbieterzugang (API) überprüfen und ggf. anpassen: Die Standardisierung soll gestärkt werden. Banken müssen die Einhaltung von Branchenstandards und Normen sowie einen diskriminierungsfreien Zugang für Drittanbieter sicherstellen
  • „Erlaubnis-Dashboard“ entwickeln und integrieren: Kund:innen sollen Drittanbieterzugriffe zentral einsehen, steuern und widerrufen können. Da FiDA ebenfalls ein solches Dashboard vorsieht, bietet sich eine gemeinsame, zukunftsfähige Lösung an
  • Fallback-Drittanbieterzugang abschalten (bei Bedarf): Es ist nicht mehr notwendig eine Fallback Schnittstelle vorzuhalten – dies stellt eine Erleichterung für Banken dar
  • Barrierefreie SCA bereitstellen: Es müssen Verfahren entwickelt oder angepasst werden, so dass sich auch Menschen mit Behinderung, ohne durchgängigen Digitalzugang oder ältere Personen verlässlich authentifizieren können
  • Fraud-Detection-Systeme überprüfen: Anforderungen an Transaktionsüberwachungsmechanismen sollten mit dem bestehenden Setup abgeglichen werden. Hier wird es, wie bei einigen anderen Themen noch eine Konkretisierung über RTS (Regulatory Technical Standards) geben

Was muss eine Bank konkret im Bereich Prozesse tun?

  • Zusätzliche Informationspflichten umsetzen: Bei Zahlungsauslösung und Bargeldabhebung klare Hinweise zu Währungsumrechnung und Entgelten geben und dem Zahler eine Zustimmung zu diesen ermöglichen
  • Rückerstattungs- und Haftungsprozesse anpassen: Klare SLAs und Verantwortlichkeiten definieren. Besonderheit: Haftung der Bank bei Identitätsbetrug gilt nur für Privatkunden (allerdings derzeit noch in Diskussion)
  • Jährliche Mitarbeiterschulung zu Zahlungsbetrug implementieren sowie Kunden regelmäßig vor neuen Betrugsformen warnen: Hier wird es ebenfalls RTS geben
  • Verification of Payee“ ausweiten: Prozess auf alle Überweisungen in EU-Währungen übertragen
  • Prozess für Informationsaustausch mit Drittanbietern im Störungsfall überarbeiten: Eskalationswege, Kommunikationskanäle und Zuständigkeiten überprüfen
  • Eröffnungsprozess für Zahlungskonten von Zahlungsinstituten anpassen: Banken sind verpflichtet, Zahlungsinstituten eine Zahlungskontoeröffnung zu gewähren und begründete Ausnahmen zu dokumentieren

Was muss eine Bank konkret im Bereich Compliance/Legal tun?

  • AGB anpassen: Neue Haftungsbestimmungen und Meldewege im Betrugsfall sowie Informationspflichten konsistent verankern
  • Berichte an Behörden aktualisieren: Bestehende Reports zu Betrugsdaten erweitern und neue Berichte zur Nutzung der Kommunikationsschnittstellen aufsetzen
  • Firmenkundenverträge überprüfen: Regelungen zu nicht autorisierten Zahlungen überprüfen

Womit kann man bereits noch in 2025 starten?

Auch wenn vieles nach Evolution klingt: Die Varianz der Anpassungen ist hoch. Eine Vorstudie noch in diesem Jahr verschafft einen guten Überblick, was konkret im eigenen Haus zu tun ist und verhilft, entspannt vor der Welle zu bleiben.

In der Vorstudie werden Lücken im aktuellen Setup im Vergleich zu PSD3/PSR-Anforderungen identifiziert und priorisiert. Diese Lücken werden zu betroffenen Geschäftsbereichen und Prozessen zugeordnet und es kann eine erste Einschätzung des Anpassungsaufwands erfolgen. Die Aufstellung einer initialen Roadmap und Projektgovernance für die Umsetzung rundet die Vorstudie ab.

Fazit

PSD3 und PSR sind die nächste Ausbaustufe nach PSD2 – die Richtung ist gesetzt, auch wenn finale Texte und RTS noch ausstehen. Sinnvoll ist, bereits jetzt interne Grundlagen zu legen und Anpassungen vorzubereiten. Lilli Looks, zeb consulting

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/235594

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert