PSD3 und PSR Erklärt: Was sich für Fintechs und PSPs ändert (DE)

Die Zweite EU-Zahlungsdiensterichtlinie (PSD2) hat den europäischen Zahlungsverkehr neu gestaltet. PSD3 – und die begleitende Verordnung, die Payment Services Regulation (PSR) – gehen noch weiter: Sie verlagern die Betrugshaftung stärker auf Zahlungsdienstleister (PSPs), verschärfen die Starke Kundenauthentifizierung (SCA), schreiben die IBAN-Namensprüfung vor und formalisieren den branchenübergreifenden Austausch von Betrugsdaten. Für Fintechs, Neobanken und PSPs ist dies sowohl eine Compliance-Belastung als auch ein Wettbewerbsvorteil.

PSD3 ist eine Richtlinie (Mitgliedstaaten setzen sie um); die PSR ist eine Verordnung (direkt in der gesamten EU anwendbar). Zusammen ersetzen sie PSD2 und schaffen eine einheitlichere rechtliche Grundlage – die meisten operativen Regeln sind in der PSR enthalten, die direkt nach ihrem Inkrafttreten gilt, während die Mitgliedstaaten für PSD3 eine Umsetzungsfrist erhalten. Behandeln Sie Zeitpläne als indikativ und verfolgen Sie diese über offizielle EU-Quellen.

Was sich tatsächlich ändert

1. Betrugshaftung – APP-Betrug und der PSP des Zahlungsempfängers

Eine wesentliche strukturelle Änderung ist die Ausweitung der Haftung auf den PSP des Zahlungsempfängers (die Institution, die die betrügerische Zahlung erhält) in Fällen von APP-Betrug. Unter PSD2 lag der Fokus fast ausschließlich auf dem PSP des Zahlers; der neue Rahmen führt eine Haftungsteilung ein – wenn der PSP des Zahlungsempfängers es versäumt hat, auf Signale zu reagieren, dass das Empfängerkonto für Betrug verwendet wurde, trägt er einen Teil des Verlusts. PSPs auf beiden Seiten benötigen nun bessere Betrugssignale, nicht nur die Authentifizierung auf der Zahlerseite.

2. Starke Kundenauthentifizierung – klarere Regeln, engerer Anwendungsbereich

Die SCA-Regeln von PSD2 waren im Prinzip korrekt, in der Praxis jedoch unübersichtlich. PSD3/PSR stellt klar:

• Authentifizierungsdelegation: Ein PSP kann SCA sauberer an einen Drittanbieter delegieren – wichtig für in Händlern eingebettete Abläufe und Wallet-Anbieter.
• Ausnahmerahmen: Ausnahmen für Transaktionsrisikoanalysen (TRA) und Schwellenwerte für geringe Werte werden verschärft – Ausnahmen erfordern dokumentierte Risikomodelle, und pauschale reibungsarme Ansätze werden kritisch geprüft.
• Firmenkonten: Große Unternehmen, die dedizierte Zahlungsprotokolle verwenden, erhalten einen klarer definierten Ausnahmepfad.
• SCA für den Kontozugriff: Die 90-Tage-Anforderung für die stille Re-Authentifizierung, die PSD2-Open-Banking-Abläufe frustrierte, wird rationalisiert.

Die technische Definition ist unverändert; was sich ändert, ist, wer haftet, wenn SCA fehlschlägt oder falsch ausgenommen wird.

3. Verifizierung des Zahlungsempfängers – IBAN-Name vorgeschrieben

Die Verifizierung des Zahlungsempfängers verlangt vom PSP des Zahlers, dass er vor der Ausführung prüft, ob der Name, der einer Zahlungsanweisung beigefügt ist, mit dem Namen übereinstimmt, der für die Ziel-IBAN registriert ist. Bei einer Nichtübereinstimmung muss der PSP den Zahler warnen; wenn der Zahler trotzdem fortfährt, geht die Haftung auf ihn über. Die PSR macht VoP von einer nationalen Opt-in-Option zu einer EU-weiten Anforderung mit standardisierten APIs und Antwortcodes – sodass der PSP eines Zahlers in Spanien eine Zahlungsempfänger-IBAN in Polen verifizieren kann. Für PSPs bedeutet dies eine Echtzeit-Suche nach dem Namen des Zahlungsempfängers vor der Ausführung.

4. Austausch von Betrugsdaten – obligatorische Interoperabilität

Unter PSD3 werden PSPs verpflichtet sein, an Rahmenwerken für den Austausch von Betrugsinformationen teilzunehmen. Freiwillige bilaterale Vereinbarungen werden durch eine regulierte Interoperabilitätsanforderung ersetzt: Institutionen müssen in der Lage sein, Betrugssignale von anderen PSPs zu empfangen und darauf zu reagieren. Die technischen Standards der EBA werden die Details ausfüllen.

5. Open Banking-Zugang – weniger Hindernisse für TPPs

PSD2 schuf das Recht für Drittanbieter (TPPs), über APIs auf Zahlungskonten zuzugreifen; PSD3 erweitert und erzwingt dies. Dedizierte Schnittstellen müssen Leistungsstandards (Verfügbarkeit, Latenz, Datenvollständigkeit) erfüllen, der Screen-Scraping-Fallback wird für konforme Schnittstellen eliminiert, und TPPs erhalten sauberere Zustimmungsabläufe.

Was PSD3 operativ für Fintechs und PSPs bedeutet

Die Bestimmungen führen zu konkreten Anforderungen über den gesamten Lebenszyklus. Beim Onboarding schwächen schwache Identitätsprüfungen die Haftungsposition des empfangenden PSPs; robustes KYC ist die erste Verteidigungslinie. Bei der Authentifizierung ist eine vierstellige PIN mit einer SMS-OTP konform, aber zunehmend riskant; biometrische Gesichtserkennung bietet eine höhere Sicherheit. Bei der Zahlungsausführung bedeutet VoP einen API-Aufruf zur Namensübereinstimmung vor dem Senden – blockierend, nicht nachträglich. Bei der kontinuierlichen Überwachung machen die Bestimmungen für den PSP des Zahlungsempfängers die eingehende Überwachung ebenso wichtig wie die ausgehende – Echtzeit-Mustererkennung, nicht Batch-Überprüfungen.

Wie Didit hilft

Didit ist eine Infrastruktur für Identität und Betrug – eine API, die Authentifizierung, Verifizierung und Überwachung abdeckt. Die Module, die den PSD3/PSR-Anforderungen entsprechen, sind bereits live.

SCA-konforme biometrische Authentifizierung

SCA erfordert „Inhärenz“ als einen Faktor. Didits Biometrisches Authentifizierungsmodul (0,10 $) liefert einen Gesichtsabgleich mit der ursprünglichen KYC-Biometrie, nicht nur ein Gesicht mit sich selbst. In Kombination mit der Gerätebindung erfüllt es die Inhärenz auf einem Niveau, das passive PIN-basierte SCA nicht bietet. Derselbe Stack ist als Aktive Lebendigkeitsprüfung (0,15 $) oder Passive Lebendigkeitsprüfung (0,10 $) verfügbar.

Identitätsprüfung beim Onboarding

Der KYC-Kernablauf – ID-Verifizierung + Passive Lebendigkeitsprüfung + Gesichtserkennung + IP/Geräteanalyse – kostet 0,33 $ pro Prüfung, deckt über 14.000 Dokumententypen in über 220 Ländern ab und ist in weniger als 2 Sekunden abgeschlossen. Er liefert Ihnen eine verifizierte Identität zur Verankerung der Re-Authentifizierung sowie einen Prüfnachweis der Sorgfaltspflicht. Didit ist der einzige Identitätsanbieter, der von einer EU-Mitgliedsstaatsregierung – dem spanischen Tesoro, der Banco de España (BdE) und SEPBLAC – formell als sicherer als die persönliche Verifizierung attestiert wurde, was bei der Nachweisführung gegenüber Aufsichtsbehörden wichtig ist. NFC-Lesen (0,15 $) fügt die Chip-Verifizierung für NFC-fähige Dokumente hinzu – die höchste Sicherheitsstufe.

AML-Screening

PSD3 verschärft die Konsequenzen des Onboardings von Kunden oder Unternehmen, die mit Finanzkriminalität in Verbindung stehen. Didits AML-Screening (0,20 $) läuft in Echtzeit gegen über 1.300 Sanktions-, PEP- und Adverse-Media-Listen. Laufende AML-Überwachung (0,07 $/Benutzer/Jahr) überprüft die registrierte Bevölkerung kontinuierlich – wenn sich ein Risikoprofil nach dem Onboarding ändert, wissen Sie es vor der nächsten Transaktion.

Transaktionsüberwachung

Die Bestimmungen für den Zahlungsempfänger-PSP machen die kontinuierliche Überwachung eingehender Zahlungsströme zu einer de facto PSD3-Anforderung. Didits Transaktionsüberwachung (0,02 $ pro Transaktion) führt eine Echtzeit-Regel-Engine aus – 11 vorab definierte Regelpakete, die Geschwindigkeit, Betragsanomalien, Geografie und Verhaltensmuster abdecken – mit Fallmanagement, SAR-Workflow und einer AWAITING_USER-Auto-Remediationsschleife, die zusätzliche Identitätsnachweise ohne manuelle Intervention anfordert. AML-Screening bei gekennzeichneten Transaktionen wird mit 0,20 $ berechnet, wenn es ausgelöst wird, wodurch die Grundkosten für saubere Abläufe niedrig bleiben.

Geräte- & IP-Analyse

APP-Betrug und Kontoübernahmen basieren auf gefälschten Gerätekontexten. Didits Geräte- & IP-Analyse (0,03 $) läuft automatisch in jeder Verifizierungssitzung und liefert Geräte-Fingerabdruck, doppelte Gerätesignale, VPN/Proxy/Tor-Erkennung und Warnungen bei geografischer Dokumenteninkonsistenz – ein Verhaltenssignal, das die Identitätsprüfung ergänzt.

Anwendungsfälle

Neobank-Onboarding. Führen Sie den KYC-Kernablauf bei der Anmeldung aus – Dokument + Lebendigkeitsprüfung + Gesichtserkennung + Geräteanalyse – für eine verifizierte Identität, biometrische Referenz und Gerätebindung, bevor das Konto eröffnet wird. Die registrierte Biometrie wird zum SCA-Inhärenzfaktor für die spätere Authentifizierung.

APP-Betrugsprävention – PSP auf Empfängerseite. Führen Sie ein Transaktionsüberwachungs-Regelpaket für eingehende Zahlungen über einem Schwellenwert aus; Konten, die mehrere Überweisungen von verschiedenen Absendern in einem kurzen Zeitraum erhalten, werden zur Überprüfung angezeigt, wobei Linked KYB den AML-Kontext von Unternehmen bei Geschäftskonten hinzufügt.

SCA-Step-up für hochvolumige Zahlungen. Wenn TRA eine Zahlung für ein Step-up kennzeichnet, lösen Sie eine biometrische Authentifizierungsprüfung aus – Gesichtserkennung mit der registrierten Identität – anstelle einer SMS-OTP, für höhere Sicherheit und ein Audit-Protokoll. Derselbe Ablauf überprüft ruhende Konten vor der Reaktivierung erneut, abgeglichen mit den ursprünglichen Onboarding-Biometriedaten.

Häufig gestellte Fragen

Wann gilt PSD3?

PSD3 ist eine Richtlinie – die Mitgliedstaaten müssen sie innerhalb einer festgelegten Frist nach der förmlichen Annahme in nationales Recht umsetzen. Die PSR als Verordnung gilt direkt nach ihrem Inkrafttreten. Der Prozess läuft Mitte 2026 noch durch die EU-Institutionen; aktuelle Zeitpläne entnehmen Sie bitte den offiziellen Veröffentlichungen der Europäischen Kommission und der EBA und nicht sekundären Quellen.

Was ist der Unterschied zwischen PSD3 und der PSR?

PSD3 ist eine Richtlinie, die den Rahmen – Lizenzierung, Passfähigkeit, Zugangsrechte – festlegt und von den Mitgliedstaaten die Verabschiedung nationaler Gesetze verlangt. Die PSR ist eine Verordnung, die direkt und einheitlich ohne Umsetzung gilt und die meisten operativen Regeln (SCA, Betrugshaftung, VoP, Datenaustausch) enthält.

Gilt PSD3 für Krypto-PSPs?

Zahlungsdienste, die Krypto-Assets betreffen, fallen in den Geltungsbereich, wenn die Transaktion eine Fiat-Umwandlung oder ein reguliertes Zahlungskonto beinhaltet. Reine Krypto-zu-Krypto-Übertragungen, die keine regulierten Zahlungskonten berühren, fallen unter MiCA (Markets in Crypto-Assets Regulation). Unternehmen, die beide Bereiche abdecken, müssen ihre Verpflichtungen unter beiden bewerten.

Was zählt als SCA unter PSD3?

SCA erfordert mindestens zwei unabhängige Faktoren aus verschiedenen Kategorien: Wissen (PIN, Passwort), Besitz (Gerät, Token) und Inhärenz (Biometrie). Ein Gesichtsscan bestätigt die Inhärenz; ein gerätegebundener Token bestätigt den Besitz. Eine PIN und ein gespeichertes Passwort sind beides Wissen – das ist keine SCA.

Müssen wir die Verifizierung des Zahlungsempfängers vor Inkrafttreten von PSD3 implementieren?

Für Sofortüberweisungen gemäß der EU-Instant Payments Regulation gelten die Anforderungen an die IBAN-Namensprüfung bereits vor dem vollständigen PSD3/PSR-Zeitplan. Wenn Sie Sofortüberweisungen an EU-Begünstigte bearbeiten, können die VoP-Verpflichtungen bereits live sein – überprüfen Sie die Richtlinien Ihrer nationalen zuständigen Behörde.

Bereit zum Start?

Die PSD3-Compliance ist vielschichtig – Identität beim Onboarding, biometrische Authentifizierung beim Step-up, AML- und Transaktionsüberwachung nach Genehmigung. Didit deckt den gesamten Stack über eine einzige API ab, mit öffentlichen Preisen und ohne Mindestmengen.

• Plattform kennenlernen → Didit-Dokumentation
• Produkt ansehen → Nutzerverifizierung · Transaktionsüberwachung
• Preise prüfen → Preise – KYC-Kernablauf für 0,33 $, TM für 0,02 $/Transaktion, 500 kostenlose Verifizierungen/Monat
• Kostenlos starten → business.didit.me