Die Finanzwelt befindet sich in einem ständigen Wandel, angetrieben insbesondere durch technologische Fortschritte und regulatorische Anpassungen. Die aktuellen Regulierungsvorhaben der europäischen Kommission PSD3 (Payment Service Directive 3) und PSR (Payment Service Regulation) werden weitere Schritte in dieser Entwicklung sein. Sie zielen laut der EU-Kommission darauf ab, den Zahlungsverkehr innerhalb des europäischen Wirtschaftsraums zu harmonisieren, die Sicherheit von Zahlungsvorgängen zu erhöhen und den Wettbewerb im Zahlungsverkehr zu fördern. Für Banken und Zahlungsdienstleister ergeben sich aus diesen neuen Regelungen eine Reihe von Herausforderungen, aber auch Chancen.
In diesem Blogartikel gehen wir auf die Kernpunkte von der PSD3 und PSR sowie ihre potenziellen Auswirkungen auf Banken und Zahlungsdienstleister ein. Dabei zeigen wir auf, welche Maßnahmen es zu ergreifen gilt, um die regulatorischen Anforderungen effizient und rechtzeitig umzusetzen.
Was sind PSD3 und PSR?
Die PSD3 (Payment Service Directive 3) baut auf den Vorgängerregulierungen, insbesondere der PSD2, auf und konkretisiert bestehende Regularien. Sie sieht u.a. eine erweiterte Gefährdungshaftung von Banken vor und legt neue IT- und Risikostandards fest. Ein Hauptaugenmerk liegt dabei auf der starken Kundenauthentifizierung und der transparenten Gestaltung des Zahlungsverkehrs.
Die PSR (Payment Service Regulation)-Verordnung ergänzt die PSD3 und führt zu direkt gültigem Recht in allen EU-Staaten. Ihr Ziel ist es, Regulierungsstandards innerhalb der EU zu harmonisieren und eine einheitliche Regelung im europäischen Zahlungsverkehr sicherzustellen.
Die Ziele von PSD3 und PSR:
Wo stehen PSD3 und PSR jetzt?
Im Juni 2023 wurden die Entwürfe zur PSD3 und PSR als Vorschlag zur Überarbeitung der PSD2 veröffentlicht. Das EU-Parlament stimmte diesem Vorschlag am 23. April 2024 mit einigen Änderungen zu, die unter anderem die Regelungen zur starken Kundenauthentifizierung und die Haftungsregelungen betreffen. Derzeit verhandeln das Europäische Parlament und der Rat der Europäischen Union über den endgültigen Gesetzestext. Die finale Version der Gesetzestexte wird zu Ende 2024 erwartet. Angesichts dieser Entwicklungen erwarten wir, dass die neuen Regelungen in 2026 in Kraft treten.
PSD3-Implementierungszeitplan (2023 – 2026)
Was bedeutet das für Banken und Zahlungsdienstleister?
Die Anpassung an die neuen Vorgaben der PSD3 ist für Banken und Zahlungsdienstleister wesentlich, um Gesetzeskonformität sicherzustellen und Chancen zu nutzen. Dabei ergeben sich folgende Auswirkungen mit Handlungsbedarf:
Strong Customer Authentication (SCA): Die PSD3 und PSR sehen die Einführung strengerer Anforderungen an die Kundenauthentifizierung vor sowie eine Erweiterung der Authentifizierungsmöglichkeiten für Menschen mit geringer digitaler Affinität und vulnerable Gruppen. Das EU-Parlament schlug zudem im April 2024 vor, den Faktor der Inhärenz auf umgebungs- und verhaltensbezogene Merkmale zu erweitern. Das bedeutet, dass Banken und Zahlungsdienstleister in die Entwicklung und Implementierung robusterer und innovativer Sicherheitsmechanismen investieren müssen. Dies kann die Sicherheit im Zahlungsverkehr erhöhen, ist jedoch mit Umsetzungskosten und zusätzlicher Komplexität bei der Anpassung von Systemen und Prozessen verbunden.
Erweiterte Haftung für Zahlungsinstitute: Mit der Verschärfung der Haftungsregeln bei Betrugsfällen werden Banken, Zahlungsdienstleister und auch Anbieter elektronischer Kommunikationsdienste stärker in die Verantwortung genommen. So werden die Emittenten künftig nachweisen müssen, dass bspw. eine betrügerische Transaktion zweifelsfrei auf ein Fehlverhalten des Kunden zurückzuführen ist, um nicht haften zu müssen. Zudem kommen Zahlungsdienstleister in die Verpflichtung ein Zahlungsinstrument, soweit objektive Risiken oder der Verdacht einer betrügerischen Nutzung vorliegen, sofort zu sperren. Das wird in vielen Fällen schwierig darzustellen bzw. nicht im Interesse der Beziehung zum betreffenden Kunden sein. Mit Investitionen in die Kundenkommunikation, in die Prävention und Abwicklung von missbräuchlichen Transaktionen ist ebenso zu rechnen wie mit der Herausforderung, ein effizientes Gleichgewicht zwischen der Conversion von Transaktionen sowie der Eindämmung von Missbrauch beizubehalten. Außerdem könnte die Umkehr der Beweispflicht einen massiven Einfluss auf das Verhalten der Kunden haben. Das Thema „Fraud“ wird deutlich an Dynamik gewinnen. Das zeigt sich bereits in der UK, wo allein die Teilung des Haftungsrisikos zu einer deutlichen Erhöhung der Schäden geführt hat. Das Thema „Fraud“ sollte bei Zahlungsinstituten wesentliche Priorität in den nächsten Jahren haben.
Transaktionsüberwachung und Austausch betrugsbezogener Daten: Um Betrugsfälle effektiv zu bekämpfen, müssen Banken und Zahlungsdienstleister Transaktionen überwachen und betrugsbezogene Daten untereinander austauschen, um frühzeitig Warnzeichen zu erkennen und angemessen zu reagieren.
IBAN-Name-Check: Die Implementierung des IBAN-Name-Checks erfordert die Überprüfung der eingegebenen IBAN und des zugehörigen Kontoinhabernamens, um Betrugsfälle zu reduzieren und die Transaktionssicherheit zu erhöhen. Dies kann für Banken zusätzliche Kosten bedeuten, da sie ihre bestehenden Systeme und Prozesse anpassen müssen, um diese neue Maßnahme zu integrieren.
Verbot von Gebühren für bestimmte Zahlungsdienste: Die PSD2 führte das Surcharge-Verbot ein, das Anbietern verbietet, von Kunden Aufpreise für bestimmte Zahlungsmittel zu erheben. Mit dem neuen Entwurf der PSR wird das Verbot erweitert. Anbieter sollen keine Entgelte für Zahlungen erheben dürfen, eine Ermäßigung oder spezielle Angebote, die auf die Auswahl eines bestimmten Zahlungsmittel lenken, sind dabei nicht ausgeschlossen. Banken und Zahlungsdienstleister sollten nun alternative Einnahmequellen identifizieren und neue Serviceangebote entwickeln, um wettbewerbsfähig zu bleiben.
Die Auswirkungen der PSD3 auf Banken und Zahlungsdienstleister auf einen Blick:
Was sind die nächsten Schritte für eine reibungslose Umsetzung von PSD3 und PSR?
In Anbetracht dieser neuen Regulierungen ist es für Banken und Zahlungsdienstleister entscheidend, nun proaktiv zu handeln, um frühzeitig die Einhaltung der Vorschriften darzustellen und die Wettbewerbsfähigkeit sowie die Profitabilität ihrer Angebote abzusichern.
Folgende Maßnahmen sollten ergriffen werden, um die neuen Regularien zu erfüllen und erfolgreich umzusetzen:
Optimierung der Sicherheitsmechanismen:
- Fortschrittliche Authentifizierungstechnologien, die sowohl sicher als auch benutzerfreundlich sind, sollten eingeführt werden, um die Anforderungen von PSD3 zu erfüllen
Stärkung der Betrugserkennung und -prävention:
- Betrugserkennungs- und Risikomanagementsysteme sollten integriert werden, um betrügerische Aktivitäten frühzeitig zu erkennen und zu verhindern
- Das Personal sollte in der Identifizierung verdächtiger Transaktionen geschult werden, um das Bewusstsein für Betrugsprävention zu stärken
- Entscheider sollten sich zu Fraud-Themen austauschen, um voneinander zu lernen und Synergien zu schaffen
Integration des IBAN-Name-Checks:
- Automatisierte Lösungen für den IBAN-Name-Check sollten eingeführt werden, um den Anforderungen zu entsprechen. Inwieweit eine Verbesserung von Effizienz und Sicherheit von Zahlungstransaktionen entsteht, bleibt abzuwarten.
Entwicklung alternativer Einnahmequellen:
- Neue Serviceangebote und Zahlungslösungen, die zusätzliche Mehrwerte für Kunden bieten, wie z. B. innovative Finanzdienstleistungen oder personalisierte Angebote, sollten eingeführt werden
- Das Geschäftsmodell sollte durch die Erschließung neuer Märkte oder Partnerschaften diversifiziert werden, um zusätzliche Umsatzquellen zu erschließen und wettbewerbsfähig zu bleiben
Mit unserer langjährigen Expertise in den Bereichen Zahlungsverkehr und Regulierung navigieren wir unsere Kunden durch die komplexen Anforderungen des Payment-Marktes, insbesondere von PSD3 und PSR. Unser Expertenteam unterstützt Sie dabei, die Entwicklungen am Markt für sich zu nutzen, maßgeschneiderte Lösungen zu entwickeln und Ihre Geschäftsmodelle zukunftsfähig zu gestalten. Von der Analyse der Geschäftsprozesse, der Identifizierung und Erschließung neuer Einnahmequellen bis zur Auswahl und Implementierung von Technologielösungen – gemeinsam können wir die Position Ihres Unternehmens im Payment stärken. Sprechen Sie uns gerne an.
Wussten Sie schon? – Unser Workshop #NextGen Payments
PSD3 und PSR sind Bestandteil unseres neuen Workshops „NextGen Payments: Revolution oder Evolution bis 2030?“. Hier zeigen wir Ihnen in einem maßgeschneiderten Workshop wie sich die Zukunftstreiber Digitalisierung, Regulation und Cyber Security auf Ihre Geschäftsmodelle auswirken und erarbeiten gemeinsam individuelle Lösungsansätze. Mehr Informationen finden Sie hier.
Weitere Regulatorik – DORA
Neben PSD3 und PSR beeinflusst auch die EU-Verordnung DORA (Digital Operational Resilience Act) den Zahlungsverkehr. Mehr erfahren Sie in diesem Blogartikel.
Jens Hegeler
Hauke Peters