Die Weichenstellung ist gefallen

Ende November 2025 erzielten das Europäische Parlament und der Rat eine politische Einigung über die finale Fassung der dritten Zahlungsdiensterichtlinie PSD3 und der begleitenden Zahlungsdienste-Verordnung PSR. Damit sind die grundlegenden politischen Diskussionen abgeschlossen, und die formale Verabschiedung wird im Verlauf des Jahres 2026 erwartet. Für die Banken bedeutet das: Die Weichen sind gestellt, und die Uhr läuft.

PSD3 und PSR führen einheitliche Standards für den Betrugsschutz ein und verlagern die Haftung konsequent in Richtung der Zahlungsdienstleister. Während die PSR als Verordnung unmittelbar in allen Mitgliedstaaten gilt, muss die PSD3 als Richtlinie in nationales Recht umgesetzt werden, mit einer Frist von etwa 18 bis 24 Monaten. Die ersten wesentlichen Pflichten, darunter die starke Kundenauthentifizierung, die neuen Haftungsregeln und die Open-Banking-Verpflichtungen, werden voraussichtlich Ende 2026 bis 2027 wirksam.

Warum die Haftungsverlagerung alles verändert

Der eigentliche Kern der Reform ist die Verlagerung der Haftung. Bisher trug oft der Kunde das Risiko, wenn er Opfer eines Betrugs wurde, etwa weil er getäuscht eine Überweisung autorisierte. Unter dem neuen Rahmen verschiebt sich diese Last zu den Zahlungsdienstleistern. Bei bestimmten Betrugsformen, insbesondere bei der sogenannten Impersonation oder dem Spoofing, bei dem sich Kriminelle als Bankmitarbeiter oder vertrauenswürdige Unternehmen ausgeben, müssen die Dienstleister den Kunden den Schaden ersetzen, sofern der Betrug bei Polizei und Bank gemeldet wurde.

Diese Verschiebung ist tiefgreifend, weil sie die wirtschaftliche Logik des Betrugsschutzes umkehrt. Solange der Kunde haftete, war der Betrugsschutz für die Bank ein Kostenfaktor, den sie optimieren konnte. Wenn die Bank haftet, wird der Betrugsschutz zu einer direkten Frage ihrer eigenen Kosten. Jeder Betrugsfall, den sie nicht verhindert, trifft sie unmittelbar. Das schafft einen starken Anreiz, Betrug präventiv zu stoppen, statt ihm hinterherzulaufen.

Das alte Modell, bei dem man Betrug erst im Nachhinein verfolgte, wird damit unhaltbar. Die Banken müssen Betrug verhindern, bevor das Geld fließt, denn nach dem Transfer ist es oft verloren und die Bank trägt den Schaden. Das verlagert den Schwerpunkt von der nachträglichen Aufklärung zur vorbeugenden Erkennung, und genau das verlangt neue Systeme und neue Fähigkeiten.

Die starke Kundenauthentifizierung wird neu gedacht

Ein zentraler Baustein ist die starke Kundenauthentifizierung. Schon unter PSD2 mussten Zahlungen mit mehreren Faktoren abgesichert werden, doch die Umsetzung war uneinheitlich und an vielen Stellen umständlich. PSD3 und PSR zielen auf eine einheitlichere, zugleich nutzerfreundlichere Authentifizierung, die Sicherheit und Komfort besser verbindet. Das ist anspruchsvoll, weil beides oft im Widerspruch steht: Mehr Sicherheit bedeutet meist mehr Aufwand für den Kunden.

Die Banken stehen damit vor der Aufgabe, ihre Authentifizierungssysteme neu zu bauen. Es genügt nicht, die bestehenden Verfahren fortzuschreiben, denn die neuen Anforderungen verlangen sowohl höhere Sicherheit als auch bessere Nutzbarkeit. Das ist ein erheblicher technischer Aufwand, der Zeit braucht, und genau deshalb ist die Frist von etwa 18 Monaten knapper, als sie auf den ersten Blick wirkt. Wer erst kurz vor Fristende beginnt, schafft es nicht.

Hinzu kommt, dass die Authentifizierung zunehmend mit der digitalen Identität verschmilzt. Die europäische Entwicklung deutet darauf hin, dass Zahlungen, digitale Identität und starke Kundenauthentifizierung zu einer einheitlichen Vertrauensinfrastruktur zusammenwachsen. Banken, die ihre Authentifizierung neu bauen, sollten diese Konvergenz mitdenken, statt eine isolierte Lösung zu schaffen, die schon bald wieder veraltet ist.

Die Vereinheitlichung durch die Verordnung

Eine strukturelle Neuerung ist die Aufteilung in Richtlinie und Verordnung. Unter PSD2 führte die nationale Umsetzung der Richtlinie zu einer erheblichen Fragmentierung, weil die Mitgliedstaaten unterschiedliche Standards anwandten. Dieses Phänomen, bei dem einzelne Länder strengere oder abweichende Regeln einführten, erschwerte das grenzüberschreitende Geschäft. Indem die wesentlichen Verhaltensregeln nun in die unmittelbar geltende PSR verlagert werden, sorgt die EU für einheitliche Regeln in allen Mitgliedstaaten.

Für Banken bedeutet das einerseits eine Vereinfachung, weil sie sich auf einen einheitlichen Rahmen einstellen können, statt nationale Sonderwege zu berücksichtigen. Andererseits entfällt der Spielraum, den die nationale Umsetzung bisher bot. Die Regeln gelten direkt und einheitlich, und es gibt weniger Möglichkeiten, sie an die eigenen Gegebenheiten anzupassen. Wer auf nationale Auslegungsspielräume gesetzt hat, muss umdenken.

Open Banking wird zur Pflicht mit Substanz

PSD3 und PSR entwickeln auch das Open Banking weiter, das unter PSD2 begonnen hatte. Die Verpflichtung, Dritten unter Zustimmung des Kunden Zugang zu Kontodaten zu gewähren, wird präzisiert und gestärkt. Das ist mehr als eine technische Anforderung, denn es entscheidet darüber, wie offen das Bankgeschäft für neue Anbieter wird und wie die Banken ihre Rolle in einem offeneren System gestalten.

Für die Banken liegt darin eine doppelte Botschaft. Sie müssen den Zugang technisch sauber und zuverlässig bereitstellen, denn die Anforderungen werden strenger. Zugleich sollten sie überlegen, wie sie die Öffnung für sich nutzen, statt sie nur zu erdulden. Wer die offenen Schnittstellen nicht nur bereitstellt, sondern selbst zum Akteur in einem offeneren System wird, kann aus der Pflicht eine Chance machen.

Die Frist ist knapper, als sie aussieht

Die Frist von etwa 18 Monaten klingt nach viel Zeit, ist es aber nicht. Der Umbau der Authentifizierungssysteme, der Aufbau präventiver Betrugserkennung, die Anpassung an die neuen Haftungsregeln und die Stärkung des Open Banking sind erhebliche Vorhaben, die parallel laufen müssen. Jedes einzelne braucht Planung, Entwicklung, Test und Einführung, und die Summe übersteigt schnell die verfügbare Zeit, wenn man nicht früh beginnt.

Hinzu kommt, dass die Betrugsbekämpfung nicht mit einem einmaligen Umbau erledigt ist. Die präventive Erkennung von Betrug verlangt Systeme, die kontinuierlich lernen und sich an neue Betrugsmuster anpassen. Solche Systeme aufzubauen und einzuüben dauert, und sie müssen funktionieren, bevor die Haftung greift, nicht erst danach. Wer zu spät beginnt, haftet für Betrugsfälle, die er mit besseren Systemen hätte verhindern können.

Die Banken sollten deshalb jetzt mit einer Bestandsaufnahme beginnen: Wo stehen die Authentifizierungssysteme, wie gut ist die Betrugserkennung, welche Anpassungen verlangen die neuen Haftungsregeln, und wie ist das Open Banking aufgestellt? Aus dieser Bestandsaufnahme ergibt sich eine Roadmap, die die verbleibende Zeit sinnvoll nutzt. Wer dagegen wartet, bis die formale Verabschiedung erfolgt ist, verliert wertvolle Monate, die er später schmerzlich vermissen wird.

Die neuen Betrugsformen als Treiber

Der Gesetzgeber reagiert mit der Haftungsverlagerung auf eine veränderte Betrugslandschaft. Die klassischen Betrugsformen, bei denen Kriminelle ohne Wissen des Kunden auf dessen Konto zugriffen, sind durch die starke Kundenauthentifizierung schwieriger geworden. Stattdessen verlagert sich der Betrug auf die Täuschung des Kunden selbst. Bei der Impersonation geben sich Kriminelle als Bankmitarbeiter oder Behörden aus und bewegen das Opfer dazu, selbst eine Überweisung zu autorisieren.

Diese Betrugsform ist tückisch, weil die Transaktion technisch korrekt autorisiert wird. Der Kunde gibt seine Zustimmung, alle Sicherheitsmechanismen greifen, und doch ist es Betrug, weil die Zustimmung durch Täuschung erschlichen wurde. Die bisherigen technischen Schutzmechanismen versagen hier, denn sie prüfen, ob die Transaktion autorisiert ist, nicht, ob die Autorisierung auf einer Täuschung beruht. Genau deshalb verlangt der Gesetzgeber neue Ansätze.

Die Haftungsverlagerung zwingt die Banken, sich auch um diese Betrugsform zu kümmern, die bisher als Problem des Kunden galt. Wenn die Bank für den Schaden aus Impersonation haftet, muss sie Wege finden, solche Betrugsfälle zu erkennen, bevor das Geld fließt. Das verlangt eine Erkennung, die nicht nur die technische Korrektheit der Transaktion prüft, sondern auch ungewöhnliche Muster erkennt, die auf eine Täuschung hindeuten.

Verhaltensbasierte Erkennung und KI

Die Antwort auf die neuen Betrugsformen liegt in der verhaltensbasierten Erkennung. Statt nur zu prüfen, ob eine Transaktion korrekt autorisiert ist, analysieren moderne Systeme das Verhalten und erkennen Abweichungen vom Normalen. Eine Überweisung an einen unbekannten Empfänger, in ungewöhnlicher Höhe, zu ungewöhnlicher Zeit, nach einem ungewöhnlichen Ablauf, kann auf einen Betrug hindeuten, auch wenn sie korrekt autorisiert ist.

Solche Systeme nutzen oft KI, um aus den Mustern vieler Transaktionen zu lernen und Auffälligkeiten zu erkennen, die einem regelbasierten System entgehen würden. Das ist anspruchsvoll, weil die Systeme einerseits Betrug zuverlässig erkennen, andererseits aber nicht zu viele legitime Transaktionen fälschlich blockieren dürfen. Eine Erkennung, die ständig falschen Alarm schlägt, frustriert die Kunden und wird unbrauchbar. Die Kunst liegt in der Balance zwischen Sicherheit und Nutzbarkeit.

Der Aufbau solcher Systeme braucht Zeit, Daten und Erfahrung. Sie müssen trainiert, erprobt und kontinuierlich an neue Betrugsmuster angepasst werden. Das lässt sich nicht in wenigen Wochen erledigen, und genau deshalb ist es wichtig, früh zu beginnen. Ein System, das erst zum Fristende fertig wird, hatte keine Zeit, sich zu bewähren, und genau dann greift die Haftung.

Die organisatorische Dimension

Die PSD3 ist nicht nur eine technische, sondern auch eine organisatorische Herausforderung. Die neuen Haftungsregeln verlangen, dass die Bank weiß, wie sie mit gemeldeten Betrugsfällen umgeht, wie sie die Erstattung abwickelt und wie sie aus den Fällen lernt, um künftige Betrugsversuche besser zu erkennen. Das berührt nicht nur die IT, sondern auch die Prozesse im Kundenservice, in der Betrugsabwehr und in der Schadenbearbeitung.

Hinzu kommt die Notwendigkeit, die Kunden aufzuklären. Auch wenn die Haftung sich zur Bank verlagert, bleibt der Kunde die erste Verteidigungslinie. Eine Bank, die ihre Kunden über die neuen Betrugsformen aufklärt und sie sensibilisiert, verhindert Betrug, bevor er entsteht, und reduziert damit ihre eigene Haftung. Die Aufklärung der Kunden wird so zu einem Teil der Betrugsabwehr, nicht nur zu einer Serviceleistung.

Die Konvergenz mit der digitalen Identität

Ein größerer Zusammenhang verdient Beachtung. Die starke Kundenauthentifizierung, die digitale Identität und die Zahlungssicherheit wachsen zu einer einheitlichen Vertrauensinfrastruktur zusammen. Die europäische Entwicklung, von der PSD3 über die digitale Identität bis zu den neuen Zahlverfahren, deutet darauf hin, dass diese Bereiche nicht mehr getrennt zu denken sind. Wer seine Authentifizierung neu baut, sollte sie als Teil dieser größeren Infrastruktur begreifen.

Das hat praktische Folgen. Eine Bank, die ihre Authentifizierung isoliert und nur für die PSD3-Anforderungen baut, schafft eine Insellösung, die schon bald nicht mehr zur übrigen Entwicklung passt. Eine Bank, die ihre Authentifizierung als Baustein einer einheitlichen Vertrauensinfrastruktur begreift, baut zukunftsfähig und kann die Synergien mit der digitalen Identität und den neuen Zahlverfahren nutzen. Die PSD3 ist damit auch ein Anlass, die eigene Vertrauensinfrastruktur grundsätzlich neu zu denken.

Die Haftung der Plattformen als neues Element

Eine bemerkenswerte Neuerung des europäischen Rahmens ist, dass die Haftung erstmals auch Online-Plattformen treffen kann. Viele Betrugsfälle nehmen ihren Anfang nicht beim Zahlungsvorgang selbst, sondern auf Plattformen und in sozialen Medien, wo Kriminelle ihre Opfer ansprechen und in die Falle locken. Indem der Rahmen auch diese Akteure in die Verantwortung nimmt, verteilt er die Last breiter und setzt Anreize zur Betrugsbekämpfung dort, wo der Betrug entsteht.

Für die Banken bedeutet das, dass sie Teil eines größeren Geflechts der Verantwortung werden, in dem mehrere Akteure zur Betrugsbekämpfung beitragen müssen. Das verändert die Zusammenarbeit zwischen Banken, Plattformen und Behörden und verlangt neue Formen des Informationsaustauschs, um Betrug über die Grenzen der einzelnen Akteure hinweg zu erkennen und zu stoppen. Wer nur seine eigene Verantwortung im Blick hat, übersieht, dass wirksame Betrugsbekämpfung zunehmend ein Zusammenspiel verlangt.

Die Kostenfrage realistisch betrachten

Der Umbau, den die PSD3 verlangt, kostet Geld, und diese Kosten sind real. Der Aufbau präventiver Betrugserkennung, der Umbau der Authentifizierung und die Anpassung der Prozesse binden Mittel und Personal. Doch dieser Kostenbetrachtung muss man die Kosten gegenüberstellen, die ohne den Umbau entstehen: die Haftung für nicht verhinderten Betrug, die unter dem neuen Rahmen unmittelbar die Bank trifft.

Wer den Umbau scheut, um Kosten zu sparen, spart an der falschen Stelle. Denn die Haftung für Betrug, der mit besseren Systemen vermeidbar gewesen wäre, kann die ersparten Investitionskosten schnell übersteigen. Die Investition in die Betrugsprävention ist deshalb keine freiwillige Ausgabe, sondern eine Absicherung gegen eine Haftung, die ohne sie greift. Diese Rechnung sollte jede Bank für sich aufstellen, bevor sie über das Tempo ihres Umbaus entscheidet.

Hinzu kommt, dass ein guter Betrugsschutz und eine nutzerfreundliche Authentifizierung auch einen geschäftlichen Wert haben. Kunden vertrauen einer Bank, die sie vor Betrug schützt, und sie schätzen eine Authentifizierung, die sicher und zugleich bequem ist. Was als regulatorische Pflicht beginnt, kann so zu einem Vorteil im Wettbewerb um das Vertrauen der Kunden werden, der die Investition zusätzlich rechtfertigt.

Aus der Pflicht eine Stärke machen

Die PSD3 ist zunächst eine Pflicht, aber sie lässt sich in eine Stärke verwandeln. Eine Bank, die ihre Betrugserkennung präventiv und wirksam aufstellt, schützt nicht nur sich vor Haftung, sondern auch ihre Kunden vor Schaden, und das schafft Vertrauen. Eine Bank, die ihre Authentifizierung sicher und zugleich nutzerfreundlich gestaltet, verbessert die Kundenerfahrung, statt sie zu belasten. Und eine Bank, die das Open Banking aktiv nutzt, kann neue Angebote schaffen, statt nur Zugang zu gewähren.

Wer die PSD3 nur als regulatorische Last begreift, wird sie unter Druck und zu hohen Kosten abarbeiten. Wer sie als Anlass begreift, seine Authentifizierung, seinen Betrugsschutz und seine Offenheit grundlegend zu verbessern, kommt gestärkt aus dem Umbau. Wir helfen Ihnen, die Anforderungen der PSD3 rechtzeitig und so umzusetzen, dass aus der Pflicht ein Vorteil im Betrugsschutz und in der Kundenerfahrung wird. Beginnen Sie mit einer Sprechstunde.