PSR und PSD3 – Auswirkungen

Autor/-in

Romano Ramanti

Veröffentlicht am

5 September 2024

Lesezeit

Minuten

Benötigtes Wissen

  • Grundlegendes Verständnis des Zahlungsverkehrs
  • Kenntnisse über die PSD2-Richtlinie und ihre Ziele

2015 hat die EU-Kommission die zweite Zahlungsdiensterichtlinie EU 2015/2366 (PSD2) verabschiedet und eingeführt. Ziel war es, technische Innovationen im Retail-Zahlungsmarkt, die steigende Anzahl elektronischer und mobiler Zahlungen sowie neue Zahlungsdienstleistungen zu regulieren.

Revision

Im Rahmen des Arbeitsprogramms 2020 hat die Kommission als dritte Priorität ein Massnahmenpaket unter dem Titel «Eine Wirtschaft im Dienste der Menschen» vorgestellt.

Dieses beinhaltet unter anderem die Überarbeitung der bestehenden PSD2-Regulierung. In ihrer Analyse hat sie vier grundlegende Probleme auf dem Markt identifiziert:

  • Die Kundinnen und Kunden sind einem Betrugsrisiko ausgesetzt und haben kein Vertrauen in den Zahlungsverkehr.
  • Der Open-Banking-Sektor funktioniert nur unvollständig.
  • Die Aufsichtsbehörden der EU-Mitgliedstaaten haben uneinheitliche Befugnisse und Pflichten.
  • Es bestehen ungleiche Wettbewerbsbedingungen zwischen Banken und Zahlungsdienstleistern ausserhalb des Bankensektors.

Unter anderem können folgende Massnahmen zur Lösung der identifizierten Probleme beitragen:

  • Verbesserung der Anwendung der starken Kundenauthentifizierung
  • Schaffung einer gesetzlichen Grundlage für den Austausch von Betrugsinformationen
  • Verpflichtung zur Information der Kundinnen und Kunden über Betrugsfälle
  • Bedingte Haftungsumkehr für Betrug bei autorisierten Push-Zahlungen
  • Verpflichtung der Zahlungsdienstleister zur Verbesserung der starken Kundenauthentifizierung für Personen mit Einschränkungen
  • Verpflichtung der kontoführenden Zahlungsdienstleister zur Einrichtung einer speziellen Schnittstelle für den Datenzugriff
  • Einführung eines «Erlaubnis-Dashboards», über das Nutzerinnen und Nutzer die ihnen erteilten Open-Banking-Zugangsberechtigungen verwalten können
  • Überführung des grössten Teils der PSD2 in eine unmittelbar geltende Verordnung, um unklare Aspekte der PSD2 zu klären
  • Integration der Lizenzierungssysteme für Zahlungs- und E-Geld-Institute
  • Stärkung der Rechte von Zahlungs- und E-Geld-Instituten auf ein Bankkonto
  • Ermöglichung der direkten Teilnahme von Zahlungs- und E-Geld-Instituten an allen Zahlungssystemen, einschliesslich der von den Mitgliedstaaten gemäss der Richtlinie über die Wirksamkeit von Abrechnungen (Settlement Finality Directive, SFD) eingerichteten Systeme.

Daraus resultierten zwei Vorschläge zur Überarbeitung der PSD2-Richtlinie, die die Kommission am 28. Juni 2023 veröffentlichte: die Zahlungsdiensterichtlinie (Payment Service Directive, PSD3) und die Zahlungsdienste-Verordnung (Payment Service Regulation, PSR). In einer Richtlinie gibt der Europäische Rat bestimmte Ergebnisse vor, die zu erreichen sind. Den Mitgliedstaaten bleibt es überlassen, wie sie die Richtlinie im Hinblick auf die Ergebnisse in nationales Recht umsetzen wollen. Im Gegensatz dazu gilt die Verordnung unmittelbar in den EU-Mitgliedstaaten. Damit ist eine EU-weit harmonisierte Umsetzung gewährleistet.

EWR-Staaten wie Liechtenstein müssen Richtlinien und Verordnungen in das EWR-Abkommen übernehmen. Dies geschieht im sogenannten EWR-Übernahmeverfahren. Dabei prüft der Gemeinsame EWR-Ausschuss, der sich aus Vertretern der EU und der EWR/EFTA-Staaten Norwegen, Island und Liechtenstein zusammensetzt, die zur Übernahme vorgesehenen Rechtsakte. Die formelle Übernahme erfolgt durch die Aufnahme der Rechtsakte in die Liste der Protokolle und Anhänge zum EWR-Abkommen. Nach der Übernahme in das Abkommen muss der jeweilige EWR/EFTA-Staat den Rechtsakt nach den innerstaatlichen Vorschriften in nationales Recht umsetzen. Dabei handelt es sich um einen formellen Vorgang, der nur noch technische Anpassungen zulässt. In Liechtenstein ist dafür die Stabsstelle EWR zuständig. Sie erstellt in Zusammenarbeit mit den Expertinnen und Experten der Liechtensteinischen Landesverwaltung und der Ministerien halbjährliche EWR-Arbeitslisten, die die Regierung mit den darin festgelegten Umsetzungsmassnahmen und Umsetzungszeitplänen in einem Regierungsbeschluss verabschiedet.

Sowohl die PSR als auch die PSD3 sind EWR-relevante Texte. Dies bedeutet, dass sie für Liechtenstein verbindlich sind und in nationales Recht überführt werden müssen. Für die Schweiz sind die Texte nicht rechtsverbindlich.

Die Entwicklung der PSD-Richtlinie

Die wichtigsten Neuerungen

Bereits vor der überarbeiteten PSD2 gab es in verschiedenen EU-Mitgliedstaaten Regelungen für Zahlungs- und E-Geld-Institute auf nationaler Ebene. Diese waren jedoch nicht immer einheitlich, was zu einer Fragmentierung und unterschiedlichen Anforderungen führte. Ziel der PSD3 ist es, einen einheitlichen rechtlichen Rahmen zu schaffen. Mit der PSD3 können E-Geld-Institute künftig EU-weit eine Zulassung als Zahlungsdienstleister (PSPs) erhalten, wodurch die E-Geld-Richtlinie (EMD2) überflüssig wird. Zudem sollen Drittanbieter die bisherigen Hürden überwinden, um Zugang zu den Kundenbankkonten zu erhalten.

Eine wesentliche Neuerung ist die Überprüfung der IBAN und des Namens der begünstigten Partei bei Überweisungen, die nicht instant ausgeführt werden: Der PSP der zahlenden Partei muss seiner Kundschaft einen Service anbieten, mit dem überprüft werden kann, ob die IBAN mit dem Namen der begünstigten Partei wie von der zahlenden Partei angegeben übereinstimmt. Der PSP kann diese Überprüfung kostenlos beim PSP der begünstigten Partei anfordern. Stimmen IBAN und Name nicht überein, muss der PSP die zahlende Partei über die Abweichung informieren. Instant Payments sind in der PSD3 explizit von der «Verification of Payee» ausgenommen, da diese bereits in der neuen Instant Payment Regulation (IPR) enthalten ist.

Um das Kundenvertrauen zu stärken, hat die Kommission die Haftungsbestimmungen verschärft. Bestreitet ein PSP, einen ausgeführten Zahlungsvorgang autorisiert zu haben, so reicht die vom PSP (z. B. einer Bank) aufgezeichnete Nutzung eines Zahlungsinstruments allein nicht aus, um nachzuweisen, dass die zahlende Partei den Zahlungsvorgang autorisiert oder in betrügerischer Absicht gehandelt oder eine oder mehrere ihrer Pflichten grob fahrlässig verletzt hat. Der PSP muss nachweisen, dass der Zahlungsdienstnutzer in betrügerischer Absicht oder grob fahrlässig gehandelt hat. Ist er dazu nicht in der Lage, muss er der zahlenden Partei den Betrag des nicht autorisierten Zahlungsvorgangs spätestens 14 Tage nach der Avisierung der Transaktion erstatten. Darüber hinaus hat die Kommission die Erstattungsansprüche der zahlenden Partei in Betrugsfällen ausgeweitet. Angenommen jemand gibt sich mit Namen, E-Mail-Adresse oder Telefonnummer als Mitarbeiterin oder Mitarbeiter eines PSP aus und veranlasst die zahlende Partei, eine betrügerische Zahlungstransaktion zu autorisieren. In diesem Fall muss der PSP den Schaden in voller Höhe ersetzen, sofern die zahlende Partei den Betrug unverzüglich bei der Polizei angezeigt und dem PSP gemeldet hat.

Ein Anbieter elektronischer Kommunikationsdienste ist verpflichtet, eng mit den PSPs zusammenzuarbeiten. Er hat unverzüglich geeignete organisatorische und technische Massnahmen zu treffen, um die Sicherheit und die Vertraulichkeit der Kommunikation zu gewährleisten. Dies gilt auch für die Übermittlung von Telefonnummern und E-Mail-Adressen. Entfernt der Anbieter den betrügerischen oder rechtswidrigen Inhalt nicht, nachdem er davon Kenntnis erhalten hat, erstattet er dem PSP den gesamten Betrag des betrügerisch autorisierten Zahlungsvorgangs, sofern die zahlende Partei den Betrug unverzüglich bei der Polizei angezeigt hat.

Die PSPs können die IBANs ihrer begünstigten Parteien untereinander austauschen, wenn sie hinreichende Anhaltspunkte für betrügerische Zahlungsvorgänge haben.

Zeitplan

Am 23. April 2024 hat das Europäische Parlament in erster Lesung die Vorschläge der EU-Kommission für die PSD3 und die dazugehörige Verordnung PSR angenommen.

Nach dem Entscheid des Rats, der für diesen Sommer erwartet wird, könnten die endgültigen Fassungen Ende 2024 vorliegen. Den Mitgliedstaaten wird eine Übergangsfrist von 18 Monaten eingeräumt, sodass die Regelung 2026 in Kraft treten könnte.

 

Romano Ramanti
Certified Ethical Hacker, Zürcher Kantonalbank

Entdecken Sie mehr

Künstliche Intelligenz: Zahlungsdaten, die den Unterschied machen

Focus

Künstliche Intelligenz: Zahlungsdaten, die den Unterschied machen

KI ist aus dem Bankenalltag nicht mehr wegzudenken. Hochwertige Zahlungsdaten sind entscheidend für massgeschneiderte Erlebnisse und effiziente KI-Anwendungen. Payment Enrichment verbessert die Datenqualität und optimiert wichtige Prozesse.

8 Juli 2026

5 Minuten
Dynamische Sicherheit zum Schutz von Kartendaten

Experts

Dynamische Sicherheit zum Schutz von Kartendaten

Der Standard PCI DSS 4.0 schützt Kreditkartendaten durch erweiterte Sicherheitsmassnahmen wie Multi-Faktor-Authentifizierung und risikobasierte Ansätze. Diese Massnahmen erhöhen die Sicherheit und Transparenz im Zahlungsverkehr.

8 Juli 2026

4 Minuten
Servicebüros: kaum bekannte Schlüsselakteure im Schweizer Zahlungsverkehr

Experts

Servicebüros: kaum bekannte Schlüsselakteure im Schweizer Zahlungsverkehr

Servicebüros sind seit den 1990er Jahren zentrale Akteure im Schweizer Zahlungsverkehr. Sie übermitteln Zahlungsaufträge und stellen die Datenintegrität sicher. Die SNB hat formale Anforderungen veröffentlicht, um Sicherheit und Effizienz zu gewährleisten.

8 Juli 2026

6 Minuten
CBDC und Instant Payments: eine Kombination mit Tücken

Panorama

CBDC und Instant Payments: eine Kombination mit Tücken

Ein einziges Land betreibt sowohl ein CBDC als auch ein Instant Payments-System, um die finanzielle Inklusion und Effizienz zu erhöhen. Unterschiedliche Standards und Technologien erschweren jedoch die Interoperabilität. Einige Länder erwägen stattdessen Wholesale CBDCs.

8 Juli 2026

4 Minuten
«Maschine schlägt Mensch» – das gilt nicht nur beim Schach, sondern auch im Zahlungsverkehr

Talk

«Maschine schlägt Mensch» – das gilt nicht nur beim Schach, sondern auch im Zahlungsverkehr

Helge Kraas, PPI AG, spricht über künstliche Intelligenz im Zahlungsverkehr. Im Fokus stehen Betrugserkennung, Instant Payments, E-Rechnungen, Request to Pay, personalisierte Finanzdienstleistungen, Regulierung sowie Finanzkriminalität und nachvollziehbare KI-Entscheidungen.

8 Juli 2026

9 Minuten
«Die Sicherheit ist das A und O»

Talk

«Die Sicherheit ist das A und O»

Professor Thomas Ankenbrand von der HS Luzern betont die Bedeutung der Sicherheit bei Zahlungslösungen. In einer Studie zeigt sein Team, dass eBill bei allen elf untersuchten Kriterien gut abschneidet. Das geschlossene System von eBill vermeidet Medienbrüche und erschwert so Betrug.

5 Dezember 2024

4 Minuten