Die dritte Zahlungsdiensterichtlinie (PSD3) steht vor der Tür – und sie wird kein Routine‑Update. Was 2018 mit PSD2 als Sprungbrett für Open Banking begann, wird nun zu einem flächendeckenden Modernisierungsprogramm – regulatorisch wie operativ. Die EU legt die Latte für Open Banking, Verbraucherschutz und Betrugsprävention deutlich höher. Im Zusammenspiel mit der neuen Zahlungsdiensteverordnung (PSR) entsteht ein Regelwerk, das nicht nur Zahlungen sicherer, sondern auch digitaler, transparenter und wettbewerbsintensiver machen soll.
Was ändert sich?
PSD3 bringt voraussichtlich ab Mitte 2027 strengere Anforderungen an Autorisierung und Reporting und schafft ein harmonisiertes Lizenzregime für Zahlungs‑ und E‑Geld‑Institute. Die bisherige E-Geld-Richtlinie wird ersetzt. Die PSR schreibt technische Schnittstellen verbindlicher vor, vereinheitlicht Sicherheitsstandards (insbesondere bei starker Kundenauthentifizierung) und erleichtert die Durchsetzung von Zugriffsrechten auf Kontodaten.
Für Finanzintermediäre bedeutet das: bewährte Modelle stehen auf dem Prüfstand. Schnittstellen müssen offener, Prozesse agiler und die Kundenauthentifizierung robuster werden. Die regulatorischen Schwerpunkte liegen auf stärkerer Aufsicht, konvergenten IT‑Standards und nahtloser Dateninteroperabilität. Was nach Technik klingt, greift tief in Geschäftsmodelle und Compliance‑Architekturen ein.
Was das operativ bedeutet
Praktisch erfordern die Neuerungen umfassende Anpassungen in IT-Systemen und operativen Abläufen.
- Systemintegration: Zahlungs‑ und Stammdatensysteme müssen enger verzahnt werden, um neue Meldepflichten automatisiert zu erfüllen.
- Kunden‑Authentifizierung: Anpassungen an Authentifizierungs‑Flows sind technisch komplex und berühren oft Frontends, Mobile Apps und Schnittstellen zu Drittdienstleistern.
- API‑Management: Einheitliche, belastbare APIs sind künftig kein Bonus mehr, sondern regulatorische Pflicht – mit Auswirkungen auf Governance, Testing und Monitoring.
- Compliance‑Reporting: Höhere Datenqualität und Echtzeit‑Fähigkeit werden zum Muss. Prozesse zur Fehlererkennung und ‑korrektur brauchen Automatisierung und Querzugriff zwischen Fach‑ und IT‑Bereichen.
- Legacy‑Risiken: Bestehende Systeme lassen sich oft nicht ohne tiefen Eingriff an neue Sicherheitsstandards anpassen – insbesondere, wenn Schnittstellen historisch gewachsen sind.
Zeitplanung
Am 27. November 2025 haben sich das EU-Parlament und der Europäische Rat politisch geeinigt und so den Weg für die formale Verabschiedung des Payment Services Package frei gemacht. Dieser formale Akt ist noch im ersten Halbjahr 2026 zu erwarten. Da die Inhalte des Pakets bereits bekannt sind, können Finanzintermediäre die Zeit nutzen und entsprechende Transformationsprojekte starten.
Die Vorbereitung auf PSD3 ist ein Stresstest für operative Exzellenz, denn sie erfordert Interdisziplinarität zwischen Compliance, IT und Produktteams, zudem müssen Prozesse end‑to‑end durchdacht werden. Unternehmen müssen daher spätestens 2026 mit der Umsetzung beginnen, um Test‑ und Audit‑Phasen fristgerecht abzuschliessen.
Wer früh mit Gap‑Analysen und Prozesssimulationen startet, stellt nicht nur regulatorische Compliance her, sondern schafft auch einen Innovationsvorsprung. Denn PSD3 bietet Chancen: neue API‑Strategien, datenbasierte Zusatzservices und stärker integrierte Kundenerlebnisse.
Fazit
PSD3 und PSR markieren eine wesentliche Weiterentwicklung des europäischen Zahlungsverkehrs, die hohe Anforderungen an die operative Umsetzungsfähigkeit und strategische Planung der Finanzinstitute stellt. Eine frühzeitige, interdisziplinäre Vorbereitung unterstützt die Einhaltung der ab 2027 geltenden Vorgaben und schafft zugleich die Grundlage für zukunftsfähige Strukturen – insbesondere durch standardisierte Schnittstellen, verbesserte Dateninteroperabilität und widerstandsfähige Compliance-Prozesse. Die bis zur formellen Verabschiedung verbleibende Zeit sollte genutzt werden, um regulatorische Risiken zu minimieren und betriebliche Anpassungen gezielt einzuleiten.