Der europäische Rechtsrahmen für Zahlungsdienste durchläuft seine bedeutendste Überarbeitung seit PSD2. Nach der politischen Einigung im November 2025 befinden sich PSD3 und die Payment Services Regulation (PSR) nun in der finalen Gesetzgebungsphase. Die formelle Verabschiedung und das Inkrafttreten werden für Anfang bis Mitte 2026 erwartet. Die PSR als unmittelbar geltende Verordnung erfordert keine nationale Umsetzung und wird die erste Durchsetzungsphase – einschließlich Strong Customer Authentification (SCA), Haftung bei Betrug und Open-Banking-Verpflichtungen – Ende 2026 bis Anfang 2027 auslösen.
Bei Namirial sehen wir PSD3/PSR als eines der klarsten Beispiele für das, was wir in unseren Prognosen für 2026 beschrieben haben: Zahlungen, digitale Identität und Strong Customer Authentication konvergieren zu einer einheitlichen Vertrauensinfrastruktur. Die regulatorischen Rahmenwerke verlaufen nicht mehr parallel. PSD3/PSR, AMLR und eIDAS 2.0 konvergieren hin zu einer gemeinsamen Architektur für Identitätsprüfung, Authentifizierung und Transaktionsautorisierung. Organisationen, die heute auf diese Konvergenz ausrichten, werden morgen einen strukturellen Compliance-Vorteil haben.
Dieser Artikel erläutert, was PSD3 und PSR in der Praxis für Authentifizierung, digitale Signaturen und Identitätsinfrastruktur bedeuten, wie sich das SCA-Framework unter der PSR weiterentwickelt, wie die EUDI Wallet und QES zu zentralen SCA-Instrumenten werden und wie die Plattform von Namirial alle Ebenen dieser Anforderungen abdeckt.
Warum PSD2 ein Update benötigte: die Authentifizierungslücke
PSD2 brachte echte Fortschritte: Sie führte SCA ein, schuf die rechtliche Grundlage für Open Banking und reduzierte die Kartenbetrugsraten. Doch ihre praktische Umsetzung zeigte anhaltende strukturelle Schwächen, die PSD3 und PSR gezielt adressieren.
Das kritischste Versagen betraf die Qualität der SCA. Die Zustellung von OTP per SMS erwies sich als stark phishing-anfällig: SIM-Swap-Angriffe, Social Engineering und mobile Malware machten SMS-basierte SCA zu einer schwachen Verteidigung gegen die industrialisierten Betrugsmethoden der heutigen Bedrohungslandschaft. Gleichzeitig wurden Open-Banking-APIs in den Mitgliedstaaten uneinheitlich implementiert, die Haftung für Authorized Push Payment (APP)-Betrug blieb unklar, und für delegierte Authentifizierung existierte kein regulatorischer Rahmen.
PSD3 und PSR sind eine gezielte Antwort auf diese Schwächen. Die wichtigsten Änderungen:
- Breitere und stärkere SCA: umfasst Logins, Mandatseinrichtung, Verwaltung von Begünstigten, Gerätewiederherstellung und alle risikoreichen Kontoaktionen
- Erweiterte Haftung bei Betrug: PSPs tragen die Verantwortung für SCA-Fehler, auch wenn die Authentifizierung an Dritte delegiert wird
- Verpflichtende Verification of Payee (VoP): IBAN-/Namensabgleich vor jeder Überweisung
- Standardisierte Open-Banking-APIs: durchsetzbare Leistungsparität mit explizit verbotenen Hindernissen
- Formale Angleichung an eIDAS 2.0: QES und EUDI-Wallet-Zugangsdaten als gültige SCA-Methoden anerkannt
- Haftung bei PSP-Imitationsbetrug: PSP haftet, wenn eine Kundin bzw. ein Kunde durch die Nachahmung des PSP selbst betrogen wird
PSD2 vs. PSD3/PSR: die operativen Änderungen
Die folgende Tabelle zeigt die operativ wichtigsten Änderungen für Organisationen, die digitale Authentifizierung, Zahlungsprozesse und Identitätsinfrastrukturen verwalten:
Die kombinierte Wirkung ist eine deutlich höhere Compliance-Belastung für PSPs und deren Technologiepartner, mit erweiterter Haftung entlang der Delegationskette. Für Anbieter von SCA-Diensten ist PSD3/PSR ein direktes regulatorisches Ereignis.
Die Entwicklung der SCA: Von Passwörtern zu phishing-resistenter Authentifizierung
Strong Customer Authentication unter der PSR behält das Zwei-Faktor-Prinzip bei, mindestens zwei aus Wissen, Besitz und Inhärenz, erhöht jedoch erheblich die Anforderungen daran, was jeder Faktor leisten muss.
Das Kernproblem, das die PSR löst: OTP ist nicht mehr ausreichend
Unter PSD2 erfüllten die meisten Institute die SCA mit einem Passwort (Wissen) plus einem SMS-OTP (Besitz). Diese Kombination erwies sich als tiefgreifend verwundbar. Die Abfangung von SMS, SIM-Swap-Betrug und malwaregestützte OTP-Erfassung machten SMS-basierte SCA zu einem primären Angriffsvektor. Die PSR reagiert darauf, indem sie die Qualitätsanforderungen an Authentifizierungsfaktoren erhöht und einen ergebnisbasierten Ansatz formalisiert: PSPs, die konstant niedrige Betrugsraten nachweisen, durch eine robuste Transaction Risk Analysis (TRA), erhalten Zugang zu erweiterten Ausnahmen. Gleichzeitig wurde jedoch auch die Schwelle für den Nachweis dieser niedrigen Betrugsraten erhöht.
Verhaltensbiometrie als formalisiertes SCA-Element
Die PSR formalisiert eine bedeutende Erweiterung dessen, was als gültiger Inhärenzfaktor gilt. Verhaltensbiometrie, einschließlich Tippmuster, Nutzungsdynamik von Geräten und Signale aus dem Surfverhalten, kann nun formal mit physiologischer Biometrie kombiniert werden, um einen gültigen zweiten Faktor zu bilden. Dies eröffnet die Möglichkeit vollständig reibungsloser SCA für risikoarme Aktionen, bei denen eine risikoadaptive Authentifizierung den Nutzende still und ohne aktive Interaktion verifizieren kann.
Delegierte SCA: Innovation erlaubt, Haftung bleibt bestehen
Die PSR erlaubt ausdrücklich die Delegated Authentication (DA): Ein PSP kann die SCA an eine Drittpartei delegieren, etwa einen digitalen Wallet-Anbieter, ein Zahlungs-Gateway oder einen Vertrauensdiensteanbieter. Dies ist ein wesentlicher Enabler für Embedded Finance und Open-Banking-Innovation. Allerdings klassifiziert die PSR die Delegation als Outsourcing, wodurch die vollständige Anwendung der EBA-Outsourcing-Leitlinien sowie der DORA-Anforderungen an ICT-Risiken ausgelöst wird. Der delegierende PSP behält die volle Haftung für SCA-Fehler.
Die Konvergenz, die das Jahrzehnt prägt: PSD3, eIDAS 2.0 und AMLR
Wie wir in unseren Prognosen für 2026 geschrieben haben, ist die folgenreichste Entwicklung im europäischen Digital Trust nicht eine einzelne Regulierung, sondern die Konvergenz von drei Rahmenwerken rund um eine gemeinsame Identitätsinfrastruktur:
PSD3/PSR: Authentifizierung muss stark, sorgfältig delegiert und phishing-resistent sein
SCA-Verpflichtungen werden durch die PSR ab Ende 2026 direkt durchsetzbar. Die Qualität der Authentifizierungsfaktoren, die Haftung bei Delegation und die Anforderungen an Betrugsüberwachung setzen einen neuen Mindeststandard für jeden PSP, der in der EU tätig ist.
eIDAS 2.0: Die EUDI Wallet wird zu einem SCA-Instrument erster Klasse
Gemäß Artikel 5f von eIDAS 2.0 müssen Finanzinstitute die EUDI Wallet bis Dezember 2027 als gültige Authentifizierungsmethode akzeptieren. Dies ist kein Zukunftsszenario, sondern eine verbindliche Verpflichtung mit klarer Frist, auch wenn einige Aspekte noch zu klären sind, da sich die Formulierung in eIDAS („strong user authentication“) von der in Zahlungs-/Finanzregulierung unterscheidet und weniger detailliert ist. Wallet-basierte Credentials, die von QTSPs ausgegeben und nach eIDAS-Assurance-Leveln verifiziert werden, erfüllen gleichzeitig die PSR-SCA-Anforderungen für Besitz und Inhärenz und ermöglichen zudem die selektive Offenlegung von Identitätsattributen, wodurch die Datenexposition reduziert wird.
AMLR: Dieselbe Identität, die KYC durchführt, kann auch SCA durchführen
Wenn AMLR ab Juli 2027 gilt, wird die regulatorische Überlappung operativ entscheidend: Eine Institution, die eine EUDI-Wallet-Credential für KYC gemäß Artikel 22 AMLR akzeptiert, erfüllt gleichzeitig die SCA-Anforderung der PSR für dieselbe Kundeninteraktion. Dies ist die Konvergenz, die Infrastrukturinvestitionen strategisch macht und nicht nur compliance-getrieben. Eine einzelne qualifizierte Identität, einmal verifiziert nach ETSI TS 119 461 v2.1.1, kann als Vertrauensanker für KYC, SCA und regulierte Dokumentensignatur im selben Workflow dienen.
Der gesetzgeberische Zeitplan: Handeln vor der Durchsetzung
Der Zeitraum 2026 bis 2027 ist das operative Vorbereitungsfenster. Architektonische Entscheidungen, die jetzt getroffen werden, bestimmen die Compliance-Position, wenn Verpflichtungen durchsetzbar werden:
Ein praktischer Hinweis zur Aufteilung PSR/PSD3: Die PSR enthält die meisten operativen Regeln, einschließlich SCA, Betrug, Transparenz und Open-Banking-Verpflichtungen, und tritt direkt 20 Tage nach Veröffentlichung in Kraft, ohne nationale Umsetzung. PSD3 regelt die Lizenzierung und institutionelle Aufsicht von Zahlungsinstituten und erfordert eine 18-monatige Umsetzungsfrist. Zentrale SCA- und Haftungsregeln werden daher durchsetzbar sein, bevor nationale PSD3-Regeln vollständig gelten.
Wie Namirial PSD3/PSR adressiert: Eine Full-Stack-Authentifizierungsplattform
Namirial ist ein Qualified Trust Service Provider (QTSP) unter eIDAS und in mehreren europäischen Märkten tätig, über Namirial S.p.A. (Italien) und Uanataca (Spanien). Unsere Plattform deckt den gesamten SCA-Stack ab, der durch PSD3/PSR erforderlich ist: EUDI-Wallet-Infrastruktur, zertifikatsbasierte qualifizierte Signaturen, föderierte eID-Integration und qualifizierte Compliance-Archivierung.
Namirial Wallet: EUDI-Wallet-SCA, bereit vor der Frist Dezember 2027
Unsere Wallet-Plattform, bestehend aus Wallet Gateway (Protokollorchestrierung), Wallet App (Credential-Management auf Nutzerseite) und Wallet Studio (Issuer-Management), ermöglicht es Organisationen, EUDI-Wallet-Credentials als SCA-Instrumente sowohl unter PSR als auch unter eIDAS 2.0 Art. 5f zu integrieren. Namirial ist aktiver Teilnehmer der EUDI-Wallet Large Scale Pilots im Potential-Konsortium mit Erfahrung in Behörden, Banking, Telekommunikation und E-Signaturen. Ein Wallet-as-a-Service (WaaS)-Angebot befindet sich in Entwicklung für Organisationen, die eine schnelle Integration benötigen, ohne eigene Wallet-Infrastruktur aufzubauen.
QES über Namirial Sign Enterprise: Mandatssignatur und hochsichere Zahlungsautorisierung
Qualifizierte elektronische Signaturen, ausgestellt durch Namirials Multi-QTSP-Infrastruktur in Italien, Spanien und Frankreich, bieten zertifikatsbasierte Authentifizierung, die die meisten PSD2-SCA-Implementierungen übertrifft. Unter der PSR ist QES-basierte Authentifizierung direkt anwendbar für Mandatseinrichtung, SEPA-Autorisierungen und regulierte Onboarding-Prozesse mit hohen Anforderungen an Identitätssicherheit.
Einmalzertifikate („single-use“), gültig für 60 Minuten und an eine spezifische Transaktion gebunden, ermöglichen hochsichere QES-Signaturen ohne dauerhafte Zertifikatsspeicherung. Dies macht QES skalierbar für Zahlungsprozesse, bei denen starke Authentifizierung pro Transaktion und nicht pro Sitzung erforderlich ist. Die Multi-QTSP-Architektur (Namirial und Uanataca) bietet zudem geografische Resilienz und Kontinuität gemäß DORA: Bei Ausfall eines QTSP können SCA-Prozesse ohne Unterbrechung umgeleitet werden.
Namirial Archive: revisionssichere SCA-Nachweise
Die erweiterten PSR-Haftungsregeln verlangen, dass PSPs robuste, manipulationssichere Nachweise über korrekt angewandte SCA für jede Transaktion aufbewahren. Namirial Archive bietet qualifizierte Langzeitarchivierung (QPRES, eIDAS eArchiving-konform), NF 461-Zertifizierung in Frankreich (AFNOR) und SAE QC2-Qualifikation in Italien (ACN). Authentifizierungsereignisse, Signaturzertifikate, Transaktionsprotokolle und Identitätsnachweise werden mit voller Rechtsgültigkeit archiviert.
Namirial-Lösungen im Kontext der PSR-SCA-Anforderungen:
Fazit: SCA ist ein Geschäftsmodell, nicht nur Compliance
Unser Regulatory Observatory hat SCA unter PSD3/PSR als „positives, neues Geschäftsfeld“ identifiziert, insbesondere im Keyless/IAM-Segment. Wir bestätigen diese Einschätzung. Die Ausweitung der SCA, die Formalisierung der delegierten Authentifizierung und die Angleichung an die EUDI Wallet schaffen einen echten Markt für phishing-resistente, FIDO2-basierte, wallet-native Authentifizierung auf Zahlungsebene – genau die Infrastruktur, die Namirial aufgebaut hat.
Der Zeitraum 2026 bis 2027 ist kein Planungszeitraum. Er ist die operative Phase für Infrastrukturentscheidungen, die jetzt getroffen werden müssen. Institutionen, die Authentifizierungspartner wählen, die gleichzeitig mit PSR, DORA, eIDAS 2.0 und AMLR konform sind, erfüllen nicht nur regulatorische Anforderungen: Sie bauen die Infrastruktur für das nächste Jahrzehnt vertrauenswürdiger digitaler Finanzsysteme.
Namirial ist bereit, diesen Übergang zu unterstützen: als EUDI-Wallet-Technologieanbieter, als Multi-Markt-QTSP für QES-basierte SCA und als DORA-konformer ICT-Partner entlang des gesamten Authentifizierungslebenszyklus im Zahlungsverkehr.
Verwandte Inhalte auf namirial.com
- Namirial Prognosen 2026: Zahlungen, SCA und die Konvergenz von Digital Trust
- Compliance in Chancen verwandeln: die EUDI Wallet im Finanzsektor
- Von AMLR zu eIDAS 2.0: Compliance in KYC und Onboarding
- AML-KYC: die Welle 2026–2027
- Namirial Wallet Plattform: digitale Identität und Trust Services der nächsten Generation
