Die wichtigsten Änderungen im Überblick:
Die Zahlungsdiensterichtlinie 3 (PSD3) ist eine aktualisierte Version der Zahlungsdiensterichtlinie 2 (PSD2) und enthält Regeln für die Effizienz und Sicherheit von elektronischen/digitalen Zahlungen und Finanzdienstleistungen in der EU. Sie zielt darauf ab, den Wettbewerb und die Innovationskraft in der Finanzindustrie zu verbessern.
PSD3 enthält umfassendere Vorschriften zur Starken Kundenauthentifizierung (SCA) und strengere Regeln für den Zugang zu Zahlungssystemen und Kontoinformationen.
Die PSD3 zielt darauf ab, die Rechte der Verbraucher und ihre persönlichen Daten zu schützen und gleichzeitig den Wettbewerb in der Payment-Branche zu verbessern.
Die neuen Vorschläge beinhalten auch eine neue Verordnung über Zahlungsdienste (Payment Services Regulation, PSR), um den Verbraucherschutz zu verbessern. Diese wird in den EU-Mitgliedstaaten direkt anwendbar sein.
Es gibt noch keinen klaren Zeitplan für die Umsetzung von PSD3 und PSR. Die endgültigen Fassungen könnten bis Ende 2024 verfügbar sein. Die Mitgliedstaaten erhalten in der Regel eine 18-monatige Übergangsfrist, sodass PSD3 und PSR etwa 2026 in Kraft treten könnten.
Seit der Einführung der vorherigen Zahlungsdiensterichtlinie (PSD) hat sich der EU-Markt für Zahlungsdienstleistungen erheblich verändert. Dies ist auf die Zunahme des elektronischen Zahlungsverkehrs und den Eintritt neuer Anbieter von Open Banking zurückzuführen.
Das Hauptziel der letzten Zahlungsdiensterichtlinie (PSD2) war es, gleiche Wettbewerbsbedingungen zwischen bestehenden und neuen Anbietern von Karten-, Internet- und mobilen Zahlungen zu gewährleisten.
Aufgrund der Entwicklungen auf dem Markt mussten die Regeln und Vorschriften für den Zahlungsverkehr überarbeitet werden. Am 28. Juni legte die Europäische Kommission Vorschläge vor, um den Zahlungsverkehr und den Finanzsektor insgesamt weiter in das digitale Zeitalter zu führen. Diese Vorschläge sehen eine Änderung und Modernisierung der PSD2 vor, die zur PSD3 wird, sowie die Einführung einer Verordnung über Zahlungsdienste (PSR).
Dieser Blogartikel gibt Ihnen einen Überblick über die Vorschläge der Europäischen Kommission zur Zahlungsdiensterichtlinie 3 (PSD3), wie sie mit PSD2 zu vergleichen sind und wie sie sich auf die Payment-Branche auswirken werden.
Was ist PSD3?
PSD3 ist eine EU-Richtlinie, die Vorschriften für die Zulassung und Beaufsichtigung von Zahlungsdienstleistern (PSPs), die keine Banken sind, in der EU enthält. Die PSD3 zielt darauf ab, die Rechte der Verbraucher und ihre persönlichen Daten zu schützen und gleichzeitig den Wettbewerb in der Payment-Branche zu verbessern. Dies ermöglicht Verbrauchern, ihre Daten sicher auszutauschen und zu einem breiteren Angebot innovativer Finanzprodukte und -dienstleistungen beizutragen. Da es sich um eine Richtlinie handelt, müssen die PSD3-Vorschriften in die nationalen Gesetze der verschiedenen EU-Mitgliedstaaten umgesetzt werden.
Was ist die PSR?
Die PSR (Payment Service Regulation) ist eine EU-Verordnung, die nach ihrer Verabschiedung und ihrem Inkrafttreten unmittelbar für die EU-Mitgliedstaaten gilt. Die PSR ist direkt anwendbar, ohne dass sie von den Mitgliedstaaten auf nationaler Ebene umgesetzt werden muss. Dies trägt zu einer einheitlichen und konsequenten Umsetzung in der gesamten EU bei. Die PSR zielt darauf ab, den Verbraucherschutz zu verbessern - ein Bereich, in dem die Einheitlichkeit der Vorschriften von entscheidender Bedeutung ist.
PSD2 vs. PSD3
PSD3 wird einen umfassenderen Geltungsbereich haben als PSD2. Dadurch ist sie für die heutige Zahlungslandschaft besser geeignet, da die ungleiche Umsetzung von Vorschriften die Chance auf regulatorische Arbitrage steigern könnte. Sie deckt die meisten Teile der PSD2-Richtlinie ab, wie Transparenz, Haftung und Open Banking. Die PSD3 enthält jedoch umfassendere Vorschriften für die Starke Kundenauthentifizierung (SCA) und strengere Regeln für den Zugang zu Zahlungssystemen und Kontoinformationen. Dies spielt eine entscheidende Rolle bei der Absicherung von Transaktionen und der Bekämpfung von Zahlungsbetrug.
Erfahren Sie mehr über das bisherige Zusammenspiel von PSD2 und SCA.
Die Auswirkungen von PSD3 auf die Payment-Branche
Die Änderungen in Bezug auf die Starke Kundenauthentifizierung (SCA) und den Zugang zu Zahlungssystemen und Kontoinformationen werden sich auf die Payment-Branche auswirken. Schauen wir uns diese Änderungen genauer an.
Starke Kundenauthentifizierung
Die PSD3-Änderungen in Bezug auf SCA werden zu einem sicheren Einkaufserlebnis beitragen. Es wird neue Regeln für den Datenaustausch, die Betrugsprävention, die Authentifizierung, die Transaktionen und die Zugänglichkeit geben.
Daten
Die Unternehmen werden zukünftig mehr Daten mit den Issuern (den ausstellenden Banken) teilen müssen, so dass diese Umgebungs- und Verhaltensmerkmale überwachen können. Dies umfasst den Standort des Nutzers, die Transaktionszeit, die verwendeten Geräte, die Ausgabengewohnheiten, den Transaktionsverlauf, die Sitzungsdaten und die Geräte-IP. Die Issuer können so die Genehmigungsquoten steigern, indem sie informierte Entscheidungen darüber treffen können, welche Transaktionen sie genehmigen und welche sie ablehnen.
Zahlungssysteme und Zahlungsdienstleister dürfen nach der Allgemeinen Datenschutzverordnung (DSGVO) personenbezogene Daten zur Betrugsprävention auch ohne ausdrückliche Zustimmung der Nutzer verarbeiten. Dies gilt jedoch nur, wenn sie die Daten zur Betrugsprävention verwenden.
Betrug
Die neuen Vorschläge deuten auch auf eine Verlagerung der Haftung in Bezug auf Betrug hin. Systeme, technische Dienstleister (wie Anbieter von digitalen Wallets) und Zahlungsgateways werden für Betrug haften, wenn sie SCA nicht anwenden. Dies schützt die Zahler vor technischen Fehlfunktionen und ermutigt die Anbieter, eine hohe Servicequalität aufrechtzuerhalten.
Die Issuer werden auch für Spoofing-Betrug haften. Dabei gibt sich ein Betrüger als Bankangestellter aus, um den Nutzer dazu zu bringen, die Zahlung zu authentifizieren. In jedem Fall gilt: Wenn der Zahler in betrügerischer Absicht oder grob fahrlässig handelt, bleibt er haftbar.
Authentifizierung
PSD2 verlangte, dass die SCA-Faktoren zu zwei der folgenden drei Kategorien gehören: Wissen, Besitz und Inhärenz. Mit PSD3 ist es möglich, zwei der gleichen Kategorien zu verwenden, z.B. Token und SMS-OTP oder sogar zwei Passwörter.
Die Delegation von SCA durch Issuer an Dritte, wie z.B. Apple Pay, wird nun als Outsourcing eingestuft und muss den Outsourcing-Regeln zur Authentifizierung des Karteninhabers entsprechen. Adyen hat sich bereits darauf eingestellt, dass das Outsourcing unter PSD3 reguliert werden könnte. Daher haben wir eine Lösung für Delegated Authentication entwickelt, die es uns ermöglicht, die Authentifizierung nicht an Dritte auszulagern. Stattdessen führen wir sie selbst durch. So können Issuer die Starke Kundenauthentifizierung an uns delegieren.
Ausnahmen
Vom Händler initiierte Transaktionen (Merchant-initiated transactions, MIT), wie z.B. Abonnements, sind nun von SCA ausgenommen. Nur die erste Transaktion erfordert SCA. Für MITs gilt dasselbe 8-wöchige bedingungslose Rückerstattungsrecht ('no question asked') wie für SEPA-Lastschriften.
Ebenso müssen kartengestützte Post- und Telefonbestellungen, auch MOTO-Transaktionen genannt, nicht mit SCA authentifiziert werden. Diese Ausnahmeregelung wird Sektoren wie der Reisebranche große Vorteile bringen.
Was die Tokenization betrifft, so ist SCA nur dann erforderlich, wenn der Karteninhaber die Transaktion veranlasst, z.B. bei einer Card-on-File-Transaktion oder wenn ein Karteninhaber seine Karte zum ersten Mal in einer digitalen Wallet anmeldet.
Zugänglichkeit
SCA muss nun auch für schutzbedürftige Kunden wie ältere Menschen, Menschen mit Behinderungen und nicht digital versierte Verbraucher zugänglich sein, indem Authentifizierungsmethoden angeboten werden, die nicht ausschließlich auf Smartphones beruhen.
Zugang zu Zahlungssystemen und Kontoinformationen
Die PSR wird Änderungen am bestehenden Open-Banking-Rahmen einführen, die Hindernisse für die Bereitstellung von Open Banking beseitigen. Zudem soll die Verfügbarkeit von Bank- und Finanzdienstleistungen erhöht werden.
Anbieter von Zahlungsauslösediensten (Payment Initiation Service Providers, PISPs) und Anbieter von Kontoinformationsdiensten (Account Information Service Providers, AISPs) werden die Möglichkeit haben, benutzerdefinierte Schnittstellen für die Anbindung an Banken und andere Finanzinstitute zu entwickeln.
Banken und Finanzinstitute werden mehr Informationen über ihre API-Leistung weitergeben müssen, indem sie vierteljährliche Statistiken über die Verfügbarkeit und Leistung von Schnittstellen veröffentlichen. Dies schafft ein höheres Maß an Transparenz und Unternehmen erhalten einen genaueren Einblick in die Zahlungssysteme. So können sie fundierte Entscheidungen darüber treffen, welchen Partner sie für ihre Zahlungsabwicklung wählen wollen.
Im Falle von Bankausfällen oder Störungen müssen die Banken Dritten (AISPs und PISPs) die Nutzung ihrer eigenen Bankschnittstellen gestatten, was zu effizienteren Zahlungsprozessen für digitale Unternehmen und deren Kunden führt. Nach geltendem Zivilrecht haben sie außerdem das Recht, Schadenersatz für entstandene Verluste zu verlangen.
Die Banken sind verpflichtet, ihren Kunden ein Permission-Dashboard zur Verfügung zu stellen. Dieses Dashboard ermöglicht es den Kunden, die den AISPs erteilten Genehmigungen kontinuierlich zu überwachen und diese bequem zu verwalten.
Wie geht es weiter?
Die Vorschläge der PSD3 und des PSR gewährleisten, dass die Verbraucher weiterhin sicher und zuverlässig elektronische Zahlungen und Transaktionen in der EU durchführen können - sei es im Inland oder über Landesgrenzen hinweg, in Euro oder in anderen Währungen. Sie zielen darauf ab, eine größere Auswahl an Zahlungsdienstleistern zu ermöglichen und gleichzeitig die Kunden zu schützen.
Bei Adyen arbeiten wir mit Regulierungsbehörden und Kartennetzwerken zusammen, um sicherzustellen, dass alles für PSD3 bereit ist. Im Moment sind keine weiteren Maßnahmen erforderlich. Wir werden Sie per E-Mail und Systemnachrichten über die neuesten Entwicklungen der Vorschriften auf dem Laufenden halten, um eine optimale Nutzung zu gewährleisten.
Es gibt noch keinen klaren Zeitplan für die Umsetzung von PSD3 und PSR. Das Europäische Parlament und der Europäische Rat werden die vorgeschlagenen Änderungen überprüfen. Die endgültigen Fassungen könnten bis Ende 2024 verfügbar sein. Die Mitgliedstaaten erhalten in der Regel eine 18-monatige Übergangsfrist, so dass PSD3 und PSR etwa 2026 in Kraft treten könnten. Wenn Sie weitere Einzelheiten erfahren möchten, schauen Sie sich die offizielle Pressemitteilung der Europäischen Kommission hier an.
Erfahren Sie hier mehr darüber, wie Sie durch eine bessere Authentifizierung eine Balance zwischen Kundenerlebnis und Sicherheit schaffen können.
Holen Sie sich Payment-News direkt in Ihre Inbox.
Ich bestätige, dass ich die Datenschutzbestimmungen von Adyen gelesen habe und stimme der Verwendung meiner Daten im Einklang damit zu.