PSD3: EU zieht mit strengen Betrugsregeln nach

Neue EU-Richtlinien und britische Regeln verlagern die Haftung für Impersonation-Betrug von Verbrauchern auf Banken und Tech-Plattformen. Die Umsetzung stellt Finanzinstitute vor technische Herausforderungen.

Die Finanzwelt startet mit einem Paukenschlag ins neue Jahr: Sowohl die EU als auch Großbritannien zwingen Banken und Plattformen nun zu strenger Haftung bei Betrug. Der Fokus liegt auf der sogenannten Autorisierten Zahlungsbetrug.

Während das Vereinigte Königreich bereits seit über einem Jahr ein verpflichtendes Erstattungsmodell hat, zieht die Europäische Union jetzt nach. Die Einigung auf die Dritte Zahlungsdiensterichtlinie (PSD3) und die Zahlungsdienste-Verordnung (PSR) Ende 2025 markiert einen Wendepunkt. Beide Rechtsräume etablieren ein striktes Haftungsmodell, das die Last von den Verbrauchern auf die Finanzinstitute und – erstmals in der EU – auch auf Online-Plattformen verlagert.

EU führt Haftung bei “Impersonation”-Betrug ein

Die wichtigste Neuerung für den europäischen Markt resultiert aus der Einigung von Parlament und Rat vom 27. November 2025. Kernstück ist die neue Haftung der Zahlungsdienstleister (PSP) bei “Impersonation”- oder Spoofing-Betrug. Dabei geben sich Kriminelle als Bankmitarbeiter oder vertrauenswürdige Unternehmen aus, um Opfer zu einer Überweisung zu bewegen.

Unter der finalisierten PSR müssen PSP Kunden nun den Schaden ersetzen – vorausgesetzt, der Betrug wurde bei Polizei und Bank gemeldet. Dies beendet den Flickenteppich freiwilliger Erstattungsregeln und schafft EU-weiten Verbraucherschutz. Zudem wird der “Verification of Payee” (IBAN-Name-Check) für alle PSP verpflichtend. Diese in Großbritannien und den Niederlanden etablierte Technologie bedeutet für viele europäische Institute eine massive technische Herausforderung.

Viele Zahlungsdienstleister stehen wegen Impersonation- und Phishing-Angriffen unter massivem Druck. Ein praxisnaher Gratis‑Leitfaden erklärt, wie Banken und Plattformen organisatorisch und technisch gegen CEO‑Fraud, Phishing und KI‑gestützte Angriffe vorgehen sollten – von Erkennungsregeln bis zu Sofortmaßnahmen für Compliance- und IT‑Teams. Jetzt kostenlosen Cyber-Security-Guide sichern

Großbritannien: Vom Erstatten zum Verhindern

In Großbritannien hat sich der Fokus nach 15 Monaten Laufzeit der Regeln von der Umsetzung zur Optimierung verschoben. Die Vorgaben der Aufsichtsbehörde Payment Systems Regulator (PSR) teilen die Haftung 50:50 zwischen sendender und empfangender Bank, gedeckelt auf 85.000 Pfund.

Der finanzielle Druck zwingt die Institute, Betrug präventiv zu stoppen. Das alte “Pay-and-Chase”-Modell gilt als nicht mehr tragbar. Stattdessen setzen Banken nun verstärkt auf verhaltensbasierte Biometrie und KI-gestützte Risikoerkennung. Betrugsverluste werden so zu einer direkten Betriebskostenfrage.

Der Kampf um die Tech-Plattformen

Ein entscheidender Unterschied zwischen EU und UK zeigt sich bei der Haftung von Tech-Giganten und sozialen Medien, wo die meisten Betrugsfälle ihren Ursprung haben.

Die EU führt eine “bedingte Haftung” für Online-Plattformen ein. Versäumen es diese, betrügerische Inhalte zu entfernen, die zu einem Schaden führten, können sie zur Erstattung an die Zahlungsdienstleister herangezogen werden. Dieses “Verursacherprinzip” könnte soziale Netzwerke zwingen, Betrugswerbung und Fake-Profile aggressiv zu löschen.

Das britische Modell belastet hingegen primär den Finanzsektor. Die klare Regelung der EU könnte jedoch den Druck auf die UK-Aufseher erhöhen, nachzuziehen, um regulatorische Schlupflöcher zu schließen.

Hintergrund: Ein Milliardenschaden erzwingt Handeln

Die Dringlichkeit der Reformen wird durch die schiere Größe des Schadens belegt. Betrug ist im UK die häufigste Straftat, mit Verlusten von über 1,1 Milliarden Pfund (2024). Die verpflichtende Erstattung soll Banken zu Investitionen in bessere Sicherheitssysteme motivieren – ein Trend, der sich in den Strategieplänen für 2026 deutlich abzeichnet.

Beobachter merken an, dass der EU-Ansatz durch die Kombination aus IBAN-Name-Check-Pflicht und Plattformhaftung umfassender sein könnte. Die EU-Verordnung verpflichtet PSP zudem, Ausgabenlimits und Sperrfunktionen anzubieten, was Verbrauchern eine Art “Selbstversicherung” gegen Betrug in hoher Höhe ermöglicht.

Die Umsetzung bleibt eine Herausforderung. Während die UK-Regeln bereits gelten, werden PSD3 und PSR in der EU eine Übergangsfrist durchlaufen. Die vollständige Compliance der Mitgliedstaaten und Unternehmen wird wohl erst 2027 oder 2028 erreicht. Dennoch ist 2026 das Jahr der technischen Vorbereitung.

Ausblick: Standardisierung und Datenaustausch

Für das verbleibende Jahr 2026 zeichnen sich zwei Trends ab:
1. Technische Standardisierung: In der EU läuft der Wettlauf um einen einheitlichen IBAN-Name-Check für grenzüberschreitende Zahlungen – eine komplexe Aufgabe angesichts fragmentierter Bankendaten.
2. Verbesserter Datenaustausch: Beide Rechtsrahmen betonen die Notwendigkeit eines besseren Informationsaustauschs zwischen Banken. Neue Konsortien oder Datenprotokolle sollen empfangenden Banken helfen, Geldwäsche-Konten frühzeitiger zu identifizieren.

Wie Analysten betonen, wird die Brücke zwischen Compliance und Prävention zum entscheidenden Erfolgsfaktor. Institute, die die Regeln nur als Erstattungskosten sehen, werden kämpfen. Jene, die das Mandat für eine Modernisierung ihrer Betrugsabwehr nutzen, gewinnen einen Wettbewerbsvorteil in puncto Kundenvertrauen und Effizienz.

PS: Noch unsicher, welche Schutzmaßnahmen Priorität haben? Der Gratis‑Leitfaden fasst die wichtigsten Cyber‑Security‑Trends für 2026 zusammen – von Anti‑Phishing‑Programmen über KI‑gestützte Risikoerkennung bis zu organisatorischen Vorgaben für Zahlungsdienstleister. Ideal für IT‑Leiter, Compliance‑Teams und Zahlungsanbieter, die PSD3/PSR technisch und prozessual vorbereiten wollen. Gratis E‑Book: Cyber Security Awareness Trends herunterladen