Wie sich PSD3 auf die Multi-Faktor-Authentifizierung in Banking Apps auswirkt

Die Art und Weise, wie Kund:innen Zahlungen authentifizieren, steht vor einem Wandel. PSD3, das voraussichtlich 2025 finalisiert wird und Anfang 2026 in Kraft tritt (mit einer Umsetzung bis 2027), wird die Multi-Faktor-Authentifizierung in europäischen Banking Apps grundlegend verändern.

Im Gegensatz zu PSD2, das sich in erster Linie auf Betrugsvermeidung konzentrierte, verfolgt PSD3 einen ganzheitlicheren Ansatz. Es berücksichtigt die Zugänglichkeit für Benutzer:innen, erweitert die Regelungen zur Haftung und gibt Banken mehr Flexibilität bei der Authentifizierung ihrer Kundschaft.

Diese Flexibilität bringt jedoch neue Herausforderungen mit sich. Banken müssen beispielsweise auch Kund:innen unterstützen, die keine Smartphones nutzen, eine grössere Haftung für Betrugsverluste übernehmen und Authentifizierungsmethoden implementieren, die für alle funktionieren.

In diesem Artikel zeigen wir, welche Auswirkungen diese Änderungen haben, welche neuen Chancen sich daraus ergeben und wie Banken sich vorbereiten können.

PSD3 bringt einige wesentliche Änderungen für die Authentifizierung mit sich. Die bedeutendste ist die Erlaubnis, zwei Faktoren derselben Kategorie zu verwenden.

• PSD2 verlangt zwei Authentifizierungstypen aus unterschiedlichen Kategorien
• PSD3 erlaubt zwei Authentifizierungstypen aus derselben Kategorie

Diese MFA-Kategorien gibt es:

• Wissen: Angaben, welche nur die Benutzer:innen kennen (Passwort, PIN, Sicherheitsfrage)
• Besitz: Angaben, welche nur die Benutzeri:nnen haben (Smartgerät, Kartenleser, Hardware-Token)
• Inhärenz: Biometrische Angaben der Benutzer:innen (Fingerabdruck, Gesichtserkennung, Spracherkennung)

Mit PSD2 konnte man z. B. ein Passwort (Wissen) mit einem Fingerabdruck (Inhärenz) kombinieren. Mit PSD3 ist es hingegen möglich, zwei Wissensfaktoren wie Passwort und PIN oder zwei biometrische Verfahren wie Fingerabdruck und Gesichtserkennung zu kombinieren.

Die neuen Vorschriften erweitern zudem, was als Betrug gilt. Mit PSD3 haften Banken auch für Social-Engineering-Angriffe und für sogenannte „Authorised Push Payment“ (APP)-Betrugsfälle, bei denen sie verdächtige Aktivitäten hätten erkennen müssen. Allein im DACH-Raum beliefen sich APP-Betrugsverluste im Jahr 2023 auf €12,44 Milliarden – ein Haftungswechsel, der massive finanzielle Auswirkungen haben kann.

Mit der Einführung von PSD3 muss der Login-Prozess in der Banking App flexibler, zugänglicher und inklusiver werden. Die ausschliessliche Abstützung auf smartphone-basierte Methoden reicht nicht mehr – die App muss die Geräteeigenschaften der Nutzer:innen erkennen und passende Alternativen anbieten.

Dies bringt neue technische Herausforderungen mit sich. Backend-Systeme müssen verschiedene Authentifizierungsmethoden verwalten und gleichzeitig höchste Sicherheit garantieren. Zudem müssen sich Banken auf neue digitale Identitätsrahmen wie eIDAS2 einstellen, die Authentifizierungen EU-weit standardisieren und potenziell vereinfachen werden.

Nach Finalisierung von PSD3 haben Banken 18 Monate Zeit für die Umsetzung. Bei geplanter Finalisierung im Jahr 2025 wird die Frist zur Einhaltung der neuen Richtlinie voraussichtlich Ende 2027 liegen. Die genauen Zeitpunkte hängen vom jeweiligen nationalen Gesetzgebungsverfahren ab – manche Länder werden schneller, andere langsamer sein. Es ist daher entscheidend, die lokalen Umsetzungsfristen im Auge zu behalten.

Mit einer frühzeitigen Vorbereitung vermeiden Banken die hektischen Last-Minute-Situationen, wie sie bei PSD2 vielerorts auftraten.

EU-weit scheitern rund 26 % der Versuche zur starken Kundenauthentifizierung (SCA). In Mobile Apps ist die Erfolgsquote sogar besonders niedrig – nur 37 % der Authentifizierungsversuche gelingen, gegenüber 78 % bei browserbasierten Transaktionen.

Da PSD3 mehr Authentifizierungsmöglichkeiten zulässt, verbessert sich auch das Kundenerlebnis. Out-of-Band (OOB)-Authentifizierung (Authentifizierung über ein separates Gerät oder einen separaten Kanal) eliminiert viele Passwort-Risiken und erfüllt dennoch die regulatorischen Anforderungen an Zwei-Faktor-Sicherheit. Der Nutzen für Unternehmen ist klar: Banken, die solche Verfahren nutzen, berichten von weniger Supportanfragen und höheren Zufriedenheitswerten.

Die grösste technische Hürde für viele Banken wird sein, die Authentifizierung für alle Kundengruppen sicherzustellen. Unter PSD2 konnte man sich weitgehend auf smartphone-basierte Lösungen konzentrieren. Mit PSD3 und den neuen Barrierefreiheitsanforderungen ist das nicht mehr ausreichend – in Österreich besitzen beispielsweise nur 46 % der über 65-Jährigen ein Smartphone.

Die gute Nachricht: Es gibt moderne Authentifizierungsmethoden, die genau hier ansetzen. Spracherkennung kann Menschen mit Sehbehinderung helfen, vereinfachte Interfaces unterstützen weniger technikaffine Personen. Die Lösung liegt darin, verschiedene Authentifizierungsoptionen anzubieten, die alle den PSD3-Sicherheitsstandards entsprechen – so können Nutzeer:innen je nach Fähigkeit und Situation selbst wählen.

Die Integration neuer Authentifizierungsmethoden in bestehende Systeme erfordert eine sorgfältige Planung. Viele Banken nutzen noch Legacy-Technologien, die schrittweise modernisiert werden müssen. Drittanbieterlösungen wie die Digital Identity Lösung von G+D Netcetera wurden genau dafür entwickelt – sie berücksichtigen bestehende Infrastrukturen und bringen dennoch moderne Sicherheitsfunktionen mit. Banken können also PSD3-Anforderungen erfüllen, ohne die gesamte IT-Landschaft neu aufzusetzen.

Möchten Sie erfahren, wie G+D Netcetera Ihre Bank bei PSD3-konformer Authentifizierung unterstützen kann? Kontaktieren Sie unsere Expert:innen.