Wie sich PSD3 auf die Multi-Faktor-Authentifizierung in Banking Apps auswirkt

Die Art und Weise, wie Kund:innen Zahlungen authentifizieren, steht vor einem Wandel. PSD3, das voraussichtlich 2025 finalisiert wird und Anfang 2026 in Kraft tritt (mit einer Umsetzung bis 2027), wird die Multi-Faktor-Authentifizierung in europäischen Banking Apps grundlegend verändern.

Was ist der Unterschied zwischen PSD2 und PSD3 in Bezug auf die Authentifizierung?

Im Gegensatz zu PSD2, das sich in erster Linie auf Betrugsvermeidung konzentrierte, verfolgt PSD3 einen ganzheitlicheren Ansatz. Es berücksichtigt die Zugänglichkeit für Benutzer:innen, erweitert die Regelungen zur Haftung und gibt Banken mehr Flexibilität bei der Authentifizierung ihrer Kundschaft.

Diese Flexibilität bringt jedoch neue Herausforderungen mit sich. Banken müssen beispielsweise auch Kund:innen unterstützen, die keine Smartphones nutzen, eine grössere Haftung für Betrugsverluste übernehmen und Authentifizierungsmethoden implementieren, die für alle funktionieren.

In diesem Artikel zeigen wir, welche Auswirkungen diese Änderungen haben, welche neuen Chancen sich daraus ergeben und wie Banken sich vorbereiten können.

Wichtige Punkte:

  • PSD3 erlaubt Banken flexiblere Authentifizierungsmethoden, verlangt aber gleichzeitig Unterstützung für Kund:innen ohne Smartphones
  • Banken werden für mehr Arten von Betrug haftbar gemacht – auch wenn Kund:innen zur Autorisierung von Zahlungen verleitet wurden –, was starke Authentifizierungsmethoden zur Sicherung der Einnahmen unerlässlich macht
  • G+D Netcetera unterstützt Banken in der DACH-Region bei der Implementierung von PSD3-konformer Authentifizierung, die Sicherheit, Zugänglichkeit und Kundenerlebnis in Einklang bringt

pfaarticlenew

Welche Anforderungen stellt PSD3 an die Multi-Faktor-Authentifizierung (MFA)?

PSD3 bringt einige wesentliche Änderungen für die Authentifizierung mit sich. Die bedeutendste ist die Erlaubnis, zwei Faktoren derselben Kategorie zu verwenden.

  • PSD2 verlangt zwei Authentifizierungstypen aus unterschiedlichen Kategorien
  • PSD3 erlaubt zwei Authentifizierungstypen aus derselben Kategorie

Diese MFA-Kategorien gibt es:

  • Wissen: Angaben, welche nur die Benutzer:innen kennen (Passwort, PIN, Sicherheitsfrage)
  • Besitz: Angaben, welche nur die Benutzeri:nnen haben (Smartgerät, Kartenleser, Hardware-Token)
  • Inhärenz: Biometrische Angaben der Benutzer:innen (Fingerabdruck, Gesichtserkennung, Spracherkennung)

Mit PSD2 konnte man z. B. ein Passwort (Wissen) mit einem Fingerabdruck (Inhärenz) kombinieren. Mit PSD3 ist es hingegen möglich, zwei Wissensfaktoren wie Passwort und PIN oder zwei biometrische Verfahren wie Fingerabdruck und Gesichtserkennung zu kombinieren.

Zugänglichkeit

PSD3 verlangt zudem umfassende Barrierefreiheit. Authentifizierungsmethoden müssen auch für Kund:innen mit kognitiven, visuellen oder motorischen Einschränkungen funktionieren. Das bedeutet, dass Bankin Apps entsprechend gestaltet und Authentifizierungsprozesse für alle Nutzergruppen zugänglich gemacht werden müssen.

Betrugsregulierung

Die neuen Vorschriften erweitern zudem, was als Betrug gilt. Mit PSD3 haften Banken auch für Social-Engineering-Angriffe und für sogenannte „Authorised Push Payment“ (APP)-Betrugsfälle, bei denen sie verdächtige Aktivitäten hätten erkennen müssen. Allein im DACH-Raum beliefen sich APP-Betrugsverluste im Jahr 2023 auf €12,44 Milliarden – ein Haftungswechsel, der massive finanzielle Auswirkungen haben kann.

Welche Auswirkungen hat PSD3 auf MFA in Banking Apps?

Mit der Einführung von PSD3 muss der Login-Prozess in der Banking App flexibler, zugänglicher und inklusiver werden. Die ausschliessliche Abstützung auf smartphone-basierte Methoden reicht nicht mehr – die App muss die Geräteeigenschaften der Nutzer:innen erkennen und passende Alternativen anbieten.

Zugänglichkeit und alternative Login-Methoden

Für Menschen mit älteren Geräten oder assistiven Technologien (z. B. Screenreader oder Sprachassistenten) braucht es möglicherweise Optionen wie sprachbasierte Authentifizierung oder vereinfachte, kontrastreiche Benutzeroberflächen. Für Personen ganz ohne Smartphone könnten Login-Möglichkeiten via Telefonanruf (IVR oder menschliche Bedienung) oder über SMS versendete Sicherheitscodes notwendig werden.

Technische Herausforderungen für Banken

Dies bringt neue technische Herausforderungen mit sich. Backend-Systeme müssen verschiedene Authentifizierungsmethoden verwalten und gleichzeitig höchste Sicherheit garantieren. Zudem müssen sich Banken auf neue digitale Identitätsrahmen wie eIDAS2 einstellen, die Authentifizierungen EU-weit standardisieren und potenziell vereinfachen werden.

Was ist die Frist zur PSD3-Konformität?

Nach Finalisierung von PSD3 haben Banken 18 Monate Zeit für die Umsetzung. Bei geplanter Finalisierung im Jahr 2025 wird die Frist zur Einhaltung der neuen Richtlinie voraussichtlich Ende 2027 liegen. Die genauen Zeitpunkte hängen vom jeweiligen nationalen Gesetzgebungsverfahren ab – manche Länder werden schneller, andere langsamer sein. Es ist daher entscheidend, die lokalen Umsetzungsfristen im Auge zu behalten.

Mit einer frühzeitigen Vorbereitung vermeiden Banken die hektischen Last-Minute-Situationen, wie sie bei PSD2 vielerorts auftraten.

Wie kann eine bessere MFA Banken unterstützen?

EU-weit scheitern rund 26 % der Versuche zur starken Kundenauthentifizierung (SCA). In Mobile Apps ist die Erfolgsquote sogar besonders niedrig – nur 37 % der Authentifizierungsversuche gelingen, gegenüber 78 % bei browserbasierten Transaktionen.

Weniger Authentifizierungsabbrüche bedeuten höhere Umsätze

Diese Fehlerquoten wirken sich direkt auf die Einnahmen aus. Wenn Kund:innen Transaktionen nicht abschliessen können, geben sie nicht nur den aktuellen Kauf auf – sie wechseln häufig zu Mitbewerbern mit verlässlicherem Authentifizierungsprozess.

Verbesserte Kundenerfahrung

Da PSD3 mehr Authentifizierungsmöglichkeiten zulässt, verbessert sich auch das Kundenerlebnis. Out-of-Band (OOB)-Authentifizierung (Authentifizierung über ein separates Gerät oder einen separaten Kanal) eliminiert viele Passwort-Risiken und erfüllt dennoch die regulatorischen Anforderungen an Zwei-Faktor-Sicherheit. Der Nutzen für Unternehmen ist klar: Banken, die solche Verfahren nutzen, berichten von weniger Supportanfragen und höheren Zufriedenheitswerten.

mfaarticle

Vorausschauende Banken sehen in PSD3 eine Chance und investieren in bessere Authentifizierungssysteme. Da sie künftig für mehr Betrugsarten haften, könnten die Kosten für unzureichende Authentifizierung höher sein als die Investition in neue Lösungen. Wer hier richtig agiert, kann sich einen klaren Wettbewerbsvorteil verschaffen, während andere noch mit Compliance und Betrugsprävention kämpfen.

Wie lassen sich die Implementierungsprobleme überwinden?

Die grösste technische Hürde für viele Banken wird sein, die Authentifizierung für alle Kundengruppen sicherzustellen. Unter PSD2 konnte man sich weitgehend auf smartphone-basierte Lösungen konzentrieren. Mit PSD3 und den neuen Barrierefreiheitsanforderungen ist das nicht mehr ausreichend – in Österreich besitzen beispielsweise nur 46 % der über 65-Jährigen ein Smartphone.

Die gute Nachricht: Es gibt moderne Authentifizierungsmethoden, die genau hier ansetzen. Spracherkennung kann Menschen mit Sehbehinderung helfen, vereinfachte Interfaces unterstützen weniger technikaffine Personen. Die Lösung liegt darin, verschiedene Authentifizierungsoptionen anzubieten, die alle den PSD3-Sicherheitsstandards entsprechen – so können Nutzeer:innen je nach Fähigkeit und Situation selbst wählen.

Passkeys als zukunftssichere Authentifizierung

Eine vielversprechende Option sind Passkeys, die auf dem FIDO2/WebAuthn-Standard basieren und phishingsichere Authentifizierung bieten – darunter Apple Face ID, Touch ID und Android-Biometrie. Im Gegensatz zu klassischen Passwörtern erzeugen Passkeys einzigartige kryptografische Schlüssel für jeden Dienst und lassen sich über Apple iCloud Keychain oder den Google Passwortmanager geräteübergreifend synchronisieren. Sie bieten starken Schutz vor Phishing und funktionieren plattformübergreifend. Neobanken wie Revolut setzen Passkeys bereits erfolgreich ein und zeigen, dass hohe Sicherheit und ein nahtloses Nutzererlebnis sich nicht ausschliessen.

Integration moderner Lösungen in Altsysteme

Die Integration neuer Authentifizierungsmethoden in bestehende Systeme erfordert eine sorgfältige Planung. Viele Banken nutzen noch Legacy-Technologien, die schrittweise modernisiert werden müssen. Drittanbieterlösungen wie die Digital Identity Lösung von G+D Netcetera wurden genau dafür entwickelt – sie berücksichtigen bestehende Infrastrukturen und bringen dennoch moderne Sicherheitsfunktionen mit. Banken können also PSD3-Anforderungen erfüllen, ohne die gesamte IT-Landschaft neu aufzusetzen.

 

Möchten Sie erfahren, wie G+D Netcetera Ihre Bank bei PSD3-konformer Authentifizierung unterstützen kann? Kontaktieren Sie unsere Expert:innen.

Weitere Stories

Zu diesem Thema