Instant Payments

Im Fokus: Instant Payments, PSD3, IPR und Payment-Testing

Regulierung Sicherheit Zahlungsverkehr
Die Illustration symbolisiert das Tempo von Instant Payment

Echtzeit-Überweisungen, PSD3 und IPR – in der EU Pflicht, in der Schweiz am Kommen. Warum Payment-Testing wichtig wird.


Was Unternehmen jetzt über Payment-Testing wissen müssen

Seit 2025 zieht die EU die Schrauben im Zahlungsverkehr merklich an: Echtzeitüberweisungen sind neuer Standard, Gebühren dürfen nicht höher als bei klassischen SEPA-Transfers sein, und vor der Freigabe jeder Überweisung muss den Zahlern kostenfrei eine Empfängerprüfung (Verification of Payee, VoP) angeboten werden. Parallel verhandeln europäischer Rat, Parlament und Kommission die neue Zahlungsdienste-Richtlinie (PSD3) und eine flankierende Zahlungsdienste-Verordnung (PSR).

Für PSPs, Händler und FinTechs heisst das: Nutzerinnen und Nutzer erwarten, dass Zahlungen ohne merkliche Wartezeit durchgehen. Gerade hier zeigt sich der Wert von Tests mit echten Nutzerinnen und Nutzer auf echten Geräten.

​​Was jetzt gilt – der regulatorische Rahmen in Kürze

Bislang wurden Instant Payments in Europa oft als Premium-Leistung mit Aufpreis oder eingeschränkten Servicezeiten angeboten. Mit der bereits in Kraft getretenen IPR verpflichtet die EU Zahlungsdienstleister, Instant-Überweisungen innerhalb von zehn Sekunden und rund um die Uhr abzuwickeln, ohne höhere Gebühren als bei klassischen SEPA-Transfers. Die IPR verlangt kein transaktionsbezogenes Echtzeit-Sanktionsscreening im Ausführungspfad, wohl aber mindestens tägliche Überprüfungen sämtlicher Payment-Kunden gegen gezielte Finanzsanktionen.

Die VoP-Pflicht umfasst den kostenfreien Abgleich von IBAN und Empfängernamen vor Autorisierung; Geschäftskunden dürfen VoP abwählen und später wieder aktivieren. Diese Eckpunkte schaffen Planungssicherheit, verschieben aber Verantwortung in Richtung belastbarer Test-, Monitoring- und Evidenzketten.

Echtzeit ist keine Produktentscheidung mehr, sondern eine regulatorische Mindestanforderung

Damit verschiebt sich der Fokus: Echtzeit ist keine Produktentscheidung mehr, sondern eine regulatorische Mindestanforderung. Ähnlich wie starke Kundenauthentifizierung (SCA) unter PSD2. Die Frage, ob ein Unternehmen Instant Payments anbietet, hat sich damit erledigt. Der Stresstest liegt in der Frage, ob die Zahlungen unter Hochdruck zuverlässig, sicher und regelkonform funktionieren. Entscheidend dafür ist, wie robust diese Zahlungen getestet sind.

PSD3 und PSR: Mehr Sicherheit, höheres Haftungspotenzial – höherer Testaufwand

Die kommenden PSD3 und PSR zielen darauf ab, den Zahlungsverkehr weiter zu harmonisieren, Betrug einzudämmen, Open Banking zu stärken und Lücken aus PSD2 zu schliessen.

So wird es einen klareren Compliance-Rahmen für den Austausch von Betrugsdaten zwischen Zahlungsdienstleistern sowie verschärfte Vorgaben zur Betrugsprävention und Entschädigung bei Identitäts- und Autorisierungsbetrug geben. Zudem soll Open Banking für Nutzerinnen und Nutzer konsistenter werden: Apps und Services sollen sich überall gleich verlässlich verbinden, ohne kryptische Fehler, und Kunden wird mehr Kontrolle über ihre Datenfreigaben ermöglicht. Hinzu kommen auch verfeinerte Regeln für Strong Customer Authentication (SCA), die Sicherheit und Nutzerfreundlichkeit besser ausbalancieren sollen.

In der Praxis heisst das: Jeder neue Schutzmechanismus – von VoP über SCA bis zu Echtzeit-Betrugserkennung – erzeugt zusätzliche Testfälle, Schnittstellenabhängigkeiten und Randbedingungen. Das lässt sich nur absichern, wenn Payment-Flows mit vielen unterschiedlichen Geräten, Banken und Kontomodellen getestet werden. Testing wird damit vom "technischen Pflichtschritt" zum strategischen Compliance-Instrument.

Warum Payment-Testing auch Compliance unterstützt

Regulatorik und Marktgeschwindigkeit von Unternehmen gehen aktuell noch häufig auseinander: Auf der einen Seite stehen feste Fristen, Haftungsregime und detaillierte Anforderungen und auf der anderen Seite Innovationsdruck, Produkt-Roadmaps und begrenzte IT-Kapazitäten.

Gut organisiertes Payment-Testing kann diese Spannung nicht komplett auflösen, aber es kann Unternehmen frühzeitig auf potenzielle Probleme aufmerksam machen, sodass sie mehr Zeit haben, vor Ablauf der gesetzlichen Fristen Lösungen zu finden.

Erstens verschiebt systematisches Testing Risiken nach vorne. Wer früh End-to-End-Szenarien, Grenzfälle und Fehlersituationen testet, reduziert die Wahrscheinlichkeit, dass Probleme erst im Live-Betrieb sichtbar werden.

Zweitens erzeugt professionelles Testing Evidenz: Testprotokolle, reproduzierbare Szenarien und dokumentierte Abdeckungsgrade werden zum Asset in Audits und gegenüber der Aufsicht. Sie zeigen, dass die Anforderungen nicht nur auf dem Papier, sondern auch im richtigen Betrieb abgebildet sind.

Drittens beschleunigen wiederverwendbare Testfälle die Umsetzung zukünftiger Anpassungen. PSD3, PSR und IPR sind keine abgeschlossenen Regeln. Interpretationen und technische Standards werden sich wie immer weiterentwickeln. Ein reifes Test-Framework macht Folgeanpassungen beherrschbar und verhindert, dass sie jedes Mal zum Grossprojekt werden.

Was es bedeutet, unter realen Bedingungen zu testen

Der entscheidende Unterschied von Instant Payments als Standard ist, dass Labortests nicht mehr reichen. Echtzeit bedeutet, dass jede Schwäche im Zusammenspiel von Systemen, Partnern und Prozessen sofort als Störung sichtbar wird. "Testen unter realen Bedingungen" umfasst dabei mehrere Ebenen:

  • Die Zeitdimension: Wenn Regulierung zehn Sekunden für die Gutschrift vorschreibt, 24 Stunden am Tag, an 365 Tagen im Jahr, müssen Tests genau diese Realität abbilden. Und zwar inklusive typischer Alltagssituationen: Zahlungen von der Couch am Sonntagabend, spontane Sofortüberweisungen im Laden, Gehaltseingänge zum Monatsende mit entsprechendem Peak im Online-Banking. Entscheidend ist, wie stabil das Erlebnis auf echten Geräten unter diesen Bedingungen bleibt.
  • Die Systemlandschaft: Echtzeitzahlungen sind für Kundinnen und Kunden ein einziger Flow: vom Check-out im Shop über die Banking-App bis zur Bestätigung beim Empfänger. Jeder Bruch – ein unverständlicher Screen, ein Ladezustand ohne Feedback, eine Warnung im falschen Moment – entscheidet darüber, ob Nutzerinnen und Nutzer den Prozess abbrechen. Tests müssen deshalb komplette Customer Journeys über alle Touchpoints hinweg nachstellen.
  • Die Nutzer- und Geräteseite: Authentifizierungsmethoden, TAN-Verfahren, biometrische Logins, unterschiedliche Smartphones und Betriebssystemversionen beeinflussen die Erfolgsquote von Transaktionen. Ein Payment-Flow, der im internen Test auf einem Referenzgerät funktioniert, kann in der Realität an Browser-Einstellungen oder App-Versionen scheitern.
  • Das Verhalten von Betrügern: Betrugsmuster passen sich an neue Regulierungen an: Wo VoP eingeführt wird, verändern sich Social-Engineering-Angriffe. Wenn SCA gestärkt wird, verlagern sich Angriffe auf Kommunikationskanäle oder Identitätsdiebstahl. Tests müssen daher nicht nur "Expected Behaviour", sondern auch simulierte Fraud-Szenarien abbilden. Dazu zählen etwa manipulierte Zahlungsaufforderungen, Spoofing von Absendern oder gestohlene Zugangsdaten.

Ohne diese realitätsnahe Perspektive entsteht eine potenzielle Lücke: Formal erfolgreiche Tests, aber ein Produkt, das unter echter Last, echten Kunden und echten Angreifern nicht stabil ist.

Testing wird vom "technischen Pflichtschritt" zum strategischen Compliance-Instrument

Kritische Testfelder in der neuen Regulierungswelt

Auch wenn jedes Unternehmen seine eigene Architektur, Legacy-Systeme und Partnermodelle hat, zeichnen sich einige Testschwerpunkte ab, die unter PSD3 und IPR nahezu überall relevant werden:

  • End-to-End-Flows in Echtzeit: Vom ersten Klick im Check-out oder in der Banking-App bis zur klaren Bestätigung auf dem Bildschirm. Entscheidend ist, welche Ladezustände, Hinweistexte und Fehlermeldungen Nutzerinnen und Nutzer auf diesem Weg sehen und ob sie den Flow auf verschiedenen Geräten und Verbindungen problemlos abschliessen können.
  • Verification of Payee (VoP): Testen, wie Name-IBAN-Abgleiche in Grenzfällen funktionieren. Hier entscheidet die Nutzerführung, ob Sicherheit als Hilfe oder als Hürde wahrgenommen wird. Getestet werden sollte, wie klar Warnhinweise formuliert sind, wie Nutzerinnen und Nutzer auf "Name weicht ab"-Hinweise reagieren, ob die Option "trotzdem senden" verständlich gestaltet ist und wie sehr diese Entscheidungen das Vertrauen in die Marke stärken oder schwächen.
  • SCA-Varianten und Ausnahmen: Aus der Nutzersicht geht es darum, wie mühelos sich Zahlungen freigeben lassen, unabhängig davon, ob per biometrischem Login, Push-TAN oder Wearable. Tests sollten nicht nur Sicherheitsanforderungen prüfen, sondern auch Abbruchquoten, Klickpfade und Barrierefreiheit über verschiedenste Geräte, Betriebssysteme und App-Versionen hinweg.
  • Sanction Screening und Betrugsüberwachung in Echtzeit: Tägliche Sanktionslisten-Updates und Transaktionsscreening müssen so implementiert sein, dass sie weder False Positives explodieren lassen noch die Zehn-Sekunden-Frist reissen. Für Kunden darf sich Sicherheitsprüfung nicht wie ein Hänger anfühlen. Wird eine Zahlung aus Sicherheitsgründen angehalten oder abgelehnt, kommt es auf Sekunden und auf die Erklärung an: Warum wurde gestoppt, was passiert als Nächstes, welche Optionen habe ich? Hier geht es um feine Justierung von Regeln, Workflows und Eskalationsprozessen und um Tests, die genau diese Balance überprüfen.
  • Cross-Border- und Multi-Schema-Tests: Viele Unternehmen bewegen sich über mehrere EU-Länder, Währungen und Schemen hinweg. Tests müssen daher sicherstellen, dass Instant Payments auch in diesem Umfeld konsistent, regelkonform und mit einheitlichem Nutzererlebnis funktionieren.

Tests als Brücke zwischen Technik und Aufsicht

Testing ist nicht nur ein Thema für IT und Operations, sondern zunehmend auch für die Teams in den Bereichen Risk, Legal und Compliance. Zum einen, weil Testkonzepte direkt auf regulatorische Anforderungen gemappt werden können – etwa indem jede relevante IPR- oder PSD3-Vorgabe explizit mit einem oder mehreren Testfällen verknüpft wird. Zum anderen, weil Testdaten und -protokolle wertvolle Frühwarnindikatoren liefern: Steigende Fehlerraten bei bestimmten Szenarien, ungewöhnliche Muster in Test-Fraud-Szenarien oder Performance-Einbrüche unter Last deuten häufig auf strukturelle Schwächen hin, noch bevor sie sich im Live-Betrieb manifestieren.

Schliesslich können externe Testressourcen – etwa spezialisierte Communities mit Zugang zu unterschiedlichen Banken, Karten und Geräten – helfen, reale Marktbedingungen in Testumgebungen abzubilden, ohne sensible Kundendaten zu gefährden.

Echtzeit ist ein Test-, nicht nur ein Technikthema

PSD3, PSR und die Instant Payments-Regulation definieren den Rahmen für eine neue Normalität im europäischen Zahlungsverkehr. Für Unternehmen ist die zentrale Frage, ob ihre Teststrategie dieser neuen Realität standhält. Hier kommen Crowdtesting-Ansätze ins Spiel: Statt nur in isolierten Testumgebungen zu prüfen, wie gut Payment-Flows funktionieren, testen grosse Nutzergruppen direkt dort, wo Zahlungen tatsächlich stattfinden – auf echten Geräten, mit echten Netzwerken, in unterschiedlichen Ländern und Alltagssituationen. So lassen sich regulatorische Anforderungen mit einem erlebbar besseren Kundenerlebnis verbinden.

Der Autor: Alexander Waldmann

Alexander Waldmann, Vice President bei Applause

Alexander Waldmann ist Vice President bei Applause. Er ist dafür verantwortlich, den Erfolg von Testprojekten und Lösungs-Implementierungen für Kunden in Europa sicherzustellen.

Zudem ist er Experte in den Bereichen KI, Automatisierung, digitaler Zahlungsabwicklung sowie Sicherheit.

Vor seiner Zeit bei Applause war Alex Gründer & CEO von Netcorps, einer Full-Service-Beratung für IT, Usability, Softwareentwicklung und Sicherheitstests.