Schweiz 2025: FINMA-Regulierung, GwG-Pflichten und PCI-DSS – Validato Regulations PSP-CH digitalisiert die Compliance für Zahlungsdienstleister

Validato unterstützt PSPs mit dem Modul „Validato Regulations PSP-CH“ dabei, alle Anforderungen strukturiert, digital und revisionssicher zu managen.

Schweiz: FINMA-Aufsicht, GwG und das besondere Regulierungsumfeld

Die FINMA ist die zentrale Aufsichtsbehörde des Schweizer Finanzsektors. Eine einheitliche «PSP-Lizenz» wie in der EU (PSD2) gibt es in der Schweiz nicht – die regulatorische Einordnung bestimmt sich nach dem Geschäftsmodell.

Massgebliche Rechtsgrundlagen:

• Bankengesetz (BankG) / Bankenverordnung (BankV): Sammelkonten, Wallets oder Treuhandmodelle können rasch eine FINMA-Bankenbewilligung erforderlich machen.
• Geldwäschereigesetz (GwG): PSPs im Parabankensektor müssen Mitglied einer FINMA-anerkannten Selbstregulierungsorganisation (SRO) sein oder direkt der FINMA-Aufsicht unterstehen.
• FINIG / FIDLEG: Seit 2020 gelten Bewilligungspflichten auch für PSP-Modelle mit Anlagecharakter.
• FinTech-Bewilligung (Art. 1b BankG): Erleichterte Bewilligung für Publikumsgelder bis CHF 100 Mio. ohne Zinsdifferenzgeschäfte.
• FINMA-Rundschreiben 2008/3, 2023/1 und GwG-Präventionsanforderungen prägen den Alltag regulierter PSPs.

“FINMA erklärt, dass Unternehmen im Parabankensektor – darunter Zahlungsdienstleister – zur Überwachung der GwG-Sorgfalts- und Meldepflichten einer von FINMA anerkannten Selbstregulierungsorganisation angeschlossen sein müssen.”
– Payrexx / FINMA-Compliance-Analyse

Schweiz und international: PCI-DSS als technische Compliance-Pflicht

Unabhängig von der FINMA-Einordnung unterliegen alle PSPs, die Kreditkartenzahlungen verarbeiten, dem PCI-DSS. Die aktuelle Version 4.0 (seit März 2024 vollständig verpflichtend) stellt erhöhte Anforderungen an Informationssicherheit, Schwachstellenmanagement und Netzwerksicherheit.

• Jährliche PCI-DSS-Zertifizierung – per QSA (Qualified Security Assessor) oder Self-Assessment Questionnaire (SAQ)
• Nachweis gegenüber Visa, Mastercard, Amex und Acquiring-Partnern wie Worldline, Datatrans/Planet, Nets oder Nexi
• Strikte Anforderungen an CDE-Segmentierung, Verschlüsselung, Zugriffskontrollen und Audit-Logging

Deutschland und EU: Wie PSD2 und PSD3 den Schweizer Markt indirekt prägen

Die Schweiz ist nicht direkt an PSD2 gebunden – dennoch müssen Schweizer PSPs im SEPA-Zahlungsraum Gleichwertigkeit nachweisen. Mit der politischen Einigung vom 27. November 2025 zu PSD3 und PSR kommen weitere Anforderungen:

• Instant Payments Regulation (IPR, in Kraft 8. April 2024): Ab Januar 2025 müssen EU-Bank-PSPs Instant Payments empfangen können; ab Oktober 2025 auch senden.
• PSD3 / PSR: Veröffentlichung im EU-Amtsblatt voraussichtlich Sommer 2026, Umsetzungsfrist bis Ende 2027. Stärkere Anforderungen an Open-Banking-APIs, FPAD, Verification of Payee und SCA-Barrierefreiheit.
• Schweizer PSPs im grenzüberschreitenden E-Commerce mit deutschen oder österreichischen Händlern müssen PSD3/PSR-Anforderungen de facto erfüllen.

Vereinigtes Königreich: FCA, Open Banking und PSP-Regulierung nach dem Brexit

Das UK betreibt nach dem Brexit ein eigenständiges System unter FCA-Aufsicht (UK PSRs 2017). Für Schweizer PSPs mit UK-Geschäft entsteht eine weitere Compliance-Schicht: FCA-Autorisierung, UK-Geldwäschevorschriften (UK MLRs) und FCA-SCA-Anforderungen. Validato Regulations PSP-CH unterstützt auch diese Multi-Jurisdiktion-Anforderungen.

Liechtenstein: EWR-Mitgliedschaft als Tor zum EU-Zahlungsmarkt

PSPs mit Lizenz in Liechtenstein (EWR-Mitglied) profitieren vom EU-Passporting-Recht und können Dienstleistungen in alle EU- und EWR-Staaten erbringen. Die FMA Liechtenstein setzt PSD2 über EWR-Recht um. Für Schweizer FinTechs ist Liechtenstein oft ein strategischer Standort – Validato unterstützt parallele FMA-FL- und FINMA-CH-Compliance.

Validato Regulations PSP-CH: Die digitale Compliance-Plattform

Das Modul deckt alle wesentlichen Compliance-Dimensionen ab:

• FINMA-Anforderungsmanagement: GwG-Sorgfaltspflichten, FINIG-Vorgaben, operative Risiken (RS 2023/1) – mit automatischen Updates bei neuen FINMA-Rundschreiben
• GwG-Compliance-Workflow: KYC, Transaktionsmonitoring, PEP-Prüfungen, SECO-/OFAC-Sanktionslistenprüfungen, Adverse-Media-Screenings, MROS-Verdachtsmeldungen
• SRO-Compliance-Management: Nachweisdokumentation für SRO-Revisionen strukturiert und prüfungsbereit
• PCI-DSS-4.0-Management: SAQ-Erstellung, QSA-Auditvorbereitung, Lückenanalyse und Massnahmenplanung
• EU-PSD2/PSD3-Kompatibilitäts-Tracking: Mapping mit EU-Standards, Fristen-Management für IPR und PSD3/PSR
• FinTech-Bewilligungs-Management: Dokumentation für Art. 1b BankG inkl. CHF-100-Mio.-Obergrenze und Organisationsanforderungen
• Operative Resilienz / ISMS: RS 2023/1, ISO 27001 und DORA-Anforderungen für PSPs mit EU-Bezug
• Revisionssicherer Audit-Trail: zeitgestempelt, bereit für FINMA-Inspektionen, SRO-Revisionen und PCI-DSS-Audits

Zahlen, Daten, Fakten: Der Schweizer PSP-Markt

• Seit Januar 2020: FINIG und FIDLEG in Kraft – neue Bewilligungspflichten auch für PSP-nahe Geschäftsmodelle
• April 2024: PCI-DSS 4.0 vollständig verpflichtend für alle Kreditkartenverarbeiter weltweit
• Januar 2025: EU-IPR verpflichtet alle Bank-PSPs zum Empfang von Instant Payments
• November 2025: Politische Einigung zu PSD3/PSR – Veröffentlichung Sommer 2026, Umsetzung bis Ende 2027
• CHF 100 Millionen: Einlagenobergrenze für die erleichterte FINMA-FinTech-Bewilligung (Art. 1b BankG)
• 6 etablierte PSP-Anbieter dominieren den Schweizer Markt: Datatrans/Planet, Saferpay/Worldline, Payrexx, TWINT, PostFinance, Concardis/Nexi
• MROS erhält jährlich Hunderte Verdachtsmeldungen von Finanzintermediären – GwG-Compliance ist existenzkritisch für PSP-Lizenzen

“Der Schweizer Finanzplatz geniesst weltweit einen exzellenten Ruf. Um diesen zu wahren, fordert die FINMA strenge Personalkontrollen und Compliance-Nachweise. Validato liefert die Prozesse, um diese Anforderungen effizient und sicher zu erfüllen.”
– Validato AG, PresseBox März 2026