Schweiz 2025: FINMA-Regulierung, GwG-Pflichten und PCI-DSS – Validato Regulations PSP-CH digitalisiert die Compliance für Zahlungsdienstleister
30.000 AEO-Unternehmen in der EU, 11.400 C-TPAT-Partner in den USA – gegensändig anerkannt. Deutsche und österreichische Exporteure profitieren von weniger Kontrollen. Validato liefert die cloudbasierte Compliance-Plattform dafür.

Frankfurt, 21.05.2026 (PresseBox) - Der Schweizer Zahlungsverkehrsmarkt zählt zu den regulatorisch anspruchsvollsten der Welt. Als Nicht-EU-Mitglied mit eigenem Regulierungsrahmen unter FINMA-Aufsicht, gleichzeitig eng verflochten mit SEPA und internationalen Märkten, stehen Payment Service Provider (PSPs) in der Schweiz vor einem einzigartigen Compliance-Dschungel: Schweizer Bankenrecht, Geldwäschereigesetz (GwG), FINMA-Rundschreiben, PCI-DSS und die De-facto-Notwendigkeit, EU-PSD2/PSD3-Standards zu erfüllen.

Validato unterstützt PSPs mit dem Modul „Validato Regulations PSP-CH“ dabei, alle Anforderungen strukturiert, digital und revisionssicher zu managen.

Schweiz: FINMA-Aufsicht, GwG und das besondere Regulierungsumfeld

Die FINMA ist die zentrale Aufsichtsbehörde des Schweizer Finanzsektors. Eine einheitliche «PSP-Lizenz» wie in der EU (PSD2) gibt es in der Schweiz nicht – die regulatorische Einordnung bestimmt sich nach dem Geschäftsmodell.

Massgebliche Rechtsgrundlagen:

• Bankengesetz (BankG) / Bankenverordnung (BankV): Sammelkonten, Wallets oder Treuhandmodelle können rasch eine FINMA-Bankenbewilligung erforderlich machen.
• Geldwäschereigesetz (GwG): PSPs im Parabankensektor müssen Mitglied einer FINMA-anerkannten Selbstregulierungsorganisation (SRO) sein oder direkt der FINMA-Aufsicht unterstehen.
• FINIG / FIDLEG: Seit 2020 gelten Bewilligungspflichten auch für PSP-Modelle mit Anlagecharakter.
• FinTech-Bewilligung (Art. 1b BankG): Erleichterte Bewilligung für Publikumsgelder bis CHF 100 Mio. ohne Zinsdifferenzgeschäfte.
• FINMA-Rundschreiben 2008/3, 2023/1 und GwG-Präventionsanforderungen prägen den Alltag regulierter PSPs.

Schweiz und international: PCI-DSS als technische Compliance-Pflicht

Unabhängig von der FINMA-Einordnung unterliegen alle PSPs, die Kreditkartenzahlungen verarbeiten, dem PCI-DSS. Die aktuelle Version 4.0 (seit März 2024 vollständig verpflichtend) stellt erhöhte Anforderungen an Informationssicherheit, Schwachstellenmanagement und Netzwerksicherheit.

• Jährliche PCI-DSS-Zertifizierung – per QSA (Qualified Security Assessor) oder Self-Assessment Questionnaire (SAQ)
• Nachweis gegenüber Visa, Mastercard, Amex und Acquiring-Partnern wie Worldline, Datatrans/Planet, Nets oder Nexi
• Strikte Anforderungen an CDE-Segmentierung, Verschlüsselung, Zugriffskontrollen und Audit-Logging

Die Schweiz ist nicht direkt an PSD2 gebunden – dennoch müssen Schweizer PSPs im SEPA-Zahlungsraum Gleichwertigkeit nachweisen. Mit der politischen Einigung vom 27. November 2025 zu PSD3 und PSR kommen weitere Anforderungen:

• Instant Payments Regulation (IPR, in Kraft 8. April 2024): Ab Januar 2025 müssen EU-Bank-PSPs Instant Payments empfangen können; ab Oktober 2025 auch senden.
• PSD3 / PSR: Veröffentlichung im EU-Amtsblatt voraussichtlich Sommer 2026, Umsetzungsfrist bis Ende 2027. Stärkere Anforderungen an Open-Banking-APIs, FPAD, Verification of Payee und SCA-Barrierefreiheit.
• Schweizer PSPs im grenzüberschreitenden E-Commerce mit deutschen oder österreichischen Händlern müssen PSD3/PSR-Anforderungen de facto erfüllen.

Das UK betreibt nach dem Brexit ein eigenständiges System unter FCA-Aufsicht (UK PSRs 2017). Für Schweizer PSPs mit UK-Geschäft entsteht eine weitere Compliance-Schicht: FCA-Autorisierung, UK-Geldwäschevorschriften (UK MLRs) und FCA-SCA-Anforderungen. Validato Regulations PSP-CH unterstützt auch diese Multi-Jurisdiktion-Anforderungen.

Liechtenstein: EWR-Mitgliedschaft als Tor zum EU-Zahlungsmarkt

PSPs mit Lizenz in Liechtenstein (EWR-Mitglied) profitieren vom EU-Passporting-Recht und können Dienstleistungen in alle EU- und EWR-Staaten erbringen. Die FMA Liechtenstein setzt PSD2 über EWR-Recht um. Für Schweizer FinTechs ist Liechtenstein oft ein strategischer Standort – Validato unterstützt parallele FMA-FL- und FINMA-CH-Compliance.

Validato Regulations PSP-CH: Die digitale Compliance-Plattform

Das Modul deckt alle wesentlichen Compliance-Dimensionen ab:

• FINMA-Anforderungsmanagement: GwG-Sorgfaltspflichten, FINIG-Vorgaben, operative Risiken (RS 2023/1) – mit automatischen Updates bei neuen FINMA-Rundschreiben
• GwG-Compliance-Workflow: KYC, Transaktionsmonitoring, PEP-Prüfungen, SECO-/OFAC-Sanktionslistenprüfungen, Adverse-Media-Screenings, MROS-Verdachtsmeldungen
• SRO-Compliance-Management: Nachweisdokumentation für SRO-Revisionen strukturiert und prüfungsbereit
• PCI-DSS-4.0-Management: SAQ-Erstellung, QSA-Auditvorbereitung, Lückenanalyse und Massnahmenplanung
• EU-PSD2/PSD3-Kompatibilitäts-Tracking: Mapping mit EU-Standards, Fristen-Management für IPR und PSD3/PSR
• FinTech-Bewilligungs-Management: Dokumentation für Art. 1b BankG inkl. CHF-100-Mio.-Obergrenze und Organisationsanforderungen
• Operative Resilienz / ISMS: RS 2023/1, ISO 27001 und DORA-Anforderungen für PSPs mit EU-Bezug
• Revisionssicherer Audit-Trail: zeitgestempelt, bereit für FINMA-Inspektionen, SRO-Revisionen und PCI-DSS-Audits

• Seit Januar 2020: FINIG und FIDLEG in Kraft – neue Bewilligungspflichten auch für PSP-nahe Geschäftsmodelle
• April 2024: PCI-DSS 4.0 vollständig verpflichtend für alle Kreditkartenverarbeiter weltweit
• Januar 2025: EU-IPR verpflichtet alle Bank-PSPs zum Empfang von Instant Payments
• November 2025: Politische Einigung zu PSD3/PSR – Veröffentlichung Sommer 2026, Umsetzung bis Ende 2027
• CHF 100 Millionen: Einlagenobergrenze für die erleichterte FINMA-FinTech-Bewilligung (Art. 1b BankG)
• 6 etablierte PSP-Anbieter dominieren den Schweizer Markt: Datatrans/Planet, Saferpay/Worldline, Payrexx, TWINT, PostFinance, Concardis/Nexi
• MROS erhält jährlich Hunderte Verdachtsmeldungen von Finanzintermediären – GwG-Compliance ist existenzkritisch für PSP-Lizenzen