Regulacje 14 min czytania 2026-04-27

PSD3 i PSR: koniec PSD2, początek nowej ery płatności w UE

Co się zmienia, dlaczego, kiedy wchodzi w życie i co to oznacza dla rynku.

TL;DR

27 listopada 2025 roku, około godziny 1:25 nad ranem w Strasburgu, Parlament Europejski i Rada UE osiągnęły wstępne porozumienie polityczne w sprawie szeroko zakrojonego pakietu reformy usług płatniczych: nowego Rozporządzenia o Usługach Płatniczych (PSR) i trzeciej Dyrektywy o Usługach Płatniczych (PSD3). 23-24 kwietnia 2026 roku Rada opublikowała ostateczne teksty kompromisowe (ST-8221-2026-INIT dla PSR i ST-8222-2026-INIT dla PSD3), torując drogę do formalnego przyjęcia. Publikacji w Dzienniku Urzędowym UE oczekuje się do końca II kwartału 2026. Pakiet zastępuje PSD2 (obowiązującą od 2018 roku) oraz drugą dyrektywę o pieniądzu elektronicznym (EMD2) i wprowadza cztery fundamentalne zmiany:

Architektura pakietu: dlaczego dwa akty zamiast jednego

PSD2 łączyła w jednym dokumencie dwa odrębne typy zasad: zasady działania na rynku (jak prowadzić działalność jako dostawca usług płatniczych) oraz zasady licencyjne (kto może prowadzić działalność). Takie połączenie dało państwom członkowskim duży margines transpozycji, co wywołało rozbieżności wykonawcze i forum shopping. Pakiet PSD3/PSR rozdziela te dwie warstwy:
AktFormaZakresBezpośrednie zastosowanie
PSR (Rozporządzenie)RozporządzenieDziałanie na rynku: przejrzystość, prawa i obowiązki użytkowników, SCA, open banking, dostęp do systemów płatniczych, oszustwaTak, stosowane bezpośrednio we wszystkich państwach członkowskich
PSD3 (Dyrektywa)DyrektywaLicencjonowanie, wymogi ostrożnościowe i nadzór nad instytucjami płatniczymi i instytucjami pieniądza elektronicznegoWymaga transpozycji do prawa krajowego

PSD3 uchyla EMD2 i włącza instytucje pieniądza elektronicznego (EMI) do szerszej kategorii instytucji płatniczych jako podtyp, kończąc regulacyjny rozdział istniejący od 2009 roku. Zmieniana jest również dyrektywa o ostateczności rozrachunku, umożliwiając instytucjom płatniczym i EMI bezpośrednie uczestnictwo w wyznaczonych systemach płatniczych, to konkurencyjny przełom w stosunku do banków.

Dlaczego reforma: diagnoza Komisji

W przeglądzie PSD2 z 2022 roku Komisja zidentyfikowała cztery główne problemy:

Pakiet odpowiada na wszystkie cztery problemy, choć, jak zobaczymy, z różnym poziomem ambicji.

Walka z oszustwami: najgłębsza zmiana w pakiecie

Reforma w obszarze przeciwdziałania oszustwom to centralny element PSR. Zmienia, kto płaci, gdy coś pójdzie źle, co banki muszą sprawdzać przed wykonaniem przelewu i kogo jeszcze włącza się do łańcucha odpowiedzialności.

Verification of Payee (VoP): powszechna weryfikacja IBAN-imię

Bank płatnika musi zweryfikować, czy nazwa odbiorcy wpisana przez klienta odpowiada numerowi rachunku (IBAN). W razie rozbieżności PSP musi poinformować płatnika o niezgodności i jej stopniu w ciągu sekund od wprowadzenia danych odbiorcy. VoP obowiązuje od października 2025 roku dla natychmiastowych przelewów w euro w ramach Rozporządzenia o Płatnościach Natychmiastowych. PSR rozszerza ten obowiązek na wszystkie przelewy uznaniowe, natychmiastowe lub nie, w euro lub innej walucie. W razie niezgodności PSP musi odmówić wykonania przelewu i powiadomić płatnika.

Przeniesienie odpowiedzialności: podszywanie się i błędy kontrolne

Pod PSD2 odpowiedzialność za oszustwa typu authorised push payment (APP fraud) spoczywała głównie na płatniku. PSR zachowuje tę zasadę bazową, ale wprowadza dwa istotne wyjątki. Po pierwsze: gdy oszust podszywa się pod sam PSP (a nie tylko pod jego pracownika, jak ograniczała to propozycja Komisji z 2023 roku), a klient niezwłocznie zgłosi sprawę policji i PSP, bank musi zwrócić pełną kwotę. Po drugie: gdy do oszustwa doszło z powodu nieprawidłowego wdrożenia VoP, monitorowania transakcji lub zablokowania podejrzanej płatności przez PSP, odpowiedzialność spoczywa na PSP. Odpowiedzialność nie ma górnego limitu (porównywalny brytyjski reżim ogranicza ją do 85 000 GBP na sprawę).

Odpowiedzialność platform internetowych: nowa warstwa rozliczalności

Platformy internetowe stają się odpowiedzialne wobec banków, które zwróciły środki oszukanym klientom, jeśli platforma została powiadomiona o oszukańczej treści i nie usunęła jej. To rozwinięcie Aktu o usługach cyfrowych (DSA), ale dodaje konkretną odpowiedzialność finansową w łańcuchu przeciwdziałania oszustwom. Zgodnie z raportem Revolut, ok. 75% APP fraud rozpoczyna się na platformach społecznościowych, Facebook, Instagram, WhatsApp, Telegram. Pakiet po raz pierwszy daje bankom realne prawo regresu. PSP, który zrekompensował ofiarę, może następnie przerzucić odpowiedzialność na operatora telekomunikacyjnego lub platformę internetową, jeśli oszustwo tam się rozpoczęło.

Reklama usług finansowych: kontrola u źródła

Reklamodawcy usług finansowych muszą wykazać bardzo dużym platformom internetowym i wyszukiwarkom, że są prawnie autoryzowani (lub formalnie zwolnieni) do oferowania tych usług w danym kraju, lub że reklamują w imieniu kogoś, kto jest. Platformy nie mogą wyświetlać reklam PSP nieautoryzowanych w państwie członkowskim, w którym oferowane są usługi.

Wymiana danych o oszustwach między PSP

PSP będą zobowiązani do dzielenia się informacjami o oszustwach (IBAN-y podejrzanych odbiorców, techniki manipulacji) poprzez dedykowaną platformę. Obowiązek obejmie również operatorów mediów społecznościowych i telekomy. Retencja danych jest ograniczona, a ocena skutków dla ochrony danych (DPIA) jest obowiązkowa.

Monitoring transakcji na sterydach

PSR znacząco rozszerza wymogi monitoringu transakcji ponad PSD2. Banki będą musiały uwzględniać dane o urządzeniu (czy płatnik korzysta z nieznanego urządzenia, czy obecne jest złośliwe oprogramowanie lub narzędzia zdalnego dostępu jak AnyDesk czy TeamViewer, czy urządzenie jest w trakcie połączenia telefonicznego podczas sesji) oraz dane behawioralne (wzorzec pisania, sposób dotykania ekranu, szybkość transakcji, wszystko, co może sygnalizować, że płatnik działa pod presją). PSP będą zobowiązani do blokowania podejrzanych transakcji w określonych okolicznościach. Banki mogą opóźniać lub wstrzymywać podejrzane natychmiastowe przelewy, dając czas na interwencję, to znaczące złagodzenie reżimu instant payments na rzecz zarządzania ryzykiem.

Okres karencji i nowa definicja SCA

PSR wprowadza okresy oczekiwania dla zmian limitów wydatków (wzorowane na holenderskich bankach, gdzie takie zmiany wchodzą w życie dopiero po czterech godzinach), aby dać ofiarom czas na refleksję, gdy oszuści wywierają presję, by podnieść limity. Samo SCA pozostaje weryfikacją dwuelementową, ale finalny tekst PSR dopuszcza dwa elementy z kategorii inherence (biometrycznej), otwierając drogę do połączenia biometrii fizjologicznej (odcisk palca, twarz) z biometrią behawioralną (wzorce użytkowania). PSP nie mogą polegać na pojedynczym mechanizmie SCA; muszą wspierać wiele opcji, w tym dla osób z niepełnosprawnościami, seniorów i osób o niskich kompetencjach cyfrowych. Pakiet wprowadza również prawo do wsparcia ze strony człowieka, nie tylko chatbotów, wraz z obowiązkiem inwestowania w edukację publiczną o rozpoznawaniu oszustw.

Important nuance:

Czego nie udało się przeforsować: Parlament próbował rozszerzyć odpowiedzialność na podszywanie się pod jakikolwiek inny podmiot publiczny lub prywatny (np. policję, urząd skarbowy). To rozszerzenie nie znalazło się w finalnym tekście. Kompromis zatrzymuje się na podszywaniu się pod sam PSP.

Open banking: od PSD2 do PSD3

PSD2 wprowadziła open banking, ale w praktyce banki sprawnie dyskryminowały dostawców AIS i PIS poprzez przypadkowe awarie API, niskiej jakości interfejsy, wymagania dodatkowej rejestracji i wielokrotne SCA. PSR przeciwdziała każdej z tych praktyk.

Lista zakazanych przeszkód (PSR art. 44)

Bank nie może m.in.: uniemożliwiać dostawcy korzystania z poświadczeń klienta, wymagać ręcznego wpisywania unikalnych identyfikatorów, wymagać dodatkowej rejestracji informacji ani nakładać SCA częściej, niż jest to konieczne.

Dedykowany interfejs jako standard

ASPSP (bank) musi prowadzić co najmniej jeden dedykowany interfejs do wymiany danych z dostawcami AIS i PIS. Screen scraping (dostęp przez interfejs klienta) jest zakazany: TPP muszą zawsze się identyfikować i pobierać tylko dane niezbędne do świadczenia usługi.

Niedyskryminacyjny dostęp do rachunku

Banki muszą zapewnić instytucjom płatniczym niedyskryminacyjny dostęp do rachunków bankowych. Mogą odmówić wyłącznie z poważnych powodów (podejrzenie nielegalnej działalności, naruszenie umowy, brak informacji).

Panel zgód

Użytkownik dostaje panel kontrolny do monitorowania i zarządzania uprawnieniami dostępu udzielonymi stronom trzecim, w tym możliwość łatwego cofnięcia zgody.

Otwarcie urządzeń mobilnych: przełom dla portfeli front-endowych

To prawdopodobnie najbardziej polityczny element reformy. Producenci urządzeń mobilnych i dostawcy usług elektronicznych będą zobowiązani umożliwić dostawcom front-endu (aplikacjom, interfejsom) przechowywanie i przesyłanie danych niezbędnych do realizacji płatności na sprawiedliwych, rozsądnych i niedyskryminacyjnych warunkach (FRAND). W praktyce uderza to w monopol Apple Pay i kontrolę ekosystemu Google Pay nad NFC i secure element. Choć tekst nie wymienia wprost NFC, branża czyta to jako otwarcie warstwy płatniczej w urządzeniach mobilnych.

Licencjonowanie, kapitał i CASP

PSD3 ujednolica i równoważy reżim określający, kto może działać jako dostawca usług płatniczych w UE.

Uproszczona procedura autoryzacji

PSD3 ujednolica procedurę licencjonowania PSP i EMI. Wymogi pozostają znaczące (ostrożnościowe, fundusze własne, projekcje biznesowe), ale procesy są zharmonizowane, a kapitał początkowy skalowany do poziomu ryzyka i typów świadczonych usług, to odejście od płaskiego progu z PSD2.

Uproszczona ścieżka dla CASP autoryzowanych pod MiCA

Dostawcy usług kryptoaktywów (CASP) autoryzowani w ramach MiCA będą podlegać uproszczonej procedurze przy ubieganiu się o autoryzację PSP (zachowując odpowiednie kontrole ryzyka i ograniczając zakres do usług określonych we wniosku). Logika: regulator już zweryfikował firmę pod kątem ładu korporacyjnego, AML, kapitału, fit-and-proper kierownictwa i bezpieczeństwa IT. Nie ma potrzeby powtarzać tego dla autoryzacji PSP; trzeba dodać tylko elementy specyficzne dla płatności (minimalny kapitał PSP, ochrona środków klientów). Dla giełd krypto, brokerów i emitentów stablecoinów chcących prowadzić bezpośrednie rampy fiat in/out znacząco obniża to próg wejścia w status PSP.

Dostawcy usług informacji o rachunku (AISP)

AISP nie podlegają autoryzacji, ale muszą się zarejestrować z takim samym zakresem informacji, jaki byłby wymagany dla pełnej autoryzacji. Nowość: 50 000 EUR kapitału początkowego jako alternatywa dla zawodowego ubezpieczenia OC, opcja niedostępna pod PSD2.

Dostęp do systemów płatniczych

Najistotniejsza konkurencyjnie zmiana w PSD3: zmiana dyrektywy o ostateczności rozrachunku umożliwia bezpośrednie uczestnictwo instytucji płatniczych i EMI w wyznaczonych systemach płatniczych (np. TARGET2, krajowe systemy rozliczeniowe). Przestają być zależne od pośredników bankowych.

Przejrzystość i ochrona konsumenta

Poza oszustwami i open bankingiem pakiet zaostrza zasady ujawniania informacji i poprawia dostęp do gotówki dla konsumentów.

Bez niespodzianek w opłatach

Klienci muszą zostać w pełni poinformowani o opłatach przed zainicjowaniem płatności: w tym kursach wymiany walut i stałych opłatach za wypłaty z bankomatów (niezależnie od operatora). Bankomaty muszą wyświetlać wszystkie opłaty i kursy wymiany przed potwierdzeniem transakcji. Sprzedawcy muszą zapewnić, że ich nazwa handlowa odpowiada nazwie pojawiającej się na wyciągach klientów, koniec z mylącymi nazwami procesorów płatności.

Lepszy dostęp do gotówki

W odpowiedzi na kurczące się sieci bankomatów i oddziałów: sklepy detaliczne mogą oferować wypłaty gotówki bez konieczności zakupu, w przedziale 100-150 EUR za transakcję. Niezależni operatorzy bankomatów są zwolnieni z wymogu licencji PSP, wystarcza rejestracja.

Alternatywne rozwiązywanie sporów (ADR)

Wszyscy PSP będą zobowiązani do uczestnictwa w procedurach ADR, jeśli zażąda tego konsument.

Czego nie zmieniono, czego brakuje

Warto zaznaczyć, czego pakiet nie obejmuje:

Harmonogram: kiedy to wchodzi w życie

Pakiet ma długi okres przejściowy. Zmiany w dyrektywie o ostateczności rozrachunku wchodzą w życie wcześniej (sześć miesięcy), to świadomy wybór, by szybciej dać instytucjom płatniczym narzędzia konkurencyjne.
DataKrok
28 czerwca 2023Komisja publikuje propozycję pakietu
23 kwietnia 2024Parlament przyjmuje stanowisko w pierwszym czytaniu
18 czerwca 2025Rada przyjmuje mandat negocjacyjny
27 listopada 2025Wstępne porozumienie polityczne w trilogu
23-24 kwietnia 2026Rada publikuje finalne teksty kompromisowe (ST-8221/8222-2026-INIT)
II kw. 2026 (planowane)Publikacja w Dzienniku Urzędowym UE
~II kw. 2026 + 20 dniWejście w życie PSR i PSD3
Wejście w życie + 6 miesięcyStosowanie zmian w dyrektywie o ostateczności rozrachunku
Wejście w życie + 18 miesięcyTermin transpozycji PSD3; stosowanie ogólnych przepisów PSR
Wejście w życie + 24 miesiąceStosowanie obowiązku VoP (weryfikacja IBAN-imię)
~I/II kw. 2028Pełna operacyjna stosowalność pakietu

Co organizacje powinny robić już teraz

Mimo pozornie odległego horyzontu (2027-2028), organizacje powinny zacząć już teraz:

Perspektywa CEE / polska

Dla Europy Środkowo-Wschodniej, a zwłaszcza Polski, trzy lokalne wątki zasługują na uwagę.

Status implementacji MiCA

Polska jest jedynym krajem UE bez ustawy wdrażającej MiCA. Uproszczona procedura dla CASP wchodzących w status PSP zakłada, że w danym państwie członkowskim działa reżim MiCA. Bez tej ustawy CASP zarejestrowani w Polsce mogą mieć trudność ze skorzystaniem z uproszczonej ścieżki, chyba że przejdą przez inny kraj UE (np. Litwę, Cypr).

Express Elixir i PISP

Dla rynku PISP w Polsce, gdzie Express Elixir staje się realną alternatywą dla kart, otwarcie mobilnej warstwy płatniczej i wzmocnienie open bankingu to znaczące wsparcie konkurencyjne. Niedyskryminacyjny dostęp do rachunków bankowych powinien istotnie poprawić jakość API, obszar, w którym PISP od dawna mają zastrzeżenia.

KNF i nadzór

PSD3 wzmacnia uprawnienia krajowych organów właściwych w międzysektorowej współpracy i zwiększa rolę koordynacyjną EBA. Dla polskiej KNF oznacza to większe obowiązki w zakresie wymiany danych o oszustwach i sankcjonowania naruszeń niedyskryminacyjnego dostępu.

Komentarz końcowy

PSD3/PSR to nie kosmetyczny update, to pełnoprawna nowa generacja regulacji płatniczych, porównywalna skalą do wprowadzenia PSD2 w 2018 roku. Trzy aspekty zasługują na podkreślenie. Po pierwsze, zmiana ekonomii oszustw: PSP, którzy dziś działają w modelu „klient powinien uważać”, będą musieli się zredefiniować. Detekcja i prewencja stają się pozycjami P&L. Po drugie, włączenie platform internetowych do łańcucha odpowiedzialności to model, który, jeśli zadziała, może być eksportowany na inne obszary regulacyjne. To pierwsza konkretna implementacja zasady „follow the money” wymierzonej w cyfrowe oszustwa. Po trzecie, otwarcie ekosystemu mobilnego oraz open bankingu z realnym egzekwowaniem to potencjalnie największa wygrana europejskich fintechów dekady. Pytanie otwarte: czy szczegóły aktów wykonawczych (RTS-y EBA) nie rozwodnią ambicji politycznej.

Diabeł, jak zawsze w regulacjach UE, tkwi w aktach delegowanych i RTS-ach. Najbliższe 18-24 miesiące pokażą, czy 1:25 nad ranem w Strasburgu rzeczywiście było punktem zwrotnym.

Źródła

Stan na 27 kwietnia 2026. Niniejszy artykuł nie stanowi porady prawnej. Ostateczne brzmienie aktów może jeszcze ulec zmianie w toku formalnego przyjęcia i publikacji w Dzienniku Urzędowym UE.

Wróć do wszystkich artykułów

Potrzebujesz pomocy z regulacjami?

Nasi konsultanci przeprowadzą Cię przez wdrożenie i wymogi regulacyjne.

Porozmawiaj z konsultantem