adwokatslawomirduda.pl

Dyrektywa PSD2 - Jak działa otwarta bankowość i bezpieczeństwo?

Radosław Urbański.

12 marca 2026

Otwarta bankowość jest bezpieczna. Dane są chronione, a proces podpinania kont i pobierania danych z banków zewnętrznych jest szyfrowany. Dodatkowe uwierzytelnienie transakcji zapewnia bezpieczeństwo.

Dyrektywa PSD2 uporządkowała rynek płatności w Unii Europejskiej w sposób, który wciąż realnie wpływa na banki, fintechy i zwykłych użytkowników kont. W praktyce chodzi o to, kto może inicjować płatność, kto może agregować dane o rachunkach, jak działa otwarta bankowość i jakie zabezpieczenia musi stosować dostawca usługi. To temat ważny nie tylko dla branży finansowej, ale też dla osób i firm, które chcą korzystać z nowoczesnych płatności bez wchodzenia w spór o zgodność z prawem.

Najważniejsze fakty, które warto zapamiętać od razu

  • W Polsce podstawą jest ustawa o usługach płatniczych, a nadzór sprawuje przede wszystkim KNF, przy udziale NBP w obszarze infrastruktury płatniczej.
  • PSD2 wprowadziła dwa ważne typy usług: dostęp do informacji o rachunku oraz inicjowanie płatności.
  • Silne uwierzytelnianie klienta opiera się na co najmniej dwóch niezależnych elementach: wiedzy, posiadaniu lub cesze biometrycznej.
  • Podmiot świadczący wyłącznie usługę dostępu do informacji o rachunku zwykle potrzebuje wpisu do rejestru, a nie zezwolenia KNF.
  • Firmy działające w tym obszarze muszą dobrze rozróżniać zgodę klienta, obowiązek licencyjny i wymogi bezpieczeństwa technicznego.
  • W 2026 roku PSD2 nadal jest praktycznie ważna, choć na poziomie UE trwają prace nad nowymi regułami dla płatności i otwartej bankowości.

Czym jest dyrektywa PSD2 i po co ją wprowadzono

Najkrócej mówiąc, PSD2 to unijna regulacja, która miała otworzyć rynek płatniczy na nowych dostawców, zwiększyć bezpieczeństwo transakcji i ujednolicić zasady działania na rynku wewnętrznym. Z perspektywy prawa publicznego to nie jest tylko techniczna instrukcja dla banków, ale zestaw reguł wyznaczających, kto może działać na rynku, na jakich warunkach i pod czyim nadzorem.

Jej sens jest prosty: klient ma mieć więcej kontroli nad własnymi płatnościami i danymi, a jednocześnie cały system ma pozostać bezpieczny i nadzorowany. Dlatego obok klasycznych usług bankowych pojawiły się rozwiązania, które dziś nazywamy otwartą bankowością. To właśnie z tej konstrukcji wynikają późniejsze obowiązki techniczne, licencyjne i organizacyjne, o których piszę niżej.

Jak działa to w polskim porządku prawnym

W Polsce PSD2 nie funkcjonuje w oderwaniu od krajowych przepisów. Jak wskazuje Komisja Nadzoru Finansowego, kluczową podstawą jest ustawa o usługach płatniczych, która reguluje zasady świadczenia usług, prawa i obowiązki stron oraz nadzór nad dostawcami. Ta ustawa wprost implementuje unijne rozwiązania i przekłada je na język postępowań administracyjnych, rejestrów i zezwoleń.

W praktyce oznacza to, że nie każdy podmiot działający wokół płatności ma ten sam status. Jedni muszą uzyskać zezwolenie, inni tylko się zarejestrować, a jeszcze inni działają w oparciu o bardziej ograniczone modele. Różnica nie jest kosmetyczna, bo decyduje o tym, jak łatwo wejść na rynek, jakie procedury trzeba opisać i jaką odpowiedzialność bierze się na siebie od pierwszego dnia działania.

Podmiot Rola Wymóg formalny w Polsce Co ma znaczenie w praktyce
Bank lub inny dostawca prowadzący rachunek Utrzymuje rachunek i udostępnia do niego dostęp Nadzór KNF, obowiązki bezpieczeństwa i współpracy technicznej Nie może arbitralnie odcinać legalnego dostępu do danych lub płatności
AISP Agreguje informacje o rachunkach klienta Wpis do rejestru, bez zezwolenia KNF Może działać tylko w zakresie informacji o rachunku
PISP Inicjuje płatność na zlecenie klienta Zezwolenie KNF, zwykle w reżimie krajowej instytucji płatniczej Wchodzi w cięższy model compliance i zabezpieczeń
Klient Wyraża zgodę i autoryzuje operację Ochrona praw użytkownika usług płatniczych Kontroluje zakres dostępu i może go cofnąć

To rozróżnienie jest ważne także dlatego, że w tle działa nie tylko KNF, ale i NBP, jeśli mówimy o infrastrukturze systemów płatniczych. Dla przedsiębiorcy to sygnał, że wejście na rynek płatniczy nie jest zwykłą decyzją biznesową, lecz kwestią z pogranicza administracji, nadzoru i technologii. Właśnie dlatego najpierw trzeba ustalić model usługi, a dopiero potem projektować produkt.

Niebieskie tło z mapą Europy i gwiazdami Unii Europejskiej. W centrum napis PSD2.

Silne uwierzytelnianie i otwarta bankowość w praktyce

Najbardziej odczuwalnym skutkiem PSD2 dla zwykłego użytkownika jest silne uwierzytelnianie klienta, czyli SCA. EBA definiuje je jako autoryzację opartą na co najmniej dwóch niezależnych elementach z trzech kategorii: wiedzy, posiadania i cechy biometrycznej. W praktyce oznacza to na przykład połączenie hasła z kodem w aplikacji, odcisku palca z urządzeniem albo innego zestawu zabezpieczeń, który nie opiera się na jednym słabym punkcie.

Ten mechanizm stosuje się przy dostępie online do rachunku, przy inicjowaniu płatności elektronicznej oraz przy innych czynnościach przez kanał zdalny, jeśli wiążą się z ryzykiem nadużyć. Są wyjątki, ale nie zmieniają one podstawowej zasady: system ma chronić środki klienta, a nie tylko utrudniać życie użytkownikowi. Dobrze zaprojektowane uwierzytelnianie zwiększa bezpieczeństwo, źle zaprojektowane tworzy frustrację, jednak bez niego cały model otwartej bankowości byłby po prostu zbyt ryzykowny.

Otwarta bankowość działa tu jako logiczne uzupełnienie. Chodzi o bezpieczny dostęp do danych o rachunku przez interfejsy API, czyli programistyczne połączenia między systemami, ale wyłącznie za zgodą klienta i w ściśle określonym celu. To ważne rozróżnienie, bo legalna otwarta bankowość nie polega na przekazywaniu loginu i hasła podmiotowi trzeciemu. Jeżeli ktoś próbuje budować usługę właśnie na takim modelu, wchodzi na bardzo grząski grunt prawny i operacyjny. Z tego powodu przy ocenie zgodności usługi z PSD2 patrzę zawsze najpierw na proces zgody, potem na bezpieczeństwo techniczne, a dopiero na sam interfejs.

To prowadzi do kolejnego pytania: kto w ogóle może taką usługę oferować i na jakiej podstawie administracyjnej.

Kto musi mieć zezwolenie, a kto tylko wpis do rejestru

Tu najłatwiej popełnić kosztowny błąd. Nie każda usługa związana z rachunkiem bankowym wymaga pełnego zezwolenia, ale nie każda może działać tylko dlatego, że została nazwana „aplikacją finansową”. W polskim modelu liczy się rzeczywisty zakres czynności, a nie marketingowy opis produktu.

W przypadku krajowej instytucji płatniczej zezwolenie wydaje KNF. Jeżeli podmiot chce świadczyć usługę inicjowania płatności albo dostępu do informacji o rachunku w tym reżimie, musi dodatkowo wykazać odpowiednie zabezpieczenie roszczeń użytkownika, na przykład ubezpieczenie OC, gwarancję bankową albo ubezpieczeniową. Sama procedura jest administracyjna i wymagająca, a KNF może odmówić wydania zezwolenia, jeśli choć jeden z warunków nie zostanie spełniony.

W przypadku AISP sytuacja jest lżejsza. Podjęcie działalności wymaga wpisu do rejestru, ale nie wymaga zezwolenia KNF. To jednak nie oznacza pełnej swobody. Taki podmiot działa w ściśle określonym zakresie, czyli tylko po to, by dostarczać skonsolidowane informacje o rachunkach, i nie może rozszerzać działalności poza ten model. Jak wskazuje Komisja Nadzoru Finansowego, to działalność regulowana, a nie dowolna usługa IT opakowana w nowoczesny interfejs.

W praktyce warto pamiętać również o kosztach formalnych. Opłata za wydanie zezwolenia na świadczenie usług w charakterze krajowej instytucji płatniczej wynosi równowartość 1 250 euro, a zmiana takiego zezwolenia podlega opłacie 400 euro. Dla biznesu to nie są kwoty zaporowe, ale pokazują, że wejście na ten rynek jest realnym procesem regulacyjnym, a nie prostą rejestracją spółki technologicznej.

Jeżeli ktoś chce działać uczciwie i długofalowo, powinien najpierw sprawdzić, czy jego model to AISP, PISP, czy może klasyczna usługa płatnicza wymagająca pełniejszego zezwolenia. To właśnie na tym etapie zapada większość decyzji, które później oszczędzają spory z organem nadzoru.

Najczęstsze błędy i miejsca, w których przepisy są źle rozumiane

Najczęściej widzę cztery błędy. Po pierwsze, mylenie zgody klienta z legalnością całego procesu. To, że użytkownik kliknie „akceptuję”, nie zwalnia dostawcy z obowiązku posiadania właściwej podstawy prawnej, odpowiedniego statusu i zabezpieczeń. Po drugie, traktowanie interfejsu API jako dodatku technicznego, podczas gdy w rzeczywistości jest on elementem obowiązku regulacyjnego.

Po trzecie, zbyt szerokie pobieranie danych. Otwarta bankowość nie daje prawa do zbierania wszystkiego, co jest możliwe do odczytania. Liczy się cel, zakres zgody i proporcjonalność. Po czwarte, mylenie AISP z PISP. Jedna usługa informuje, druga inicjuje płatność, a to oznacza zupełnie inną odpowiedzialność, inne ryzyka i inne wymogi formalne.

Warto też uważać na wyłączenia. One istnieją, ale nie są furtką do obejścia przepisów. Przykładowo, w przypadku bardzo ograniczonej sieci akceptacji po przekroczeniu 1 mln euro transakcji w poprzednich 12 miesiącach pojawia się obowiązek notyfikacji do właściwego organu. Są też wyłączenia dla niektórych usług telekomunikacyjnych doliczanych do rachunku, ale ich zakres jest ściśle ustawowy. Jeżeli model biznesowy realnie wygląda jak usługa płatnicza, to sama zmiana nazwy nie usuwa problemu prawnego.

W obszarze nadzoru dochodzi jeszcze raportowanie incydentów. Od 17 stycznia 2025 r. dla podmiotów objętych DORA nie stosuje się już dotychczasowego formularza zgłaszania incydentów na podstawie PSD2. To pokazuje, że compliance w płatnościach coraz mocniej łączy się z odpornością operacyjną, a nie tylko z samą licencją. Dlatego przy analizie ryzyka patrzę dziś nie tylko na przepisy płatnicze, ale też na to, jak organizacja obsługuje bezpieczeństwo, logi, eskalację i odpowiedzialność wobec klienta.

Na tym tle dobrze widać, że część problemów wynika nie z samej dyrektywy, ale z jej błędnego wdrożenia lub zbyt optymistycznej interpretacji przez rynek. To z kolei prowadzi do pytania, co w 2026 roku naprawdę zmienia się wokół tych zasad.

Co w 2026 roku naprawdę zmienia się wokół PSD2

W 2026 roku PSD2 nadal pozostaje podstawowym punktem odniesienia dla rynku usług płatniczych w Unii i w Polsce. Jednocześnie na poziomie unijnym trwają prace nad nowymi regułami dla płatności i otwartej bankowości, które mają mocniej uderzać w fraud, zwiększać przejrzystość i doprecyzować dostęp do danych. Dla praktyka oznacza to jedno: projektowanie usług trzeba robić tak, jakby standardy miały być jeszcze bardziej rygorystyczne niż dziś.

Jeżeli mam wskazać jedną rzecz, którą warto zapamiętać, to jest nią potrzeba rozróżnienia między technologią a statusem prawnym. W płatnościach nie wygrywa ten, kto ma najładniejszą aplikację, tylko ten, kto od początku rozumie obowiązki administracyjne, zakres zgody, bezpieczeństwo danych i granice wyłączeń. To właśnie tam najczęściej rozstrzyga się, czy usługa jest skalowalna, czy po pierwszej kontroli trzeba ją przebudować od zera.

PSD2 nie jest więc tylko hasłem z branży finansowej. To realny reżim prawny, który porządkuje rynek, chroni użytkownika i wyznacza granice działania nowych dostawców. Jeśli ktoś planuje usługę płatniczą, wdrożenie open bankingu albo analizę zgodności modelu biznesowego, właśnie od tych zasad warto zacząć, bo późniejsze poprawki bywają zwyczajnie droższe niż dobre zaprojektowanie procesu na starcie.

FAQ - Najczęstsze pytania

PSD2 to unijna regulacja otwierająca rynek płatności dla nowych dostawców. Dotyczy banków, fintechów oraz użytkowników, wprowadzając zasady otwartej bankowości i zwiększając bezpieczeństwo transakcji elektronicznych poprzez nowe standardy prawne.

SCA to wymóg autoryzacji transakcji za pomocą co najmniej dwóch niezależnych elementów z kategorii: wiedza (np. hasło), posiadanie (np. telefon) lub cecha biometryczna (np. odcisk palca). Ma to na celu skuteczną ochronę środków przed oszustwami.

AISP pozwala wyłącznie na dostęp do informacji o rachunkach i ich agregację w jednym miejscu. PISP umożliwia natomiast zainicjowanie zlecenia płatności bezpośrednio z konta klienta. PISP wiąże się z surowszymi wymogami licencyjnymi i nadzorczymi.

W polskim porządku prawnym usługa AISP nie wymaga pełnego zezwolenia Komisji Nadzoru Finansowego. Konieczne jest jednak uzyskanie wpisu do odpowiedniego rejestru dostawców, co wiąże się z koniecznością spełnienia określonych wymogów bezpieczeństwa.

Oceń artykuł

Ocena: 0.00 Liczba głosów: 0
rating-outline
rating-outline
rating-outline
rating-outline
rating-outline

Tagi

psd2dyrektywa psd2otwarta bankowość psd2silne uwierzytelnianie klienta scaróżnica między aisp a pispzezwolenie knf na usługi płatnicze
Autor Radosław Urbański
Radosław Urbański
Jestem Radosław Urbański, specjalizującym się w analizie zagadnień prawnych i redagowaniu treści związanych z prawem. Od ponad dziesięciu lat zajmuję się badaniem i pisaniem na temat różnych aspektów systemu prawnego, co pozwoliło mi zdobyć głęboką wiedzę na temat przepisów, procedur oraz aktualnych zmian w prawodawstwie. Moim celem jest uproszczenie skomplikowanych zagadnień prawnych, aby były one zrozumiałe dla szerszej publiczności. Dzięki obiektywnej analizie oraz rzetelnemu podejściu do faktów, staram się dostarczać moim czytelnikom dokładne i aktualne informacje, które mogą być przydatne w ich codziennym życiu. Wierzę, że dostęp do zrozumiałych treści prawnych jest kluczowy dla podejmowania świadomych decyzji.

Napisz komentarz