PSD3/PSR – jakie zmiany szykują się w płatnościach, SCA i odpowiedzialności banku oraz kiedy to wejdzie w życie?

    3 marca 2026   Banki w Polsce  Brak komentarzy

Najważniejsze informacje w skrócie:

  • PSD3 i PSR mają uporządkować unijne zasady płatności, bezpieczeństwa, reklamacji i Open Bankingu.
  • Na dzień 07/03/2026 r. pakiet jest po prowizorycznym porozumieniu politycznym Parlamentu Europejskiego i Rady z 27/11/2025 r., ale przed formalnym przyjęciem i publikacją finalnych tekstów w Dzienniku Urzędowym UE.
  • Nie wszystko trzeba odkładać na PSD3/PSR. Już dziś obowiązują zasady dotyczące nieautoryzowanych transakcji, a osobno rozwija się unijny reżim weryfikacji odbiorcy przelewu w euro.
  • Dla klienta detalicznego najważniejsze będą: silniejsze mechanizmy antyfraudowe, większa przejrzystość kosztów, doprecyzowanie odpowiedzialności przy fraudach APP i lepsza kontrola zgód w Open Bankingu.
  • Co zrobić teraz: ustaw limity, powiadomienia, blokady kanałów, weryfikuj odbiorcę przelewu innym kanałem i zapisuj dowody kontaktu z bankiem przy każdym incydencie.

PSD3 i PSR to nowy pakiet regulacyjny UE dla rynku płatności. Ma uporządkować bezpieczeństwo transakcji, odpowiedzialność przy oszustwach, zasady reklamacji, transparentność opłat i dostęp do danych w Open Bankingu.

Na dzień 07/03/2026 r. nie są to jeszcze akty obowiązujące. Po porozumieniu politycznym z listopada 2025 r. kierunek zmian jest już jednak na tyle czytelny, że da się wskazać, co zmieni się najmocniej i jak przygotować się bez zgadywania dat.

Warianty przygotowania do PSD3/PSR, w zależności od Twojej roli

RolaNajważniejsze przygotowanieKorzyśćSłaby punktNajwiększe ryzyko
Klient indywidualnyLimity, powiadomienia, silne logowanie, ostrożność przy przelewach i szybkie zgłaszanie incydentówSzybsze wykrycie nadużycia i lepsza pozycja dowodowa w sporzeWięcej komunikatów i dodatkowych kroków przy autoryzacjiAutoryzacja przelewu do oszusta pod wpływem presji lub podszycia
Sklep online / firmaJasne komunikaty o kosztach, procedura reklamacyjna, archiwizacja logów i ścieżek zgódMniej sporów i mniejsze ryzyko zarzutu braku transparentnościKonieczność przebudowy części ekranów płatności i regulaminówSpory o opłaty, DCC, przewalutowanie i brak czytelnego uprzedzenia o koszcie
Fintech / TPPZarządzanie zgodami, bezpieczeństwo API, dowodowość operacji i monitoring fraudówCzytelniejsze reguły odpowiedzialności i bardziej uporządkowany dostęp do rachunkuWyższe koszty zgodności i presja na jakość procesówPrzerwanie usługi lub spór z partnerem bankowym przy słabej jakości integracji

Przewiń w bok, aby zobaczyć całą tabelę na mniejszych ekranach.

Praktyczny wniosek: jeśli jesteś klientem indywidualnym, nie czekaj na datę wejścia w życie nowych przepisów. Ustawienia bezpieczeństwa, limity i procedura weryfikacji odbiorcy działają ochronnie już teraz, choć zakres obowiązków zależy od konkretnej usługi i terminu wdrożenia.

Czym są PSD3 i PSR oraz czym różni się dyrektywa od rozporządzenia?

PSD3 ma być dyrektywą, a PSR rozporządzeniem, więc oba akty wpływają na rynek inaczej.

Dyrektywa wyznacza cele i wymaga wdrożenia do prawa krajowego. To oznacza, że po jej formalnym przyjęciu każde państwo członkowskie musi przeprowadzić transpozycję do własnych ustaw. Rozporządzenie działa bezpośrednio, dlatego po wejściu w życie i rozpoczęciu stosowania wiąże uczestników rynku wprost.

Dla użytkownika praktyczna różnica jest prosta. Jeśli dana reguła trafi do PSR, ma większą szansę być stosowana jednolicie w całej UE. Jeśli trafi do PSD3, tempo i technika wdrożenia będą zależeć także od zmian w prawie krajowym.

Na co patrzeć przy terminach: osobno na datę stosowania PSR oraz osobno na termin transpozycji PSD3 po publikacji aktów finalnych.

Jaki jest status legislacyjny pakietu PSD3/PSR na 07/03/2026 r.?

Na 07/03/2026 r. pakiet jest po prowizorycznym porozumieniu politycznym, ale przed formalnym przyjęciem i publikacją finalnych tekstów.

To ważna korekta względem starszych publikacji. Nie można już pisać, że PSD3 i PSR są wyłącznie „wstępnymi projektami bez rozstrzygnięć”, bo po porozumieniu Parlamentu Europejskiego i Rady z 27/11/2025 r. wiele kierunków zmian jest już publicznie opisanych. Nadal nie można jednak twierdzić, że akty obowiązują, bo do tego potrzebne są formalne etapy legislacyjne i publikacja finalnych wersji.

Z punktu widzenia czytelnika oznacza to jedno: da się przygotować procesy i bezpieczeństwo, ale nie wolno opierać regulaminów, wzorów odpowiedzi reklamacyjnych ani procedur compliance na skrótach prasowych zamiast na tekście finalnym.

Co zmieni się w SCA dla kart, przelewów i płatności mobilnych?

Kierunek zmian nie polega na wymyśleniu SCA od nowa, tylko na doprecyzowaniu reguł, wyjątków, dowodowości i jakości wdrożeń.

SCA, czyli silne uwierzytelnienie klienta, już dziś jest podstawą bezpieczeństwa płatności elektronicznych. Nowy pakiet nie zmienia tego fundamentu, ale ma mocniej powiązać bezpieczeństwo z konkretną transakcją, jej danymi oraz z obowiązkami dostawcy usług płatniczych.

Dla klienta detalicznego oznacza to, że większą wagę będą miały nie tylko same metody autoryzacji, lecz także jakość komunikatu przed potwierdzeniem, jasność danych odbiorcy i możliwość wykazania, co dokładnie zostało zatwierdzone. W praktyce wiele sporów nie wynika z braku „drugiego składnika”, tylko z tego, że użytkownik był pod presją, został wprowadzony w błąd albo potwierdził coś, czego sensu nie rozumiał.

Wskazówka: nie autoryzuj operacji podczas rozmowy telefonicznej. Jeżeli ktoś instruuje Cię krok po kroku i twierdzi, że chroni Twoje środki, zakończ połączenie i samodzielnie skontaktuj się z bankiem przez oficjalny kanał.

Jak mają wyglądać zasady odpowiedzialności przy fraudach APP i spoofingu?

Uzgodniony kierunek zmian wzmacnia ochronę klienta przy APP i fraudach podszyciowych, ale pełny zakres odpowiedzialności trzeba potwierdzić po publikacji tekstów finalnych.

APP to sytuacja, w której użytkownik sam autoryzuje przelew do oszusta, zwykle pod wpływem manipulacji. To najtrudniejsza kategoria sporów, bo bank często twierdzi, że transakcja była poprawnie potwierdzona, a klient wskazuje, że działał w warunkach oszustwa. W prowizorycznie uzgodnionym pakiecie unijnym nacisk położono na narzędzia prewencji, obowiązki dostawcy oraz wyraźniejsze reguły odpowiedzialności.

Uzgodniony politycznie kierunek reformy zakłada m.in. silniejszą ochronę, gdy dostawca nie wdrożył wymaganych mechanizmów antyfraudowych, obowiązek reagowania na niezgodność danych odbiorcy oraz możliwość ograniczania ryzyka przez ustawienia klienta, np. limity czy blokady. Osobno akcentowany jest fraud podszyciowy, np. „na pracownika banku”. Szczegółowy model refundu i ciężaru dowodu trzeba jednak oceniać dopiero na podstawie finalnego tekstu aktu.

Ostrzeżenie: „rachunek techniczny”, „test bezpieczeństwa”, „przeniesienie środków” i „potwierdzenie danych dla odblokowania konta” to jedne z najczęstszych scenariuszy oszustwa. Bank nie zabezpiecza środków w ten sposób.

Czy weryfikacja odbiorcy przelewu już obowiązuje i co dołoży PSR?

Verification of payee wynika już z rozporządzenia UE 2024/886, ale terminy wdrożenia zależą od rodzaju dostawcy i tego, czy działa on w państwie strefy euro czy poza nią.

To miejsce wymaga szczególnej precyzji. Nie można sugerować, że weryfikacja odbiorcy jest wyłącznie pomysłem przyszłego PSR. Rozporządzenie UE 2024/886 dotyczące przelewów natychmiastowych w euro wprowadziło obowiązek usługi sprawdzającej zgodność identyfikatora rachunku z nazwą odbiorcy przed wykonaniem przelewu. Mechanizm ten ma ograniczać zarówno zwykłe pomyłki, jak i przelewy na podstawione rachunki.

Dla polskiego czytelnika ważny jest jednak kontekst terminów. Polska jest państwem UE spoza strefy euro, dlatego obowiązki wdrożeniowe są rozłożone w czasie. W praktyce nie wolno pisać ogólnie, że taki mechanizm „już działa wszędzie” dla wszystkich dostawców w Polsce. Trzeba sprawdzać zakres usługi, walutę przelewu i termin wynikający z rozporządzenia dla danej kategorii PSP.

PSR nie zastępuje tej regulacji, lecz ma budować szerszy, bardziej jednolity model bezpieczeństwa płatności, przejrzystości odpowiedzialności i obowiązków antyfraudowych. Dla użytkownika praktyczny wniosek jest prosty: komunikatu o niezgodności odbiorcy nie wolno ignorować, nawet jeśli przelew wydaje się pilny.

Porada: komunikat o niezgodności traktuj jak sygnał alarmowy. Przerwij autoryzację i potwierdź dane odbiorcy innym kanałem, najlepiej numerem telefonu lub adresem z umowy, faktury albo oficjalnej strony.

Jak dziś działają reklamacje nieautoryzowanych transakcji w Polsce?

Już dziś w Polsce istnieją konkretne reguły ochrony, niezależnie od tego, kiedy formalnie wejdą PSD3 i PSR.

W praktyce konsumenckiej trzeba rozdzielić dwie sytuacje. Transakcja nieautoryzowana to taka, której użytkownik nie zatwierdził. Tu obowiązują obecne przepisy ustawy o usługach płatniczych. Zasadniczo dostawca powinien zwrócić kwotę takiej transakcji albo przywrócić rachunek do stanu sprzed jej wykonania najpóźniej do końca następnego dnia roboczego po zgłoszeniu, z wyjątkami wynikającymi z ustawy.

W obiegu publicznym często pojawia się też limit odpowiedzialności klienta do równowartości 50 euro w ściśle określonych przypadkach, zanim zgłosi utratę instrumentu lub naruszenie zabezpieczeń. Osobno liczy się termin zgłoszenia, bo na powiadomienie dostawcy użytkownik ma co do zasady 13 miesięcy od obciążenia rachunku, choć w praktyce zgłoszenie powinno nastąpić natychmiast. To właśnie ten stan prawny trzeba odróżniać od przyszłych sporów o APP, gdzie klient sam autoryzuje przelew.

Co zachować jako dowód: numer sprawy, godziny zdarzeń, zrzuty komunikatów, treść SMS-ów i e-maili, logi z aplikacji, potwierdzenie zastrzeżenia karty lub zmiany dostępu oraz dowód zgłoszenia na policję, jeśli doszło do oszustwa.

Co zmieni się w opłatach, DCC, FX i komunikatach kosztowych?

Pakiet ma zwiększyć czytelność kosztów przed transakcją, a nie dopiero po jej rozliczeniu.

Najwięcej sporów konsumenckich dotyczy sytuacji, w których koszt jest prawnie ujawniony, ale praktycznie mało zrozumiały. Dotyczy to zwłaszcza DCC, przewalutowania przy płatności za granicą oraz wypłat z bankomatów z dodatkowymi opłatami operatora. Nowy pakiet ma wzmacniać zasadę, że użytkownik powinien wiedzieć przed potwierdzeniem transakcji, co zapłaci i z czego ten koszt wynika.

Dla sklepów, operatorów płatności i banków oznacza to większą wagę jakości komunikatów, nie tylko formalnego istnienia regulaminu. Z perspektywy użytkownika test jest prosty: jeśli przed kliknięciem „zatwierdź” nie umiesz w dwóch zdaniach wyjaśnić, ile wyniesie koszt i kto go pobiera, komunikat jest za słaby.

Wskazówka praktyczna: dobry komunikat kosztowy pokazuje kwotę, walutę, kurs, prowizję i podmiot pobierający opłatę. Zły komunikat ukrywa koszt w ogólnym odwołaniu do tabeli opłat albo regulaminu.

Jak PSD3/PSR wpłyną na Open Banking, API i zgody użytkownika?

Kierunek zmian idzie w stronę lepszej kontroli zgód, większej audytowalności i mniejszej dowolności po stronie uczestników rynku.

Open Banking nie rozbija się dziś wyłącznie o przepisy, lecz o jakość działania API, czytelność zgód i faktyczny dostęp do danych. W uzgodnionym kierunku reformy użytkownik ma dostać bardziej zrozumiałe zarządzanie zgodami, a banki i dostawcy zewnętrzni mają działać według bardziej precyzyjnych reguł bezpieczeństwa, raportowania i odpowiedzialności.

Dla klienta detalicznego oznacza to jedno pytanie, które trzeba umieć zadać przy każdej zgodzie: kto, po co, na jak długo i do jakich danych ma dostęp. Sama zgoda nie powinna być oceniana wyłącznie formalnie. Liczy się także zakres danych, czas trwania dostępu, możliwość odwołania oraz ślad systemowy potwierdzający, kto i kiedy z danych korzystał.

Wskazówka: regularnie przeglądaj aktywne zgody do rachunku. Zgoda, której już nie potrzebujesz, powinna zostać odwołana, bo każda zbędna integracja zwiększa powierzchnię ryzyka.

Jak przygotować się na wdrożenie bez zgadywania dat?

Najlepsza strategia to oddzielenie działań pewnych już dziś od elementów zależnych od finalnego tekstu aktów.

Klient indywidualny powinien skupić się na bezpieczeństwie operacyjnym: limitach, powiadomieniach, zasadzie podwójnej weryfikacji odbiorcy i natychmiastowym zgłaszaniu incydentów. Firma powinna uporządkować komunikaty kosztowe, ścieżkę reklamacyjną, archiwizację logów i treść informacji przekazywanych klientowi przed płatnością. Fintech powinien przygotować mapę zgód, procesy odwołania dostępu, monitoring API i dokumentację dowodową.

Nie ma sensu zgadywać jednego „dnia startu”, dopóki nie ma finalnych tekstów. Sens ma natomiast zbudowanie procesów, które będą potrzebne niezależnie od daty: przejrzystość, bezpieczeństwo, kontrola zgód, archiwizacja dowodów, szkolenie pracowników i procedura działania przy fraudzie podszyciowym.

Co obowiązuje już dziś, a co zależy od finalnego PSD3/PSR?

ObszarStan na 07/03/2026 r.Co trzeba jeszcze potwierdzić
Nieautoryzowane transakcjeObowiązują zasady z ustawy o usługach płatniczych, w tym termin 13 miesięcy i zwrot co do zasady do końca następnego dnia roboczegoBrak, to jest obecny reżim prawny
APP i spoofingRosną oczekiwania wobec działań antyfraudowych banków, ale spory nadal często dotyczą oceny konkretnego stanu faktycznegoFinalny zakres odpowiedzialności i refundu po PSD3/PSR
Verification of payeeObowiązek wynika z rozporządzenia 2024/886, lecz terminy wdrożenia są różne w zależności od państwa i typu PSPZakres dostępności konkretnej usługi dla użytkownika w Polsce w danym terminie
Open Banking i zgodyDziała już obecny model PSD2, ale jakość zgód i API bywa nierównaFinalne wymagania porządkujące dostęp, audytowalność i odpowiedzialność

Nieautoryzowana transakcja, APP i spoofing – czym to się różni w praktyce?

SytuacjaKto zatwierdza płatnośćGłówny problem prawnyCo decyduje o sporze
Nieautoryzowana transakcjaUżytkownik nie zatwierdza operacjiCzy doszło do autoryzacji i czy bank ma podstawę odmowy zwrotuLogi, czas zgłoszenia, dowody naruszenia zabezpieczeń, zawiadomienie organów ścigania
APPUżytkownik sam zatwierdza przelew, ale pod wpływem oszustwaZakres odpowiedzialności PSP za brak skutecznej prewencji i ostrzeżeńTreść komunikatów, zachowanie banku, narzędzia antyfraudowe, okoliczności manipulacji
SpoofingUżytkownik zwykle działa po kontakcie z osobą podszywającą się pod bank lub inną instytucjęOcena, czy dostawca przeciwdziałał przewidywalnemu scenariuszowi frauduNagrania, historia połączeń, treść poleceń, ostrzeżenia w aplikacji i przebieg zgłoszenia

Checklista: jak przygotować się na PSD3/PSR bez zgadywania dat

  1. Ustaw limity i powiadomienia osobno dla karty, przelewów i płatności mobilnych.
  2. Wzmocnij logowanie przez biometrię, silny PIN i kontrolę urządzenia, z którego autoryzujesz operacje.
  3. Wprowadź zasadę drugiego kanału przy każdej pilnej prośbie o przelew lub zmianę danych odbiorcy.
  4. Nie ignoruj komunikatu o niezgodności odbiorcy przy przelewie w euro lub podobnego ostrzeżenia w bankowości.
  5. Zapisuj dowody przy każdym incydencie, w reklamacjach liczy się dokumentacja i czas zgłoszenia.
  6. Przejrzyj aktywne zgody Open Banking i usuń te, których już nie potrzebujesz.
  7. Śledź źródła pierwotne, czyli EUR-Lex, Parlament Europejski, Radę UE, UOKiK i ustawę o usługach płatniczych.

Słowniczek pojęć

PSD3
Projekt dyrektywy UE dotyczącej usług płatniczych, który ma zastąpić lub zmienić część obecnych ram PSD2 po wdrożeniu do prawa krajowego.
Ang.: Payment Services Directive 3

PSR
Projekt rozporządzenia UE dotyczącego usług płatniczych, który ma obowiązywać bezpośrednio po formalnym przyjęciu i rozpoczęciu stosowania.
Ang.: Payment Services Regulation

SCA
Silne uwierzytelnienie klienta, czyli potwierdzanie operacji przy użyciu co najmniej dwóch elementów z różnych kategorii bezpieczeństwa.
Ang.: Strong Customer Authentication

APP
Oszustwo polegające na tym, że użytkownik sam autoryzuje przelew do oszusta pod wpływem manipulacji lub podszycia.
Ang.: Authorized Push Payment

DCC
Dynamiczne przewalutowanie proponowane przy płatności kartą albo wypłacie z bankomatu, zwykle po kursie mniej korzystnym niż rozliczenie przez bank lub organizację kartową.
Ang.: Dynamic Currency Conversion

Open Banking
Model, w którym za zgodą użytkownika uprawniony dostawca może uzyskać dostęp do określonych danych rachunku lub zainicjować płatność.
Ang.: Open Banking

Verification of payee
Usługa sprawdzająca zgodność nazwy odbiorcy z identyfikatorem rachunku przed wykonaniem przelewu.
Ang.: Verification of Payee

FAQ – najczęściej zadawane pytania

Czy PSD3 i PSR już obowiązują w Polsce?

Nie. Na 07/03/2026 r. pakiet jest po porozumieniu politycznym PE i Rady, ale przed formalnym przyjęciem i publikacją finalnych aktów.

Czy nowe przepisy zmienią sposób autoryzacji płatności?

Tak, ale głównie przez doprecyzowanie zasad SCA, komunikatów przed autoryzacją i obowiązków antyfraudowych, a nie przez całkowitą zmianę modelu potwierdzania płatności.

Czy bank odda pieniądze po przelewie do oszusta typu APP?

To zależy od okoliczności sprawy i finalnej treści nowych przepisów. Uzgodniony kierunek zmian wzmacnia ochronę klienta, zwłaszcza gdy dostawca nie wdrożył odpowiednich narzędzi antyfraudowych lub doszło do fraudu podszyciowego.

Czy weryfikacja odbiorcy przelewu już działa w Polsce?

Obowiązek wynika już z rozporządzenia UE 2024/886, ale wdrożenie zależy od rodzaju dostawcy, waluty przelewu i terminu przewidzianego dla PSP w państwach strefy euro albo poza nią. Nie wolno zakładać, że usługa działa identycznie u każdego dostawcy w Polsce.

Ile czasu mam na zgłoszenie nieautoryzowanej transakcji?

Co do zasady masz 13 miesięcy od obciążenia rachunku, ale zgłoszenie powinno nastąpić natychmiast, bo liczy się szybka blokada dostępu i pozycja dowodowa.

Czy PSD3/PSR zmienią Open Banking?

Tak. Kierunek zmian obejmuje lepszą kontrolę zgód, bezpieczeństwo API, przejrzystość dostępu do danych i bardziej precyzyjne zasady odpowiedzialności uczestników rynku.

Skąd brać pewne informacje o dacie wejścia w życie?

Z tekstu finalnych aktów opublikowanych w Dzienniku Urzędowym UE. Dopiero tam będą wiążące daty stosowania PSR i transpozycji PSD3.

Źródła i podstawa prawna

Stan legislacyjny i opis praktycznych skutków są aktualne na dzień 07/03/2026 r. Przy wdrożeniu procedur w firmie lub sporze z dostawcą usług płatniczych zawsze sprawdź finalne akty, aktualne brzmienie ustawy o usługach płatniczych oraz komunikaty regulatorów.

Co zrobić po przeczytaniu tego artykułu?

  • Sprawdź ustawienia bezpieczeństwa w bankowości, karcie i aplikacji mobilnej.
  • Wprowadź jedną stałą zasadę: żadnego przelewu ani autoryzacji w trakcie rozmowy z rzekomym pracownikiem banku.
  • Przygotuj własną mini procedurę incydentu: kontakt z bankiem, zastrzeżenie instrumentu, numer sprawy, zapis dowodów, zgłoszenie na policję.
  • Jeżeli prowadzisz firmę, przejrzyj komunikaty kosztowe, reklamację, archiwizację logów i treść zgód w procesie płatności.

Aktualizacja artykułu: 07 marca 2026 r.

Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości

Kontakt przez LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Artykuł ma charakter informacyjno-edukacyjny. Treści nie stanowią porady finansowej, prawnej ani rekomendacji inwestycyjnej w rozumieniu przepisów, w szczególności nie stanowią usługi doradztwa w rozumieniu art. 4 pkt 21 ustawy o kredycie hipotecznym oraz o nadzorze nad pośrednikami kredytu hipotecznego i agentami. Decyzje podejmujesz na własne ryzyko; treści nie uwzględniają Twojej indywidualnej sytuacji. Artykuł zawiera linki afiliacyjne.

O Autorze

Konsultant

Ekonomista, absolwent Akademii Polonijnej, redaktor portali finansowych z 19-letnim doświadczeniem. Specjalista od analiz produktów bankowych.

Powiązane posty

Zostaw komentarz