- Open Banking pozwala udostępnić rachunek uprawnionemu dostawcy zewnętrznemu tylko w zakresie, który zaakceptujesz. Najczęściej chodzi o AIS, czyli dostęp do informacji o rachunku, PIS, czyli inicjowanie płatności, albo CAF, czyli potwierdzenie dostępności środków.
- Zgoda na usługę i autoryzacja konkretnej czynności to nie to samo. Zgoda określa zakres dostępu, a autoryzacja potwierdza konkretną operację albo nadanie dostępu.
- Aktywne zgody sprawdzisz zwykle w sekcji bezpieczeństwo, zgody, otwarta bankowość, usługi zewnętrzne albo konta z innych banków, ale nazwy zakładek zależą od banku i wersji aplikacji.
- Jeśli widzisz nieznanego dostawcę, nietypową autoryzację albo obcą operację, natychmiast cofnij zgodę, zmień hasło, sprawdź historię rachunku i zgłoś incydent do banku.
- Przy nieautoryzowanej transakcji bank co do zasady powinien zwrócić środki najpóźniej do końca następnego dnia roboczego po stwierdzeniu albo zgłoszeniu sprawy. Termin graniczny na zgłoszenie roszczenia to zwykle 13 miesięcy od obciążenia rachunku.
Bezpieczeństwo Open Banking zależy od zakresu udzielonych zgód, prawidłowej identyfikacji dostawcy i szybkiej reakcji po nietypowej autoryzacji lub nieznanej operacji.
Ten artykuł pokazuje, gdzie sprawdzić aktywne zgody, jak odróżnić AIS, PIS i CAF, jak odwołać dostęp oraz jak działać po podejrzanym incydencie. Dostajesz też uporządkowaną ścieżkę reklamacji, listę dowodów i podstawowe prawa w sporze z bankiem.
| Sytuacja | Co to oznacza | Co sprawdzić | Co zrobić | Największe ryzyko |
|---|---|---|---|---|
| Aktywna zgoda AIS | Aplikacja widzi dane rachunku, saldo albo historię | Nazwę dostawcy, rachunki objęte dostępem, zakres danych, datę ważności | Usuń zbędne zgody i zostaw tylko te, których używasz | Zbyt szeroki dostęp do danych finansowych |
| Aktywna zgoda PIS | Aplikacja może inicjować płatność z rachunku | Czy rozpoznajesz usługę, kanał autoryzacji i cel dostępu | Cofnij dostęp po zakończeniu usługi i sprawdź historię operacji | Skutek finansowy na rachunku |
| Potwierdzenie środków CAF | Dostawca pyta tylko, czy środki są dostępne | Nazwę dostawcy i powiązanie z usługą płatniczą | Zweryfikuj legalność podmiotu i usuń dostęp, jeśli nie jest potrzebny | Nieczytelna relacja z usługą płatniczą |
| Podejrzana autoryzacja albo obca operacja | Nie rozpoznajesz dostawcy, urządzenia, zgody albo skutku na rachunku | Powiadomienia, historię zgód, historię logowań, transakcje, urządzenia | Odwołaj zgodę, zmień hasło, zbierz dowody, zgłoś incydent do banku | Nieautoryzowana płatność i spór o autoryzację |
Przykład: aplikacja do analizy wydatków zwykle korzysta z AIS. Gdy z poziomu usługi uruchamiasz przelew z rachunku, wchodzisz w obszar PIS. Jeśli dostawca tylko sprawdza, czy na rachunku są środki, chodzi o CAF.
Czym jest Open Banking i jakie typy zgód PSD2 możesz nadać aplikacji?
Najczęściej spotkasz trzy rodzaje usług. AIS daje dostęp do informacji o rachunku, czyli salda, historii i listy rachunków. PIS służy do inicjowania płatności z rachunku. CAF pozwala tylko potwierdzić dostępność środków, bez pokazywania pełnego salda i historii. Każdy wariant oznacza inny zakres danych i inny profil ryzyka.
Trzeba też odróżnić zgodę na usługę od autoryzacji konkretnej czynności. Zgoda określa, do czego dostawca ma dostęp. Autoryzacja potwierdza konkretną operację, np. nadanie dostępu, odnowienie relacji z usługą albo zainicjowanie płatności.
- AIS – dostęp do informacji o rachunku
- PIS – inicjowanie płatności
- CAF – potwierdzenie dostępności środków
Gdzie w bankowości internetowej i aplikacji sprawdzisz aktywne zgody?
Nazwy zakładek różnią się między bankami, ale lista powinna pokazywać co najmniej nazwę dostawcy, typ usługi, zakres rachunków, datę ważności i czasem także historię autoryzacji. To pozwala szybko wychwycić stary, zbędny albo nieznany dostęp.
Nie zakładaj, że brak problemów oznacza brak aktywnych zgód. Część relacji pozostaje widoczna jeszcze długo po tym, jak przestałeś korzystać z aplikacji. Dlatego przegląd listy zgód powinien być elementem regularnej kontroli bezpieczeństwa, a nie reakcją dopiero po incydencie.
Jak rozpoznać, czy aplikacja ma AIS, PIS czy CAF?
Jeśli aplikacja pokazuje historię wydatków, saldo albo łączy kilka rachunków w jednym widoku, zwykle korzysta z AIS. Jeśli z poziomu usługi uruchamiasz przelew z rachunku, chodzi o PIS. Jeżeli dostawca pyta wyłącznie o to, czy środki są dostępne do realizacji transakcji, mówimy o CAF.
| Typ usługi | Co widzi lub robi aplikacja | Co to oznacza dla użytkownika |
|---|---|---|
| AIS | Saldo, historia, lista rachunków | Ryzyko dotyczy głównie prywatności danych i zakresu dostępu |
| PIS | Inicjowanie płatności | Ryzyko dotyczy skutku finansowego i sporu o autoryzację |
| CAF | Potwierdzenie dostępności środków | Najwęższy zakres dostępu, ale nadal wymaga weryfikacji dostawcy |
Mikro-scenariusze: aplikacja budżetowa z widokiem historii wydatków to zwykle AIS. Bramka płatnicza, która uruchamia przelew z rachunku, to PIS. Dostawca instrumentu płatniczego, który pyta tylko o dostępność środków, działa w formule CAF.
Jak sprawdzić, czy dostawca Open Banking działa legalnie?
Najpierw porównaj nazwę widoczną na liście zgód w banku z nazwą podmiotu w rejestrze. Zwróć uwagę, czy to nazwa handlowa aplikacji, czy formalna nazwa licencyjna instytucji. Potem sprawdź rodzaj uprawnień, kraj rejestracji i to, czy podmiot działa w Polsce bezpośrednio, czy transgranicznie.
W praktyce rejestr krajowy prowadzony przez właściwy organ nadzoru ma podstawowe znaczenie. Rejestr EBA jest przydatny przy podmiotach działających z innego państwa UE albo EOG, ale nie zastępuje weryfikacji w rejestrze krajowym.
- Spisz nazwę dostawcy dokładnie tak, jak widzisz ją w banku.
- Sprawdź wpis w rejestrze KNF dla dostawców usług płatniczych.
- Zweryfikuj wpis w rejestrze EBA PSD2, jeśli podmiot działa z innego kraju UE lub EOG.
- Porównaj zakres uprawnień, np. AIS, PIS albo CAF.
- Jeśli nazwa się nie zgadza albo nie znajdujesz wpisu, usuń zgodę i zgłoś sprawę do banku.
Jak cofnąć zgodę Open Banking krok po kroku i co dzieje się po odwołaniu?
Wejdź do sekcji zgód, wybierz dostawcę, sprawdź zakres uprawnień i usuń dostęp. Po odwołaniu kolejna próba pobrania danych albo zainicjowania płatności powinna wymagać nowej zgody i nowej autoryzacji. Sam wygląd ekranu zależy od banku, ale mechanizm działania jest podobny.
Trzeba pamiętać, że cofnięcie zgody nie usuwa automatycznie skutków operacji już wykonanej. Jeśli wcześniej doszło do płatności albo innego spornego zdarzenia, nadal musisz osobno zabezpieczyć dowody i złożyć reklamację.
- Otwórz listę aktywnych zgód.
- Wybierz dostawcę i sprawdź typ usługi.
- Sprawdź rachunki objęte dostępem.
- Cofnij zgodę i potwierdź operację.
- Zweryfikuj, czy dostawca zniknął z listy.
- Zapisz zrzut ekranu potwierdzający odwołanie, jeśli sytuacja jest sporna.
Jakie sygnały wskazują na podejrzaną autoryzację albo obcą operację?
Nie ignoruj powiadomień o nowej zgodzie, odświeżeniu relacji z dostawcą, logowaniu z nowego urządzenia albo żądaniu potwierdzenia płatności, gdy nie korzystasz z żadnej usługi. Zwróć uwagę również na sytuację, w której nazwa dostawcy na liście zgód nic Ci nie mówi albo wygląda inaczej niż nazwa aplikacji, którą znasz.
Trzeba też odróżnić incydent Open Banking od zwykłej nieznanej transakcji kartowej, przelewu zleconego poza Open Banking albo operacji wynikającej z subskrypcji. Dlatego zawsze sprawdź nie tylko listę zgód, ale także historię rachunku i sposób wykonania operacji.
- powiadomienie push albo SMS o zgodzie, której nie pamiętasz
- nieznany podmiot na liście aktywnych zgód
- prośba o autoryzację z obcego urządzenia albo w nietypowym momencie
- płatność lub zlecenie, którego nie inicjowałeś
- komunikat o odnowieniu dostępu, choć nie korzystasz z usługi
Co zrobić natychmiast po podejrzanej autoryzacji?
Nie zwlekaj z reakcją. Najpierw usuń zgodę, zmień hasło do bankowości internetowej, sprawdź powiązany adres e-mail i przejrzyj historię transakcji. Jeśli istnieje ryzyko dalszych operacji, obniż limity, czasowo zablokuj kartę albo skontaktuj się z bankiem, aby włączył dodatkowe zabezpieczenia.
- Cofnij zgodę dla nieznanego dostawcy.
- Zmień hasło do bankowości internetowej i sprawdź e-mail powiązany z rachunkiem.
- Przejrzyj historię transakcji, logowań i urządzeń.
- Ogranicz ryzyko dalszych operacji, np. przez zmianę limitów lub blokadę karty.
- Skontaktuj się z bankiem i zgłoś incydent w możliwie najkrótszym czasie.
Jak udokumentować incydent i złożyć reklamację w banku?
Im lepiej opiszesz sekwencję zdarzeń, tym łatwiej oddzielić kwestię samej autoryzacji od późniejszego sporu o odpowiedzialność. Zachowaj zrzuty ekranu, treść SMS-ów, powiadomień push, historię operacji, listę aktywnych zgód oraz informacje o urządzeniu, z którego przyszło żądanie autoryzacji.
W piśmie do banku napisz wprost, czy zaprzeczasz autoryzacji, czy wskazujesz niezgodność między zakresem zgody a skutkiem na rachunku. To dwa różne punkty sporu i warto rozdzielić je już w pierwszej reklamacji.
| Element reklamacji | Co wpisać | Po co |
|---|---|---|
| Data i godzina | Np. 07/03/2026 r., 09:14 | Ustalenie sekwencji zdarzeń |
| Nazwa dostawcy | Nazwa z listy zgód albo z ekranu autoryzacji | Identyfikacja TPP |
| Typ i zakres usługi | AIS, PIS albo CAF, wskazanie rachunków i zakresu | Ocena, czy skutek mieścił się w zgodzie |
| Skutek na rachunku | Kwota, numer transakcji, data obciążenia | Ustalenie zakresu roszczenia |
| Dowody | SMS, push, zrzuty ekranu, historia logowań, historia urządzeń | Wzmocnienie stanowiska klienta |
Co wpisać w żądaniu: zwrot środków, przywrócenie stanu rachunku, przekazanie ścieżki autoryzacji, wskazanie podstawy odmowy albo pełnej historii zdarzenia. Reklamację złóż przez bankowość elektroniczną, infolinię, oddział albo e-mail, zgodnie z procedurą banku.
Jakie masz prawa przy nieautoryzowanych transakcjach i sporze o autoryzację?
W praktyce trzeba oddzielić trzy pytania. Po pierwsze, czy transakcja była autoryzowana. Po drugie, czy bank powinien wykonać szybki zwrot środków. Po trzecie, czy później próbuje przypisać klientowi odpowiedzialność, np. przez zarzut rażącego niedbalstwa. To nie są tożsame etapy oceny.
Najczęściej wskazywane wyjątki od szybkiego zwrotu są dwa: zgłoszenie po upływie 13 miesięcy od obciążenia rachunku albo uzasadnione podejrzenie oszustwa po stronie klienta połączone z zawiadomieniem organów ścigania. Samo wykazanie przez bank prawidłowego uwierzytelnienia nie przesądza jeszcze automatycznie, że transakcja była autoryzowana i że zwrot się nie należy.
Checklista, co zrobić krok po kroku
- Otwórz listę aktywnych zgód w bankowości internetowej albo aplikacji.
- Sprawdź nazwę każdego dostawcy, typ usługi i rachunki objęte dostępem.
- Oceń, czy to AIS, PIS czy CAF oraz czy nadal używasz tej usługi.
- Zweryfikuj nieznanego dostawcę w rejestrze KNF i, gdy trzeba, w rejestrze EBA PSD2.
- Cofnij wszystkie zbędne zgody i zostaw tylko te używane obecnie.
- Po podejrzanej autoryzacji zmień hasło, sprawdź historię rachunku, limity, urządzenia i logowania.
- Zbierz dowody, czyli zrzuty ekranu, godziny, nazwy podmiotów, treść komunikatów i skutek na rachunku.
- Złóż reklamację z żądaniem zwrotu środków albo przywrócenia stanu rachunku.
Słowniczek pojęć
FAQ, najczęściej zadawane pytania
Jak sprawdzić, czy jakaś aplikacja ma dostęp do mojego konta bankowego?
Zaloguj się do bankowości internetowej albo aplikacji i otwórz sekcję zgód, bezpieczeństwa, usług zewnętrznych lub otwartej bankowości. Tam zobaczysz aktywnych dostawców i zakres ich uprawnień.
Czy mogę cofnąć zgodę Open Banking w każdej chwili?
Tak. Po cofnięciu dostępu dalsze korzystanie z usługi wymaga ponownej zgody i nowej autoryzacji.
Czy AIS pozwala wykonać przelew z mojego rachunku?
Nie. AIS dotyczy dostępu do informacji o rachunku. Do inicjowania płatności służy PIS.
Co zrobić, gdy bank wysłał powiadomienie o zgodzie, której nie pamiętam?
Najpierw sprawdź listę aktywnych zgód i odwołaj nieznany dostęp. Następnie zmień hasło, sprawdź historię rachunku i zgłoś incydent do banku.
Ile czasu ma bank na zwrot pieniędzy po zgłoszeniu nieautoryzowanej transakcji?
Co do zasady zwrot powinien nastąpić najpóźniej do końca następnego dnia roboczego po stwierdzeniu albo zgłoszeniu sprawy. Wyjątki są wąskie i wynikają z ustawy o usługach płatniczych.
Jak długo mogę zgłosić bankowi nieautoryzowaną transakcję?
Zwykle do 13 miesięcy od dnia obciążenia rachunku. Nie zwlekaj jednak, bo szybkie zgłoszenie ułatwia zabezpieczenie dowodów i ogranicza ryzyko kolejnych strat.
Jak sprawdzić, czy dostawca Open Banking działa legalnie?
Porównaj nazwę dostawcy z listy zgód w banku z wpisem w rejestrze KNF. Jeśli podmiot działa transgranicznie, sprawdź go także w centralnym rejestrze EBA PSD2.
Źródła i podstawa prawna
- Komisja Nadzoru Finansowego, Otwarta bankowość w świetle wymogów dyrektywy PSD2, dostęp 07/03/2026 r.
- ISAP, ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, tekst jednolity, Dz.U. 2025 poz. 611, dostęp 07/03/2026 r.
- Rzecznik Finansowy, transakcje nieautoryzowane, FAQ, dostęp 07/03/2026 r.
- Rzecznik Finansowy, co robić w przypadku nieautoryzowanej transakcji, dostęp 07/03/2026 r.
- European Banking Authority, central register under PSD2, dostęp 07/03/2026 r.
- UOKiK, stanowisko Prezesa UOKiK w sprawie transakcji nieautoryzowanych, dostęp 07/03/2026 r.
Dane i tezy prawne zaktualizowane na dzień: 07/03/2026 r.
Jak czytać przykłady: przykłady pokazują mechanikę zgód, autoryzacji i działań po incydencie. Układ zakładek oraz nazwy sekcji w bankowości elektronicznej zależą od konkretnego banku i wersji aplikacji.
Co możesz zrobić po przeczytaniu tego artykułu?
- Sprawdź dziś wszystkie aktywne zgody Open Banking i usuń te, których już nie używasz.
- Zweryfikuj nieznanego dostawcę w rejestrze KNF i, gdy działa transgranicznie, także w rejestrze EBA PSD2.
- Zapisz oficjalny numer bezpieczeństwa swojego banku i sprawdź, gdzie w systemie odwołuje się dostęp.
- Ustaw stałą rutynę: raz w miesiącu przegląd zgód, limitów, historii logowań i rachunków podpiętych do aplikacji.
Aktualizacja artykułu: 07 marca 2026 r.
Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości
Kontakt przez LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/
Artykuł ma charakter informacyjno-edukacyjny. Treści nie stanowią porady finansowej, prawnej ani rekomendacji inwestycyjnej w rozumieniu przepisów, w szczególności nie stanowią usługi doradztwa w rozumieniu art. 4 pkt 21 ustawy o kredycie hipotecznym oraz o nadzorze nad pośrednikami kredytu hipotecznego i agentami. Decyzje podejmujesz na własne ryzyko; treści nie uwzględniają Twojej indywidualnej sytuacji. Artykuł zawiera linki afiliacyjne.
