Wyjaśnienie PSD3: Kluczowe zmiany w płatnościach UE i bankowości otwartej
Płatności elektroniczne w UE osiągają wartość około 240 bilionów euro rocznie. Przepisy regulujące te płatności są obecnie przepisywane.
PSD3, trzecia dyrektywa w sprawie usług płatniczych, całkowicie zastępuje PSD2. Nie tylko aktualizuje ona stare przepisy, ale także łączy ją z bezpośrednio obowiązującym rozporządzeniem w sprawie usług płatniczych (PSR), eliminując różnice krajowe, które powodowały niespójność PSD2 na rynkach UE. Głównymi zmianami są silniejsze zabezpieczenia przed oszustwami, ujednolicone interfejsy API otwartej bankowości oraz wyraźne regulacje dotyczące tokenów pieniądza elektronicznego i usług płatności kryptowalutowych.
Tymczasowe porozumienie polityczne osiągnięto w listopadzie 2025 r. Publikacja w Dzienniku Urzędowym UE spodziewana jest w drugim kwartale 2026 r. Pełne wdrożenie nastąpi około 2028 r. Różnica między tymi datami ma znaczenie: PSR wchodzi w życie 20 dni po publikacji, na długo przed zakończeniem transpozycji dyrektywy do prawa krajowego przez państwa członkowskie.
Czym jest PSD3?
UE od 2007 roku reguluje rynek płatności za pomocą dyrektyw. PSD1 ustanowiła podstawowe ramy. W 2015 roku weszła w życie PSD2, dodając silne uwierzytelnianie klientów i dostęp stron trzecich za pośrednictwem otwartej bankowości. PSD3 to trzecia generacja – i stanowi większą zmianę strukturalną niż którakolwiek z poprzednich.
W przeciwieństwie do swoich poprzedników, PSD3 nie jest odrębną dyrektywą. Zawiera ona Rozporządzenie w sprawie usług płatniczych (PSR), które obowiązuje bezpośrednio we wszystkich państwach członkowskich UE i nie wymaga transpozycji do prawa krajowego. W ramach PSD2 Niemcy i Francja wdrożyły tę samą dyrektywę w różny sposób. Fintech musiał rozumieć każdy rynek osobno. W ramach PSR te różnice zanikają – zasady postępowania są wszędzie identyczne.
Dwie inne zmiany mają znaczenie strukturalne:
- Dyrektywa o pieniądzu elektronicznym (EMD2), która oddzielnie regulowała instytucje pieniądza elektronicznego, zostaje włączona do PSD3. EMI stają się podkategorią instytucji płatniczych w ramach jednych ram.
- Tokeny pieniądza elektronicznego, czyli kryptowaluty typu stablecoin wykorzystywane do płatności, po raz pierwszy podlegają unijnym regulacjom dotyczącym usług płatniczych.
PSD3 kontra PSD2: co się zmieniło
W sześciu obszarach wprowadzono istotne aktualizacje między PSD2 a PSD3:
| Obszar | PSD2 | PSD3 |
|---|---|---|
| Instrument prawny | Dyrektywa (transpozycja krajowa) | Dyrektywa + PSR (jednolite rozporządzenie UE) |
| Ramy EMI | Oddzielna dyrektywa EMD2 | Połączono z ramą instytucji płatniczej |
| Wymagania SCA | Ścisłe kategorie czynników | Zasada niezależności; większa elastyczność |
| Otwarte interfejsy API bankowości | Formaty dobrowolne, niespójne | Standaryzowane specyfikacje, obowiązkowe raportowanie |
| Odpowiedzialność za oszustwa w aplikacji | Klient ponosi największe ryzyko | PSP ponosi odpowiedzialność, chyba że udowodniono rażące zaniedbanie |
| Tokeny kryptograficzne / e-pieniędzy | Nieobjęte | Wyraźnie w zakresie PSR |
Przejście od samej dyrektywy do dyrektywy z regulacją ma większe znaczenie, niż się wydaje. Firma fintech działająca w Niemczech, Francji i Holandii miała wcześniej do czynienia z trzema różnie transponowanymi wersjami tego samego prawa. Zgodnie z PSD3/PSR zasady postępowania są identyczne w każdym państwie członkowskim.
Weryfikacja IBAN i odpowiedzialność za oszustwa związane z aplikacją
Dwa z najważniejszych pod względem komercyjnym postanowień dyrektywy PSD3 dotyczą oszustw, a konkretnie oszustw związanych z autoryzowaną płatnością push (APP), w których klienci są manipulowani, aby dobrowolnie wysyłali środki na konto przestępcze.
Pierwszym mechanizmem jest dopasowywanie nazw IBAN . Dostawcy usług płatniczych muszą zweryfikować, czy nazwa odbiorcy jest zgodna z jego numerem IBAN, zanim przelew zostanie zrealizowany. Weryfikacja trwa kilka sekund i jest bezpłatna dla konsumentów. Jest to odzwierciedlenie brytyjskiego systemu potwierdzania odbiorcy płatności (CoP), który znacząco ograniczył oszustwa związane z aplikacjami po jego wprowadzeniu w 2020 roku. Wymóg ten wchodzi w życie 24 miesiące po wejściu w życie PSD3, szacowane na około 2028 rok.
Przeniesienie odpowiedzialności to drugi mechanizm. Zgodnie z PSD2 ciężar dowodu w sprawach oszustw związanych z aplikacjami (APP) zazwyczaj spoczywał na ofiarach, które musiały wykazać, że nie wyraziły na to zgody. PSD3 odwraca tę sytuację:
- Klient zgłasza nieautoryzowaną lub oszukańczą transakcję
- PSP ma 14 dni roboczych na rozpatrzenie wniosku o zwrot pieniędzy
- PSP musi dokonać zwrotu w całości, chyba że udowodni, że klient działał w sposób oszukańczy lub z rażącym zaniedbaniem
- Dostawcy usług płatniczych, którzy nie wdrożą odpowiednich mechanizmów kontroli oszustw, w tym weryfikacji numeru IBAN, ponoszą odpowiedzialność za straty wynikające z niewykonania zobowiązania
- Przypadki manipulacji płatnikami: jeśli PSP nie powiadomi o niezgodności nazwy/numeru IBAN, ponosi stratę niezależnie od innych czynników
Instytucje, które zignorowały jawny zamiar PSD2 dotyczący odpowiedzialności za oszustwa, teraz muszą liczyć się z obowiązkowym ryzykiem finansowym. To nie tylko kwestia przestrzegania przepisów — to bezpośrednia zachęta do inwestowania w infrastrukturę przeciwdziałania oszustwom.
Otwarta bankowość i standardy API
Ambicje PSD2 w zakresie otwartej bankowości napotkały na praktyczny opór: banki wdrażały API w dowolny sposób. Dostawcy zewnętrzni (TPP), czyli firmy fintechowe bazujące na danych bankowych, napotkali dziesiątki niekompatybilnych wdrożeń na rynkach UE. Francuski fintech uzyskujący dostęp do danych bankowych w Niemczech korzystał z zupełnie innego interfejsu niż ten, z którego korzystał w Hiszpanii.
PSD3 rozwiązuje ten problem poprzez obowiązkową standaryzację:
- Dostawcy usług płatniczych obsługujący konta (ASPSP) muszą oferować dedykowane interfejsy spełniające standardowe specyfikacje UE
- Banki muszą publikować kwartalne raporty dotyczące wydajności interfejsu API, czasu opóźnienia i wskaźników błędów
- Jeśli główne API ulegnie awarii, TPP uzyskają dostęp awaryjny do standardowego interfejsu klienta banku
- Panele zgody klienta stają się obowiązkowe — użytkownicy mogą zobaczyć, które strony trzecie mają dostęp do ich kont i odwołać zgodę w czasie rzeczywistym
- Dedykowane interfejsy muszą być wystarczająco niezawodne, aby wyeliminować „scratching ekranu” jako metodę awaryjną
Dla banków oznacza to realną odpowiedzialność za jakość API, która wcześniej była dobrowolna i w dużej mierze ignorowana. Dla firm fintechowych oznacza to spójny, podlegający audytowi dostęp do wszystkich rynków UE.
Silne uwierzytelnianie klienta w ramach PSD3
Zasady silnego uwierzytelniania klienta (SCA) w ramach PSD2 wymagały dwóch czynników uwierzytelniania pochodzących z co najmniej dwóch odrębnych kategorii: czegoś, co znasz (PIN, hasło), czegoś, co posiadasz (urządzenie, karta) lub czegoś, czym jesteś (biometryczne). PSD3 zachowuje wymóg dwuskładnikowego uwierzytelniania, rezygnując z reguły kategorii.
Nowym standardem jest „niezależność”, a nie rozdział kategorii. Dwa czynniki są zgodne, o ile naruszenie jednego nie narusza automatycznie drugiego. To prawdziwy sukces projektowy dla dostawców usług płatniczych, którzy zostali zmuszeni do stosowania niewygodnego UX, aby spełnić regułę dotyczącą kategorii, która nie wniosła wiele do rzeczywistego bezpieczeństwa.
Transakcje inicjowane przez sprzedawcę zmieniają się najbardziej praktycznie. Zgodnie z PSD2, cykliczne opłaty po początkowym skonfigurowaniu silnego uwierzytelniania (SCA) znajdowały się w szarej strefie – zasady nie zostały opracowane z myślą o rozliczeniach subskrypcyjnych. PSD3 zamyka tę kwestię: silne uwierzytelnianie (SCA) w momencie utworzenia upoważnienia obejmuje bieżącą relację. Kolejne automatyczne opłaty nie wymagają ponownego uwierzytelnienia.
Tokenizacja również została doprecyzowana. SCA jest teraz aktywowane tylko wtedy, gdy posiadacz karty aktywnie uczestniczy w konfiguracji tokena. Po utworzeniu tokena transakcje z jego użyciem nie wymagają ponownego uwierzytelnienia dla każdej płatności.
Dynamiczne łączenie jest zgodne z PSD2 — kod uwierzytelniający nadal jest powiązany z konkretną kwotą transakcji i odbiorcą. PSR zawiera również jaśniejsze wytyczne dotyczące wyłączeń z SCA, co powinno zmniejszyć różnice w stosowaniu wyłączeń na poszczególnych rynkach na mocy samej dyrektywy.
PSD3, płatności kryptowalutowe i tokeny pieniądza elektronicznego
Większość przewodników PSD3 całkowicie pomija tę sekcję lub omawia ją w jednym zdaniu. Związek między PSD3 a kryptowalutami ma charakter strukturalny, a nie peryferyjny — dotyczy on każdej firmy przetwarzającej płatności kryptowalutowe w UE.
Punktem wejścia są tokeny pieniądza elektronicznego. Zgodnie z MiCA, unijnym rozporządzeniem dotyczącym kryptowalut, które weszło w życie w 2024 roku, stablecoiny powiązane z jedną walutą fiducjarną są klasyfikowane jako tokeny pieniądza elektronicznego, gdy są używane do celów płatniczych. Na przykład USDC służyło do rozliczania faktur denominowanych w euro. PSD3 wprowadza te tokeny bezpośrednio do systemu usług płatniczych.
Sytuacja regulacyjna dostawcy usług płatności kryptowalutowych w UE:
| Typ jednostki | Obowiązuje rozporządzenie |
|---|---|
| Tradycyjna instytucja płatnicza | PSD3 + PSR |
| Instytucja pieniądza elektronicznego | PSD3 (połączone ramy EMD2) |
| Crypto PSP wykorzystujące tokeny e-pieniędzy | MiCA + PSD3/PSR (uproszczona aplikacja) |
| Dostawca BNPL | PSD3 + zasady adekwatności kapitałowej |
| Dostawca portfela kryptowalutowego | Struktura portfela cyfrowego PSD3 |
Problem podwójnych regulacji to problem, z którym większość zespołów ds. zgodności nie docenia złożoności. Dostawca usług kryptoaktywów (CASP) autoryzowany przez MiCA, emitujący tokeny pieniądza elektronicznego, nie potrzebuje automatycznie oddzielnej autoryzacji PSD3. Jeśli jednak świadczy również usługi płatnicze – wysyłanie, odbieranie i przetwarzanie – ma zastosowanie uproszczona aplikacja PSD3. Te dwa systemy domyślnie się nie pokrywają.
BNPL to kolejna nowa kategoria. Dostawcy, którzy działali w regulacyjnej szarej strefie na rynkach UE, muszą teraz spełniać formalne wymogi autoryzacji instytucji płatniczych oraz przepisy dotyczące adekwatności kapitałowej. Koszty przestrzegania przepisów dla sektora znacząco rosną.
Dla firm budujących infrastrukturę płatności kryptowalutowych Plisio jest przykładem bramki płatności kryptowalutowych, która porusza się w tym otoczeniu regulacyjnym — umożliwiając sprzedawcom akceptowanie kryptowalut w miarę ewolucji ram prawnych UE dotyczących płatności na mocy PSD3 i MiCA.
Kogo dotyczy PSD3?
PSD3 i PSR mają zastosowanie do każdego podmiotu świadczącego usługi płatnicze w UE, niezależnie od miejsca jego siedziby. Zakres:
- Instytucje kredytowe (banki) świadczące usługi płatnicze
- Instytucje płatnicze — dostawcy usług płatniczych niebędący bankami, w tym firmy fintech, neobanki, operatorzy przekazów pieniężnych
- Instytucje pieniądza elektronicznego — obecnie włączone do struktury instytucji płatniczych
- Dostawcy BNPL — nowi w zakresie, podlegający autoryzacji i wymogom kapitałowym
- Dostawcy usług kryptoaktywów oferujący usługi płatnicze — podlegający podwójnym regulacjom na mocy MiCA + PSD3
- Dostawcy zewnętrzni (TPP) — dostawcy usług informacji o koncie (AISP) i dostawcy usług inicjowania płatności (PISP)
Platformy i marketplace'y stoją w obliczu najbardziej przełomowych zmian. W ramach PSD2 wiele z nich unikało autoryzacji usług płatniczych dzięki „zwolnieniu dla agentów handlowych”, twierdząc, że działali jako agenci zarówno dla kupującego, jak i sprzedającego, a nie jako podmioty przetwarzające płatności. PSD3 drastycznie zaostrza to zwolnienie. Większość platform korzystających z niego będzie wymagać formalnej autoryzacji PSP, wymogów kapitałowych i stałego nadzoru regulacyjnego – co stanowi istotną zmianę operacyjną dla firm marketplace'owych, które zbudowały swój pakiet wokół tego zwolnienia.
Podmioty z siedzibą w Wielkiej Brytanii: PSD3 obowiązuje wyłącznie w UE. Po Brexicie Wielka Brytania stosuje własne ramy FCA. Brytyjskie regulacje dotyczące BNPL (FCA wchodzą w życie w lipcu 2026 r.) i system potwierdzenia odbiorcy płatności podążają w podobnym kierunku, ale firmy działające w obu jurysdykcjach podlegają zupełnie innym procedurom zgodności.
Harmonogram PSD3: Kiedy wchodzi w życie?
Dyrektywa PSD3 będzie wdrażana etapami, a nie jako pojedynczy przełącznik:
- 28 czerwca 2023 r. — Komisja Europejska opublikowała propozycje dotyczące PSD3 i PSR
- 27 listopada 2025 r. – Osiągnięto tymczasowe porozumienie polityczne między Parlamentem Europejskim a Radą
- II kw. 2026 r. (szacunkowo) — publikacja w Dzienniku Urzędowym UE; PSR wchodzi w życie 20 dni później
- 18 miesięcy od wejścia w życie – termin dla państw członkowskich na transpozycję dyrektywy PSD3 do prawa krajowego
- 24 miesiące po wejściu w życie – wymóg weryfikacji numeru IBAN/nazwy odbiorcy staje się obowiązkowy (~2028)
- 24–30 miesięcy po wejściu — istniejące autoryzacje PSD2 podlegają ochronie praw nabytych; możliwe jest przedłużenie do 30 miesięcy
- II–III kwartał 2028 r. (szacunkowo) — pełne wdrożenie PSD3/PSR; pełne zastąpienie PSD2 i EMD2
Osiemnastomiesięczny okres transpozycji nie jest okresem karencji. Zasady postępowania PSR obowiązują w całej UE od 20. dnia publikacji. Analiza luk w PSR – obejmująca wdrożenie SCA, mechanizmy kontroli oszustw, infrastrukturę API i licencjonowanie kryptowalut zgodnie z zasadami koordynacji MiCA – powinna być już przeprowadzana.
