Miesięcznik Finansowy BANK 2026/03

PSR/PSD3 i nowa architektura rynku płatności – to już się dzieje

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
PSR/PSD3 i nowa architektura rynku płatności – to już się dzieje
Fot. stock.adobe.com/rstudio v-zwoelf
Proces legislacyjny dotyczący unijnego pakietu płatnościowego obejmującego rozporządzenie w sprawie usług płatniczych w ramach rynku wewnętrznego (PSR) oraz dyrektywę w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym w ramach rynku wewnętrznego (PSD3), po prawie trzech latach prac dobiega końca. Znane są już ostateczne teksty obu aktów, które niebawem staną się obowiązującym prawem.
dr Zbigniew Długosz radca prawny partner w kancelarii ftl

dr Zbigniew Długosz
radca prawny
partner w kancelarii ftl

dr Konrad Stolarski radca prawnY partner w kancelarii ftl

dr Konrad Stolarski
radca prawnY
partner w kancelarii ftl

W poszczególnych etapach uzgodnień na poziomie UE obserwowaliśmy i analizowaliśmy wiele propozycji zmian, padających ze wszystkich stron zaangażowanych w proces legislacyjny: czasem rewolucyjnych, czasem zaskakujących i kontrowersyjnych, ale często także wynikających z potrzeby dostosowania przepisów do realiów rynkowych. Wypracowane właśnie przepisy będą bowiem wyznaczać regulacyjne ramy prawne i biznesowe rynku usług płatniczych przez najbliższą dekadę. Znajdujemy się zatem w momencie, w którym z ich treścią – a przynajmniej z rozwiązaniami, które na rynek wprowadzają – należy się już mocno zaprzyjaźnić. Jakie zatem wybrane nowości przewidział prawodawca unijny dla sektora bankowego?

Po pierwsze informuj

Pierwszą z nich są nowe obowiązki informacyjne nałożone na dostawców w związku z zawieraniem z użytkownikami umów ramowych. Po wejściu w życie PSR umowy ramowe będą musiały zawierać m.in. informację o szacowanym czasie otrzymania środków przez dostawcę odbiorcy znajdującego się poza UE w przypadku zlecenia przelewu do takiego odbiorcy. Otwarte pozostaje pytanie o konsekwencje „przeszacowania” lub „niedoszacowania” wspomnianego terminu, dlatego kluczowe będzie odpowiednie ujęcie tej materii w dokumentacji umownej.

Znacząco rozbudowano również obowiązek informowania o limitach wydatków dla każdego instrumentu płatniczego objętego umową ramową – wraz z danymi o długości okresu opóźnienia przed wejściem w życie podwyższenia limitu oraz opisem sposobu jego modyfikacji i rezygnacji z okresu opóźnienia.

Wśród zupełnie nowych obowiązków informacyjnych znalazł się także wymóg zamieszczania w umowach ramowych precyzyjnych informacji o opłatach z tytułu krajowych wypłat z bankomatów oraz znacząco rozszerzony obowiązek informowania o szacowanych opłatach z tytułu przewalutowania przy przelewach, wyrażonych jako procentowa marża ponad zagregowany kurs referencyjny rynku międzybankowego. Marża ta oraz wszelkie inne opłaty, wyrażone jako kwota pieniężna w walucie rachunku płatnika, będą musiały być ujawniane przed każdą transakcją. Prawidłowe spełnienie tego obowiązku wymaga w większości przypadków istotnego przemodelowania zarówno wzorów umów, jak i interfejsów udostępnianych użytkownikom.

XS2A czyli nadzorowany dostęp do rachunków bankowych dla instytucji płatniczych

Kolejnym istotnym obszarem, który prawodawca unijny zdecydował się uregulować w PSR, jest znacząco rozbudowana regulacja prowadzenia rachunków płatniczych przez instytucje kredytowe (banki) na rzecz instytucji płatniczych. Obowiązek zapewnienia dostępu do rachunków płatniczych będzie spoczywał wprost na instytucjach kredytowych – nie zaś, jak dotychczas, na państwach członkowskich. Dostęp ten będzie musiał być zapewniony na obiektywnych, niedyskryminujących i proporcjonalnych zasadach. Wprowadzono też zamknięty katalog przesłanek odmowy lub zamknięcia rachunku obejmujący: naruszenie rozporządzenia AML, istotne naruszenie umowy, brak wymaganych dokumentów oraz odmowa lub cofnięcie zezwolenia przez organ nadzoru. Na gruncie PSD2 instytucja kredytowa dysponowała znacznie szerszą swobodą w tym zakresie.

Przepisy PSR wprowadzają ponadto nowe obowiązki proceduralne: powiadomienie wnioskującego o odmowie w terminie jednego miesiąca oraz powiadomienie instytucji płatniczej o zamknięciu rachunku z czteromiesięcznym wyprzedzeniem, z uwzględnieniem jej zdolności do wypełnienia obowiązków ochrony środków użytkowników (tzw. safeguardingu). Instytucjom płatniczym przyznano również wyraźne prawo do odwołania do właściwego organu – to kolejny mechanizm, który nie był przewidziany dotąd w PSD2.

Otwarta bankowość w wersji 3.0

W odniesieniu do specjalnych interfejsów dostępu (API), w PSR wprowadzono obowiązek udostępniania przynajmniej jednego API dla wymiany danych z dostawcami będącymi stroną trzecią (third party-providers – TPPs), z nowym wymogiem stosowania standardów komunikacji uznanych przez CEN lub ISO. Dokumentacja API będzie musiała być bezpłatnie udostępniana i publikowana na stronie internetowej dostawcy prowadzącego rachunek (ASPSP), a jej zmiany ogłaszane co najmniej dwa miesiące przed wdrożeniem. Na ASPSP, w tym oczywiście banki, nałożono również obowiązek podejmowania wszelkich dostępnych środków ograniczających planowaną niedostępność API, przy czym w PSR rozszerzono definicję niedostępności o przypadki otrzymania odpowiedzi serwera o błędzie. Planowana niedostępność powinna co do zasady przypadać między godzinami 00:00 a 06:00. Kluczową zmianą systemową jest w tym wypadku, postulowane przez środowisko bankowe, wyeliminowanie obowiązku posiadania przez ASPSP mechanizmu awaryjnego (tzw. fallback solution). Cały ciężar zapewnienia ciągłości komunikacji z TPPs będzie po rozpoczęciu obowiązywania PSR spoczywał wyłącznie na ASPSP.

Cooling off period – nowe okazje użytkowników na dodatkową refleksję nad poziomem limitów wydatkowych

W przepisach PSR prawodawca unijny przyjął zupełnie nowy model regulacji limitów wydatków związanych z korzystaniem przez użytkownika z instrumentów płatniczych. O ile w PSD2 pozostawiono ich ustalenie do uznania stron, o tyle PSR nakłada na dostawcę obowiązek zaoferowania użytkownikowi możliwości ustalenia limitu w umowie ramowej. Limit może być określony odrębnie dla każdego instrumentu płatniczego, w odniesieniu do transakcji lub w przedziale czasowym, wedle wyłącznego uznania użytkownika, bez możliwości jednostronnej modyfikacji przez dostawcę. Nowym rozwiązaniem będzie konieczność zastosowania przez dostawcę czterogodzinnego opóźnienia przy zdalnej zmianie limitu, z obowiązkiem niezwłocznego powiadomienia użytkownika o złożeniu wniosku, upływie opóźnienia i skorzystaniu z opcji rezygnacji z tego okresu jeśli taką użytkownik zgłosi. Przy blokadzie instrumentu płatniczego dostawca będzie musiał podać jej szczegółową przyczynę i w ciągu dwóch dni roboczych ocenić, czy jest ona nadal aktualna.

PSR wprowadza również szerokie obowiązki przy aktywacji aplikacji mobilnej: wymóg silnego uwierzytelnienia z użyciem różnych kanałów komunikacji, niezwłoczne powiadomienie użytkownika o aktywacji oraz obowiązek natychmiastowego zablokowania dostępu, gdy użytkownik zgłosi, że sam aktywacji nie dokonał.

Zmienione zasady odpowiedzialności przy transakcjach płatniczych

Istotnym modyfikacjom poddano przepisy dotyczące odpowiedzialności z tytułu wykonywania transakcji płatniczych. W zakresie transakcji nieautoryzowanych dostawca, przed stwierdzeniem autoryzacji transakcji, oszustwa lub rażącego niedbalstwa po stronie użytkownika, będzie zobowiązany zaprosić użytkownika do przedstawienia okoliczności poprzedzających transakcję i uwzględnić  je w swojej ocenie. Zupełną nowością jest jednak regulacja w PSR odpowiedzialności dostawców za transakcje autoryzowane przez płatnika pod  wpływem manipulacji przestępcy podszywającego się pod dostawcę (impersonation fraud). Obowiązek zwrotu środków powstanie wówczas po stronie dostawcy w sytuacji, gdy konsument niezwłocznie powiadomi dostawcę, zgłosi oszustwo policji i dostarczy dostawcy potwierdzenie tego zgłoszenia. Dostawcy będą ponadto zobowiązani posiadać odpowiednie zabezpieczenia techniczne chroniące ich kanały komunikacji przed oszukańczym użyciem oraz współpracować z platformami internetowymi, wyszukiwarkami i dostawcami usług łączności elektronicznej w zakresie przeciwdziałania oszustwom.

Terminy wykonania transakcji płatniczych też uległy zmianie

Znaczącym zmianom uległy również przepisy dotyczące terminów wykonania, w szczególności w zakresie nowych obowiązków dostawcy odbiorcy, gdy będzie on podejrzewał, że środki, którymi ma zostać uznany rachunek odbiorcy, są rezultatem działań oszukańczych na szkodę płatnika. Dostawca odbiorcy uzyskał uprawnienie do wstrzymania udostępnienia środków i ich zwrotu do dostawcy płatnika. Gdy podejrzenie fraudu będzie jednak oczywiste i bezsporne, wstrzymanie uznania tymi środkami rachunku odbiorcy i ich zwrot dostawcy płatnika stanie się bezwzględnym obowiązkiem dostawcy odbiorcy. Wówczas, w razie niedopełnienia tego obowiązku, płatnik nie poniesie żadnych strat finansowych. Z powyższym powiązano obowiązki informacyjne wobec dostawcy płatnika i samego płatnika oraz ścisłe terminy działania, w tym konieczność uznania rachunku dostawcy płatnika kwotą transakcji do końca następnego dnia roboczego.
Ile mamy właściwie czasu na wdrożenie?

Główne wyzwania odnośnie terminów dostosowania dla banków wyznacza przede wszystkim PSR, z którym będzie trzeba sobie poradzić w 21 miesięcy od dnia jego wejścia w życie (spodziewane w czerwcu/lipcu 2026 r.). Oznacza to, że od powakacyjnego września 2026 r. do lutego 2027 r., wyznaczającego koniec okresu dostosowania, każdy z banków będzie miał realnie ok. 17 miesięcy na co najmniej: szkolenia zespołów, aktualizacje umów i regulaminów, prace koncepcyjne nad zmianami w procesach biznesowych, projekty rozwojowe oraz compliance. Osoby pamiętające PSD1 oraz PSD2 wiedzą zatem, że czasu wcale nie zostało tak dużo.

Źródło: Miesięcznik Finansowy BANK