Miesięcznik Finansowy BANK 2026/04

Rozporządzenie PSR nie zwolni klientów z myślenia

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Rozporządzenie PSR nie zwolni klientów z myślenia
Katarzyna Urbańska, Fot. ZBP
PSR bardzo mocno stawia się na wdrażanie rozwiązań przeciwdziałających transakcjom oszukańczym i ten kierunek należy ocenić pozytywnie. Rozporządzenie stawia też bardzo mocno na edukację, zatem tym razem nie idzie ono w kierunku zwalniania klientów z odpowiedzialności i myślenia – podkreśla Katarzyna Urbańska, dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich. Rozmawiał z nią Sławomir Dolecki.

Eksperci są w większości zgodni, że kierunek zwiększania ochrony klienta jest co do zasady słuszny, ale pojawiają się wątpliwości, czy projektowane unijne rozporządzenie Payment Services Regulation (PSR) nie przesuwa zbyt mocno odpowiedzialności na banki i dostawców usług płatniczych?

– Trzeba zwrócić uwagę, że Payment Services Regulation to wciąż jeszcze projekt, którego proces legislacyjny się nie zakończył. Obecnie czekamy jeszcze na formalne przyjęcie tego projektu przez Parlament Europejski i Radę Europy, a także na publikację w Dzienniku Urzędowym Unii Europejskiej. Mamy nadzieję, że nastąpi to w pierwszej połowie tego roku.

Przez ostatnie dwa lata projekt bardzo się zmieniał. Nie ma w tym nic dziwnego, bo pracowały nad nim trzy instytucje: Komisja Europejska, Parlament Europejski i Rada Europy. Każda z tych instytucji miała swoje pomysły, które prezentowała w toku procesu legislacyjnego i jest prawdą, że w toku tych prac pojawiały się bardzo daleko idące propozycje prokonsumenckie, które na przykład całą odpowiedzialność za transakcje oszukańcze dokonane pod wpływem manipulacji lub socjotechniki, czy w wyniku tzw. spoofingu, przerzucały na dostawców usług płatniczych. Ostatecznie te trzy wspomniane instytucje usiadły razem do stołu i pod koniec listopada 2025 r. wypracowały wspólnie rozwiązania, moim zdaniem bardzo wyważone i racjonalizujące wiele przepisów, które do tej pory budziły wiele emocji na rynku polskim.

Myślę tu w szczególności o zwrocie środków klientowi, który do nieautoryzowanej transakcji płatniczej doprowadził swoim rażąco niedbałym zachowaniem. Dyrektywa PSD2, a za nią Ustawa o usługach płatniczych (UUP), jasno stanowią, że banki ponoszą odpowiedzialność jedynie za transakcje nieautoryzowane przez klienta, przy czym istotne jest, że przepisy wyłączają odpowiedzialność banków w sytuacji, gdy klient doprowadził do tych transakcji z winy umyślnej albo w wyniku umyślnego lub będącego skutkiem jego rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków wynikających z art. 42 UUP (art. 46 ust 3 UUP). Pomimo to polskie organy nadzoru stoją na stanowisku, że dostawcy usług płatniczych mają zwracać w tego typu sytuacjach środki klientom w terminie D+1, a dopiero potem dochodzić zwrotu tych środków w sądach. Tę kwestię właśnie zmienia PSR.

Po wejściu w życie rozporządzenia bank, który będzie miał obiektywnie uzasadnione powody, by podejrzewać, że płatnik umyślnie lub w wyniku rażącego niedbalstwa nie wypełnił jednego lub więcej obowiązków użytkownika usług płatniczych w odniesieniu do instrumentów płatniczych i spersonalizowanych danych uwierzytelniających, i poinformuje o tych powodach płatnika na piśmie, bądź podejrzewa, że płatnik dopuścił się oszustwa – to w takim przypadku może nie zwracać środków klientowi i ma 15 dni na przedstawienie mu uzasadnienia odmowy zwrotu środków oraz wskazanie klientowi organów, do których może skierować sprawę, jeśli nie akceptuje powodów przedstawionych przez bank.

Bardzo dobrze oceniam też ostateczne podejście w rozporządzeniu do odpowiedzialności dostawców usług płatniczych za transakcje oszukańcze dokonane pod wpływem manipulacji lub socjotechniki, czy w wyniku spoofingu.

Uznano, że dostawcy usług płatniczych, w tym banki, nie mogą odpowiadać za podszywanie się pod jakiekolwiek instytucje prywatne i publiczne, gdy podmioty te nie są objęte obowiązkiem należytego działania zgodnie z przepisami PSR. Również przepis o tzw. spoofingu został ograniczony tylko do sytuacji, gdy oszust podszywa się pod bank. Jest to kolejny przejaw bardzo racjonalnego podejścia do tego problemu.

Dodatkowo wprowadzono przepisy o współpracy w celu przeciwdziałania transakcjom oszukańczym pomiędzy dostawcami usług płatniczych, platformami cyfrowymi, a także telekomami. Platformy i dostawcy usług cyfrowych będą odpowiadały za brak działań w celu eliminowania oszustw w przestrzeni cyfrowej. Odpowiedzialność ta będzie miała charakter wtórny i reaktywny. Wspomniane podmioty będą odpowiadały za brak reakcji na zawiadomienia o oszukańczej działalności za ich pośrednictwem. To istotne dla sektora bankowego, który od dawna postuluje, iż cały ekosystem związany z płatnościami winien angażować się w przeciwdziałanie oszustwom, a nie wyłącznie banki.

Dla wielu komentatorów tak znaczące zwiększenie ochrony klientów, nawet w przypadku tzw. autoryzowanych fraudów, może przynieść negatywny skutek w postaci mniejszej ostrożności użytkowników, ponieważ będą oni przekonani, że każda utrata środków zostanie zrekompensowana przez bank.

– Ostatecznie ustalono, że dostawcy usług płatniczych nie mogą ponosić tak szerokiej, nieograniczonej odpowiedzialności. Uznano, że dostawcy usług płatniczych, w tym banki, nie mogą odpowiadać za podszywanie się pod jakiekolwiek instytucje prywatne i publiczne, gdy podmioty te nie są objęte obowiązkiem należytego działania zgodnie z przepisami PSR. Również przepis o tzw. spoofingu został ograniczony tylko do sytuacji, gdy oszust podszywa się pod bank. Jest to kolejny przejaw bardzo racjonalnego podejścia do tego problemu.

Banki od dawna dostrzegają problem spoofingu i starają się – także od dosyć dawna – tworzyć rozwiązania przeciwdziałające tego typu oszustwu. Autorzy rozporządzenia Payment Services Regulation wyszli z tego samego założenia i zaproponowali, że dostawcy usług płatniczych powinni dysponować odpowiednimi środkami zapobiegawczymi i solidnymi zabezpieczeniami technicznymi, aby zapobiegać przypadkom, w których oszuści kopiują i wykorzystują w nieuprawniony sposób kanały komunikacji dostawcy usług płatniczych w celu wprowadzenia w błąd użytkowników tychże usług i skłonienia ich do dokonania nieuczciwych transakcji.

W ogóle w PSR bardzo mocno stawia się na wdrażanie rozwiązań przeciwdziałających transakcjom oszukańczym i ten kierunek należy ocenić pozytywnie. Rozporządzenie stawia też bardzo mocno na edukację, zatem tym razem nie idzie ono w kierunku zwalniania klientów z odpowiedzialności i myślenia.

Zakładając – czysto teoretycznie – że rozporządzenie PSR wejdzie w życie w obecnym kształcie, czy dla instytucji finansowych będzie to jedynie dodatkowe obciążenie, koszty i ryzyko? Czy może banki znajdują dla siebie jakieś pozytywne elementy tej regulacji prawnej?

– Payment Services Regulation jest rozporządzeniem, które będzie obowiązywało we wszystkich krajach Unii Europejskiej wprost. Te przepisy trzeba będzie wdrożyć, a każde wdrożenie niesie koszty, bo zmiany w systemach banków niemało kosztują. Rozporządzenie wprowadza wiele nowych obowiązków dla dostawców usług, ale tak jak wspomniałam, jest wiele rozwiązań, które będą mitygowały ryzyka prawne, które dziś banki napotykają w codziennej praktyce, o których już wyżej wspomniałam.

Źródło: Miesięcznik Finansowy BANK