PSD3 nadchodzi! Rewolucja w płatnościach cyfrowych?

01.08.2025


Pod koniec czerwca 2023 r. Komisja Europejska opublikowała propozycje nowelizacji przepisów dotyczących usług płatniczych: dyrektywę PSD3 oraz rozporządzenie PSR. To nie tylko aktualizacja istniejących ram prawnych (dyrektywy PSD2), ale również przekształcenie architektury regulacyjnej europejskiego rynku płatności.

W zeszłym miesiącu – 18 czerwca 2024 r. opublikowano tzw. „General Approach” – ogólne stanowisko Rady UE wobec PSD3 i PSR (LINK). Dokument ten wyznacza ramy dalszych negocjacji między instytucjami unijnymi (trilogów między Parlamentem Europejskim, Radą UE i Komisją Europejską) oraz potwierdza najważniejsze kierunki zmian w zakresie usług płatniczych.

Zespół Fundacji Fintech Poland na bieżąco monitoruje zmiany w tych regulacjach – w kilku kolejnych wpisach znajdziecie Państwo podsumowanie i omówienie najważniejszych zmian.

Główne zmiany wprowadzone przez PSD3/PSR obejmują wzmocnienie ochrony konsumentów przed oszustwami finansowymi poprzez surowsze zasady odpowiedzialności za nieautoryzowane transakcje oraz uproszczone i szybsze procedury reklamacyjne, poprawę bezpieczeństwa płatności dzięki zmianom w zasadach silnego uwierzytelniania (SCA), rozwój otwartej bankowości poprzez zapewnienie lepszego dostępu do wysokiej jakości API i ograniczenie barier technicznych dla podmiotów trzecich (TPP). Dodatkowo wzmocniono nadzór nad rynkiem płatności – organy nadzorcze zyskują szersze kompetencje w zakresie monitorowania, reagowania na incydenty i egzekwowania przepisów, co ma zwiększyć stabilność i zaufanie do systemu płatniczego w UE.

Nowe zasady silnego uwierzytelniania klienta

Zgodnie z definicją zawartą w art. 3 pkt 35 PSR “silne uwierzytelnianie klienta” oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających. Jednocześnie nie jest konieczne, aby takie dwa elementy na których opiera się silne uwierzytelnianie klienta, należały do różnych kategorii, o ile ich niezależność jest w pełni zachowana.

Jako przykład można podać:

  • Dwa elementy biometryczne, takie jak odcisk palca i rozpoznanie twarzy, pod warunkiem że są obsługiwane przez różne systemy lub kanały uwierzytelniania.
  • Dwa różne elementy z kategorii „posiadanie”, np. podpis cyfrowy zapisany na chipie + niezależne uwierzytelnienie urządzenia mobilnego.

Takie podejście to odejście od dotychczasowej sztywnej zasady, zgodnie z którą dwa składniki SCA musiały pochodzić z różnych kategorii.

W praktyce oznacza to większą elastyczność dla banków, fintechów i dostawców usług płatniczych, możliwość wdrażania nowoczesnych, zintegrowanych rozwiązań uwierzytelniających oraz dostosowanie przepisów do aktualnego poziomu rozwoju technologii, bez obniżania poziomu ochrony. W efekcie nowe podejście umożliwia lepsze dopasowanie metod SCA do realiów rynkowych i oczekiwań użytkowników, szczególnie tam, gdzie dominują innowacyjne rozwiązania biometryczne i mobilne.

Zgodnie z art. 85 PSR dostawca usług płatniczych stosuje silne uwierzytelnianie klienta, w przypadku gdy płatnik uzyskuje dostęp do swojego rachunku płatniczego w trybie online, uzyskuje dostęp do informacji o rachunku płatniczym, składa zlecenie płatnicze dotyczące elektronicznej transakcji płatniczej czy przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

W przypadku złożenia zlecenia płatniczego dotyczącego elektronicznej transakcji płatniczej, składanego za pomocą urządzenia płatnika wykorzystującego technologię zbliżeniową do celów wymiany informacji z infrastrukturą odbiorcy, do celów uwierzytelnienia, którego wymaga skorzystanie z internetu na urządzeniu płatnika, dostawcy usług płatniczych stosują silne uwierzytelnianie klienta, które obejmuje elementy dynamicznie łączące transakcję z określoną kwotą i określonym odbiorcą lub zharmonizowane środki bezpieczeństwa dające taki sam efekt, które to środki zapewniają poufność, autentyczność i integralność kwoty i odbiorcy transakcji we wszystkich fazach inicjowania.

Oznacza to, że jeśli klient płaci zbliżeniowo (np. telefonem lub innym urządzeniem) i do wykonania tej płatności takie urządzenie potrzebuje połączenia z internetem (np. do potwierdzenia tożsamości przez aplikację banku), to musi zostać zastosowane SCA w dodatku zaprojektowane tak, aby było powiązane z konkretną kwotą i konkretnym odbiorcą, a także zapewniało poufność, autentyczność i integralność.

Powyższe zasady obowiązują również wtedy, gdy płatność jest zlecona za pośrednictwem dostawcy inicjującego płatność albo gdy taka płatność wiąże się z udostępnieniem informacji o rachunku przez dostawcę dostępu do informacji o rachunku. Co więcej dostawcy usług płatniczych prowadzący rachunek powinni umożliwiać dostawcom świadczącym usługę inicjowania płatności i dostawcom świadczącym usługę dostępu do informacji o rachunku korzystanie z ich procedur uwierzytelniania.

Gdy dostawca świadczący usługę dostępu do informacji o rachunku uzyskuje dostęp do informacji dotyczących rachunku płatniczego, dostawca usług płatniczych prowadzący rachunek stosuje silne uwierzytelnianie klienta wyłącznie w przypadku pierwszego dostępu do danych dotyczących rachunków płatniczych, chyba że dostawca usług płatniczych prowadzący rachunek ma uzasadnione podstawy, aby podejrzewać oszustwo, ale nie w przypadku kolejnych dostępów.

O ile dostawca usług płatniczych prowadzący rachunek nie ma uzasadnionych podstaw, aby podejrzewać oszustwo, dostawcy świadczący usługę dostępu do informacji o rachunku stosują własne silne uwierzytelnianie klienta, gdy użytkownik usług płatniczych uzyskuje dostęp do informacji o rachunku płatniczym pobranych przez tego dostawcę świadczącego usługę dostępu do informacji o rachunku co najmniej 180 dni po ostatnim zastosowaniu silnego uwierzytelniania klienta.

PSR zawiera dedykowane postanowienia w zakresie sposobu wykonywana SCA w przypadku transakcji inicjowanych przez odbiorcę. Zgodnie z projektem, transakcje płatnicze niezainicjowane przez płatnika, ale przez odbiorcę, nie podlegają SCA wyłącznie w zakresie, w jakim transakcje te zainicjowano bez interakcji lub udziału płatnika. W sytuacji gdy transakcje płatnicze inicjowane są przez odbiorcę na podstawie upoważnienia, które opiera się na umowie między płatnikiem a odbiorcą dotyczącej dostarczania produktów lub świadczenia usług, to transakcje takie można zakwalifikować jako transakcje zainicjowane przez odbiorcę, pod warunkiem że transakcje te nie muszą być poprzedzone określonym działaniem płatnika, aby spowodować ich zainicjowanie przez odbiorcę. Ponadto, jeśli upoważnienie płatnika dla odbiorcy składane jest za pośrednictwem kanału zdalnego z udziałem dostawcy usług płatniczych płatnika, to takie upoważnienie podlega SCA.

Jeżeli chodzi o stosowanie silnego uwierzytelniania klienta w przypadku transakcji płatniczych inicjowanych przez akceptanta, konieczne jest stosowanie silnego uwierzytelniania klienta w chwili ustanowienia upoważnienia, ale nie ma takiej potrzeby w przypadku kolejnych transakcji inicjowanych przez akceptanta. W odniesieniu do stosowania silnego uwierzytelniania klienta w przypadku zamówień pocztowych lub telefonicznych uściślono, że aby transakcja nie podlegała obowiązkom związanym z silnym uwierzytelnianiem klienta, wyłącznie zainicjowanie transakcji płatniczej musi mieć formę inną niż cyfrowa. Transakcje płatnicze dokonywane w oparciu o papierowe zlecenia płatnicze, zamówienia pocztowe lub telefoniczne złożone przez płatnika powinny jednak podlegać normom bezpieczeństwa i kontrolom dostawcy usług płatniczych płatnika, które umożliwiają uwierzytelnianie transakcji płatniczej, aby zapobiec szkodliwemu obchodzeniu wymogów związanych z silnym uwierzytelnianiem. Ponadto ograniczono zakres zwolnienia dotyczącego silnego uwierzytelniania klienta w przypadkach transakcji płatniczych, w odniesieniu do których odbiorca składa zlecenia płatnicze na podstawie upoważnienia udzielonego przez płatnika (polecenia zapłaty), natomiast obowiązek wymagania silnego uwierzytelniania klienta wprowadzono w przypadkach, gdy upoważnienie złożono za pośrednictwem kanału zdalnego z bezpośrednim udziałem dostawcy usług płatniczych.

Dostawcy usług płatniczych zapewniają, by wszyscy ich klienci, w tym osoby z niepełnosprawnościami, osoby starsze, osoby posiadające niewielkie umiejętności cyfrowe oraz nieposiadające dostępu co kanałów cyfrowych lub instrumentów płatniczych, miały do dyspozycji co najmniej jeden środek, dostosowany do ich szczególnych potrzeb, umożliwiający im przeprowadzenie silnego uwierzytelniania klienta. Dostawcy usług płatniczych nie mogą uzależniać przeprowadzania silnego uwierzytelniania klienta od wyłącznego korzystania z jednego sposobu uwierzytelniania i nie mogą uzależniać, w sposób wyraźny lub dorozumiany, przeprowadzania silnego uwierzytelniania klienta od posiadania smartfona. Dostawcy usług płatniczych opracowują różnorodne sposoby stosowania silnego uwierzytelniania klienta, aby zadbać o szczególne potrzeby wszystkich swoich klientów.

PSR wprowadził również przepis nakładający na dostawców usług płatniczych i dostawców usług technicznych obowiązek zawierania umów outsourcingu w przypadkach, gdy dostawcy usług technicznych zapewniają i weryfikują elementy silnego uwierzytelniania klienta. Na podstawie takiej umowy dostawca usług płatniczych płatnika ponosi pełną odpowiedzialność za wszelkie przypadki niestosowania silnego uwierzytelniania klienta i ma prawo do audytu i kontroli postanowień dotyczących bezpieczeństwa.

Dodano nowy przepis, zgodnie z którym dostawcy usług płatniczych muszą wprowadzić mechanizmy monitorowania transakcji, zapewnić stosowanie silnego uwierzytelniania klienta oraz usprawnić zapobieganie nieuczciwym transakcjom i ich wykrywanie. Przepis ten zwiększa zrozumiałość pojęcia „cechy klienta” dzięki szczegółowemu określeniu, że podstawę mechanizmów monitorowania transakcji musi stanowić analiza transakcji płatniczych z uwzględnieniem elementów, które są typowe dla danego użytkownika usług płatniczych w warunkach zwykłego stosowania indywidualnych danych uwierzytelniających, w tym cech środowiskowych i behawioralnych, takich jak cechy związane z lokalizacją użytkownika usług płatniczych, czas wykonania transakcji, wykorzystywane urządzenie, nawyki zakupowe, sklep internetowy, w jakim dokonano zakupu.

Zaostrzona zostaje również odpowiedzialność dostawców usług płatniczych – w przypadku gdy nie spełniają obowiązku nałożenia wymogu silnego uwierzytelnienia klienta płatnik nie ponosi żadnych szkód finansowych, chyba że płatnik działał w złej wierze. Dotyczy to także sytuacji, w której dostawca usług płatniczych płatnika albo odbiorcy stosuje wyłączenie ze stosowania silnego uwierzytelniania klienta.

dr Anna Rozendaal

Senior Lawyer

FinTech Poland

Gabriela Kocurek

Specjalizacje

Specjalizuje się w prawie nowych technologii i regulacji rynków finansowych, prawie własności intelektualnej, prawie ochrony danych osobowych oraz prawie zamówień publicznych. 

Jest ekspertem w obszarze regulacji dotyczących usług chmurowych oraz outsourcingu usług IT, z uwzględnieniem specyfiki sektora finansowego. Wspiera klientów w obszarze zamówień publicznych, z uwzględnieniem specyfiki zamówień w sektorze IT.


Doświadczenie

Doradza w szczególności klientom z branży FinTech, IT, cyberbezpieczeństwa, e-commerce i branży nowych technologii:

  • Posiada bogate doświadczenie w przygotowywaniu i negocjowaniu umów IT, umów wdrożeniowych oraz umów na świadczenie usług IT w modelu SaaS a także umów licencyjnych, dotyczących przeniesienia know-how, transferu praw własności intelektualnej jak również umów dotyczących komercjalizacji wyników prac badawczo – rozwojowych.
  • Wspiera klientów z sektora FinTech w dostosowaniu umów i wdrażaniu wymogów regulacyjnych właściwych dla sektora finansowego. Doradza i wspiera klientów w negocjowaniu umów IT w reżimie outsourcingu bankowego, inwestycyjnego, chmury obliczeniowej i outsourcingu w rozumieniu wytycznych EBA.
  • Doradza w zakresie umów IT oraz ochrony danych osobowych podmiotom z branży IT Security.
  • Współuczestniczyła w audycie procedur ochrony danych osobowych w grupie spółek o zasięgu globalnym.
  • Doradza klientom w zakresie prowadzenia kampanii marketingowych o zasięgu międzynarodowym.
  • Wspiera klientów kancelarii w postępowaniach o udzielenie zamówień publicznych. Doradzała klientowi kancelarii w postępowaniu o udzielenie zamówienia publicznego na wdrożenie Platformy Kanałów Elektronicznych przez Bank Gospodarstwa Krajowego oraz z sukcesem reprezentowała klienta w postępowaniu dotyczącym tego zamówienia przed Krajową Izbą Odwoławczą.


Kwalifikacje i uprawnienia zawodowe

Radca prawny przy Okręgowej Izbie Radców Prawnych w Krakowie.

Absolwentka studiów podyplomowych na kierunku Prawo Zamówień Publicznych na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.

Absolwentka studiów magisterskich na kierunku Prawo na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego.

Absolwentka studiów licencjackich i magisterskich na kierunku Administracja na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego.