PSD3 i PSR — co to za pakiet i dlaczego Komisja podzieliła PSD2 na dyrektywę i rozporządzenie

17 kwietnia 2026 r. Sekretariat Generalny Rady Unii Europejskiej przekazał Komitetowi Stałych Przedstawicieli (COREPER) ostateczne teksty kompromisowe pakietu reformującego unijne przepisy o usługach płatniczych. Pakiet składa się z dwóch aktów — projektu dyrektywy PSD3 (dokument Rady 8222/26, plik międzyinstytucjonalny 2023/0210 (COD)) oraz projektu rozporządzenia PSR (dokument Rady 8221/26, plik 2023/0209 (COD)). Razem mają zastąpić dyrektywę 2015/2366 (PSD2) oraz dyrektywę 2009/110/WE w sprawie pieniądza elektronicznego (EMD2).

W tym wpisie wyjaśniamy, czego dotyczy pakiet, dlaczego Komisja świadomie podzieliła go na dyrektywę i rozporządzenie oraz jakie cele postawiła sobie reforma. Kolejne, szczegółowe artykuły omawiają poszczególne obszary zmian — w tym harmonogram wdrożenia i najważniejsze zmiany, konsolidację licencji KIP/MIP/EMI, dostęp do rachunku w banku i open banking, weryfikację odbiorcy oraz zwrot dla ofiary impersonation fraud.

Skąd ten pakiet? Co PSD2 nie zadziałała tak, jak miała?

W komunikacie Retail Payments Strategy for the EU (COM/2020/592 final) Komisja Europejska zapowiedziała przegląd PSD2. Ocena skutków zidentyfikowała kilka obszarów, w których PSD2 nie zrealizowała swoich celów. Motyw 3 preambuły do projektu PSR wskazuje wprost:

• wzrost nowych typów oszustw jako problem ochrony konsumenta — PSD2 nie nadążyło za rozwojem oszustw z wykorzystaniem inżynierii społecznej i podszywania się pod dostawcę usług płatniczych,
• niedostatki w realizacji celów open bankingu — bariery rynkowe dla AISP i PISP nie zostały skutecznie obniżone,
• ograniczone postępy w usługach transgranicznych — głównie z powodu rozbieżności praktyk nadzorczych,
• brak równych warunków konkurencji między różnymi typami dostawców.

Motyw 4 preambuły do PSR identyfikuje dodatkowo problem forum shoppingu — wybierania państwa siedziby w zależności od liberalnej interpretacji PSD2 — i wskazuje, że odpowiedzią ma być wyższy poziom harmonizacji.

Dlaczego dyrektywa i rozporządzenie? Świadomy podział materii

Jednym z bardziej istotnych ruchów regulacyjnych jest podział dotychczasowej PSD2 na dwa akty o różnym charakterze prawnym. Logikę tłumaczy ten sam motyw 4 preambuły PSR:

„The Union rules on payment services should therefore be further harmonised, by incorporating rules governing the conduct of the payment services activity, including the rights and obligations of the parties involved, in a Regulation. Such rules, excluding the rules on authorisation and supervision of payment institutions, which should remain in a Directive, should be clarified and more detailed, thus minimising the margin for interpretation.”

W praktyce oznacza to taki podział materii:

PSR (rozporządzenie)

Zasady prowadzenia działalności w zakresie świadczenia usług płatniczych: prawa i obowiązki dostawcy oraz użytkownika, transparentność, autoryzacja transakcji, silne uwierzytelnianie klienta, weryfikacja odbiorcy, odpowiedzialność za nieautoryzowane i oszukańcze transakcje, dostęp do rachunków przez AISP i PISP, ochrona danych w płatnościach, ramy nadzoru nad samą działalnością. Stosuje się wprost we wszystkich państwach członkowskich.

PSD3 (dyrektywa)

Autoryzacja i nadzór ostrożnościowy nad instytucjami płatniczymi: kapitał założycielski, fundusze własne, safeguarding, zezwolenia, rejestry, agenci, oddziały, paszportowanie, opcjonalne zwolnienia (odpowiednik dzisiejszej małej instytucji płatniczej, MIP, z polskiej ustawy o usługach płatniczych). Wymaga transpozycji do prawa krajowego.

Z naszego doświadczenia w obsłudze postępowań licencyjnych przed KNF — to jest jedna z największych zmian systemowych. Dziś znaczna część zasad konduktu pochodzi z polskiej ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, transponującej PSD2. Po wejściu PSR ramy te przejdą bezpośrednio do prawa unijnego, a polski ustawodawca nie będzie miał możliwości doprecyzowania tych przepisów w UUP. Zostanie tylko obszar typowo licencyjny i nadzorczy — odpowiadający PSD3.

Co dokładnie reguluje PSR?

Tytuł I PSR (art. 1–3) określa przedmiot, zakres i definicje. Tytuł II (art. 4–26) obejmuje obowiązki transparentności i informacyjne dostawców usług płatniczych. Tytuł III (art. 27–89) — najbardziej obszerna część — porządkuje:

• prawa i obowiązki użytkowników i dostawców (rozdział 1, art. 27–30),
• autoryzację transakcji, w tym dostęp do rachunku przez instytucje płatnicze i open banking (rozdział 2, art. 31–48),
• autoryzację transakcji płatniczych, weryfikację odbiorcy i odpowiedzialność (rozdział 4, art. 49–63),
• ryzyka operacyjne i bezpieczeństwa, w tym silne uwierzytelnianie klienta (rozdział 5, art. 64–79),
• ochronę danych w płatnościach (rozdział 6, art. 80),
• relacje między ASPSP a stronami trzecimi (rozdział 7, art. 81–89),
• ramy organów nadzoru, sankcje, ADR, mechanizm cofnięcia obciążenia (rozdział 8, art. 90–103),
• przepisy końcowe (rozdział 9, art. 104).

Tytuł IV (art. 106) zawiera delegację dla aktów wykonawczych Komisji, a tytuł V (art. 107–112) — przepisy przejściowe, derogacje, wejście w życie i datę stosowania.

Co dokładnie reguluje PSD3?

Tytuł I PSD3 (art. 1–2) — przedmiot, zakres i definicje. Tytuł II (art. 3–39) zawiera reguły dla instytucji płatniczych, w tym:

• procedurę wnioskowania o zezwolenie (rozdział I, sekcja 1, art. 3–18),
• przepisy o kapitale założycielskim i funduszach własnych (art. 5–8),
• safeguarding środków klientów (art. 9),
• działalność dodatkową, kredyt i przyjmowanie depozytów (art. 10),
• agentów, oddziały i paszportowanie (sekcja 2, art. 19–23),
• przepisy szczególne (sekcja 3, art. 24–33), w tym wycofanie zezwolenia (art. 16),
• opcjonalne zwolnienia (rozdział II, art. 34–39) — w tym odpowiednik MIP z polskiej ustawy o usługach płatniczych, dostawcy AISP rejestrowani (a nie autoryzowani), wyjątki dla cash w handlu detalicznym oraz ATM deployers nieprowadzących rachunków płatniczych.

Tytuł III (art. 40–41) zawiera wspólne przepisy nadzorcze, tytuł IV (art. 42–51) — przepisy końcowe, w tym kluczowe daty wdrożeniowe (art. 49 — transpozycja, art. 44 i 45 — przepisy przejściowe).

Kogo dotyczy pakiet?

Z perspektywy polskiego rynku PSR i PSD3 obejmą:

• instytucje kredytowe — banki krajowe, oddziały banków zagranicznych w UE (art. 2 ust. 1 lit. a PSR),
• instytucje płatnicze — odpowiedniki dzisiejszych KIP (art. 2 ust. 1 lit. c PSR), a po fuzji licencji — także podmioty wydające pieniądz elektroniczny,
• post office giro institutions — uprawnione na podstawie prawa krajowego (art. 2 ust. 1 lit. b PSR),
• EBC i krajowe banki centralne w zakresie, w jakim nie działają w charakterze organu monetarnego ani innego organu publicznego (art. 2 ust. 1 lit. d PSR),
• państwa członkowskie i ich władze regionalne lub lokalne, gdy nie działają w charakterze władz publicznych (art. 2 ust. 1 lit. e PSR).

Dodatkowo, art. 2 ust. 1a PSR włącza w zakres niektórych przepisów również dostawców usług technicznych (technical service providers), operatorów systemów płatności i schematów płatniczych, dostawców usług komunikacji elektronicznej, dostawców usług hostingu, operatorów bardzo dużych platform internetowych i bardzo dużych wyszukiwarek (VLOP/VLOSE) w rozumieniu art. 33 rozporządzenia 2022/2065 (DSA), a także producentów oryginalnego sprzętu mobilnego — w zakresie określonym konkretnymi artykułami PSR. Naszym zdaniem to istotne rozszerzenie zakresu — pakiet sięga już daleko poza klasycznych dostawców usług płatniczych.

Kogo NIE dotyczy?

Art. 2 ust. 2 PSR wyłącza m.in.:

• transakcje gotówkowe między płatnikiem a odbiorcą bez pośrednika (lit. a),
• transakcje w tokenach pieniądza elektronicznego (electronic money tokens) bezpośrednio między płatnikiem a odbiorcą (lit. a1),
• niektóre transakcje przez agentów handlowych (lit. b) — tu motyw 11 zapowiada wytyczne EBA,
• usługi tzw. cashback (lit. d) i cash-in-shop (lit. e),
• czeki, weksle, vouchery papierowe (lit. f),
• transakcje wewnątrz systemów rozrachunkowych (lit. g),
• transakcje papierów wartościowych i powiązane z nimi czynności (lit. h, ha — z dodaniem CASP-ów handlujących EMT i kryptoaktywami),
• instrumenty o ograniczonym zastosowaniu (limited network exclusion, lit. j) — z delegacją dla EBA do wydania RTS doprecyzowujących warunki,
• niektóre płatności w sieciach łączności elektronicznej do 60 EUR jednostkowo i 360 EUR miesięcznie (lit. k),
• transakcje wewnątrz grupy kapitałowej (lit. m),
• profesjonalny transport gotówki (lit. n),
• wymianę gotówki (lit. o).

Dla podmiotów działających dziś na podstawie wyłączeń z art. 6 ustawy o usługach płatniczych — to jeden z pierwszych obszarów, który wymaga oceny pod nowy reżim. Z naszego doświadczenia największe wątpliwości generuje wyłączenie limited network (lit. j) i wyłączenie agenta handlowego (lit. b) — i to właśnie te dwa wyłączenia zostały wprost oznaczone w PSR jako wymagające dalszych RTS-ów lub wytycznych EBA.

Co konkretnie się zmieni względem PSD2 i ustawy o usługach płatniczych?

W skrócie — najmocniejsze zmiany merytoryczne, które omawiamy w osobnych wpisach:

• fuzja licencji instytucji płatniczej i instytucji pieniądza elektronicznego, z zachowaniem odrębności kapitałowej — projekt PSD3 art. 5 i 8;
• obowiązkowa weryfikacja odbiorcy dla wszystkich poleceń przelewu, nie tylko natychmiastowych w euro — projekt PSR art. 50 i 57;
• zwrot dla ofiary impersonation fraud — nowa, samodzielna podstawa odpowiedzialności dostawcy — projekt PSR art. 59;
• egzekwowalne prawo dostępu do rachunku w banku dla instytucji płatniczych, ich agentów i wnioskodawców — projekt PSR art. 32;
• profesjonalizacja API w open bankingu — obowiązek dedykowanego interfejsu, parytet danych, kwartalne statystyki dostępności — projekt PSR art. 35–48.

To tylko nagłówki. Każdy z tych obszarów ma własną logikę przepisów przejściowych i wymaga osobnego planu wdrożeniowego. Pakiet obejmuje też zmiany wpływające na operatorów telekomunikacyjnych i platformy cyfrowe — co historycznie nie było częścią ram regulacji płatności. Dla podmiotów już objętych równoległymi reżimami warto pamiętać, że nowe wymogi będą się zazębiać z rozporządzeniem DORA o operacyjnej odporności cyfrowej oraz z obowiązkami AML wynikającymi z rozporządzenia 2024/1624.

Co teraz zrobić?

Naszym zdaniem dla compliance w KIP, MIP i bankach pierwszy krok to zmapowanie obecnej dokumentacji i procesów względem nowej struktury PSD3/PSR — czyli odpowiedź na trzy pytania:

• Co z dzisiejszych regulacji wewnętrznych przejdzie pod rozporządzenie PSR i straci pole interpretacji krajowej?
• Co pozostanie pod dyrektywą PSD3 i będzie zależeć od kształtu polskiej transpozycji?
• Które obszary są już dziś uregulowane w UUP w sposób wykraczający poza PSD2 i mogą wymagać aktualizacji albo uchylenia po wejściu pakietu?

W kolejnych wpisach przyglądamy się szczegółowo wybranym, najbardziej dolegliwym operacyjnie obszarom — fuzji licencji, weryfikacji odbiorcy, odpowiedzialności za oszustwa polegające na podszywaniu się oraz dostępowi do rachunku w banku.

Jeżeli chcesz omówić, jak nowy reżim wpłynie na Twoją instytucję, w Legal Geek prowadzimy przeglądy regulacyjne i postępowania licencyjne dla podmiotów płatniczych. Zapraszamy do kontaktu.

Co dalej w cyklu?

• PSD3 / PSR — harmonogram i kluczowe zmiany 2026
• PSD3 — koniec odrębnej licencji e-money, zmiany w KIP i MIP
• PSR — dostęp KIP do rachunku w banku i nowy open banking
• PSR — weryfikacja odbiorcy dla wszystkich przelewów
• PSR — zwrot dla ofiary oszustwa na bank (art. 59)