PSD3 i PSR — harmonogram, najważniejsze zmiany i mapa drogowa wdrożenia dla KIP, MIP i banków

W poprzednim wpisie omówiliśmy, czym jest pakiet PSD3/PSR i dlaczego Komisja Europejska podzieliła go na dyrektywę i rozporządzenie. Teraz porządkujemy dwie rzeczy, których compliance w KIP, MIP i bankach potrzebuje na początek operacyjnego planowania: kalendarz wdrożenia i listę najmocniejszych zmian merytorycznych względem PSD2 i polskiej ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych.

Wpis jest kotwicą do pozostałych artykułów cyklu — w każdej sekcji wskazujemy, gdzie schodzimy w szczegóły.

Kalendarz wdrożenia — kluczowe daty

Pakiet PSD3/PSR ma cztery decydujące momenty czasowe, liczone od dnia wejścia w życie po publikacji w Dzienniku Urzędowym UE. Punkt wyjścia: kompromis Rady z 17 kwietnia 2026 r. (PSR — dokument 8221/26; PSD3 — dokument 8222/26). To jeszcze nie jest publikacja w Dzienniku Urzędowym UE — oba akty muszą zostać formalnie przyjęte i opublikowane. Daty stosowania liczone są od dnia wejścia w życie, czyli od 20. dnia po publikacji (art. 50 PSD3 i art. 112 PSR).

Z perspektywy podmiotu nadzorowanego znaczenie mają cztery momenty:

• Dzień wejścia w życie — od tego dnia zaczyna biec większość terminów. Art. 85a PSR (derogacja od silnego uwierzytelniania klienta dla niektórych powtarzających się poleceń przelewu inicjowanych przez dostawcę płatnika, w warunkach art. 85a) i art. 108a PSR stosuje się od dnia wejścia w życie, czyli niezwłocznie (art. 112 PSR, akapit ostatni).
• 21 miesięcy po wejściu w życie — graniczny termin transpozycji PSD3 do prawa krajowego (art. 49 PSD3) oraz data, od której stosuje się PSR (art. 112 ust. 2 PSR), z wyjątkami niżej.
• 27 miesięcy po wejściu w życie — od tego dnia stosuje się art. 50 i 57 PSR (weryfikacja odbiorcy w każdym przelewie i odpowiedzialność za jej nieprawidłowe zastosowanie). To samo okno wykorzystują przepisy przejściowe PSD3 dla istniejących KIP (art. 44) i krajowych instytucji pieniądza elektronicznego (art. 45) — do tej daty właściwe organy mają zakończyć ocenę zgodności z nowym reżimem.
• 30 dni — termin dla podmiotu zwolnionego (odpowiednik MIP, art. 34 PSD3) na złożenie wniosku o zezwolenie z art. 13 PSD3, jeżeli przekroczy progi z art. 34 (art. 34 ust. 7 PSD3).

Z naszego doświadczenia w postępowaniach licencyjnych — najwięcej presji generują nie same daty stosowania, ale momenty, w których właściwy organ żąda dokumentacji od podmiotów już z zezwoleniem PSD2/EMD2. Art. 44 ust. 1 PSD3 stanowi wprost, że jeżeli istniejąca KIP nie przedstawi w okresie 21–27 miesięcy informacji wymaganych do oceny zgodności z tytułem II PSD3, podlega zawieszeniu w świadczeniu usług płatniczych. Pełną ocenę zmian licencyjnych omawiamy w osobnym wpisie o konsolidacji licencji KIP, MIP i instytucji pieniądza elektronicznego.

Co dokładnie się zmieni — najmocniejsze zmiany w pigułce

Poniżej syntetyczna lista zmian w PSR i PSD3 z odniesieniem do dotychczasowych ram (PSD2 lub UUP). Każdą z nich omawiamy szczegółowo w osobnym artykule cyklu.

1. Fuzja licencji instytucji płatniczej i wydawcy pieniądza elektronicznego

PSD3 łączy ramy dotychczasowej PSD2 i EMD2. Załącznik I do PSD3 zawiera 8 usług płatniczych — w tym jako pkt 8 „wydawanie pieniądza elektronicznego”. Konsekwencje:

• znika odrębne zezwolenie na wydawanie pieniądza elektronicznego — wszystko mieści się w jednym zezwoleniu jako instytucja płatnicza,
• art. 5 PSD3 utrzymuje zróżnicowane wymogi kapitału założycielskiego — od 40 000 EUR (przekaz pieniężny) do 250 000 EUR (e-money), z sumowaniem przy łączonych usługach,
• art. 8 PSD3 wprowadza metodę D dla funduszy własnych w wysokości 2% średniej kwoty pieniądza elektronicznego w obiegu,
• art. 34 PSD3 utrzymuje opcjonalne zwolnienie dla małych podmiotów — odpowiednik MIP — z progiem do 3 mln EUR/mies. dla usług 1–5 oraz do 5 mln EUR średniej kwoty e-money w obiegu,
• art. 44 i 45 PSD3 dają KIP, MIP i krajowym instytucjom pieniądza elektronicznego okno 21–27 miesięcy na ponowną ocenę przez właściwy organ.

Dziś w polskim porządku KIP funkcjonuje na podstawie tytułu II ustawy o usługach płatniczych (art. 60 i nast.), MIP — w art. 117e–117l UUP, a krajowa instytucja pieniądza elektronicznego — w odrębnym tytule UUP transponującym EMD2. Te trzy reżimy zostaną sprowadzone do jednego.

2. Weryfikacja odbiorcy dla wszystkich poleceń przelewu

Art. 50 PSR rozszerza obowiązek weryfikacji odbiorcy (ang. Verification of Payee) z dotychczasowego zakresu rozporządzenia 260/2012 (przelewy w euro objęte zakresem rozporządzenia) na wszystkie polecenia przelewu, niezależnie od waluty i schematu. Klucz operacyjny:

• art. 50 PSR stosuje art. 5b ust. 2 i art. 5c ust. 1–7 rozporządzenia 260/2012 mutatis mutandis — w tym obowiązek przekazania komunikatu o zgodności, bliskiej zgodności lub niezgodności,
• art. 57 PSR wprowadza odrębną podstawę odpowiedzialności — jeżeli dostawca nie wykona obowiązku weryfikacji i przelew zostanie wadliwie wykonany, dostawca płatnika zwraca kwotę bez zwłoki i przywraca rachunek do stanu sprzed transakcji,
• art. 36 ust. 4 lit. g PSR umożliwia PISP-om weryfikację nazwy posiadacza rachunku przed inicjacją, a art. 36 ust. 5a PSR wprost wyłącza nazwę i unikalny identyfikator rachunku z kategorii sensitive payment data dla potrzeb działalności AISP/PISP.

Obecnie w polskim porządku obowiązek weryfikacji wynika tylko z rozporządzenia 2024/886 dla przelewów w euro objętych rozporządzeniem 260/2012. PSR przesuwa ten obowiązek na wszystkie przelewy, a stosuje się go od 27 miesięcy po wejściu w życie PSR.

3. Zwrot dla ofiary impersonation fraud

Art. 59 PSR wprowadza nowy reżim odpowiedzialności za oszustwo polegające na podszywaniu się pod dostawcę usług płatniczych. Konsument, który padł ofiarą takiej manipulacji i sam wykonał przelew, ma prawo do pełnego zwrotu, jeżeli niezwłocznie zawiadomił dostawcę i zgłosił sprawę na policję. Ciężar dowodu rażącego niedbalstwa lub działania umyślnego spoczywa na dostawcy. Termin decyzji — 15 dni roboczych (art. 59 ust. 2 PSR).

Reżim wykracza poza dotychczasową ramę PSD2 (art. 73) i UUP (art. 46), które obejmują tylko transakcje nieautoryzowane. Po wejściu PSR — zwrot dotyczy także transakcji autoryzowanych, jeżeli były wynikiem podszywania się.

Art. 59a PSR dokłada do tego obowiązki współpracy międzysektorowej (z dostawcami hostingu, telekomami, VLOP-ami i VLOSE-ami w rozumieniu rozporządzenia 2022/2065), a art. 59b PSR — obowiązki weryfikacji reklamodawców regulowanych usług finansowych przez bardzo duże platformy.

4. Egzekwowalne prawo dostępu do rachunku w banku dla instytucji płatniczych

Art. 32 PSR zaostrza znany z art. 36 ust. 5 PSD2 wymóg dostępu instytucji płatniczych do rachunków w bankach. Po wejściu PSR:

• bank może odmówić wyłącznie z czterech wymienionych przyczyn (m.in. ryzyko AML w rozumieniu rozporządzenia 2024/1624, istotne naruszenie umowy, brak dokumentów, odmowa lub cofnięcie zezwolenia przez właściwy organ),
• decyzja o odmowie w terminie maksymalnie 1 miesiąca od kompletnego wniosku, z obowiązkiem przekazania równolegle właściwemu organowi nadzoru,
• uzasadnienie ma być specyficzne dla działalności wnioskodawcy, a nie generyczne,
• zamknięcie rachunku z 4-miesięcznym wypowiedzeniem,
• art. 32 ust. 4 PSR daje prawo zaskarżenia decyzji do właściwego organu — w polskim porządku oznacza to nową, formalną drogę odwołania do KNF.

5. Profesjonalizacja open bankingu i koniec interfejsu klienta jako alternatywy

Art. 35 PSR wymaga, by każdy ASPSP oferujący online rachunek miał co najmniej jeden dedykowany interfejs. Inaczej niż w PSD2 i RTS 2018/389 — nie ma już alternatywy w postaci dostosowanego interfejsu klienta. Wybór ograniczony jest do dedykowanego interfejsu albo derogacji z art. 39 PSR udzielanej na wniosek przez właściwy organ (z uwzględnieniem m.in. wielkości i obrotów ASPSP). Dodatkowo:

• art. 35 ust. 5 PSR wymaga publikowania kwartalnych statystyk dostępności i wydajności,
• art. 37 PSR ustanawia obowiązek parytetu danych (AISP/PISP otrzymuje co najmniej te same informacje, co klient w bezpośrednim interfejsie),
• art. 38 PSR definiuje niedostępność (5 kolejnych żądań w 30 sekundach z błędem serwera) i przewiduje 1 miesiąc uprzedzenia o planowanej przerwie,
• art. 33–34 PSR wzmacniają prawa użytkownika do korzystania z AISP/PISP — bez warunkowania umownego.

6. Silne uwierzytelnianie klienta — doprecyzowania

Art. 85 PSR utrzymuje obowiązek silnego uwierzytelniania klienta (ang. Strong Customer Authentication, SCA) i precyzuje przypadki jego stosowania. Najważniejsze zmiany operacyjne:

• transakcje typu MOTO (mail order/telephone order) wprost nie podlegają SCA, pod warunkiem stosowania wymogów bezpieczeństwa i kontroli przez dostawcę płatnika (art. 85 ust. 7 PSR),
• transakcje inicjowane przez odbiorcę bez interakcji płatnika nie podlegają SCA (art. 85 ust. 2 PSR),
• art. 85 ust. 12 PSR doprecyzuje, jak liczyć dwa elementy uwierzytelniania, gdy oba pochodzą z kategorii „inherence” (cechy biometryczne) — z delegacją dla EBA do wydania wytycznych w terminie 18 miesięcy od wejścia w życie PSR,
• art. 51 PSR wprowadza obowiązek limitów wydatków ustalanych przez użytkownika i 4-godzinne opóźnienie podniesienia limitu zdalnie,
• art. 51 ust. 4a–4d PSR wprowadza zaostrzone zasady aktywacji aplikacji mobilnej — w tym 4-godzinne opóźnienie zdalnej aktywacji, możliwość rezygnacji przez użytkownika oraz dezaktywację po sygnale od użytkownika, że nie aktywował aplikacji.

7. Dostawcy spoza klasycznego sektora płatniczego

PSR rozszerza zakres regulacji na podmioty, które wcześniej pozostawały poza ramą PSD2:

• dostawcy usług technicznych (technical service providers) — odpowiedzialność z art. 58 PSR za niewdrożenie wsparcia dla SCA,
• operatorzy systemów płatności i schematów płatniczych — m.in. obowiązki z art. 31 i 31a PSR,
• dostawcy usług komunikacji elektronicznej, dostawcy hostingu, operatorzy VLOP/VLOSE — w zakresie współpracy z dostawcami usług płatniczych przy zwalczaniu oszustw,
• producenci oryginalnego sprzętu mobilnego (OEM) — art. 88a PSR.

To istotny manewr, który zmienia ramy odpowiedzialności poza tradycyjnymi instytucjami płatniczymi.

Mapa drogowa wdrożenia — co zrobić w którym kwartale

Z naszego doświadczenia rekomendujemy roboczy podział pracy compliance na cztery fale:

Faza 1 (od dnia kompromisu Rady do publikacji w Dz. U. UE): wewnętrzne mapowanie regulacji wewnętrznych do nowej struktury PSD3/PSR. Identyfikacja luk dokumentacyjnych do art. 3 ust. 3 PSD3 (informacje wymagane przy wniosku) — to klucz, by skorzystać z trybu automatycznego uznania z art. 44 ust. 2 PSD3. Wstępny scan procesów reklamacyjnych pod art. 59 PSR.

Faza 2 (publikacja w Dz. U. UE — pierwsze 6 miesięcy): decyzja, czy podmiot kontynuuje działalność jako pełna instytucja płatnicza, czy korzysta ze zwolnienia z art. 34 PSD3 (po nowym progu 3 mln EUR/mies.). Plan inwestycji w API zgodne z art. 35–38 PSR. Plan komunikacji z bankiem prowadzącym rachunek pod art. 32 PSR (KIP) lub plan polityki dostępu (instytucje kredytowe).

Faza 3 (od 6 do 21 miesiąca): wdrożenie merytorycznych obowiązków stosowanych od daty 21 miesiąca — m.in. limity z art. 51 PSR, SCA z art. 85 PSR, parytet danych z art. 37 PSR, statystyki z art. 35 ust. 5 PSR, polityki impersonation fraud z art. 59 PSR.

Faza 4 (21–27 miesięcy): wdrożenie weryfikacji odbiorcy z art. 50 PSR dla wszystkich przelewów i finalna ocena zgodności licencyjnej dla istniejących KIP/MIP/wydawców pieniądza elektronicznego (art. 44–45 PSD3). Decyzja o automatycznym uznaniu albo o złożeniu informacji uzupełniających.

Naszym zdaniem największe ryzyko leży nie w samych terminach, ale w niespójności między falami. Jeżeli dział compliance i dział IT zaczynają wdrożenie od fazy 3, a fazę 1 zostawiają na ostatni kwartał — KIP może w 22. miesiącu po wejściu PSD3 stanąć przed sytuacją, w której nie spełnia art. 3 ust. 3 PSD3, mimo że ma zaktualizowane procesy SCA. Z naszego doświadczenia rozliczenie z tytułu II PSD3 jest bardziej dokumentacyjne niż technologiczne — i często paradoksalnie trudniejsze do nadrobienia w pośpiechu.

Co teraz zrobić?

Trzy wstępne decyzje strategiczne, które warto podjąć już dziś:

• Czy chcemy korzystać z art. 44 ust. 2 PSD3 (automatyczne uznanie) — wymaga to, by właściwy organ miał kompletny zestaw informacji z art. 3 ust. 3 PSD3 jeszcze przed upływem 27 miesięcy. Im wcześniej dosyłamy braki, tym mniejsze ryzyko zawieszenia.
• Czy planujemy zmianę modelu licencyjnego — np. KIP wyłącznie dla acquiringu rezygnuje z usługi przekazu pieniężnego, by zoptymalizować kapitał założycielski (art. 5 PSD3); albo MIP planuje przejście na pełną licencję zanim przekroczy 3 mln EUR/mies.
• Czy mamy plan reagowania na zwroty z art. 59 PSR — dział reklamacji potrzebuje 15 dni roboczych na decyzję od momentu otrzymania zgłoszenia z raportem policyjnym; bez gotowych procedur grozi automatyczny zwrot kwoty.

Jeżeli planujesz przegląd regulacyjny pod nowy reżim albo chcesz zaplanować postępowanie licencyjne pod PSD3, w Legal Geek prowadzimy oba typy projektów dla podmiotów płatniczych. Zapraszamy do kontaktu.

Co dalej w cyklu?

• PSD3 i PSR — czym jest nowy pakiet płatniczy UE
• PSD3 — koniec odrębnej licencji e-money, zmiany w KIP i MIP
• PSR — dostęp KIP do rachunku w banku i nowy open banking
• PSR — weryfikacja odbiorcy dla wszystkich przelewów
• PSR — zwrot dla ofiary oszustwa na bank (art. 59)