Prawo i zgodność (UE)
PSD3 i PSR — co zmieni się w płatnościach (także agentowych)
PSD3 i PSR to nadchodząca reforma płatności w UE. Sprawdź, co zmieni dla odpowiedzialności za oszustwa i dostępu do danych — także przy płatnościach agentów AI.
Reforma unijnych ram płatności — pakiet znany jako PSD3 (dyrektywa) i PSR (rozporządzenie) — to obecnie projekt w toku legislacyjnym, a nie obowiązujące prawo. To rozróżnienie jest najważniejsze: kierunki zmian są już czytelne, ale konkretne brzmienie przepisów i daty ich stosowania mogą się jeszcze zmienić.
W skrócie: PSD3 i PSR mają zaktualizować zasady płatności w UE jako następcy PSD2. Najważniejsze kierunki dla świata płatności agentowych to: doprecyzowanie odpowiedzialności za oszustwa (w tym za wyłudzenia z udziałem socjotechniki), uporządkowanie dostępu do danych płatniczych oraz wzmocnienie uprawnień nadzoru. Dla transakcji inicjowanych przez agenta AI oznacza to przede wszystkim jaśniejszą odpowiedź na pytanie „kto odpowiada, gdy płatność okaże się oszukańcza” — ale na 2026 rok nie ma jeszcze ostatecznych przepisów, na których można się oprzeć.
Czym właściwie są PSD3 i PSR?
To dwa elementy jednego pakietu, ale o różnym charakterze prawnym — i ta różnica ma praktyczne skutki.
PSD3 to dyrektywa. Dyrektywa wyznacza cele, które każde państwo członkowskie musi osiągnąć, wdrażając ją do własnego prawa krajowego. W pakiecie płatniczym dyrektywa skupia się głównie na kwestiach licencjonowania instytucji płatniczych, ich nadzoru i warunków dostępu do rynku.
PSR to rozporządzenie. Rozporządzenie obowiązuje bezpośrednio i jednolicie we wszystkich krajach UE, bez potrzeby przepisywania go do ustaw krajowych. To do PSR mają trafić twarde reguły operacyjne — zasady dotyczące oszustw, uwierzytelniania, dostępu do danych czy obowiązków informacyjnych.
Po co taki podział? PSD2 bywała wdrażana różnie w poszczególnych krajach, co tworzyło rozbieżności. Przeniesienie najważniejszych reguł do rozporządzenia ma zmniejszyć tę fragmentację i ujednolicić zasady gry na całym rynku. Aktualny stan prac legislacyjnych można śledzić na stronach Komisji Europejskiej poświęconych finansom.
Jakie są główne kierunki reformy?
Choć szczegóły jeszcze się kształtują, z dotychczasowych prac wyłania się kilka stałych wątków.
- Odpowiedzialność za oszustwa. Reforma ma jaśniej rozłożyć odpowiedzialność, gdy klient padnie ofiarą wyłudzenia — także w sytuacjach, w których użytkownik sam autoryzował transakcję pod wpływem manipulacji (tzw. oszustwa z autoryzowaną płatnością).
- Walka z podszywaniem się. Pojawiają się rozwiązania mające ograniczać oszustwa polegające na podszywaniu się pod bank lub znaną markę.
- Dostęp do danych płatniczych. Pakiet porządkuje zasady, na jakich licencjonowani dostawcy mogą sięgać po dane rachunków klientów — to ewolucja idei open bankingu znanej z PSD2.
- Uprawnienia nadzoru. Wzmocnienie roli organów nadzoru i ujednolicenie egzekwowania przepisów w całej UE.
- Silne uwierzytelnianie (SCA). Reguły SCA mają zostać utrzymane i doprecyzowane, z naciskiem na ich praktyczną stosowalność.
Żadnego z tych punktów nie należy jeszcze traktować jak gotowego przepisu. To kierunki, które porządkują dyskusję — finalny kształt poznamy dopiero po zakończeniu procesu legislacyjnego.
Co to znaczy dla płatności inicjowanych przez agenta?
Tu dochodzimy do sedna. Płatność zlecona przez agenta AI to wciąż płatność wykonywana w imieniu użytkownika — nie powstaje przez nią żadna „trzecia kategoria” transakcji poza prawem. Z punktu widzenia regulacji liczy się to, kto zlecił operację, kto ją autoryzował i kto ponosi ryzyko, jeśli okaże się oszukańcza.
Reforma jest istotna dla agentów z trzech powodów.
Po pierwsze, odpowiedzialność za oszustwa. Gdy człowiek klika „zapłać”, łatwo wskazać moment autoryzacji. Gdy płatność uruchamia agent na podstawie wcześniejszego mandatu, pytanie „czy klient autoryzował tę konkretną transakcję” staje się trudniejsze. Jaśniejsze reguły odpowiedzialności pomagają ustalić, czy w razie błędu lub wyłudzenia ciężar spada na użytkownika, bank, czy dostawcę usługi.
Po drugie, dostęp do danych. Agent, który ma sensownie działać, potrzebuje danych — o saldzie, limitach, historii. Zasady dostępu do danych płatniczych wyznaczają, kto i na jakich warunkach może te informacje pozyskiwać. Uporządkowanie tej kwestii to fundament, na którym mogą powstawać legalne usługi agentowe.
Po trzecie, uwierzytelnianie. Mechanizm SCA został zaprojektowany z myślą o człowieku klikającym w aplikacji. Sposób, w jaki PSR doprecyzuje SCA, wpłynie na to, jak praktycznie da się pogodzić silne uwierzytelnianie z modelem, w którym to agent inicjuje transakcję. Szerzej opisujemy to napięcie w tekście o silnym uwierzytelnianiu a agentach.
PSD2 a kierunek PSD3/PSR — szybkie zestawienie
| Obszar | Stan dziś (PSD2) | Kierunek reformy (PSD3/PSR) |
|---|---|---|
| Forma prawna | Dyrektywa | Dyrektywa (PSD3) + rozporządzenie (PSR) |
| Spójność w UE | Rozbieżności we wdrożeniach krajowych | Większa harmonizacja dzięki rozporządzeniu |
| Oszustwa | Podział odpowiedzialności bywa niejasny | Doprecyzowanie, w tym wyłudzenia z manipulacją |
| Dostęp do danych | Open banking według PSD2 | Uporządkowane zasady dostępu |
| Status | Obowiązuje | Projekt w toku legislacyjnym |
Czego nie wiemy i jak się przygotować?
Uczciwa odpowiedź brzmi: ostatecznego brzmienia przepisów i dat ich stosowania na 2026 rok jeszcze nie znamy. Pakiet przechodzi proces legislacyjny, a szczegóły mogą się zmienić, zanim zostanie przyjęty i wdrożony. Dlatego każda decyzja produktowa oparta wyłącznie na dzisiejszych projektach niesie ryzyko, że założenia trzeba będzie zrewidować.
Co można robić już teraz, nie wyprzedzając przepisów?
- Śledzić źródła pierwotne, w tym oficjalne materiały Komisji Europejskiej, zamiast opierać się na streszczeniach z drugiej ręki.
- Projektować elastycznie — zwłaszcza warstwę autoryzacji i logowania zgód, tak aby dało się ją dostosować do finalnych wymogów dotyczących odpowiedzialności i SCA.
- Traktować zgody na płatności agentowe jak dowód. Czytelny zapis tego, co użytkownik faktycznie autoryzował, będzie cenny niezależnie od ostatecznego kształtu przepisów.
PSD3 i PSR nie są więc jeszcze instrukcją wdrożeniową — to zapowiedź kierunku. Dla każdego, kto buduje płatności agentowe w UE, to sygnał, że zasady odpowiedzialności i dostępu do danych będą się porządkować, i że warto projektować rozwiązania, które dadzą się do tego porządku dopasować.
Podajemy fakty ze źródłami i datami. Nigdy nie stwierdzamy z góry, że dany dostawca jest niebezpieczny — pokazujemy weryfikowalne dane i pytania, które zespół powinien zadać, zanim wdroży płatności agentowe.
Najczęstsze pytania
Czy PSD3 już obowiązuje? +
Na 2026 rok to pakiet w procesie legislacyjnym UE, a nie w pełni obowiązujące prawo. Kierunki reformy są znane, ale szczegóły przepisów oraz daty wejścia w życie mogą się jeszcze zmienić, zanim PSD3 i PSR zostaną ostatecznie przyjęte i wdrożone.
Co PSD3 i PSR mogą zmienić dla agentów AI? +
Prawdopodobnie doprecyzują odpowiedzialność za oszustwa oraz zasady dostępu do danych płatniczych. Dotyczy to także transakcji inicjowanych przez agenta, bo to wciąż płatność zlecona w imieniu użytkownika — pytanie tylko, kto odpowiada, gdy coś pójdzie nie tak.
Czym różni się PSD3 od PSR? +
PSD3 to dyrektywa, którą państwa członkowskie wdrażają do prawa krajowego, więc dotyczy głównie licencjonowania i nadzoru. PSR to rozporządzenie, które obowiązuje bezpośrednio w całej UE — i to ono ma ujednolicić zasady operacyjne, takie jak reguły dotyczące oszustw czy dostępu do danych.
Powiązane lektury