Moduł 1: Zakres regulacji, cele i harmonogram PSD3 oraz PSR

3. Zakres i charakter regulacji
   PSD3 jest dyrektywą zastępującą PSD2 i częściowo integrującą zapisy dotyczące pieniądza elektronicznego (dotychczas regulowane w EMD2). Jej przepisy wymagają transpozycji do prawa krajowego, co pozwala państwom członkowskim dostosować szczegóły stosowania. PSR natomiast jest rozporządzeniem, które obowiązuje bezpośrednio we wszystkich krajach UE, eliminując różnice krajowe i zapewniając jednolite zasady w zakresie usług płatniczych.
   Najważniejsza zmiana to połączenie regulacji pieniądza elektronicznego z regulacjami usług płatniczych – instytucje pieniądza elektronicznego będą podlegały tym samym zasadom autoryzacji, nadzoru i ochrony środków co dostawcy usług płatniczych.
4. Cele regulacji
   Celem PSD3 i PSR jest przede wszystkim zwiększenie ochrony konsumentów i bezpieczeństwa płatności w UE. Wprowadzane są obowiązkowe mechanizmy zwrotu środków w przypadku nieautoryzowanych transakcji, rozszerzone obowiązki informacyjne, przejrzyste zasady opłat (np. za korzystanie z bankomatów czy usługi cashback). Regulacje mają na celu także ograniczenie ryzyka oszustw (np. poprzez obowiązkową weryfikację zgodności numeru IBAN z nazwą odbiorcy przelewu oraz możliwość współdzielenia danych o fraudach pomiędzy instytucjami płatniczymi). Ponadto PSD3 i PSR mają wspierać rozwój otwartej bankowości i tworzyć podstawy dla przyszłego modelu otwartych finansów (Open Finance).
5. Harmonizacja i jednolite zasady
   PSR wprowadza jednolite reguły we wszystkich państwach członkowskich, co eliminuje lokalne rozbieżności w interpretacji i stosowaniu przepisów. Oznacza to, że instytucje płatnicze będą funkcjonować w ujednoliconym środowisku prawnym w zakresie opłat, procedur reklamacyjnych, zasad identyfikacji klientów oraz bezpieczeństwa transakcji. PSD3, będąc dyrektywą, wprowadza minimalne wymagania, które państwa członkowskie muszą wdrożyć, ale PSR narzuca jednolite, bezpośrednio stosowane przepisy w kluczowych obszarach, takich jak ochrona konsumenta i bezpieczeństwo płatności.
6. Otwarta bankowość i Open Finance
   PSD3 oraz PSR rozwijają koncepcję otwartej bankowości wprowadzoną przez PSD2. Nakładają nowe obowiązki na dostawców usług płatniczych w zakresie udostępniania interfejsów API o określonej jakości i dostępności, wprowadzają jednolite standardy wydajności oraz wymagają wdrożenia tzw. dashboardów uprawnień dla klientów. Klient końcowy ma zyskać pełną kontrolę nad udzielonymi zgodami dostępu do danych płatniczych i możliwość łatwego zarządzania nimi. Jest to krok przygotowujący do wdrożenia koncepcji Open Finance, obejmującej szerszy zakres danych finansowych (np. inwestycje, ubezpieczenia).
7. Dostęp do gotówki i bankomaty niezależne
   Regulacje umożliwiają dokonywanie wypłat gotówki w punktach handlowych bez konieczności dokonywania zakupów (usługa cashback) oraz wprowadzają jednolite zasady dla operatorów niezależnych bankomatów. PSR ma na celu zapewnienie równego dostępu do gotówki w całej UE, nawet w regionach o słabym pokryciu siecią bankową, oraz transparentne informowanie konsumentów o kosztach takich transakcji.
8. Harmonogram i wdrożenie
   Przewiduje się, że PSD3 i PSR zostaną ostatecznie przyjęte w 2025 roku. PSR zacznie obowiązywać bezpośrednio po wejściu w życie, natomiast PSD3 będzie wymagała implementacji do krajowych porządków prawnych w terminie około 18 miesięcy od przyjęcia, co oznacza pełne stosowanie nowych zasad w latach 2026–2027. Instytucje płatnicze powinny już teraz rozpocząć analizę luk w swoich procedurach, systemach IT oraz dokumentacji regulacyjnej, aby uniknąć ryzyka sankcji i opóźnień we wdrożeniu.

Moduł 2: Licencjonowanie i nadzór nad dostawcami usług płatniczych (PSD3)

3. Nowe wymogi licencyjne
   PSD3 przewiduje ponowną autoryzację niektórych podmiotów, które działały na podstawie zezwoleń PSD2 oraz EMD2. Wprowadzono obowiązek przedstawienia planu likwidacyjnego (wind‑up plan), opisującego sposób zabezpieczenia środków klientów i minimalizowania zakłóceń na rynku w przypadku upadłości lub zakończenia działalności. Zmieniono także katalog wymaganych dokumentów przy składaniu wniosku licencyjnego oraz zasady oceny reputacji zarządzających.
4. Wymogi kapitałowe i zabezpieczenie środków klientów (safeguarding)
   Podniesiono minimalne wymogi kapitałowe dla niektórych kategorii dostawców usług płatniczych, a metody obliczania wymogów kapitałowych zostały zharmonizowane (priorytet dla metody B). Regulacje doprecyzowują także obowiązki w zakresie wyodrębnienia i zabezpieczenia środków klientów, np. poprzez oddzielenie ich od środków własnych lub objęcie gwarancją bankową lub ubezpieczeniową.
5. Operacyjna odporność i ciągłość działania
   PSD3 powiązano z regulacją DORA, co oznacza obowiązek posiadania planów ciągłości działania, przeprowadzania testów odporności, zabezpieczenia przed cyberatakami oraz zarządzania ryzykiem dostawców zewnętrznych. Instytucje płatnicze będą musiały posiadać udokumentowane procedury zapewniające nieprzerwane świadczenie usług nawet w sytuacjach awaryjnych.
6. Udostępnianie danych i bezpieczeństwo
   PSD3 oraz PSR określają zasady bezpiecznego udostępniania danych pomiędzy dostawcami usług płatniczych, w tym danych dotyczących oszustw. Wymaga to dostosowania procedur do wymogów RODO (np. oceny skutków dla ochrony danych – DPIA) oraz wdrożenia rozwiązań technicznych umożliwiających bezpieczne i szybkie przekazywanie informacji.
7. Paszportowanie usług
   PSD3 upraszcza proces paszportowania, tj. świadczenia usług transgranicznych na terytorium innych państw UE. Zmiany obejmują skrócenie terminów, uproszczenie wymagań informacyjnych oraz stworzenie centralnego rejestru usług płatniczych dostępnego dla wszystkich krajowych organów nadzoru.
8. Sankcje i nadzór
   Wprowadzono nowe mechanizmy sankcyjne, umożliwiające nakładanie kar pieniężnych w przypadku naruszenia przepisów oraz rozszerzono kompetencje Europejskiego Urzędu Nadzoru Bankowego (EBA) w zakresie monitorowania wdrożenia przepisów w całej UE. Ujednolicone zostaną również standardy raportowania naruszeń i procedury kontrolne.

Moduł 3: Ochrona konsumentów i przeciwdziałanie oszustwom

3. Silna identyfikacja klienta (SCA)
   PSD3 rozszerza wymóg stosowania silnej autoryzacji klienta (SCA) na nowe typy transakcji i określa na nowo wyjątki od tego wymogu. Doprecyzowano również techniczne standardy autoryzacji (RTS) w celu zmniejszenia ryzyka oszustw, zwłaszcza w płatnościach zlecanych zdalnie.
4. Transparentność i prawa klienta
   Regulacje wymagają jasnego i pełnego informowania klientów o opłatach, kursach walutowych, czasie realizacji płatności oraz prawie do zwrotu środków w określonych sytuacjach. Wprowadza się obowiązek udostępnienia klientom elektronicznego narzędzia (dashboardu), które umożliwia przegląd i zarządzanie wszystkimi udzielonymi zgodami dla dostawców usług płatniczych.
5. Weryfikacja zgodności IBAN z nazwą odbiorcy
   Wprowadzony zostaje obowiązek sprawdzania, czy numer rachunku (IBAN) podany w zleceniu płatniczym odpowiada nazwie właściciela rachunku. Ma to na celu ograniczenie oszustw typu APP (authorised push payment). W razie niezgodności klient jest ostrzegany przed ryzykiem.
6. Wymiana informacji o oszustwach
   PSD3 i PSR umożliwiają współdzielenie informacji o oszustwach płatniczych pomiędzy dostawcami usług, co ma zwiększyć skuteczność przeciwdziałania fraudom. Ustalono szczegółowe zasady przetwarzania i ochrony takich danych.
7. Gotówka i płatności detaliczne
   PSR reguluje zasady świadczenia usług cashback oraz działalności niezależnych operatorów bankomatów. Wprowadzono obowiązek informowania o kosztach transakcji przed jej wykonaniem, aby zapobiegać nieprzejrzystym opłatom.
8. Egzekwowanie i spójność
   Zapewniono spójne stosowanie przepisów w całej UE poprzez wprowadzenie jednolitych standardów egzekwowania prawa, rozszerzenie kompetencji organów nadzoru krajowego i europejskiego oraz obowiązek współpracy między nimi.

Moduł 4: Otwarta bankowość i Open Finance

3. API i standardy techniczne
   PSD3 wymaga udostępniania API o określonej jakości (dostępność, szybkość, niezawodność) oraz zapewnienia możliwości testowania przez podmioty trzecie. Standardy te mają na celu zapewnienie równych warunków konkurencji pomiędzy bankami a podmiotami niebankowymi.
4. Dashboard zgód klienta
   Obowiązkowe jest wprowadzenie narzędzia umożliwiającego klientowi przegląd i odwoływanie udzielonych zgód na dostęp do danych. Dashboard ma zwiększyć kontrolę klientów nad ich danymi finansowymi.
5. Usuwanie barier dostępu
   PSD3 i PSR eliminują praktyki ograniczające dostęp dostawców usług płatniczych trzeciej strony (PISP, AISP) do infrastruktury płatniczej banków, zapewniając równe warunki dostępu do rachunków.
6. Open Finance
   Wprowadzane rozwiązania mają przygotować grunt pod przyszłe regulacje otwartych finansów, które obejmą nie tylko rachunki płatnicze, ale również inne produkty finansowe, takie jak inwestycje czy ubezpieczenia.
7. Wpływ na modele biznesowe
   Nowe regulacje wymuszą dostosowanie strategii biznesowych banków i fintechów, w szczególności w zakresie monetyzacji danych i integracji z nowymi kanałami usług finansowych.
8. Doświadczenia z innych rynków
   Analiza wprowadzonych wcześniej rozwiązań w ramach otwartej bankowości w Wielkiej Brytanii oraz krajach UE, wskazująca na potencjalne wyzwania przy wdrożeniu dashboardów i API o wysokiej dostępności.