Lada moment dziesiąte urodziny będzie świętować PSD2, unijna dyrektywa o usługach płatniczych. Przyniosła ze sobą kilka ważnych dla rynku nowości, w tym usankcjonowanie usług otwartej bankowości. Kluczowym z jej celów było jednak zwiększenie bezpieczeństwa transakcji i utrudnienie działania przestępcom. Sześć lat temu w Polsce weszły w życie zmiany wynikające z unijnej regulacji ujęte w ustawie o usługach płatniczych.
Nowy wymóg mocnego uwierzytelnienia (SCA) wielu operacji zmusił klientów banków do zmiany przyzwyczajeń, ale postawił tamę najmniej wyrafinowanym scamom opartym na phishingu. Jednocześnie obniżono limit odpowiedzialności konsumentów za nieautoryzowane transakcje płatnicze, wzmacniając ochronę w razie np. kradzieży. Skrócono także czas na odpowiedź w reklamacjach.
PSD2 do tuningu
W opublikowanym w 2022 r. przeglądzie skutków wdrożenia PSD2 Komisja Europejska zwróciła uwagę na starzenie się regulacji. Jednym z czynników, który wymagał reakcji, była ewolucja w oszustwach wycelowanych w konsumentów. W dokumencie wskazano m.in. na rosnące znaczenie ataków socjotechnicznych. Zakres ochrony konsumentów powinien zostać zwiększony — taka konkluzja znalazła się w opracowaniu.
Pod koniec czerwca 2023 r. opublikowano pierwszy zarys nowej regulacji nazwanej roboczo pakietem PSD3. W jego skład wchodziła zarówno odnowiona dyrektywa koncentrująca się na kwestiach funkcjonowania dostawców usług płatniczych, jak też PSR (Payment Services Regulation) o bardziej technicznym charakterze. W czerwcu 2025 r. poznaliśmy nową wersję dokumentu zaakceptowaną przez Radę UE.
W propozycjach znalazło się sporo nowości wycelowanych w epidemię oszustw. Część z nich dotyczy procesów niewidocznych dla płatników, odbywających się niejako na zapleczu. Zobowiązuje się instytucje płatnicze do wymiany informacji o zagrożeniach, a także pozwala im na pełnienie roli tzw. trusted flaggers, czyli podmiotów zgłaszających do platform internetowych, dostawców hostingu i innych pośredników przypadków oszustw finansowych. Takie zgłoszenia od zaufanych graczy mają być w myśl regulacji (w tym DSA, Digital Services Act) traktowane priorytetowo. Nie zabrakło także elementów szczególnie istotnych dla konsumentów, ofiar przestępczych praktyk.
Zmanipulowany płatnik objęty rozszerzoną ochroną
W proponowanej wersji regulacji pojawia się odniesienie do specyficznego scenariusza, tzw. impersonation fraud. Chodzi tu o sytuacje, w których płatnik zostaje poddany manipulacji przez przestępców udających dostawcę usług płatniczych. W propozycji wskazano szeroko na „trzecią stronę udającą dostawcę usług płatniczych przez kanały komunikacji przypisane temu dostawcy”. Mieściłoby się w tym zatem nie tylko podszycie pod pracownika, ale także np. pod serwis bankowości internetowej.
Jeśli efektem takiej perswazji jest transakcja (jak np. w oszustwach na pracownika banku), firma ma obowiązek w ciągu 15 dni roboczych zwrócić środki klientowi. Przewidziano jednak kilka warunków, od których uzależniona jest rozszerzona ochrona — jeśli klient zorientował się, że padł ofiarą oszustwa, i bezzwłocznie poinformował o tym dostawcę usług płatniczych, dostarczył wszelkie istotne informacje, jakie może posiadać o incydencie, jak również zgłosił sprawę na policję.
Dostawcom usług płatniczych pozostawia się opcję odmowy wypłacenia środków, ale muszą istnieć solidne podstawy do podejrzenia próby wprowadzenia w błąd lub rażącej niedbałości. Konsument powinien wówczas otrzymać także uzasadnienie wraz z informacją o opcjach dalszego dochodzenia swoich praw.
Niech platformy odsiewają oszustów
W trakcie prac nad nowym pakietem problem oszustw bazujących na podszywaniu się pod zaufane instytucje okazał się jednym z punktów generujących najwięcej kontrowersji. Pojawiły się propozycje, aby rozszerzona ochrona objęła szerszą kategorię spoofingu, a nie tylko dostawców usług płatniczych, jak również by platformy internetowe, które emitują reklamy przestępców, przejęły finansową odpowiedzialność za straty konsumentów.
W maju 2025 r. Irlandia zgłosiła sugestię poprawki, która ma zmusić duże platformy do weryfikowania, czy reklamodawca jest licencjonowaną instytucją finansową. Oszustwa oparte na podszywaniu się pod znanego dostawcę mają swój początek zwykle właśnie w serwisach społecznościowych lub wyszukiwarkach. To właśnie tam potencjalne ofiary trafiają zazwyczaj na oferty przestępców.
Komisja Europejska zwróciła uwagę, że taki wymóg kłóciłby się z zakazem szerokiego monitorowania treści na platformach przewidzianym w DSA. Wyjściem z patowej sytuacji mogłoby być natomiast wzmocnienie wymiany danych między big techami a sektorem finansowym.
Warto podkreślić, że inicjatywa Irlandii jest elementem szerszego planu zarysowanego przez tamtejszy bank centralny. Obejmuje on stworzenie wspólnej dla dostawców usług masowych, banków i instytucji płatniczych bazy znanych oszustw, a także uruchomienia mechanizmu filtrowania wiadomości SMS rozpowszechniających scam.
Nieautoryzowana transakcja z nowym spojrzeniem
Jednym z punktów na mapie sporów na linii konsumenci—banki w Polsce pozostają kwestie tzw. nieautoryzowanych transakcji płatniczych. Definicja zawarta w PSD2 nie została jednolicie ujęta w prawie poszczególnych krajów członkowskich. W nowej wersji projektu PSR dodano fragment, który odnosi się do tej sprawy.
„Transakcji płatniczej nie uznaje się za autoryzowaną, jeżeli transakcja została zainicjowana lub zmieniona przez osobę trzecią, która działa bez zgody użytkownika usług płatniczych, w tym przy użyciu osobistych danych uwierzytelniających użytkownika usług płatniczych uzyskanych w sposób noszący znamiona oszustwa” — tak brzmi w tłumaczeniu nowy element prawnej układanki.
Ponadto doprecyzowano przesłanki uznania transakcji za autoryzowaną, gdy płatnik kwestionuje okoliczności jej zlecenia. „(…) fakt, że transakcja płatnicza została uwierzytelniona, w tym, w stosownych przypadkach, za pomocą silnego uwierzytelnienia klienta, prawidłowo zarejestrowana, zapisana na rachunkach i niedotknięta awarią techniczną lub inną wadą świadczonej usługi, sam w sobie nie musi być wystarczający do udowodnienia, że transakcja płatnicza została autoryzowana przez płatnika lub że płatnik działał w nieuczciwych zamiarach lub umyślnie lub w wyniku rażącego zaniedbania nie wypełnił co najmniej jednego z obowiązków (…)”.
Brzmienie tych fragmentów w ich obecnej formie można potraktować jako wzmocnienie pozycji płatników. Dla dostawców usług płatniczych oznacza jednak, że konieczne będzie zbieranie dodatkowych informacji o okolicznościach transakcji, które będą mogły wspierać tezę o ewentualnej odpowiedzialności lub współodpowiedzialności użytkownika.
Okres ochronny ma chronić przed oszustwami
Projekt PSR przewiduje nowy mechanizm spowalniający ruchy przestępców, którzy przełamią zabezpieczenia rachunku płatniczego. W umowie ramowej powinna się znaleźć informacja o maksymalnej kwocie transakcji dla każdego instrumentu płatniczego. Z nowego brzmienia PSR wynika, że użytkownik będzie mógł sam zmieniać te limity, a w przypadku zdalnego zlecenia (np. w bankowości mobilnej) będzie wymagane użycie silnego uwierzytelnienia.
Zmiana limitów dokonana zdalnie będzie miała jednak przewidziany okres ochronny. Wejdzie w życie po minimum 4 godzinach, a maksymalnie po 12 od zlecenia. Z tego mechanizmu, w zamyśle chroniącego płatnika przed konsekwencjami oszustw, będzie można jednak zrezygnować. I tu konieczne będzie silne uwierzytelnienie lub osobiste stawiennictwo w placówce. Co ważne, taka zmiana również będzie objęta obowiązującym do tej pory opóźnieniem. Podobne zasady przewiduje się dla aktywacji aplikacji mobilnej pozwalającej na zarządzanie rachunkiem płatniczym.
Jakie będą dalsze losy projektów?
Następnym etapem prac nad pakietem PSD plus PSR jest tzw. trilog, czyli trójstronne negocjacje między Komisją Europejską, Parlamentem Europejskim i Radą UE. Ostateczny tekst ustaw może zostać sfinalizowany jeszcze w 2025 r. Biorąc pod uwagę ewentualne opóźnienia, prawdopodobnie regulacje PSR wejdą w życie w drugiej połowie 2026 r. Można oczekiwać, że kwestie wzmocnienia ochrony konsumentów i zapobiegania oszustwom będą szczególnie mocno dyskutowane, jeśli pakiet ma się stać antyfraudową konstytucją UE na kolejne lata.
