Open Banking PSD2 w Polsce — co to jest, jak działa i kiedy weszło w życie

Co to jest dyrektywa PSD2?

PSD2 (Payment Services Directive 2) to dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. o usługach płatniczych w ramach rynku wewnętrznego. Zastąpiła poprzednią dyrektywę PSD1 z 2007 r. i zrewolucjonizowała europejski rynek usług płatniczych — w tym otworzyła go na dostawców spoza sektora bankowego.

Trzy główne cele PSD2: (1) zwiększenie bezpieczeństwa transakcji poprzez wymóg silnego uwierzytelniania klienta (SCA), (2) promowanie innowacji i konkurencji przez otwarcie infrastruktury bankowej dla licencjonowanych firm trzecich (TPP), (3) ujednolicenie zasad ochrony konsumenta w całej UE. Jeśli szukasz głębszej, regulacyjnej analizy — z konkretnymi numerami artykułów ustawy, listą licencjonowanych AISP w PL i przeglądem nadchodzącego PSD3 — przeczytaj Open banking i PSD2 w Polsce — pełny przewodnik regulacyjny 2026.

Wdrożenie w Polsce — kalendarium

• 13 stycznia 2018 r. — termin transpozycji PSD2 w państwach członkowskich UE.
• 10 maja 2018 r. — Sejm uchwalił nowelizację ustawy o usługach płatniczych (Dz.U. 2018 poz. 1075), wdrażającą PSD2 do polskiego porządku prawnego.
• 20 czerwca 2018 r. — wejście w życie ustawy (część przepisów; pełne zastosowanie poszczególnych przepisów rozłożone w czasie).
• 14 września 2019 r. — początek obowiązywania regulacyjnych standardów technicznych (RTS) EBA, w tym wymogu silnego uwierzytelniania klienta (SCA) i obowiązku udostępniania przez banki dedykowanych interfejsów (API) dla TPP.

AIS, PIS, CoF — trzy regulowane usługi PSD2

PSD2 wyodrębnia trzy odrębne usługi płatnicze świadczone przez dostawców zewnętrznych. Każda wymaga innej licencji wydawanej przez KNF (lub notyfikowanej z innego kraju UE) i innej zgody klienta.

Te trzy usługi to cały zakres regulacji PSD2 w wymiarze otwartej bankowości. Wszystko, co aplikacja może zrobić z Twoim kontem dzięki PSD2, mieści się w którejś z tych kategorii. Aplikacja jak Martia korzysta wyłącznie z AIS — odczyt transakcji.

TPP — kto może mieć dostęp do Twoich danych

TPP (Third Party Provider) to zbiorcza nazwa licencjonowanych dostawców zewnętrznych, którym PSD2 daje prawo dostępu do rachunków klientów banków. PSD2 wyróżnia trzy kategorie TPP — odpowiadające trzem usługom z poprzedniej sekcji:

• AISP (Account Information Service Provider) — dostawca usługi dostępu do informacji o rachunku. Tylko odczyt.
• PISP (Payment Initiation Service Provider) — dostawca usługi inicjowania płatności. Może zlecić przelew, ale tylko z osobną autoryzacją SCA klienta.
• PIISP (Payment Instrument Issuer Service Provider) — dostawca świadczący usługę potwierdzenia środków na rachunku (CoF). Pyta bank o „tak/nie”, nie widzi salda.

Jak TPP uzyskuje licencję w Polsce

W Polsce licencje TPP wydaje Komisja Nadzoru Finansowego (KNF). Polskie ustawodawstwo wyróżnia kilka form prawnych dostawców usług płatniczych: Krajowa Instytucja Płatnicza (KIP), Mała Instytucja Płatnicza (MIP — kategoria stworzona przez ustawę z 2018 r. dla podmiotów działających wyłącznie na rynku krajowym, poniżej progu obrotu) oraz dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku (AISP). TPP licencjonowany w innym kraju UE może działać w Polsce na zasadzie paszportu europejskiego po notyfikacji KNF.

Listę wszystkich TPP w UE prowadzi European Banking Authority (EBA Register). W maju 2026 r. zarejestrowanych jest tam ponad 500 licencjonowanych dostawców z całej UE.

Jak działa open banking w Polsce — PolishAPI i HUB PSD2

Mechanizm otwartej bankowości w Polsce opiera się na trzech filarach: regulacji (PSD2 + ustawa o usługach płatniczych), standardzie technicznym (PolishAPI) i infrastrukturze połączeń (HUB PSD2 operowany przez KIR — Krajową Izbę Rozliczeniową).

PolishAPI — wspólny standard techniczny

Polska zrobiła coś, czego nie zrobiła większość krajów UE. Zamiast pozwolić każdemu bankowi na własne rozwiązanie, Związek Banków Polskich (ZBP) koordynował stworzenie jednego, wspólnego standardu API — PolishAPI. Dzięki temu aplikacje łączą się z polskimi bankami przez jednolity interfejs zamiast pisać 20 różnych integracji.

Do PolishAPI należy 20 banków komercyjnych, w tym PKO BP, mBank, ING, Santander, Pekao, BNP Paribas, Millennium, Alior Bank, Credit Agricole i Nest Bank.

HUB PSD2 — centralny węzeł dla 300 instytucji

Krajowa Izba Rozliczeniowa (KIR) — ta sama instytucja, która obsługuje system Elixir i przelewy natychmiastowe Express Elixir — uruchomiła HUB PSD2 jeszcze przed europejskim deadline'em. Przez HUB podłączonych jest około 300 instytucji — banki komercyjne, spółdzielcze i SKOK-i. To oznacza, że Twoja aplikacja budżetowa ma dostęp do praktycznie każdego konta w Polsce.

Które polskie banki wspierają PSD2?

Każdy bank działający w Polsce jest zobowiązany przez PSD2 do udostępnienia API dla licencjonowanych dostawców (TPP). W praktyce wszystkie polskie banki komercyjne udostępniają usługę AIS (odczyt danych); PIS (inicjowanie płatności) wspierany jest przez większość, choć z różną jakością i dostępnością; CoF — najrzadziej wykorzystywana usługa — działa głównie w modelach kart fintechowych.

Banki komercyjne objęte standardem PolishAPI

Źródło: lista banków komercyjnych na PolishAPI.org (stan na maj 2026 r.). Poza bankami komercyjnymi, przez HUB PSD2 operowany przez KIR podłączonych jest jeszcze około 280 banków spółdzielczych i SKOK-ów. Jeśli interesuje Cię pełne porównanie z jakością API i obsługą TPP, zobacz nasz przewodnik po polskich bankach wspierających PSD2.

Bezpieczeństwo PSD2 — SCA, nadzór KNF i licencje

Bezpieczeństwo open banking w Polsce stoi na trzech filarach: silne uwierzytelnianie klienta (SCA), nadzór KNF i obowiązek licencji, oraz techniczne ograniczenie zakresu zgody.

Silne uwierzytelnianie klienta (SCA — Strong Customer Authentication)

PSD2 wymaga, by przy każdej płatności elektronicznej (i przy każdym udzielaniu zgody PSD2) bank weryfikował tożsamość klienta przy użyciu co najmniej dwóch elementów z trzech niezależnych kategorii:

• coś, co wiesz (knowledge) — hasło, PIN, kod;
• coś, co masz (possession) — telefon, token sprzętowy, certyfikat;
• coś, czym jesteś (inherence) — odcisk palca, rozpoznawanie twarzy, głos.

Wymogi techniczne SCA reguluje rozporządzenie delegowane Komisji (UE) 2018/389 — tzw. RTS (Regulatory Technical Standards), opracowany przez EBA. To ten sam mechanizm, którego używasz logując się do bankowości mobilnej.

Nadzór KNF i obowiązkowe licencjonowanie

Każda firma, która chce uzyskać dostęp do Twoich danych bankowych przez open banking, musi posiadać licencję. W Polsce wydaje ją Komisja Nadzoru Finansowego (KNF) — albo dostawca działa w Polsce na zasadzie tzw. paszportu europejskiego po notyfikacji KNF, jeśli uzyskał licencję w innym kraju UE. Ustawa z 2018 r. wprowadziła kategorię Małej Instytucji Płatniczej (MIP) dla firm działających wyłącznie na polskim rynku, poniżej progu obrotu.

Dostęp tylko do odczytu — techniczne ograniczenie

Aplikacja budżetowa jak Martia korzysta z licencji AISP. To oznacza, że może patrzeć, nie może dotykać. Widzi transakcje i salda. Nie może zainicjować przelewu, zmienić limitu karty, ani nawet zmienić adresu e-mail na koncie. Token autoryzacyjny od banku jest cyfrowo ograniczony do zakresu zgody AIS i wygasa po 90 dniach.

Jeśli chcesz wiedzieć, jak rozpoznać bezpieczną aplikację open banking — od rejestru AISP w KNF po regulacyjny status GoCardless — mamy na to osobny przewodnik.

Co PSD2 zmienia dla zwykłego użytkownika

Najczęściej PSD2 kojarzy się z otwartą bankowością i aplikacjami agregującymi konta. Ale dyrektywa wprowadziła też kilka konkretnych zmian dotyczących ochrony konsumenta — działających niezależnie od tego, czy korzystasz z aplikacji TPP.

• Krótszy czas rozpatrywania reklamacji. PSD2 skraca termin odpowiedzi banku w sprawach płatniczych z 30 dni kalendarzowych do 15 dni roboczych. W szczególnie skomplikowanych przypadkach bank może go wydłużyć do 35 dni roboczych, ale musi poinformować klienta o powodzie opóźnienia.
• Niższa odpowiedzialność za nieautoryzowane transakcje. Odpowiedzialność klienta za szkody powstałe w wyniku transakcji nieautoryzowanej, dokonanej przed zgłoszeniem, zmniejszona z 150 EUR do 50 EUR (art. 46 ustawy o usługach płatniczych po nowelizacji).
• Obowiązkowe SCA przy płatnościach. Każda płatność elektroniczna powyżej 30 EUR wymaga silnego uwierzytelniania klienta. Wyjątki: niskie kwoty, transakcje cykliczne (subskrypcje), płatności typu MIT (Merchant Initiated Transactions).
• Zakaz tzw. surcharging — banki ani sprzedawcy nie mogą pobierać dodatkowych opłat za płatność kartą debetową lub kredytową konsumencką w obrębie EOG.
• Możliwość agregacji kont. Możesz podłączyć konto w PKO BP, mBanku i ING do jednej aplikacji (jak Martia) i widzieć wszystkie transakcje w jednym miejscu — bez podawania haseł.
• Płatności PIS jako alternatywa dla kart. Sprzedawcy mogą oferować płatności inicjowane bezpośrednio z rachunku przez PISP — szybsze i tańsze niż karty, bo omijają opłaty interchange.

Jak połączyć konto bankowe przez PSD2

Proces podłączenia konta przez open banking jest prostszy niż większość ludzi się spodziewa. Trwa 2–3 minuty — mniej niż rejestracja na większości stron internetowych.

I tyle. Bez formularzy, bez skanowania dokumentów, bez czekania na weryfikację. Cały proces dzieje się w czasie rzeczywistym — bo to Twój bank potwierdza Twoją tożsamość przez SCA, nie aplikacja. Szczegółową instrukcję krok po kroku znajdziesz w naszym przewodniku jak połączyć konto bankowe z aplikacją finansową.

PSD3 i FIDA — co się zmieni

PSD2 to nie koniec drogi — to początek. Unia Europejska pracuje nad kolejnymi regulacjami, które znacząco rozszerzą zakres otwartych danych finansowych.

PSD3 i PSR — nowe reguły gry

W listopadzie 2025 r. Parlament Europejski i Rada UE osiągnęły wstępne porozumienie polityczne w sprawie PSD3 i towarzyszącego jej rozporządzenia PSR (Payment Services Regulation). Kluczowa zmiana: dotychczasowe reguły przechodzą z dyrektywy (każdy kraj implementuje po swojemu) na rozporządzenie (bezpośrednio obowiązujące w całej UE). Oznacza to koniec z różnicami w implementacji między krajami.

Co się zmieni w praktyce? Banki będą musiały zapewnić API o jakości porównywalnej z własnymi kanałami. Użytkownicy dostaną panel zarządzania zgodami — w jednym miejscu zobaczą, kto ma dostęp do ich danych. Ofiary oszustw typu APP (Authorised Push Payment) zyskają pełną ochronę i prawo do zwrotu pieniędzy. Publikacja w Dzienniku Urzędowym UE oczekiwana w 2026 r., z wdrożeniem 18 miesięcy później.

FIDA — od otwartej bankowości do otwartych finansów

Jeszcze dalej idzie FIDA (Financial Data Access Regulation) — propozycja Komisji Europejskiej, nad którą trwają negocjacje od 2025 r. FIDA rozszerzy zasadę otwartych danych na ubezpieczenia, inwestycje, konta emerytalne i kredyty. Wyobraź sobie, że w jednej aplikacji widzisz nie tylko konta bankowe, ale też stan OFE, polisy, portfel inwestycyjny. Przyjęcie FIDA oczekiwane w pierwszej połowie 2026 r., z okresem dostosowawczym 30–32 miesięcy. Realnie: pełne otwarte finanse w Polsce to perspektywa 2028–2029.

Często zadawane pytania o open banking PSD2

Źródła i akty prawne

• Parlament Europejski i Rada UE, 2015, Dyrektywa (UE) 2015/2366 (PSD2) — EUR-Lex
• Sejm RP, 2018, Ustawa z 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. 2018 poz. 1075) — ISAP — Internetowy System Aktów Prawnych
• Komisja Europejska, 2018, Rozporządzenie delegowane (UE) 2018/389 — Regulacyjne Standardy Techniczne (RTS) dotyczące SCA — EUR-Lex
• Komisja Nadzoru Finansowego (KNF) — strona oficjalna — knf.gov.pl
• European Banking Authority (EBA), centralny rejestr TPP — euclid.eba.europa.eu
• PolishAPI — lista banków komercyjnych — polishapi.org
• PARP, 2018, „Usługi płatnicze — co zmieniają dyrektywa PSD2 i nowelizacja ustawy" — parp.gov.pl
• ZBP (Związek Banków Polskich), Q3 2025, Raport NetB@nk — bank.pl
• KIR / Neontri, HUB PSD2 — architektura i wdrożenie — neontri.com
• Norton Rose Fulbright, 2026, „PSD3 and PSR — from provisional agreement to 2026 readiness" — nortonrosefulbright.com
• Komisja Europejska, 2023, FIDA (Financial Data Access Regulation) — financial-data-access.com