Open banking i PSD2 w Polsce — co to jest, jak działa i czy jest bezpieczne

PSD2 w trzech zdaniach — podstawa prawna

PSD2 to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego. Zastąpiła starszą PSD1 z 2007 r. i wprowadziła trzy konstrukcje, których wcześniej nie było: obowiązkowe API banków, dwie nowe usługi regulowane (AIS i PIS) oraz wymóg silnego uwierzytelnienia klienta (SCA).

Jak PSD2 została wdrożona w Polsce

Polska implementacja nastąpiła ustawą z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych (Dz.U. 2018 poz. 1075), która dopisała do ustawy z 2011 r. nowy rozdział regulujący usługi AIS i PIS — głównie artykuły 59a-59zh ustawy o usługach płatniczych. Część przepisów weszła w życie 20 czerwca 2018 r. (część przepisów licencyjnych), ale pełne obowiązywanie wymogów technicznych (działające API banków, wymagane SCA) — 14 września 2019 r., zgodnie z terminem określonym przez RTS (rozporządzenie delegowane Komisji 2018/389).

Kto egzekwuje przestrzeganie PSD2 w Polsce

Nadzór nad rynkiem PSD2 w PL sprawuje Komisja Nadzoru Finansowego (KNF). KNF wydaje licencje krajowym AISP i PISP, prowadzi publiczny rejestr dostawców usług płatniczych, sprawdza zgodność API banków z wymogami RTS i — w razie naruszenia — nakłada sankcje (od kar finansowych po cofnięcie zezwolenia). Polskie banki uzgodniły też wspólny standard techniczny API o nazwie PolishAPI, wzorowany na brytyjskim Open Banking Standard.

Trzy role w ekosystemie PSD2: ASPSP, AISP, PISP

PSD2 wprowadza trzy regulowane role uczestników rynku. Każda ma inne uprawnienia, inne wymogi licencyjne i inny zakres dostępu do Twoich danych. Zrozumienie ich różnicy to fundament dla oceny bezpieczeństwa konkretnej aplikacji.

ASPSP — bank prowadzący Twoje konto

ASPSP (Account Servicing Payment Service Provider) to instytucja, która prowadzi Twój rachunek płatniczy — w 99% przypadków bank, ale też SKOK-i i instytucje płatnicze wydające konta. ASPSP jest obowiązany udostępnić darmowe API (PSD2 art. 66-67), które pozwala dwóm typom dostawców (poniżej) wykonywać operacje na koncie klienta — pod warunkiem jego zgody. ASPSP nie może pobierać opłat za samo udostępnienie tego API ani dyskryminować TPP w stosunku do własnych interfejsów.

AISP — dostawca usługi informacji o rachunku

AISP (Account Information Service Provider) to dostawca, który z Twoją zgodą tylko czyta dane: salda, historię transakcji, dane rachunku. Nie inicjuje płatności. Nie ma uprawnienia do ruszenia ani jednej złotówki. To kategoria, w której działają aplikacje budżetowe — Martia, Freenance, Kontomierz, agregatory PFM. AISP w PL musi mieć licencję KNF (krajową) lub passporting z innego kraju UE (np. GoCardless ma licencję irlandzką i działa w PL na zasadzie jednolitej licencji UE).

PISP — dostawca usługi inicjowania płatności

PISP (Payment Initiation Service Provider) ma szersze uprawnienia: może w Twoim imieniu zainicjować przelew z konta. W praktyce — to rola wykorzystywana przez platformy płatności (alternatywa dla BLIK / kart przy zakupach online — np. niektóre funkcje Tpay, Przelewy24, Stripe). PISP wymaga oddzielnej, surowszej licencji KNF, bo ryzyko nadużycia jest dużo większe niż przy AISP. Dla porządku: Martia jest tylko AISP — nigdy nie ruszamy Twoich pieniędzy, tylko czytamy historię.

Lista polskich banków z API PSD2 — stan na 2026

Każdy bank prowadzący rachunki płatnicze w Polsce ma obowiązek prawny udostępnić API PSD2. Poniższa tabela pokazuje 9 największych banków komercyjnych — wszystkie wspierają standard PolishAPI lub jego rozszerzenia, z różną jakością i różnymi limitami.

Limit 90 dni nie jest ograniczeniem konkretnego banku — to wymóg art. 10 RTS (rozporządzenie delegowane 2018/389): historia transakcji pobierana bez aktywnego udziału użytkownika może sięgać maksymalnie 90 dni wstecz. To powód, dla którego aplikacja przy pierwszym podłączeniu często widzi tylko ostatnie 3 miesiące — głębsza historia wymaga ręcznego importu CSV.

Pełniejszą listę banków z dokładniejszymi notkami operacyjnymi (limity dzienne, znane bugi, jakość kategorii) opisuję w artykule Open banking w polskich bankach — które banki obsługują PSD2 w 2026.

Licencjonowani dostawcy AIS działający w Polsce

Sprawdzenie licencji AISP zajmuje 30 sekund — wystarczy nazwa dostawcy i jedna z dwóch wyszukiwarek. Lista poniżej to nie ranking, a stan faktyczny: którzy operatorzy mają uprawnienia do działania w PL na maj 2026.

Jak sprawdzić licencję dostawcy — dwa źródła prawdy

1. Rejestr KNF — knf.gov.pl, sekcja „Podmioty rynku finansowego”. Wyszukiwarka „Rejestr dostawców usług płatniczych” pokazuje wszystkich krajowych AISP/PISP oraz zagranicznych działających na zasadzie jednolitej licencji UE (passporting).

2. EBA Register — euclid.eba.europa.eu/register. Centralna baza Europejskiego Urzędu Nadzoru Bankowego ze wszystkimi instytucjami płatniczymi z całej UE. Tu sprawdzisz dostawców zagranicznych: GoCardless wyszukasz pod „GoCardless Ltd." (UK) i „GC Re Ltd.” (Irlandia, podmiot post-Brexit).

Co PSD2 gwarantuje Tobie jako użytkownikowi

PSD2 to nie tylko regulacja dla banków i fintechów — to też zestaw konkretnych praw konsumenta. Pięć z nich warto znać, bo bezpośrednio wpływają na to, jak wygląda Twoja interakcja z aplikacją finansową.

1. Silne uwierzytelnienie (SCA) — minimum dwa czynniki

SCA (Strong Customer Authentication) jest uregulowane w PSD2 art. 97 i uszczegółowione w RTS 2018/389. Wymaga, by każda autoryzacja korzystała z minimum dwóch niezależnych elementów z trzech kategorii: wiedza (PIN, hasło), posiadanie (telefon z aplikacją bankową, token), cecha (odcisk palca, FaceID). Logowanie do banku przez aplikację AISP zawsze odbywa się w środowisku banku — to bank, a nie aplikacja, sprawdza SCA.

2. Zgoda maks. 180 dni, re-autoryzacja co 90 dni

PSD2 art. 67 ust. 2 ogranicza pojedynczą zgodę dla AISP do 180 dni. Niezależnie od tego, art. 10 RTS wymaga odnowienia SCA min. co 90 dni (jeśli w międzyczasie nie zalogujesz się aktywnie w aplikacji). To powód irytującej prośby „połącz konto ponownie” — nie błąd, tylko wymóg regulacyjny.

3. Prawo wycofania zgody w każdej chwili

Art. 35 ust. 5 ustawy o usługach płatniczych: zgodę odwołujesz albo w aplikacji, albo w bankowości internetowej (zakładka „Aplikacje zewnętrzne” / „Dostęp PSD2” — różnie nazwana w każdym banku). Odwołanie jest natychmiastowe — bank ma obowiązek zablokować dalszy dostęp aplikacji, nawet jeśli ta jeszcze nie usunęła tokena ze swojego serwera.

4. Zakaz screen-scrapingu

Przed PSD2 wiele agregatorów działało przez screen-scraping: użytkownik podawał aplikacji login i hasło do bankowości, a aplikacja logowała się „za niego” do strony banku, by pobrać dane. Art. 32 RTS 2018/389 tego zakazuje. Dziś jeśli aplikacja prosi o hasło do bankowości — to nie jest PSD2-compliant. Koniec dyskusji.

5. Brak opłat za korzystanie z usług AISP

PSD2 art. 67 ust. 4 zabrania bankowi pobierania jakichkolwiek opłat od konsumenta za samo korzystanie z AISP. Bank nie może też blokować ani spowalniać API dla legalnego AISP (art. 32 ust. 3 RTS). Co dostawca AISP rozlicza ze swoimi klientami — to już sprawa jego modelu biznesowego (np. subskrypcja vs. freemium).

PSD3 i PSR — co się zmienia po 2026

PSD3 (Payment Services Directive 3) i PSR (Payment Services Regulation) to nowy pakiet regulacyjny zaproponowany przez Komisję Europejską w czerwcu 2023 r. Na maj 2026 r. negocjacje trójstronne między Komisją, Parlamentem Europejskim i Radą UE są w finalnej fazie — wdrożenie do polskiego porządku prawnego planowane na 2026-2027 r.Co konkretnie się zmienia, gdy PSD3/PSR wejdą w życie?

Koniec 90-dniowej re-autoryzacji

Najbardziej widoczna zmiana dla użytkownika: PSD3 znosi wymóg powtórnego SCA co 90 dni. Wystarczy potwierdzić aktywną zgodę w samej aplikacji AISP (np. tap w powiadomieniu). To koniec cyklicznej irytacji „znowu muszę logować się do banku przez Martię". Bank zachowa prawo do wymuszenia re-autoryzacji w razie podejrzanej aktywności — ale standardowo: jedna zgoda, wieloletnie działanie.

Sankcje dla banków za źle działające API

PSD2 wymagało od banków API, ale w praktyce jakość była nierówna — timeouty, brak danych, kapryśne błędy autoryzacji. PSR wprowadza twardsze, mierzalne SLA dla API banków oraz konkretne sankcje finansowe za ich niespełnianie. To dobre wieści dla fintechów i pośrednio dla użytkowników: mniej zerwanych połączeń.

Lepsza ochrona przy oszustwach autoryzowanych (APP fraud)

PSR wprowadza obowiązek tzw. IBAN-check: bank odbiorcy potwierdza, czy nazwa właściciela konta zgadza się z wprowadzonym IBAN-em. Jeśli się rozjeżdża — ostrzeżenie zanim klikniesz „potwierdź”. To bezpośrednia odpowiedź na rosnące oszustwa typu „pomyłka odbiorcy” i fałszywe faktury. W UK podobny mechanizm (Confirmation of Payee) zredukował tego typu fraud o kilkadziesiąt procent.

Jak Martia korzysta z PSD2

Martia jest aplikacją AISP — tylko czytam dane z Twojego konta, nigdy nie inicjuję płatności i nie mam uprawnienia do ruszenia ani jednej złotówki. Korzystam z licencjonowanego dostawcy infrastruktury — GoCardless (CBI Irlandia, jednolita licencja UE), który jest oficjalnym AISP-em w rejestrze EBA.

Jak wygląda podłączenie banku w praktyce

Klikasz „Połącz bank” → wybierasz instytucję → przekierowuję Cię do oficjalnej strony lub aplikacji Twojego banku → tam logujesz się i potwierdzasz SCA (kod SMS, BLIK, FaceID — zależnie od banku) → bank wystawia token z ograniczonym zakresem (czytanie sald i historii do 90 dni wstecz) → token trafia do Martii. Hasła do bankowości nigdy nie widzę — fizycznie nie ma jak, bo wpisujesz je na stronie banku, a nie w Martii. Pełny przewodnik krok po kroku w artykule Jak połączyć konto bankowe z aplikacją finansową — krok po kroku.

Co konkretnie czytam, a czego nie czytam

Czytam: salda, listę transakcji (data, kwota, opis, nadawca/odbiorca), numer rachunku, walutę, nazwę banku.
Nie czytam: haseł, PIN-ów, danych do logowania, limitów kart, historii starszej niż 90 dni (PSD2 art. 10 RTS), historii kredytowej z BIK, danych innych osób.
Nie robię: przelewów, zmian limitów, otwierania kont, zamykania kont, żadnych operacji aktywnych.

Więcej o bezpieczeństwie i o tym, czym Martia różni się od agregatorów sprzed PSD2 — w przewodniku Synchronizacja konta bankowego z aplikacją — jak to działa i czy jest bezpieczne. O wyborze aplikacji opartej o open banking — Aplikacje open banking w Polsce — ranking 2026.

Często zadawane pytania o PSD2

Czy aplikacja korzystająca z PSD2 zna moje hasło do banku?

Nie. PSD2 zakazuje screen-scrapingu (art. 32 RTS 2018/389). Aplikacja nie widzi ani nie przechowuje hasła do bankowości. Logujesz się bezpośrednio w środowisku banku, potwierdzasz dwuetapowo (SCA), aplikacja dostaje tylko czytelny token z ograniczonym zakresem (zwykle: odczyt sald i historii do 90 dni wstecz).

Czy mogę wycofać zgodę na dostęp do konta?

Tak, w każdej chwili. Zgodę odwołujesz w samej aplikacji (np. w Martii — w ustawieniach połączenia banku) albo bezpośrednio w bankowości internetowej (zakładka „Aplikacje zewnętrzne” / „Dostęp PSD2”). Odwołanie jest natychmiastowe i wynika z art. 35 ust. 5 ustawy o usługach płatniczych.

Dlaczego co 90 dni muszę logować się ponownie do banku?

Bo tak wymaga PSD2 — art. 10 ust. 1 RTS (rozporządzenie delegowane 2018/389). Bez aktywnej akcji użytkownika SCA musi być odnowione minimum co 90 dni. To celowe ograniczenie, by przypomnieć Ci, że jakaś aplikacja ma dostęp do Twoich danych. Nadchodzące PSD3 (planowane wdrożenie 2026-2027) ma to wymaganie znieść.

Skąd mam wiedzieć, że aplikacja ma licencję AISP?

Sprawdź w publicznym rejestrze KNF (knf.gov.pl, sekcja „Podmioty rynku finansowego" → „Rejestr dostawców usług płatniczych”) lub w EBA Register (euclid.eba.europa.eu/register). Każdy AISP — polski (z licencją KNF) lub zagraniczny (z passportingiem) — musi być na tej liście. Dostawca, którego tam nie ma, nie ma prawa świadczyć usług AIS.

Co stanie się z moim kontem, jeśli aplikacja PSD2 zbankrutuje?

Nic. Aplikacja AISP nie przechowuje Twoich pieniędzy — tylko czyta dane. Bank pozostaje wyłącznym powiernikiem środków. Po stronie aplikacji co najwyżej znika historia kategoryzacji i analityka — same transakcje są nadal w banku. Dla porządku: AISP nie podlega Bankowemu Funduszowi Gwarancyjnemu, bo nie ma czego gwarantować (nie trzyma depozytów).

Kim są ASPSP, AISP i PISP?

ASPSP — bank, który prowadzi Twoje konto i udostępnia API. AISP — dostawca usługi informacji o rachunku (tylko czyta dane, np. Martia przez GoCardless). PISP — dostawca usługi inicjowania płatności, który może zlecić przelew w Twoim imieniu (niektóre fintechy płatnicze). Każdą rolę reguluje osobny artykuł PSD2 i osobne wymagania licencyjne.

Co zmienia PSD3 i kiedy wejdzie w życie?

PSD3 i PSR to nowy pakiet regulacyjny KE — propozycja z czerwca 2023, na etapie negocjacji trójstronnych w 2026. Najważniejsze zmiany: zniesienie wymogu re-autoryzacji co 90 dni, surowsze sankcje dla banków za źle działające API, wyraźniejsze prawa konsumenta przy oszustwach autoryzowanych, mechanizm IBAN-check. Wdrożenie w PL — najwcześniej 2026-2027.

Czy PSD2 obejmuje też SKOK-i i banki spółdzielcze?

Tak. Obowiązek udostępnienia API dotyczy każdej instytucji prowadzącej rachunki płatnicze (PSD2 art. 4 ust. 1). W praktyce jednak jakość i pokrycie API w SKOK-ach i mniejszych bankach spółdzielczych bywa różne — niektóre integracje aplikacji finansowych są tam ograniczone lub niedostępne. Sprawdzenie konkretnej instytucji najlepiej zrobić w samej aplikacji albo na jej liście wspieranych banków.

Źródła i akty prawne

• Parlament Europejski i Rada UE, 2015, Dyrektywa (UE) 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2), EUR-Lex.
• Sejm RP, 2011 (tekst jedn. 2024), Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. 2011 nr 199 poz. 1175, art. 59a-59zh), ISAP.
• Komisja Europejska, 2018, Rozporządzenie delegowane (UE) 2018/389 (RTS dla SCA i CSC), EUR-Lex.
• Komisja Nadzoru Finansowego, Rejestr dostawców usług płatniczych, knf.gov.pl.
• Europejski Urząd Nadzoru Bankowego (EBA), EBA Register of Payment and E-money Institutions, euclid.eba.europa.eu/register.
• Komisja Europejska, czerwiec 2023, propozycja Payment Services Directive 3 (PSD3) i Payment Services Regulation (PSR), finance.ec.europa.eu.
• Związek Banków Polskich, Standard API PolishAPI, polishapi.org.