- PSD3 i PSR nie obowiązują jeszcze w UE, a więc także w Polsce. Pakiet jest po prowizorycznym porozumieniu politycznym między Radą UE i Parlamentem Europejskim z 27/11/2025 r., ale nie jest jeszcze finalnie stosowanym prawem.
- Kierunek zmian jest potwierdzony: szersza ochrona klienta przy oszustwach opartych na podszywaniu się, mocniejsze obowiązki antyfraudowe po stronie dostawców usług płatniczych oraz weryfikacja odbiorcy przelewu.
- Dziś nadal obowiązują obecne zasady reklamacji nieautoryzowanych transakcji. Największy spór pojawia się wtedy, gdy klient sam zatwierdził przelew po manipulacji oszusta.
- Co robić już teraz? Rozłącz podejrzaną rozmowę, zadzwoń do banku na oficjalny numer, ustaw alerty i limity, a po oszustwie zgłaszaj sprawę równolegle do banku i na policję.
PSD3 i PSR to projektowana reforma unijnych przepisów o płatnościach, która ma lepiej chronić klienta przed oszustwami, zwłaszcza wtedy, gdy przestępca podszywa się pod bank, operatora płatności lub inną zaufaną instytucję.
Dziś konsument korzysta głównie z ochrony wynikającej z ustawy o usługach płatniczych i zasad reklamacji nieautoryzowanych transakcji. Problem zaczyna się wtedy, gdy bank twierdzi, że przelew był autoryzowany, bo klient sam zatwierdził operację po manipulacji. Właśnie ten obszar pakiet PSD3 i PSR ma doprecyzować, ale do czasu publikacji finalnych aktów i zakończenia wdrożenia nie należy traktować opisanych niżej mechanizmów jako już obowiązującego prawa.
Warianty rozwiązań w skrócie – co zmienia się dla klienta?
| Obszar | Stan obecny | Kierunek PSD3 i PSR | Co to oznacza dla klienta | Ryzyko, jeśli zignorujesz temat |
|---|---|---|---|---|
| Przelew po manipulacji klientem | Częsty spór o to, czy transakcja była nieautoryzowana, skoro klient sam ją zatwierdził | Uzgodniony politycznie kierunek reformy przewiduje szerszą ochronę przy oszustwach polegających na podszywaniu się pod bank lub inną zaufaną instytucję | Po wejściu przepisów większa szansa na odzyskanie środków po spełnieniu warunków zgłoszenia | Utrata pieniędzy mimo szybkiej reakcji i poprawnego zgłoszenia |
| Weryfikacja odbiorcy przelewu | Brak jednolitego mechanizmu dla każdego zwykłego przelewu krajowego | Sprawdzenie zgodności rachunku z nazwą odbiorcy przed wysłaniem pieniędzy | Dodatkowe ostrzeżenie przed przelewem na rachunek podstawiony przez oszusta | Przelew na konto przestępcy mimo poprawnie wpisanego numeru |
| Monitoring fraudów | Obowiązki istnieją, ale praktyka i zakres narzędzi są nierówne | Szersza analiza transakcji, logowań, urządzeń i wzorców zachowań oraz wymiana informacji o fraudach | Więcej podejrzanych operacji zatrzymanych przed wysyłką środków | Brak wczesnej blokady i szybkiego wykrycia oszustwa |
Praktyczny wniosek: nowe przepisy mają poprawić ochronę systemową, ale nie zastąpią podstawowej zasady bezpieczeństwa: gdy ktoś każe Ci wykonać pilny przelew „dla ochrony pieniędzy”, kończysz rozmowę i sam kontaktujesz się z bankiem.
Czym są PSD3 i PSR i na jakim etapie są dziś prace nad tym pakietem?
Najważniejsze dla czytelnika jest dziś to, że pakiet nie obowiązuje jeszcze jako pełne, stosowane prawo. Prace są zaawansowane, ale nadal trzeba odróżniać stan obecny od kierunku reformy. Po stronie unijnej doszło do prowizorycznego porozumienia politycznego między Radą UE i Parlamentem Europejskim 27/11/2025 r., co oznacza wysoki stopień zaawansowania procesu, ale nie kończy jeszcze całej ścieżki legislacyjnej i wdrożeniowej.
Powód reformy jest praktyczny. PSD2 uporządkowała wiele kwestii technicznych i otworzyła rynek na nowe usługi płatnicze, ale nie rozwiązała dobrze problemu oszustw opartych na socjotechnice. Największa luka pojawia się wtedy, gdy klient działa pod presją i sam zatwierdza przelew po telefonie od osoby podszywającej się pod bank.
Dla użytkownika oznacza to jedno: opis PSD3 i PSR musi wyraźnie rozdzielać to, co już dziś wynika z ustawy o usługach płatniczych, od tego, co dopiero ma wejść po zakończeniu prac unijnych i okresu przejściowego.
Co obowiązuje dziś, a co dopiero ma wejść po PSD3 i PSR?
| Obszar | Dziś | Po wejściu pakietu |
|---|---|---|
| Zwrot po nieautoryzowanej transakcji | Obowiązuje zasada zwrotu najpóźniej do końca następnego dnia roboczego po zgłoszeniu, co do zasady przy nieautoryzowanej transakcji | Zasada pozostanie ważna, a pakiet ma lepiej opisać sytuacje graniczne związane z oszustwem i autoryzacją wymuszoną manipulacją |
| Przelew po telefonie od oszusta | Częsty spór, bo bank twierdzi, że klient sam autoryzował przelew | Uzgodniony politycznie kierunek reformy przewiduje szerszą ochronę przy impersonation fraud po spełnieniu warunków zgłoszenia |
| Sprawdzanie odbiorcy | Brak jednolitego, powszechnego mechanizmu dla zwykłych przelewów | Weryfikacja zgodności danych odbiorcy z rachunkiem przed wysłaniem środków |
To rozróżnienie jest bardzo ważne. Uproszczenie, że „UE nakaże bankom oddawać pieniądze za każdy spoofing”, byłoby nieprecyzyjne. Rzetelny opis powinien wskazywać, że pakiet idzie w stronę szerszej odpowiedzialności dostawców, ale finalny zakres ochrony zależy od ostatecznego brzmienia aktów, wyjątków i warunków proceduralnych.
Na dziś czytelnik powinien przyjąć prostą zasadę: projektowana reforma jest ważna, ale bieżące działania po oszustwie trzeba opierać na obecnych przepisach, regulaminach banku i szybkiej procedurze reklamacyjnej.
Jakie zmiany w ochronie klienta przed oszustwami przewidują PSD3 i PSR?
W materiałach Komisji Europejskiej i późniejszych komunikatach instytucjonalnych wyraźnie widać trzy filary reformy: lepszą ochronę przy impersonation fraud, weryfikację odbiorcy przelewu oraz mocniejsze narzędzia antyfraudowe po stronie banków i innych dostawców usług płatniczych. Chodzi o takie sytuacje jak telefon od „pracownika banku”, wiadomość o „ataku na konto” czy fałszywe polecenie pilnego przelewu na rzekomo bezpieczny rachunek.
To nie jest problem teoretyczny. Dane NBP pokazują, że oszustwa przy użyciu polecenia przelewu mają nadal niewielki udział w całej liczbie i wartości przelewów, ale są szczególnie dotkliwe finansowo. W I półroczu 2025 r. średnia wartość jednego oszukańczego przelewu wyniosła 8 002,3 zł, a w II kw. 2025 r. transakcje oparte na zmanipulowaniu płatnika stanowiły 82,0% wartości wszystkich oszustw poleceniem przelewu.
Z punktu widzenia klienta najważniejsza jest nie sama liczba zdarzeń, ale to, że pojedyncze oszustwo może oznaczać utratę kilku, kilkunastu albo kilkudziesięciu tysięcy złotych. Właśnie dlatego UE przesuwa środek ciężkości z czysto formalnej autoryzacji na ocenę całego mechanizmu oszustwa.
Na czym ma polegać odpowiedzialność banku za oszustwa polegające na podszywaniu się?
To najważniejszy i zarazem najbardziej wrażliwy element całego pakietu. Nie wolno go opisywać jak obowiązującego już przepisu, bo finalne brzmienie regulacji nadal zależy od zakończenia procesu legislacyjnego. Rzetelna wersja jest taka: projekt i późniejsze porozumienie polityczne idą w kierunku szerszej refundacji przy impersonation fraud, czyli wtedy, gdy klient wykonał przelew po manipulacji osoby podszywającej się pod bank lub inny zaufany podmiot.
W praktyce chodzi o zmianę logiki sporu. Dziś bank często odpowiada: „przelew był autoryzowany, więc nie jest nieautoryzowany”. Po reformie sam fakt wpisania kodu czy zatwierdzenia operacji nie ma automatycznie kończyć sprawy, jeżeli klient działał pod wpływem oszustwa polegającego na podszywaniu się.
Trzeba jednak zachować precyzję. Nie jest to obietnica, że każda sprawa zakończy się refundacją bez analizy dowodów. Nadal znaczenie będą miały: rodzaj oszustwa, sposób zgłoszenia, moment zgłoszenia i to, czy sprawa rzeczywiście mieści się w zakresie ochrony przewidzianej przez finalne przepisy.
Jakie nowe obowiązki antyfraudowe mają dostać banki i inni dostawcy usług płatniczych?
To jest zmiana systemowa, bo ciężar ochrony ma działać przed przelewem, a nie dopiero po stracie. Z publicznych materiałów dotyczących pakietu wynika, że dostawcy usług płatniczych mają dostać mocniejsze podstawy do wykrywania podejrzanych zachowań, w tym nietypowych logowań, nowych urządzeń, nagłych zmian zachowania użytkownika czy ryzykownych przelewów do nowych odbiorców.
W praktyce taki system powinien zareagować, gdy kilka sygnałów występuje jednocześnie: nowe urządzenie, nietypowa pora, pierwszy przelew na nowy rachunek, wysoka kwota i zachowanie użytkownika pasujące do sytuacji wymuszonej presją. Im lepszy model wykrywania, tym większa szansa, że przelew zostanie zatrzymany albo dodatkowo zweryfikowany przed wysyłką środków.
To nie znaczy, że klient przestaje odpowiadać za ostrożność. Nowe obowiązki dostawców mają działać równolegle z ostrożnością klienta, a nie zamiast niej. Dodatkowo pełny zakres narzędzi antyfraudowych musi mieścić się w ramach finalnie przyjętych podstaw prawnych i zasad ochrony danych.
Jak ma działać weryfikacja odbiorcy przelewu i czego nie rozwiąże?
W uproszczeniu jest to odpowiednik rozwiązania znanego jako verification of payee. System ma porównywać identyfikator rachunku z nazwą odbiorcy i ostrzegać klienta, gdy dane nie pasują do siebie. To ma duże znaczenie przy oszustwach fakturowych, podmianie rachunku w e-mailu albo przy przelewie do nowego odbiorcy, którego klient wcześniej nie używał.
Przykład jest prosty. Chcesz przelać 4 800 zł do firmy remontowej, ale rachunek należy do innej osoby lub innego podmiotu. Dobrze zaprojektowana weryfikacja powinna wyświetlić ostrzeżenie jeszcze przed autoryzacją. To ogranicza ryzyko pomyłki i fraudu, ale nie daje pełnej gwarancji bezpieczeństwa.
Ten mechanizm nie rozwiąże wszystkiego. Jeżeli oszust przekona Cię, że masz wysłać pieniądze na „rachunek techniczny banku”, samo dopasowanie nazwy i rachunku nie zawsze zatrzyma stratę. Z tego powodu weryfikacja odbiorcy ma być jednym z elementów ochrony, a nie jedyną barierą bezpieczeństwa.
| Sytuacja | Co daje weryfikacja odbiorcy | Czego nie gwarantuje |
|---|---|---|
| Fałszywa faktura z podmienionym rachunkiem | Ostrzeżenie o niezgodności nazwy i rachunku | Nie cofnie przelewu wykonanego mimo ostrzeżenia |
| Pierwszy przelew do nowego odbiorcy | Dodatkowy sygnał bezpieczeństwa przed autoryzacją | Nie zastąpi sprawdzenia sensu całej transakcji |
| Telefon od „banku” i presja na pilny przelew | Może być dodatkowym sygnałem alarmowym | Nie usunie ryzyka manipulacji psychologicznej |
Jak PSD3 i PSR mają uporządkować silne uwierzytelnianie i komunikację z klientem?
SCA, czyli strong customer authentication, oznacza potwierdzenie operacji przy użyciu co najmniej dwóch elementów należących do różnych kategorii, na przykład hasła, urządzenia i cechy biometrycznej. Problem praktyczny polega na tym, że klient może poprawnie przejść całą procedurę techniczną, a mimo to paść ofiarą oszustwa, bo został wprowadzony w błąd co do celu transakcji.
Pakiet PSD3 i PSR ma uporządkować nie tylko samą autoryzację, ale też sposób komunikacji z klientem. Z publicznych materiałów wynika kierunek, w którym klient ma mieć co najmniej jeden środek uwierzytelniania dostępny i adekwatny do jego potrzeb, co ma znaczenie zwłaszcza dla osób starszych i osób zagrożonych wykluczeniem cyfrowym.
Najważniejszy wniosek praktyczny jest prosty: bezpieczna autoryzacja to nie tylko techniczne „kliknięcie zatwierdź”, ale też jasna informacja o tym, co dokładnie klient potwierdza, komu wysyła środki i na jaką kwotę. Im bardziej czytelny ekran autoryzacji, tym trudniej oszustowi ukryć prawdziwy cel przelewu.
Jak dziś wyglądają reklamacje i gdzie kończy się obecna ochrona klienta?
To jest fundament obecnej ochrony i jednocześnie miejsce, w którym pojawia się najwięcej nieporozumień. Ustawa o usługach płatniczych dobrze opisuje klasyczną nieautoryzowaną transakcję. Problem zaczyna się wtedy, gdy klient sam zatwierdził przelew po telefonie od oszusta. Bank może wtedy twierdzić, że transakcja była autoryzowana, mimo że klient działał pod wpływem podszywania się i presji.
W praktyce spór dotyczy nie tylko tego, czy klient „kliknął”, ale też tego, czy bank ma podstawy, by twierdzić, że klient dopuścił się rażącego niedbalstwa albo że dana sytuacja nie mieści się w kategorii nieautoryzowanej transakcji. Właśnie ten obszar pakiet PSD3 i PSR ma zawęzić, ale dziś trzeba działać w oparciu o obowiązujące przepisy i praktykę reklamacyjną.
Jeżeli przelałeś 12 000 zł po rozmowie z oszustem, każda godzina ma znaczenie. Liczy się szybkie zgłoszenie, próba zatrzymania środków po stronie banku odbiorcy, zabezpieczenie dowodów i formalne zawiadomienie organów ścigania. Im szybciej uruchomisz procedury, tym większa szansa, że część środków zostanie zablokowana, zanim zniknie dalej.
Jak przygotować się już teraz, zanim nowe przepisy zaczną obowiązywać?
Po pierwsze, zapisz oficjalny numer banku i korzystaj wyłącznie z numeru wybranego samodzielnie. Po drugie, włącz powiadomienia o logowaniach, dodaniu odbiorcy i przelewach. Po trzecie, ustaw limity dla wysokich kwot i nowych odbiorców. Te trzy działania nie wymagają żadnej zmiany prawa, a realnie ograniczają skalę strat.
Po czwarte, przyjmij prostą zasadę: bank nie każe Ci ratować pieniędzy przelewem na „konto techniczne”, „konto bezpieczeństwa” ani „rachunek kontrolny”. Każdy taki komunikat powinien uruchomić alarm. Po piąte, czytaj ekran autoryzacji. To jest moment, w którym możesz jeszcze zauważyć niezgodność kwoty, odbiorcy albo celu transakcji.
Na dzień 11/03/2026 r. nie ma jeszcze ostatecznej daty stosowania nowych zasad. Jeżeli pakiet zostanie formalnie przyjęty zgodnie z obecnym kierunkiem prac, część zmian może zacząć działać dopiero po okresie przejściowym liczonym od wejścia aktów w życie. Do tego czasu najskuteczniejszą ochroną pozostaje połączenie czujności klienta, szybkiego zgłoszenia i sprawnych procedur banku.
Checklista: co zrobić krok po kroku
- Zapisz oficjalny numer banku i oddzwaniaj wyłącznie na numer wybrany samodzielnie.
- Włącz powiadomienia push i SMS o logowaniu, dodaniu odbiorcy i przelewie.
- Ustaw limity przelewów, zwłaszcza dla nowych odbiorców i wysokich kwot.
- Przed autoryzacją czytaj ekran potwierdzenia, sprawdź kwotę, rachunek i nazwę odbiorcy.
- Po podejrzanym telefonie rozłącz się i zweryfikuj sprawę z bankiem od nowa.
- Po oszustwie działaj w ciągu pierwszych minut: zablokuj dostęp, złóż reklamację i poproś o próbę zatrzymania środków.
- Złóż zawiadomienie na policji i zachowaj potwierdzenie zgłoszenia.
- Zabezpiecz dowody: zrzuty ekranu, historię połączeń, SMS-y, e-maile i potwierdzenie przelewu.
Słowniczek pojęć
FAQ: najczęściej zadawane pytania
Czy PSD3 i PSR już obowiązują w Polsce?
Nie. Pakiet jest po prowizorycznym porozumieniu politycznym na poziomie UE, ale nie obowiązuje jeszcze jako pełne, stosowane prawo.
Czy bank odda pieniądze, jeśli sam zatwierdziłem przelew po telefonie od oszusta?
Dziś to częsty przedmiot sporu. Uzgodniony politycznie kierunek PSD3 i PSR przewiduje szerszą ochronę przy oszustwach polegających na podszywaniu się, ale pełny zakres będzie wynikał z ostatecznego tekstu przepisów i nie obowiązuje jeszcze w praktyce.
Czy nowe przepisy mają wprowadzić sprawdzanie, do kogo należy rachunek odbiorcy?
Taki jest kierunek reformy. Chodzi o weryfikację zgodności danych odbiorcy z rachunkiem przed wykonaniem przelewu.
Czy po oszustwie trzeba zgłosić sprawę także na policję?
Tak. Trzeba to zrobić niezwłocznie, równolegle ze zgłoszeniem do banku. Przy projektowanych zasadach ma to mieć znaczenie także dla ochrony przy oszustwach polegających na podszywaniu się.
Czy PSD3 i PSR obejmą tylko banki?
Nie. Nowe ramy mają obejmować szerzej dostawców usług płatniczych, a nie wyłącznie banki.
Jak szybko dziś bank powinien zwrócić środki po zgłoszeniu nieautoryzowanej transakcji?
Co do zasady najpóźniej do końca następnego dnia roboczego po zgłoszeniu. Spory dotyczą zwykle sytuacji, gdy bank uznaje przelew za autoryzowany albo zarzuca klientowi rażące niedbalstwo.
Kiedy nowe przepisy o płatnościach i ochronie przed oszustwami mogą zacząć obowiązywać?
Na 11/03/2026 r. nie ma jeszcze ostatecznej daty stosowania nowych zasad. Termin zależy od zakończenia procesu legislacyjnego i okresów przejściowych przewidzianych w finalnych aktach.
Źródła i podstawa prawna
- Rada UE, komunikat o porozumieniu politycznym ws. payment services, 27/11/2025 r.
- Parlament Europejski, informacja o uzgodnionych zmianach dotyczących ochrony przed fraudami, 25/11/2025 r.
- Komisja Europejska, revised rules on payment services – questions and answers, 28/06/2023 r.
- Narodowy Bank Polski, informacja o transakcjach oszukańczych w II kwartale 2025 r., 2025 r.
- Narodowy Bank Polski, ocena funkcjonowania polskiego systemu płatniczego w I półroczu 2025 r., 01/11/2025 r.
- ISAP, ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, tekst jednolity.
Dane liczbowe i status prac aktualne na dzień: 11/03/2026 r.
Ważne doprecyzowanie: artykuł opisuje zarówno obowiązujące dziś zasady, jak i potwierdzony kierunek reformy PSD3 i PSR. Tam, gdzie finalny tekst aktów nie został jeszcze definitywnie zamknięty albo nie rozpoczęto jeszcze stosowania nowych zasad, wskazano to wprost.
Jak czytać przykłady kwotowe: przykłady typu 4 800 zł lub 12 000 zł pokazują mechanikę ryzyka i procedury po oszustwie. Nie są ofertą banku ani wyliczeniem kosztu kredytu.
Co możesz zrobić po przeczytaniu tego artykułu?
- Sprawdź w swoim banku, jak zgłasza się nieautoryzowaną transakcję i gdzie działa całodobowa infolinia bezpieczeństwa.
- Ustaw limity przelewów, alerty i dodatkowe zabezpieczenia dla nowych odbiorców.
- Przyjmij jedną prostą zasadę: po każdym telefonie z „banku” kończysz rozmowę i sam oddzwaniasz na oficjalny numer.
Aktualizacja artykułu: 11 marca 2026 r.
Autor: Jacek Grudniewski
Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/
Artykuł ma charakter informacyjny i nie stanowi porady finansowej, prawnej ani inwestycyjnej. Decyzje podejmujesz na własną odpowiedzialność. Treść nie uwzględnia Twojej indywidualnej sytuacji, dlatego przed działaniem skonsultuj się ze specjalistą. Nie gwarantuję pełnej aktualności i kompletności informacji ani nie odpowiadam za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne bez dodatkowego kosztu dla Ciebie.
