Open banking (PSD2) – jak sprawdzić, komu dałeś dostęp do konta i jak cofnąć zgody w banku?

02/03/2026 Artykuły

Najważniejsze informacje w skrócie:

  • Open banking w ramach PSD2 pozwala uprawnionej firmie uzyskać dostęp do wybranych danych z rachunku albo zainicjować płatność, ale wyłącznie w zakresie zgody, którą sam potwierdzasz w banku.
  • Jeśli chcesz sprawdzić, komu udzieliłeś dostępu, szukaj w bankowości internetowej lub aplikacji sekcji typu: zgody, dostępy, usługi zewnętrzne, open banking, PSD2.
  • Przy dostępie AIS bank co do zasady stosuje ponowne silne uwierzytelnianie po upływie ponad 180 dni, o ile nie występują uzasadnione przesłanki bezpieczeństwa. Zakres danych nadal obejmuje zwykle saldo i historię transakcji z ostatnich 90 dni.
  • Co zrobić teraz? Otwórz listę aktywnych zgód w banku, usuń te, których nie rozpoznajesz, a firmę weryfikuj przede wszystkim w rejestrze KNF. Przy działalności transgranicznej wykaz EBA traktuj wyłącznie pomocniczo.

Open banking nie daje obcej firmie pełnej kontroli nad Twoim kontem. Daje jej wyłącznie taki dostęp, jaki zatwierdzisz, na określony zakres danych albo na konkretną usługę płatniczą, a zgodę możesz cofnąć.

Problem zaczyna się wtedy, gdy po kilku miesiącach nie pamiętasz, komu nadałeś dostęp. W praktyce dotyczy to aplikacji do agregacji kont, analizy wydatków, weryfikacji dochodów albo płatności inicjowanych bezpośrednio z rachunku. Ten artykuł pokazuje, jak to uporządkować, jak odróżnić zgodę PSD2 od pełnomocnictwa oraz jak reagować, gdy podejrzewasz nadużycie.

Warianty dostępu w otwartej bankowości

Rodzaj dostępuKiedy występujeCo widzi lub robi zewnętrzna firmaJak odwołasz dostępNajwiększe ryzyko
AIS, dostęp do informacji o rachunkuAgregacja kont, analiza wydatków, weryfikacja dochodów, porównanie ofertSaldo, lista rachunków, historia transakcji w zakresie zgodyW banku lub u dostawcy TPP, zwykle natychmiastZbyt szeroki zakres danych utrzymany dłużej niż potrzebujesz
PIS, inicjowanie płatnościPłatność za zakupy lub usługę z poziomu zewnętrznej aplikacjiSkłada dyspozycję przelewu na Twój wniosek, bez przejęcia loginu i hasłaCofnięcie zgody, usunięcie dostępu, reklamacja przy nadużyciuPotwierdzenie płatności bez sprawdzenia odbiorcy i kwoty
CAF, potwierdzenie dostępności środkówModel oparty na karcie, gdy uprawniony podmiot pyta bank rachunku o dostępność środków dla konkretnej kwotyWyłącznie odpowiedź tak albo nie, bez ujawnienia pełnego saldaW banku albo przez podmiot korzystający z tej usługiBrak świadomości, że taka usługa w ogóle występuje w danym modelu płatności

Przykładowa decyzja: jeśli użyłeś aplikacji do połączenia kilku kont w jednym widoku, najczęściej chodzi o AIS. Jeśli płaciłeś z rachunku bez ręcznego przepisywania danych przelewu w banku, zwykle chodzi o PIS.

Czym jest open banking i jakie rodzaje dostępu do konta możesz nadać?

Open banking to model, w którym bank udostępnia zewnętrznemu dostawcy dostęp do rachunku przez bezpieczne API, ale wyłącznie po Twojej zgodzie i w zakresie przewidzianym dla usługi AIS, PIS albo CAF.

W praktyce masz do czynienia z trzema typami usług. AIS daje wgląd do danych o rachunku, PIS pozwala zainicjować płatność, a CAF służy do potwierdzenia dostępności środków dla określonej kwoty w modelu opartym na karcie. Nie jest to pełny dostęp do konta, tylko nadanie konkretnego uprawnienia technicznego.

Czego open banking nie oznacza? Nie oznacza przekazania loginu i hasła, nie jest pełnomocnictwem do rachunku i nie daje zewnętrznej firmie nieograniczonego dostępu do wszystkich danych. Zakres dostępu zależy od tego, co zatwierdzisz na ekranie zgody banku.

Przykład: aplikacja budżetowa łączy 3 konta z różnych banków i pokazuje w jednym miejscu saldo oraz historię operacji. To typowy model AIS. Z kolei płatność za zakup z poziomu sklepu internetowego przez zewnętrzną usługę, bez ręcznego przepisywania przelewu, to zwykle PIS.

Jak działa zgoda, jak długo może obowiązywać i jakie dane widzi zewnętrzna firma?

Zgoda dotyczy wskazanej firmy, wskazanych rachunków i określonego zakresu danych lub czynności. Przy dostępie AIS za pośrednictwem AISP bank co do zasady stosuje ponowne silne uwierzytelnianie po upływie ponad 180 dni od ostatniego dostępu online i ostatniego zastosowania SCA, chyba że wcześniej wystąpią uzasadnione przesłanki bezpieczeństwa.

Zewnętrzna firma nie powinna widzieć Twojego loginu i hasła do banku. Bank przekazuje dane przez interfejs API. Zakres informacji zależy od tego, co zatwierdzisz. Przy AIS chodzi zwykle o saldo, listę rachunków i historię transakcji. W obowiązującym modelu regulacyjnym wyjątek od SCA przy dostępie przez AISP obejmuje co do zasady saldo oraz transakcje z ostatnich 90 dni, ale moment ponownego SCA jest związany z upływem ponad 180 dni.

W praktyce bank lub aplikacja mogą komunikować to jako odnowienie zgody albo ponowną autoryzację. Jeśli aplikacja do analizy wydatków działała u Ciebie kilka miesięcy temu, a dziś prosi o ponowne potwierdzenie, częstą przyczyną jest upływ okresu bezpieczeństwa albo ponowna weryfikacja po stronie banku.

Czytaj ekran zgody przed autoryzacją. Sprawdź nazwę firmy, rachunki objęte dostępem, zakres danych, czas dostępu i cel usługi. To najprostszy sposób, aby nie udzielić zbyt szerokiego uprawnienia.

Jak sprawdzić w banku, komu udzieliłeś zgody na dostęp do konta?

Listy aktywnych zgód szukaj w bankowości internetowej lub aplikacji mobilnej w sekcjach typu: open banking, PSD2, zgody, uprawnienia, dostępy do konta, usługi zewnętrzne.

Bank powinien pokazać nazwę TPP, typ usługi, rachunki objęte zgodą i status dostępu. Układ menu zależy od banku, ale logika jest podobna. Przejdź do ustawień bezpieczeństwa lub zarządzania zgodami, a następnie sprawdź datę nadania zgody, zakres danych oraz możliwość jej wyłączenia.

Jeżeli na liście masz 5 zgód, a korzystasz aktywnie tylko z 1 aplikacji, to oznacza, że 80% dostępów jest zbędnych. Taki przegląd raz na kwartał daje lepszą kontrolę niż reakcja dopiero po incydencie.

Sprawdź nie tylko nazwę podmiotu, ale też zakres zgody. Sama obecność zgody nie oznacza problemu. Problemem jest zgoda, której nie rozpoznajesz albo która obejmuje więcej rachunków, niż zakładałeś.

Jak krok po kroku cofnąć zgody PSD2 i czym to się różni od pełnomocnictwa do rachunku?

Zgodę PSD2 wycofujesz jako dostęp techniczny do usługi, natomiast pełnomocnictwo do rachunku jest odrębnym uprawnieniem prawnym do działania na Twoim koncie i nie znika po usunięciu zgody open banking.

Cofnij zgodę w banku i sprawdź ustawienia po stronie zewnętrznej firmy. W wielu bankach wystarczy kliknięcie „cofnij”, „usuń dostęp” albo „odwołaj zgodę”. Jeżeli dana aplikacja nadal pokazuje konto, wyloguj ją, usuń połączenie i sprawdź ponownie po kilku minutach.

Różnica jest istotna. Zgoda PSD2 dotyczy interfejsu API i konkretnej usługi. Pełnomocnictwo do rachunku dotyczy relacji rachunku z osobą lub firmą uprawnioną do działania w Twoim imieniu. Jeśli ktoś ma pełnomocnictwo, samo usunięcie zgody PSD2 niczego tu nie zmieni.

  1. Zaloguj się do banku i otwórz listę zgód PSD2.
  2. Wybierz konkretny dostęp i sprawdź rachunki oraz zakres.
  3. Cofnij zgodę i potwierdź operację zgodnie z metodą autoryzacji banku.
  4. Sprawdź aplikację TPP i usuń połączenie także po jej stronie.
  5. Zweryfikuj pełnomocnictwa osobno, w sekcji rachunku lub w oddziale.

Jak sprawdzić, czy firma prosząca o dostęp jest legalnym dostawcą TPP?

Legalny dostawca TPP powinien figurować przede wszystkim w oficjalnym rejestrze właściwego organu nadzoru. W Polsce podstawowym punktem weryfikacji jest rejestr KNF, a wykaz EBA ma wyłącznie charakter pomocniczy i nie zastępuje rejestru krajowego.

Nie sprawdzaj tylko logo i nazwy marketingowej. Zweryfikuj pełną nazwę podmiotu, kraj, formę działalności i zakres uprawnienia. KNF prowadzi rejestry podmiotów rynku usług płatniczych, w tym rejestr dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku. Przy podmiotach z innych państw EOG pomocne są również notyfikacje oraz wykazy europejskie, ale mają one znaczenie uzupełniające.

Jeśli firma prosi o dostęp do rachunku, a nie potrafisz jej znaleźć w rejestrze właściwego nadzorcy, przerwij proces. Tak samo postąp, gdy ekran zgody wygląda nietypowo, a adres strony nie prowadzi do właściwej domeny banku. To prosty filtr, który odcina dużą część podszywek.

Brak podmiotu w rejestrze to sygnał stop. Nie zatwierdzaj dostępu, dopóki nie potwierdzisz statusu firmy w oficjalnym wykazie właściwego nadzorcy.

Jakie ryzyka wiążą się z open bankingiem i na co uważać w praktyce?

Największe ryzyko nie polega zwykle na samym mechanizmie PSD2, tylko na tym, że użytkownik zatwierdza zbyt szeroki dostęp, nie czyta ekranu zgody albo trafia na fałszywą stronę.

Mechanizm API jest regulowany i powiązany z silnym uwierzytelnianiem, ale to nie zwalnia z ostrożności. Czerwona flaga pojawia się wtedy, gdy ktoś prosi Cię o login, hasło, kod SMS albo o instalację „pomocnej” aplikacji do obsługi zgody. Certyfikowany TPP powinien korzystać ze ścieżki bankowej, a nie zbierać Twoich danych dostępowych.

Sygnały ostrzegawcze:

  • prośba o login lub hasło do bankowości,
  • prośba o kod SMS poza standardową autoryzacją banku,
  • nietypowy adres strony, który nie prowadzi do właściwej domeny banku,
  • brak podmiotu w rejestrze KNF albo brak możliwości potwierdzenia jego statusu.

Ryzykiem jest też bałagan. Jedna aplikacja do budżetu, druga do płatności, trzecia do weryfikacji dochodu, po roku robi się z tego zestaw zgód, nad którym trudno zapanować. Im większa liczba aktywnych połączeń, tym trudniej szybko wykryć, że jedno z nich nie jest już potrzebne.

Praktyczny przykład: jeśli aplikacja do budżetu domowego ma analizować wyłącznie codzienne wydatki, wystarczy podłączyć 1 rachunek osobisty. Nie ma sensu dodawać konta oszczędnościowego, wspólnego i firmowego, jeżeli ta usługa tego nie wymaga.

Co zrobić, gdy podejrzewasz nadużycie dostępu?

Gdy widzisz nieznaną zgodę, nieoczekiwane odświeżanie danych albo płatność, której nie rozpoznajesz, odetnij dostęp, zabezpiecz historię zdarzeń i wybierz właściwą ścieżkę: reklamacja do banku, reklamacja do TPP, spór konsumencki, zgłoszenie nieprawidłowości lub zawiadomienie organów ścigania.

Nieznana zgoda i nieautoryzowana transakcja to nie to samo. Sama obecność obcej zgody oznacza problem bezpieczeństwa i wymaga wyjaśnienia. Nieautoryzowana płatność oznacza dodatkowo ryzyko szkody finansowej i wymaga pilnej reklamacji oraz zabezpieczenia dowodów.

Najpierw odetnij dostęp, potem zabezpiecz dowody, a następnie złóż reklamację. Usuń zgodę PSD2, zmień hasło do bankowości, sprawdź urządzenia zaufane i historię logowań, a następnie pobierz potwierdzenia operacji. Jeżeli doszło do działania poza zakresem zgody albo bez zgody, złóż reklamację do banku i do TPP, o ile znasz podmiot obsługujący usługę.

SytuacjaGdzie zgłosićPo co
Nieznana zgoda, podejrzane użycie danych, niejasna płatnośćBank i TPPReklamacja, ustalenie zakresu zdarzenia, odcięcie dostępu
Spór z instytucją finansową po reklamacjiRzecznik Finansowy, rzecznik konsumentówPomoc w sporze indywidualnym
Sygnał o nieprawidłowościach systemowych lub naruszeniach na rynku finansowymKNFPrzekazanie informacji nadzorcy
Oszustwo, strata majątkowa, podszycie, przestępstwoPolicja lub prokuraturaŚcieżka karna i zabezpieczenie dowodów
Nie odkładaj reakcji. W sprawach dostępu do rachunku liczy się szybkie odcięcie połączenia i zachowanie potwierdzeń ekranów, nazw podmiotów oraz dat autoryzacji.

Jak uporządkować zgody i ograniczyć dostęp tylko do potrzebnych usług?

Najbezpieczniejszy model to regularny przegląd zgód, pozostawienie tylko tych aktywnie używanych oraz ograniczenie ich do konkretnego rachunku i konkretnego celu.

Potraktuj zgody jak listę uprawnień aplikacji w telefonie. Raz na kwartał sprawdź, które połączenia mają sens. Jeśli korzystasz z jednej aplikacji do budżetu domowego, nie potrzebujesz równoległego dostępu dla kilku innych narzędzi, których już nie używasz.

Dobry porządek wygląda tak: jedna aplikacja, jeden cel, jeden rachunek, możliwie wąski zakres. Jeśli masz 4 rachunki, a aplikacja służy wyłącznie do analizy wydatków osobistych, podłącz 1 rachunek osobisty, a nie konto firmowe, oszczędnościowe i wspólne.

Usuwaj stare zgody po zakończeniu celu, dla którego zostały nadane. To szczególnie ważne przy jednorazowej weryfikacji dochodu, porównaniu ofert albo procesie wnioskowym.

Praktyczny scenariusz: jeśli korzystałeś z usługi weryfikacji dochodu przy wniosku o finansowanie, po zakończeniu procesu sprawdź, czy dostęp nadal jest aktywny. Taka zgoda często była potrzebna jednorazowo i nie ma sensu jej utrzymywać dłużej niż to konieczne.

Jak open banking łączy się z silnym uwierzytelnianiem, logowaniem i limitami bezpieczeństwa?

Open banking działa razem z silnym uwierzytelnianiem klienta, dlatego dostęp do danych i inicjowanie płatności są powiązane z dodatkowymi potwierdzeniami, a poziom ryzyka obniżysz jeszcze bardziej przez rozsądne limity i ochronę samego logowania.

Samo cofnięcie zgody nie zastępuje higieny bezpieczeństwa. Nadal musisz chronić skrzynkę e-mail, numer telefonu do autoryzacji, hasło do banku i urządzenie mobilne. Przy PIS sens mają też limity przelewów i szybkie alerty o operacjach. Dzięki temu nawet błędnie potwierdzona dyspozycja ma mniejszą skalę szkody.

Jeśli dzienny limit przelewów ustawisz na 2 000 zł zamiast 20 000 zł, potencjalna strata spada dziesięciokrotnie. To nie eliminuje problemu, ale ogranicza jego rozmiar. Bezpieczeństwo rachunku najlepiej działa warstwowo: zgody, limity, alerty, kontrola logowania i regularny przegląd urządzeń.

Checklista, co zrobić krok po kroku

  1. Wejdź do sekcji zgód PSD2 i spisz wszystkie aktywne dostępy.
  2. Sprawdź nazwę każdego TPP w rejestrze KNF, a przy podmiocie zagranicznym pomocniczo także w wykazie EBA.
  3. Usuń zbędne zgody, szczególnie te, których nie kojarzysz lub już nie używasz.
  4. Zweryfikuj zakres, czy dana aplikacja ma dostęp tylko do potrzebnych rachunków i danych.
  5. Ustaw przegląd cykliczny, najlepiej raz na kwartał, razem z kontrolą haseł, urządzeń i limitów.
  6. Przy dostępie AIS pamiętaj, że ponowne SCA po stronie banku co do zasady wiąże się obecnie z upływem ponad 180 dni, a nie 90 dni.

Słowniczek pojęć

AIS
Usługa dostępu do informacji o rachunku. Pozwala zobaczyć saldo, listę rachunków i historię operacji w zakresie objętym zgodą.
Ang.: Account Information Service

PIS
Usługa inicjowania transakcji płatniczej. Zewnętrzna firma, na Twój wniosek, składa dyspozycję płatności z rachunku.
Ang.: Payment Initiation Service

CAF
Usługa potwierdzenia dostępności środków dla określonej kwoty. Sprowadza się do odpowiedzi tak albo nie, bez ujawniania pełnego salda rachunku.
Ang.: Confirmation of the Availability of Funds

TPP
Zewnętrzny dostawca usług korzystający z otwartej bankowości, uprawniony do świadczenia usług AIS, PIS albo CAF zgodnie z przepisami.
Ang.: Third Party Provider

SCA
Silne uwierzytelnianie klienta. To dodatkowe potwierdzenie tożsamości przy logowaniu lub autoryzacji, np. przez aplikację, PIN, biometrię albo kod SMS.
Ang.: Strong Customer Authentication

FAQ, najczęściej zadawane pytania

Jak sprawdzić, czy mam aktywne zgody PSD2 w banku?

Taką listę znajdziesz zwykle w bankowości internetowej lub aplikacji w sekcji dotyczącej zgód, open banking, PSD2 albo usług zewnętrznych. Bank pokazuje tam nazwę TPP, zakres i status dostępu.

Czy cofnięcie zgody PSD2 usuwa też pełnomocnictwo do rachunku?

Nie. Zgoda PSD2 i pełnomocnictwo do rachunku to dwa różne mechanizmy. Pełnomocnictwo trzeba odwołać osobno zgodnie z zasadami banku.

Na jak długo udziela się zgody na dostęp do historii konta w open banking?

Zgoda zależy od modelu usługi i banku, ale przy dostępie AIS ponowne silne uwierzytelnianie co do zasady wiąże się obecnie z upływem ponad 180 dni. Zakres danych nadal obejmuje zwykle saldo i historię transakcji z ostatnich 90 dni.

Czy zewnętrzna firma w ramach open banking widzi mój login i hasło do banku?

Nie powinna. Certyfikowany TPP korzysta z bezpiecznego interfejsu API, a nie z Twoich danych logowania do bankowości elektronicznej.

Gdzie sprawdzić, czy firma prosząca o dostęp do konta jest legalna?

Najpierw sprawdź ją w rejestrze KNF albo w rejestrze właściwego nadzorcy. Przy działalności transgranicznej wykaz EBA możesz potraktować pomocniczo, ale nie zastępuje on rejestru krajowego.

Czy potwierdzenie dostępności środków oznacza, że firma widzi saldo konta?

Nie. W modelu CAF przekazywana jest odpowiedź tak albo nie dla określonej kwoty, bez ujawniania pełnego salda rachunku.

Co zrobić, gdy nie kojarzę zgody albo widzę podejrzaną płatność?

Najpierw odetnij dostęp i zabezpiecz historię operacji, a potem złóż reklamację do banku i do TPP. Przy sporze indywidualnym pomocny będzie Rzecznik Finansowy, a przy oszustwie policja lub prokuratura.

Źródła i podstawa prawna

Dane i zasady opisane w artykule aktualne na dzień: 11/03/2026 r.

Stan prawny i stan źródeł zweryfikowano: 11/03/2026 r.

Jak czytać przykłady: przykłady liczbowe pokazują mechanikę ryzyka i organizacji dostępu. Nie są symulacją konkretnej oferty bankowej ani indywidualnej sytuacji użytkownika.

Co możesz zrobić po przeczytaniu tego artykułu?

  • Otwórz w banku listę zgód i sprawdź, kto ma dziś dostęp do Twojego rachunku.
  • Usuń wszystkie nieużywane połączenia i zostaw wyłącznie te, które realnie służą Ci na co dzień.
  • Ustaw cykliczny przegląd, aby otwarta bankowość działała na Twoich zasadach, a nie bez kontroli.

Aktualizacja artykułu: 11 marca 2026 r.
Autor: Jacek Grudniewski

Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Artykuł ma charakter informacyjny i nie stanowi porady finansowej, prawnej ani inwestycyjnej. Decyzje podejmujesz na własną odpowiedzialność. Treść nie uwzględnia Twojej indywidualnej sytuacji, dlatego przed działaniem skonsultuj się ze specjalistą. Nie gwarantuję pełnej aktualności i kompletności informacji ani nie odpowiadam za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne bez dodatkowego kosztu dla Ciebie.

Powiązane posty

O Autorze

Jacek Grudniewski

Jacek Grudniewski - ekonomista, audytor, współtwórca porównywarek i blogów finansowych, były przedstawiciel ubezpieczeniowo-finansowy i konsultant kredytów hipotecznych online. Obecnie bloger o specjalizacji: bankowość, AML, Cybersec.

Zostaw komentarz