6 dni temu
13
Reklama 3 tysiące złotych na miesiąc.
Przestępcy podszyli się pod bank i wyłudzili pieniądze? Taki scenariusz już nie jest rzadki, a rozwój technologii deepfake sprawi, że będzie jeszcze groźniejszy. Nowa wersja unijnych regulacji przewiduje jednak, że płatnik zyska w takich przypadkach szczególną ochronę.
PSD – te trzy litery poznali klienci banków przy okazji wprowadzenia przed kilkoma laty nowych zasad potwierdzania transakcji. To jedna z nielicznych unijnych dyrektyw, o której można powiedzieć, że otarła się o „masową rozpoznawalność”. Jest ona fundamentem regulacji usług płatniczych w UE, a wkrótce doczeka się trzeciej wersji.
Tym razem do PSD3 trafią przede wszystkim zapisy dotyczące podmiotów aktywnych na rynku, a najważniejsze dla konsumentów zasady ujęto w innym dokumencie – PSR (Payment Services Regulation). Razem tworzą one pakiet, który właśnie nabiera kształtów. W czerwcu 2025 r. nową wersję zaprezentowała Rada UE. Znalazło się w niej kilka zmian w porównaniu z prezentowaną na łamach Bankier.pl „paczką” z 2023 r. Oto wybrane z nich.
Oszust-impersonator? Będzie zwrot transakcji
Rada UE zaproponowała istotną zmianę w zasadach postępowania w przypadku tzw. impresonation fraud. Mowa tu o sytuacjach, w których płatnik zostaje poddany manipulacji przez przestępców udających dostawcę usług płatniczych. Rozszerzono opis takich scenariuszy, wskazując szeroko na „trzecią stronę udającą dostawcę usług płatniczych przez kanały komunikacji przypisane temu dostawcy”. Mieściłoby się w tym zatem nie tylko podszycie pod pracownika, ale także np. pod serwis bankowości internetowej.
Jeśli efektem takiej perswazji jest transakcja (jak np. w oszustwach „na pracownika banku”), firma ma obowiązek w ciągu 15 dni roboczych zwrócić środki klientowi.
Przewidziano jednak kilka warunków, od których uzależniona jest rozszerzona ochrona. Jeśli klient zorientował się, że padł ofiarą oszustwa i bezzwłocznie poinformował o tym dostawcę usług płatniczych, dostarczył wszelkie istotne informacje, jakie może posiadać o incydencie, jak również zgłosił sprawę na policję.
Dostawcom usług płatniczych pozostawia się opcję odmowy wypłacenia środków, ale muszą do istnieć solidne podstawy do podejrzewania próby wprowadzenia w błąd lub „rażącej niedbałości”. Konsument powinien także otrzymać wówczas uzasadnienie wraz z informacją o opcjach dalszego dochodzenia swoich praw.
Autoryzowana transakcja, czyli jaka?
Jednym z punktów na mapie sporów na linii konsumenci-banki w Polsce pozostają kwestie tzw. nieautoryzowanych transakcji płatniczych. Problemowi przyglądał się m.in. UOKiK. W nowej wersji projektu PSR dodano fragment, który zapewne zaniepokoi banki twierdzące, że polskie prawo jest pod tym względem nadmiernie restrykcyjne.
„Transakcji płatniczej nie uznaje się za autoryzowaną, jeżeli transakcja została zainicjowana lub zmieniona przez osobę trzecią, która działa bez zgody użytkownika usług płatniczych, w tym przy użyciu osobistych danych uwierzytelniających użytkownika usług płatniczych uzyskanych w sposób noszący znamiona oszustwa” – tak brzmi w (niefachowym) tłumaczeniu nowy element prawnej „układanki”.
Dodatkowo, doprecyzowano przesłanki uznania transakcji za autoryzowaną, gdy płatnik kwestionuje okoliczności jej zlecenia. “(…) fakt, że transakcja płatnicza została uwierzytelniona, w tym, w stosownych przypadkach, za pomocą silnego uwierzytelnienia klienta, prawidłowo zarejestrowana, zapisana na rachunkach i niedotknięta awarią techniczną lub inną wadą świadczonej usługi, sam w sobie nie musi być wystarczający do udowodnienia, że transakcja płatnicza została autoryzowana przez płatnika lub że płatnik działał w nieuczciwych zamiarach, lub umyślnie, lub w wyniku rażącego zaniedbania nie wypełnił co najmniej jednego z obowiązków (…)”.
Brzmienie tych fragmentów w ich obecnej formie można potraktować jako wzmocnienie pozycji płatników. Dla dostawców usług płatniczych oznacza jednak, że konieczne będzie zbieranie dodatkowych informacji o okolicznościach transakcji, które będą mogły wspierać tezę o ewentualnej odpowiedzialności lub współodpowiedzialności użytkownika.
Limity i blokady po nowemu
W umowie ramowej, którą zawieramy uruchamiając np. rachunek bankowy, powinna znaleźć się informacja o maksymalnej kwocie transakcji dla każdego instrumentu płatniczego (czyli m.in. polecenia przelewu, karty płatniczej, BLIK itd.). Z nowego brzmienia PSR wynika, że użytkownik będzie mógł sam zmieniać te limity, a w przypadku zdalnego zlecenia (np. w bankowości mobilnej) wymagane będzie użycie silnego uwierzytelnienia.
Zmiana limitów dokonana zdalnie będzie miała jednak przewidziany „okres ochronny”. Wejdzie w życie po minimum 4 godzinach, a maksymalnie – po 12 godzinach od zlecenia. Z tego mechanizmu, w zamyśle chroniącego płatnika przed konsekwencjami oszustw, będzie można jednak zrezygnować. I tu konieczne będzie silne uwierzytelnienie lub osobiste stawiennictwo w placówce. Co ważne, zmiana taka również będzie objęta obowiązującym do tej pory opóźnieniem. Podobne zasady przewiduje się dla aktywacji aplikacji mobilnej pozwalającej na zarządzanie rachunkiem płatniczym.
Jakie będą dalsze losy projektów?
Następnym etapem prac nad pakietem „PSD plus PSR” będzie tzw. trilog, czyli trójstronne negocjacje pomiędzy Komisją Europejską, Parlamentem Europejskim i Radą UE. Ostateczny tekst ustaw może zostać sfinalizowany jeszcze w 2025 r. Biorąc pod uwagę ewentualne opóźnienia po drodze, prawdopodobnie regulacje PSR wejdą w życie w drugiej połowie 2026 r.
Źródło:
![Jeśli nie imigracja to co? Polska gospodarka coraz bliżej ściany [ANALIZA]](https://v.wpimg.pl/ODllOTY3YCUNDjlndkhtME5WbT0wEWNmGU51dnYCfXRcFH97P1ojIR4JPzt3VD0xHA04JHdDI2sNHCZ7LwJgIAUfPzg4SmAhAQ4qMHYDLCIPX3kxPx56dFpfYmBpVndpDgl2NnRXK3IIVHdtPAp5cw5OMg)
English (US) · 
Polish (PL) ·