Open Banking (PSD2) — co to jest i jak działa

Czym jest Open Banking

Open Banking (otwarta bankowość) to model, w którym — za wyraźną zgodą klienta — licencjonowane podmioty trzecie mogą uzyskać dostęp do informacji o jego rachunku bankowym lub zainicjować w jego imieniu płatność. Dzieje się to nie przez logowanie cudzymi danymi, lecz przez wystandaryzowane interfejsy programistyczne (API), które banki są zobowiązane udostępnić. Innymi słowy: dane o Twoim koncie przestają być „zamknięte” w jednym banku — możesz świadomie pozwolić innej aplikacji, by z nich skorzystała.

Podstawą prawną otwartej bankowości w Unii Europejskiej jest dyrektywa PSD2 (Payment Services Directive 2), wdrożona do polskiego porządku prawnego. To ona przekształciła Open Banking z dobrowolnej praktyki w obowiązek: banki muszą umożliwić licencjonowanym podmiotom dostęp do rachunków klientów, o ile klient wyrazi na to zgodę.

Kluczowe cechy modelu Open Banking:

• Zgoda klienta jest warunkiem koniecznym. Bez Twojej wyraźnej zgody żaden podmiot trzeci nie uzyska dostępu do danych ani nie zainicjuje płatności.
• Dostęp przez API, nie przez hasło. Wymiana informacji odbywa się przez bezpieczny interfejs udostępniany przez bank, a nie przez przekazywanie loginu i hasła osobom trzecim.
• Tylko licencjonowane podmioty. Dostęp przysługuje wyłącznie dostawcom z odpowiednią licencją i nadzorem (w Polsce nadzór sprawuje KNF).

Open Banking stoi za usługami, z których wielu klientów korzysta na co dzień, nie nazywając ich po imieniu: aplikacjami, które pokazują salda z kilku banków w jednym miejscu, czy płatnościami „prosto z konta” w sklepach internetowych.

PSD2 i podmioty trzecie (TPP)

Dyrektywa PSD2 zobowiązała banki do otwarcia swoich systemów na podmioty trzecie, określane skrótem TPP (Third Party Provider — dostawca będący stroną trzecią). TPP to nie przypadkowa firma, lecz licencjonowany i nadzorowany dostawca usług płatniczych — najczęściej fintech, agregator finansów lub dostawca usług płatniczych. W Polsce nadzór nad takimi podmiotami sprawuje KNF.

Aby działać jako TPP, podmiot musi spełnić dwa warunki łącznie:

• Posiadać odpowiednią licencję i podlegać nadzorowi. Świadczenie usług dostępu do rachunku lub inicjowania płatności wymaga zezwolenia regulatora (w Polsce — KNF) lub paszportowania licencji z innego kraju Unii.
• Uzyskać zgodę klienta. Nawet licencjonowany TPP nie sięgnie po Twoje dane ani nie zleci płatności bez Twojej wyraźnej zgody udzielonej w bezpieczny sposób.

Bank, który prowadzi Twój rachunek, w terminologii PSD2 jest dostawcą prowadzącym rachunek. Jego obowiązkiem jest udostępnić TPP odpowiednie API oraz umożliwić Ci autoryzację dostępu — ale to Ty decydujesz, czy i komu tej zgody udzielić. Dzięki wymogowi licencji i nadzoru korzystanie z usług otwartej bankowości oznacza, że Twoje dane trafiają wyłącznie do podmiotów działających pod kontrolą regulatora, a nie do dowolnej aplikacji z sieci.

AIS i PIS — dwie podstawowe usługi

Open Banking opiera się na dwóch podstawowych rodzajach usług świadczonych przez podmioty trzecie. Różnią się tym, co właściwie pozwalają zrobić: jedna „czyta” informacje o koncie, druga „uruchamia” płatność.

• AIS (Account Information Service) — usługa dostępu do informacji o rachunku. Pozwala upoważnionemu TPP odczytać dane o Twoich kontach: salda, historię transakcji, listę rachunków. Typowy przykład to aplikacja do zarządzania finansami osobistymi, która agreguje konta z kilku różnych banków w jednym widoku — widzisz wszystkie środki i wydatki w jednym miejscu, mimo że konta prowadzą różne instytucje. AIS daje wgląd w dane, ale samodzielnie nie przesuwa pieniędzy.
• PIS (Payment Initiation Service) — usługa inicjowania płatności. Pozwala upoważnionemu TPP zlecić płatność bezpośrednio z Twojego konta, bez pośrednictwa karty. Typowy przykład to opcja „zapłać prosto z konta” w sklepie internetowym: zamiast podawać dane karty, potwierdzasz przelew we własnej bankowości, a sklep od razu otrzymuje informację o płatności. PIS uruchamia ruch pieniędzy, ale zawsze za Twoim potwierdzeniem w banku.

W skrócie: AIS odpowiada na pytanie „ile mam i na co wydaję”, a PIS na „zapłać za to z mojego konta”. Oba rodzaje usług wymagają licencji odpowiedniego typu i — co najważniejsze — Twojej zgody. Niektóre podmioty łączą obie funkcje, np. aplikacja, która pokazuje Twoje finanse (AIS) i jednocześnie umożliwia opłacenie rachunków przelewem (PIS).

Bezpieczeństwo: SCA i zasada nieudostępniania hasła

Bezpieczeństwo Open Banking opiera się na jednej fundamentalnej zasadzie: nigdy nie podajesz hasła do bankowości podmiotowi trzeciemu. To Ty autoryzujesz dostęp lub płatność we własnym banku, a TPP komunikuje się z bankiem przez API — nie loguje się Twoimi danymi.

Sercem tej ochrony jest SCA (Strong Customer Authentication), czyli silne uwierzytelnianie klienta, wymagane przez PSD2. Polega ono na potwierdzeniu tożsamości za pomocą co najmniej dwóch niezależnych elementów z różnych kategorii: czegoś, co wiesz (np. PIN, hasło), czegoś, co masz (np. telefon, token), oraz czegoś, czym jesteś (np. odcisk palca). Ten sam mechanizm znasz z autoryzacji płatności kartą w internecie — w praktyce realizowanej przez 3D Secure jako przykład silnego uwierzytelniania.

W praktyce wygląda to tak:

• Autoryzacja zawsze po stronie banku. Gdy aplikacja TPP chce uzyskać dostęp do konta lub zlecić płatność, jesteś przekierowywany do uwierzytelnienia we własnym banku (np. w aplikacji mobilnej banku), gdzie potwierdzasz operację metodą SCA.
• Hasło nie trafia do strony trzeciej. Logujesz się i potwierdzasz operację w środowisku banku, a nie w aplikacji zewnętrznej. TPP nie zna i nie powinien prosić o Twoje hasło do bankowości.
• Zgodę można w każdej chwili cofnąć. Udzielony dostęp nie jest dożywotni — możesz go wycofać w ustawieniach banku lub aplikacji, odbierając podmiotowi trzeciemu prawo do dalszego odczytu danych czy inicjowania płatności.

Zasada praktyczna: jeżeli jakakolwiek aplikacja prosi Cię o login i hasło do bankowości „w celu połączenia konta”, to nie jest model Open Banking zgodny z PSD2 — to klasyczny sygnał ostrzegawczy. Legalny TPP zawsze przekieruje Cię do uwierzytelnienia w Twoim banku.

Open Banking w praktyce w Polsce

W Polsce otwarta bankowość rozwija się przede wszystkim wokół dwóch zastosowań: agregacji finansów osobistych (AIS) oraz płatności inicjowanych z konta (PIS). Coraz więcej fintechów i aplikacji finansowych korzysta z tych mechanizmów.

• Agregatory finansów osobistych. Aplikacje, które za Twoją zgodą pobierają dane z kilku banków i pokazują łączny obraz finansów — salda, wydatki, kategorie. To typowe zastosowanie usługi AIS.
• Płatności PIS (np. pay-by-link z konta). Przy zakupach online zamiast karty wybierasz opcję zapłaty przelewem bezpośrednio z konta. Sklep szybko otrzymuje potwierdzenie, a Ty potwierdzasz płatność we własnej bankowości.
• Rosnąca rola w ekosystemie fintech. Usługi oparte na API banków stają się elementem narzędzi do budżetowania, weryfikacji dochodu czy obsługi płatności w handlu internetowym.

Warto wyraźnie oddzielić Open Banking od innych nowoczesnych form płatności funkcjonujących w Polsce:

• BLIK to odrębny polski standard płatności mobilnych — nie jest tożsamy z Open Banking. BLIK realizuje płatności i przelewy w oparciu o własną infrastrukturę i kody jednorazowe; oba rozwiązania dotyczą nowoczesnych płatności, ale opierają się na różnych mechanizmach i ramach. Płatność PIS w ramach otwartej bankowości to co innego niż transakcja BLIK.
• Polecenie zapłaty to z kolei klasyczny mechanizm cyklicznych płatności, w którym to wierzyciel (np. dostawca prądu) inicjuje pobranie środków z Twojego konta na podstawie wcześniejszej zgody. Również nie jest częścią Open Banking, choć bywa mylone z płatnościami inicjowanymi przez TPP — różni je inicjator, cel i podstawa prawna.

Podsumowując: Open Banking to ramy dostępu do konta i płatności przez licencjonowane TPP, a BLIK czy polecenie zapłaty to odrębne instrumenty płatnicze.

Najczęściej zadawane pytania

Co to jest Open Banking?

Open Banking (otwarta bankowość) to model, w którym za wyraźną zgodą klienta licencjonowane podmioty trzecie mogą uzyskać dostęp do informacji o jego rachunku lub zainicjować w jego imieniu płatność, korzystając z interfejsów (API) udostępnianych przez banki. Podstawą prawną w Unii Europejskiej jest dyrektywa PSD2. Dostęp odbywa się zawsze za zgodą klienta i bez przekazywania hasła do bankowości stronie trzeciej.

Co to jest PSD2?

PSD2 (Payment Services Directive 2) to unijna dyrektywa o usługach płatniczych, która stanowi podstawę prawną Open Banking. Zobowiązała banki do udostępnienia licencjonowanym podmiotom trzecim dostępu do rachunków klientów przez API — pod warunkiem zgody klienta — oraz wprowadziła wymóg silnego uwierzytelniania klienta (SCA) przy dostępie do konta i autoryzacji płatności.

Czy muszę podać hasło do banku aplikacji trzeciej?

Nie. W modelu Open Banking zgodnym z PSD2 nigdy nie podajesz hasła do bankowości podmiotowi trzeciemu. Autoryzujesz dostęp lub płatność we własnym banku, korzystając z silnego uwierzytelniania (SCA), a podmiot trzeci komunikuje się z bankiem przez API. Jeśli jakaś aplikacja prosi o login i hasło do bankowości, by „połączyć konto”, to sygnał ostrzegawczy — legalny TPP zawsze przekierowuje do uwierzytelnienia w Twoim banku.

Czym różni się AIS od PIS?

AIS (Account Information Service) to usługa dostępu do informacji o rachunku — pozwala odczytać salda i historię transakcji, np. agregując konta z różnych banków w jednej aplikacji. PIS (Payment Initiation Service) to usługa inicjowania płatności — pozwala zlecić przelew bezpośrednio z konta, np. opcją „zapłać z konta” w sklepie, bez karty. W skrócie: AIS „czyta” dane o koncie, a PIS „uruchamia” płatność. Oba wymagają licencji i Twojej zgody.

Czy Open Banking jest bezpieczny?

Tak, o ile korzystasz z licencjonowanego i nadzorowanego podmiotu (w Polsce nadzór sprawuje KNF). Bezpieczeństwo opiera się na silnym uwierzytelnianiu (SCA) realizowanym w Twoim banku oraz na zasadzie, że nie udostępniasz hasła do bankowości stronie trzeciej — komunikacja odbywa się przez API. Zgodę na dostęp możesz w każdej chwili cofnąć. Sygnałem ostrzegawczym jest aplikacja, która prosi o login i hasło zamiast przekierować Cię do banku.

Powiązane definicje i artykuły

Jeśli porządkujesz wiedzę o nowoczesnych płatnościach i obsłudze konta, sprawdź też:

• BLIK — odrębny polski standard płatności mobilnych, niebędący Open Bankingiem
• 3D Secure — mechanizm silnego uwierzytelniania (SCA) znany z płatności kartą w internecie
• Polecenie zapłaty — klasyczny mechanizm cyklicznych płatności inicjowanych przez wierzyciela
• IBAN — międzynarodowy numer rachunku używany przy przelewach i płatnościach z konta
• ROR — rachunek oszczędnościowo-rozliczeniowy, czyli konto, do którego TPP uzyskuje dostęp za zgodą klienta