Regulatorní posun v oblasti platebních služeb: Stanovisko ČNB k minimální uživatelské zkušenosti mění podmínky pro Open Banking

Stanovisko však nelze vnímat jako izolovaný metodický výklad. Zapadá do širší snahy evropských institucí zajistit reálné fungování otevřeného bankovnictví a odstranit překážky, které brání rozvoji inovací v platebních službách.

Regulatorní východisko: PSD2 a otevření platebního trhu

Již před deseti lety směrnice o platebních službách (PSD2, 2015/2366/EU), následně transponovaná do českého právního řádu zákonem o platebním styku (ZPS),[4] vytvořila právní rámec otevřeného bankovnictví a postavila vedle tradičních bank nové regulované poskytovatele - tzv. třetí strany (TPP), které mohou využívat otevřená aplikační rozhraní (API) bank k poskytování inovativních služeb.

Podstatou této právní úpravy je povinnost bank se svobodným a informovaným souhlasem vlastníka účtu zpřístupnit jeho platební účet třetí straně. Klient tak může buď umožnit přístup k údajům o zůstatku a transakcích (typicky za určité období), anebo umožnit poskytovateli služby iniciovat platební transakci, která je zatím typicky autorizována přímo v aplikaci banky.

Třetí strany pak mohou poskytovat dva základní typy služeb:

1. Služba informování o platebním účtu (AIS)

Reklama

ESG Omnibus – Co se mění v reportingu a udržitelnosti? Úleva pro firmy, nebo ústup z odpovědnosti? Víte, co vás čeká? (online – živé vysílání) – 24.3.2026

24.3.2026 09:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Umožňuje poskytovateli služby (AISP) se souhlasem uživatele získat přehled o účtech uživatele vedených u různých bank. V praxi jde zejména o agregaci transakčních dat, která se uplatňuje např. v osobních finančních aplikacích nebo při automatizovaném posouzení úvěruschopnosti podle zákona o spotřebitelském úvěru.

2. Služba nepřímého dání platebního příkazu (PIS)

Umožňuje poskytovateli (PISP) iniciovat z účtu klienta platbu přímo u jeho banky. Služba je klíčovým předpokladem pro rozvoj A2A plateb, tedy plateb z účtu na účet bez nutnosti manuálního zadávání platebních údajů či využití karetních schémat. Tato technologie má potenciál stát se plnohodnotnou alternativou standardních karetních transakcí, a to nejen v e-commerce, ale i při platbách ve fyzických provozovnách. V zásadě tato služba spočívá v tom, že PISP připraví platební příkaz s předvyplněnými údaji a klient jej následně musí řádně autorizovat, typicky v aplikaci své banky.

Samotné zpřístupnění API však nepostačuje. PSD2 je doplněna Nařízením Komise v přenesené pravomoci (EU) 2018/389 (RTS o SCA),[5] které stanoví povinnost silného ověření klienta (SCA) a upravuje bezpečnou komunikaci mezi TPP a bankami. Článek 32 odst. 3 RTS o SCA zakazuje bankám vytvářet jakékoli překážky přístupu TPP k účtům – právě výklad tohoto ustanovení je ústředním tématem nového stanoviska ČNB.

Vývoj regulace v EU a role ČNB

Praktická aplikace PSD2 v členských státech ukázala, že směrnicová úprava nevedla k dostatečné technické harmonizaci. Ačkoli Evropský orgán pro bankovnictví (EBA) vydával interpretační stanoviska[6] a odpovědi v rámci Q&A,[7] rozdílné přístupy jednotlivých bank v praxi vedly k fragmentaci a zpomalily rozvoj PIS a AIS v celé EU.

Evropská komise proto navrhuje v připravovaném legislativním balíčku PSD3/PSR posílit pravidla přímo použitelným nařízením (PSR), které obsahuje i demonstrativní výčet zakázaných překážek.[8] Tento posun reaguje na dlouhodobé problémy identifikované orgány EU, především absenci kvalitního, spolehlivého a uživatelsky konzistentního prostředí pro otevřené bankovnictví.

Podpora A2A plateb má navíc výrazný strategický rozměr. Evropská centrální banka[9] i Evropská komise[10] opakovaně upozorňují na strukturální závislost Evropy na mimoevropských karetních schématech a na potřebu vybudovat vlastní konkurenceschopné platební řešení. Odstranění technických a uživatelských překážek je v té souvislosti chápáno jako nutný krok ke „strategické autonomii“ EU. Na tento evropský kontext navazuje i ČNB, která v nedávných veřejných vystoupeních dlouhodobě akcentuje potřebu rozvoje přímých, nákladově efektivních plateb mezi účty.[11] Stanovisko RS2025-28 tak lze chápat jako konkrétní regulatorní nástroj, jímž ČNB podporuje širší přijetí těchto platebních řešení na domácím trhu.

Problémy dosavadní praxe: kdy se bankovní UX stává překážkou

Přestože PSD2 zamýšlela vytvořit jednoduchý mechanismus pro provádění AIS a PIS, technická implementace byla v ČR provázena výraznými rozdíly mezi jednotlivými bankami. V praxi se objevovaly zejména následující typy překážek:

• Komplikované přesměrování přes mobilní web

Místo, aby uživatel mohl přímo vstoupit z aplikace TPP do mobilní aplikace banky, byl nucen přecházet do webového rozhraní banky, často spojeného s opětovným zadáváním přihlašovacích údajů (často takových, které si běžně uživatel nepamatuje, jako své klientské číslo apod.)

• Duplicitní silné ověření (double SCA)

Některé banky vyžadovaly po uživateli druhé silné ověření, přestože to odporuje povaze PIS služby a nebylo bezpečnostně ani právně odůvodnitelné. Tedy jedno SCA musel uživatel provést při vstupu do aplikace (po přesměrování z aplikace TPP či po vstupu přes push notifikaci) a následně další SCA při autorizaci platby.

• Absence automatického návratu do aplikace TPP

Po potvrzení platby nebyl uživatel vrácen zpět do aplikace TPP, což vedlo k předčasnému opouštění procesu a nízkému počtu dokončených transakcí. Některé banky dokonce neprovedly platbu, pokud se uživatel nevrátil manuálně zpět do prostředí TPP, ač byla platba uživatelem řádně autorizována.

Tyto postupy měly přímý dopad na využitelnost PIS, především v e-commerce, a znejišťovaly obchodníky i koncové uživatele. Zároveň snižovaly konkurenceschopnost A2A plateb vůči kartovým schématům, která poskytují výrazně jednodušší uživatelskou cestu.

Klíčové závěry Stanoviska ČNB (RS2025-28)

Stanovisko ČNB přináší jasné regulatorní vymezení minimálních standardů uživatelské zkušenosti a vyjasňuje, jaké postupy bank jsou slučitelné s RTS o SCA i se zákonem o platebním styku.

Požadavek App-to-App a automatického přesměrování

V mobilním prostředí musí být uživatel po zahájení platby z aplikace TPP přímo přesměrován do ověřovací aplikace banky a po provedení SCA automaticky vrácen zpět. Tento postup je považován za základní standard.

ČNB připouští dočasné řešení spočívající v umístění výrazného prvku (např. tlačítka) ve webovém rozhraní banky, které umožní rychlé vyvolání ověřovací aplikace, avšak pouze jako přechodné opatření.

Zákaz redundantních nebo nadbytečných kroků

Proces SCA nesmí vyžadovat:

• ruční zadávání přihlašovacích údajů, pokud se nevyžadují při běžném přihlášení,
• manuální návrat do aplikace TPP,
• jakýkoli krok, který činí přístup přes TPP složitějším než přímý přístup klienta k jeho účtu.

Jednoznačné potvrzení principu jednoho SCA

Pro iniciaci platby prostřednictvím PIS je přípustné pouze jedno silné ověření. Podstatou tohoto požadavku je, že TPP předává bance informace o plátci i o parametrech platební transakce (včetně příjemce), takže není důvod proces rozdělovat na více samostatných ověření. Regulace, potvrzená stanoviskem ČNB, výslovně odmítá praxi, kdy je klient nucen nejprve provést SCA při vstupu do prostředí banky a poté znovu při samotné autorizaci platby.

Správná implementace spočívá v tom, že pokud je klient z aplikace TPP přesměrován do aplikace banky (případně vstupuje přes push notifikaci), celá operace proběhne v rámci jediného silného ověření. Tento požadavek má zásadní význam zejména pro platby v provozovnách, kde se každý další krok navíc negativně promítá do rychlosti odbavení zákazníků, např. u velkých obchodních řetězců.

Závěr: Posílení právní jistoty a katalyzátor rozvoje A2A plateb

Stanovisko RS2025-28 představuje významné ujasnění právního rámce a odpovídá dlouhodobým interpretačním vodítkům EBA i legislativnímu směru připravovanému v EU. Bankám, poskytovatelům TPP i odborné veřejnosti dává jasné parametry toho, jak má vypadat minimální technologická a uživatelská úroveň poskytování PIS.

Lze očekávat, že sjednocení dohledové praxe přispěje k rychlé nápravě u bank, z nichž celá řada doposud zpřístupňovala třetím stranám API, která jsou v rozporu s evropskou regulací a bránila masovější adopci AIS a PIS služeb. Z hlediska trhu to může představovat důležitý impuls pro širší přijetí A2A plateb při placení za zboží a služby a tím vytvoření evropské konkurenceschopné alternativy k tradičním karetním platbám.

Česká republika se tak regulatorně připravuje na změny, které přinese legislativní balíček PSD3/PSR, a zároveň potvrzuje, že principy otevřeného bankovnictví je třeba chápat jako plnohodnotnou součást moderního platebního trhu.

Mgr. Jakub Koudelka
CEO v platební instituci ZNPay a.s. (Mo.one) a advokát, společník v Advokátní kancelář Koudelka & Svoboda s.r.o.

JUDr. Johan Schweigl, Ph.D.
Head of Legal + Compliance v platební instituci ZNPay a.s. (Mo.one) a odborný asistent na Katedře finančního práva a národního hospodářství Právnické fakulty Masarykovy univerzity