Regulatorní posun v oblasti platebních služeb: Stanovisko ČNB k minimální uživatelské zkušenosti mění podmínky pro Open Banking
Dne 27. listopadu 2025 zveřejnila Česká národní banka (ČNB) Stanovisko k regulaci finančního trhu č. RS2025-28.[1] Toto stanovisko vymezuje požadavky na minimální uživatelskou zkušenost při využívání platební služby nepřímého dání platebního příkazu (PIS) a dále vymezuje přehled vybraných zakázaných překážek ze strany bank coby poskytovatelů platebních účtů (ASPSP). Máme za to, že Stanovisko představuje významný krok v dosud problematickém rozvoji českého Open Bankingu a především plateb z účtu na účet (A2A), jejichž praktické uplatnění ve fyzických i online obchodech naráželo na nejednotnou implementaci povinností bank, často spojenou s nadbytečnými kroky, nepřehlednými webovými přesměrováními či absencí funkčního App-to-App přechodu. ČNB tím do značné míry sjednocuje dohledovou praxi, posiluje právní jistotu účastníků trhu a přibližuje české prostředí evropské regulatorní vizi zakotvené nejen v PSD2,[2] ale i v připravovaném balíčku PSD3/PSR.[3]
Stanovisko však nelze vnímat jako izolovaný metodický výklad. Zapadá do širší snahy evropských institucí zajistit reálné fungování otevřeného bankovnictví a odstranit překážky, které brání rozvoji inovací v platebních službách.
Regulatorní východisko: PSD2 a otevření platebního trhu
Již před deseti lety směrnice o platebních službách (PSD2, 2015/2366/EU), následně transponovaná do českého právního řádu zákonem o platebním styku (ZPS),[4] vytvořila právní rámec otevřeného bankovnictví a postavila vedle tradičních bank nové regulované poskytovatele - tzv. třetí strany (TPP), které mohou využívat otevřená aplikační rozhraní (API) bank k poskytování inovativních služeb.
Podstatou této právní úpravy je povinnost bank se svobodným a informovaným souhlasem vlastníka účtu zpřístupnit jeho platební účet třetí straně. Klient tak může buď umožnit přístup k údajům o zůstatku a transakcích (typicky za určité období), anebo umožnit poskytovateli služby iniciovat platební transakci, která je zatím typicky autorizována přímo v aplikaci banky.
Třetí strany pak mohou poskytovat dva základní typy služeb:
- Služba informování o platebním účtu (AIS)
Umožňuje poskytovateli služby (AISP) se souhlasem uživatele získat přehled o účtech uživatele vedených u různých bank. V praxi jde zejména o agregaci transakčních dat, která se uplatňuje např. v osobních finančních aplikacích nebo při automatizovaném posouzení úvěruschopnosti podle zákona o spotřebitelském úvěru.
- Služba nepřímého dání platebního příkazu (PIS)
Umožňuje poskytovateli (PISP) iniciovat z účtu klienta platbu přímo u jeho banky. Služba je klíčovým předpokladem pro rozvoj A2A plateb, tedy plateb z účtu na účet bez nutnosti manuálního zadávání platebních údajů či využití karetních schémat. Tato technologie má potenciál stát se plnohodnotnou alternativou standardních karetních transakcí, a to nejen v e-commerce, ale i při platbách ve fyzických provozovnách. V zásadě tato služba spočívá v tom, že PISP připraví platební příkaz s předvyplněnými údaji a klient jej následně musí řádně autorizovat, typicky v aplikaci své banky.
Samotné zpřístupnění API však nepostačuje. PSD2 je doplněna Nařízením Komise v přenesené pravomoci (EU) 2018/389 (RTS o SCA),[5] které stanoví povinnost silného ověření klienta (SCA) a upravuje bezpečnou komunikaci mezi TPP a bankami. Článek 32 odst. 3 RTS o SCA zakazuje bankám vytvářet jakékoli překážky přístupu TPP k účtům – právě výklad tohoto ustanovení je ústředním tématem nového stanoviska ČNB.
Vývoj regulace v EU a role ČNB
Praktická aplikace PSD2 v členských státech ukázala, že směrnicová úprava nevedla k dostatečné technické harmonizaci. Ačkoli Evropský orgán pro bankovnictví (EBA) vydával interpretační stanoviska[6] a odpovědi v rámci Q&A,[7] rozdílné přístupy jednotlivých bank v praxi vedly k fragmentaci a zpomalily rozvoj PIS a AIS v celé EU.
Evropská komise proto navrhuje v připravovaném legislativním balíčku PSD3/PSR posílit pravidla přímo použitelným nařízením (PSR), které obsahuje i demonstrativní výčet zakázaných překážek.[8] Tento posun reaguje na dlouhodobé problémy identifikované orgány EU, především absenci kvalitního, spolehlivého a uživatelsky konzistentního prostředí pro otevřené bankovnictví.
Podpora A2A plateb má navíc výrazný strategický rozměr. Evropská centrální banka[9] i Evropská komise[10] opakovaně upozorňují na strukturální závislost Evropy na mimoevropských karetních schématech a na potřebu vybudovat vlastní konkurenceschopné platební řešení. Odstranění technických a uživatelských překážek je v té souvislosti chápáno jako nutný krok ke „strategické autonomii“ EU. Na tento evropský kontext navazuje i ČNB, která v nedávných veřejných vystoupeních dlouhodobě akcentuje potřebu rozvoje přímých, nákladově efektivních plateb mezi účty.[11] Stanovisko RS2025-28 tak lze chápat jako konkrétní regulatorní nástroj, jímž ČNB podporuje širší přijetí těchto platebních řešení na domácím trhu.
Problémy dosavadní praxe: kdy se bankovní UX stává překážkou
Přestože PSD2 zamýšlela vytvořit jednoduchý mechanismus pro provádění AIS a PIS, technická implementace byla v ČR provázena výraznými rozdíly mezi jednotlivými bankami. V praxi se objevovaly zejména následující typy překážek:
- Komplikované přesměrování přes mobilní web
Místo, aby uživatel mohl přímo vstoupit z aplikace TPP do mobilní aplikace banky, byl nucen přecházet do webového rozhraní banky, často spojeného s opětovným zadáváním přihlašovacích údajů (často takových, které si běžně uživatel nepamatuje, jako své klientské číslo apod.)
- Duplicitní silné ověření (double SCA)
Některé banky vyžadovaly po uživateli druhé silné ověření, přestože to odporuje povaze PIS služby a nebylo bezpečnostně ani právně odůvodnitelné. Tedy jedno SCA musel uživatel provést při vstupu do aplikace (po přesměrování z aplikace TPP či po vstupu přes push notifikaci) a následně další SCA při autorizaci platby.
- Absence automatického návratu do aplikace TPP
Po potvrzení platby nebyl uživatel vrácen zpět do aplikace TPP, což vedlo k předčasnému opouštění procesu a nízkému počtu dokončených transakcí. Některé banky dokonce neprovedly platbu, pokud se uživatel nevrátil manuálně zpět do prostředí TPP, ač byla platba uživatelem řádně autorizována.
Tyto postupy měly přímý dopad na využitelnost PIS, především v e-commerce, a znejišťovaly obchodníky i koncové uživatele. Zároveň snižovaly konkurenceschopnost A2A plateb vůči kartovým schématům, která poskytují výrazně jednodušší uživatelskou cestu.
Klíčové závěry Stanoviska ČNB (RS2025-28)
Stanovisko ČNB přináší jasné regulatorní vymezení minimálních standardů uživatelské zkušenosti a vyjasňuje, jaké postupy bank jsou slučitelné s RTS o SCA i se zákonem o platebním styku.
Požadavek App-to-App a automatického přesměrování
V mobilním prostředí musí být uživatel po zahájení platby z aplikace TPP přímo přesměrován do ověřovací aplikace banky a po provedení SCA automaticky vrácen zpět. Tento postup je považován za základní standard.
ČNB připouští dočasné řešení spočívající v umístění výrazného prvku (např. tlačítka) ve webovém rozhraní banky, které umožní rychlé vyvolání ověřovací aplikace, avšak pouze jako přechodné opatření.
Zákaz redundantních nebo nadbytečných kroků
Proces SCA nesmí vyžadovat:
- ruční zadávání přihlašovacích údajů, pokud se nevyžadují při běžném přihlášení,
- manuální návrat do aplikace TPP,
- jakýkoli krok, který činí přístup přes TPP složitějším než přímý přístup klienta k jeho účtu.
Jednoznačné potvrzení principu jednoho SCA
Pro iniciaci platby prostřednictvím PIS je přípustné pouze jedno silné ověření. Podstatou tohoto požadavku je, že TPP předává bance informace o plátci i o parametrech platební transakce (včetně příjemce), takže není důvod proces rozdělovat na více samostatných ověření. Regulace, potvrzená stanoviskem ČNB, výslovně odmítá praxi, kdy je klient nucen nejprve provést SCA při vstupu do prostředí banky a poté znovu při samotné autorizaci platby.
Správná implementace spočívá v tom, že pokud je klient z aplikace TPP přesměrován do aplikace banky (případně vstupuje přes push notifikaci), celá operace proběhne v rámci jediného silného ověření. Tento požadavek má zásadní význam zejména pro platby v provozovnách, kde se každý další krok navíc negativně promítá do rychlosti odbavení zákazníků, např. u velkých obchodních řetězců.
Závěr: Posílení právní jistoty a katalyzátor rozvoje A2A plateb
Stanovisko RS2025-28 představuje významné ujasnění právního rámce a odpovídá dlouhodobým interpretačním vodítkům EBA i legislativnímu směru připravovanému v EU. Bankám, poskytovatelům TPP i odborné veřejnosti dává jasné parametry toho, jak má vypadat minimální technologická a uživatelská úroveň poskytování PIS.
Lze očekávat, že sjednocení dohledové praxe přispěje k rychlé nápravě u bank, z nichž celá řada doposud zpřístupňovala třetím stranám API, která jsou v rozporu s evropskou regulací a bránila masovější adopci AIS a PIS služeb. Z hlediska trhu to může představovat důležitý impuls pro širší přijetí A2A plateb při placení za zboží a služby a tím vytvoření evropské konkurenceschopné alternativy k tradičním karetním platbám.
Česká republika se tak regulatorně připravuje na změny, které přinese legislativní balíček PSD3/PSR, a zároveň potvrzuje, že principy otevřeného bankovnictví je třeba chápat jako plnohodnotnou součást moderního platebního trhu.
Mgr. Jakub Koudelka
CEO v platební instituci ZNPay a.s. (Mo.one) a advokát, společník v Advokátní kancelář Koudelka & Svoboda s.r.o.
JUDr. Johan Schweigl, Ph.D.
Head of Legal + Compliance v platební instituci ZNPay a.s. (Mo.one) a odborný asistent na Katedře finančního práva a národního hospodářství Právnické fakulty Masarykovy univerzity
[1] Stanovisko ČNB ze dne 27. 11. 2025. ID: RS2025-28.
[2] Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, o změně směrnice 2002/65/ES, 2009/110/ES, 2013/36/EU a nařízení (EU) č. 1093/2010 a o zrušení směrnice 2007/64/ES (PSD2).
[3] Návrh Směrnice Evropského parlamentu a Rady o platebních službách a službách elektronických peněz na vnitřním trhu, kterou se mění směrnice 98/26/ES a zrušují směrnice 2015/2366/EU a 2009/110/ES (PSD3) a Návrh Nařízení Evropského parlamentu a Rady o platebních službách na vnitřním trhu a o změně nařízení (EU) č. 1093/2010 (PSR), ve znění zveřejněném k 30.11.2025.
[5] Nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (RTS o SCA).
[6] EBA, Opinion on obstacles under Article 32(3) of the RTS on SCA and CSC ze dne 4. 6. 2020.
[8] Srov. čl. 44 PSR.
[11] Např. rozhovor guvernéra ČNB Aleše Michla v rozhovoru pro deník Mladá fronta DNES, dne 30. 4. 2025.
