Když jsem v roce 2016 spouštěl COREDO, fintech se jevil jako závod nápadů. Dnes nevyhrávají nápady, ale udržitelné modely: právně korektní, regulačně zralé a provozně spolehlivé. Během těchto let tým COREDO zrealizoval desítky projektů zaměřených na registraci právnických osob v EU a v Asii, na získání licencí elektronických peněz (EMI), na nastavení AML/CFT a na komplexní doprovod platebního byznysu. V tomto článku jsem sesbíral to, co skutečně funguje, kde podnikatelé obvykle „ztrácejí“ čas a kapitál, a jak sestavit plán cesty k licenci tak, aby o rok později řešili škálování, a ne nápravu.
Proč dnes má smysl budovat EMI v EU?
Platební trh EU zůstává jedním z nejobjemnějších a nejpředvídatelnějších. Rámec EMD2 a PSD2 stanovuje jasná pravidla a mechanismus passportingu umožňuje rychle škálovat služby po celé Unii. Pro mnoho našich klientů je registrace platební společnosti v EU nejen o přístupu k SEPA a IBAN, ale také o přístupu k spolehlivé korespondenční síti a partnerství s předními poskytovateli karet.
Přitom se regulace EMI v Evropě zkomplikovala: EBA zvýšila požadavky na governance, safeguarding a kybernetickou odolnost, národní regulátory pečlivě prověřují „fit and proper“ a substance. Naše zkušenost v COREDO ukázala: vyhrává ten, kdo od prvního dne buduje provozní model podle požadavků dozorových orgánů, a ne ten, kdo se jej snaží „doladit“ na poslední chvíli.
Mapa regulace: EMD2, PSD2, EBA a národní regulátory
V základu: Směrnice o elektronických penězích (EMD2) a druhá platební směrnice (PSD2). První definuje, co jsou elektronické peníze a jak je vydávat, druhá — rámec platebních služeb, přístup k účtům a požadavky na bezpečnost. Doporučení EBA doplňují obraz: od governance a vnitřních kontrol až po incident reporting a požadavky na outsourcing.
Národní regulátoři, Bank of Lithuania, Central Bank of Ireland, BaFin, ACPR/ Banque de France, De Nederlandsche Bank, Banco de España a další – implementují tato pravidla prostřednictvím místních směrnic a očekávání. Je důležité chápat princip home state control vs host state supervision: získat EMI‑licenci v zemi „domicilu“ a působit v EU prostřednictvím passportingu je jednodušší než snažit se získat několik místních licencí.
Výběr země pro EMI licenci: strategické rozcestí
COREDO často začíná otázkou: jak vybrat zemi EU s nejnižším regulačním rizikem pro EMI licenci? Navrhuji dívat se současně na čtyři roviny: požadavky na kapitál EMI a substance, lhůty získání EMI licence a ochotu regulátora ke komunikaci, dostupnost bankovní infrastruktury a korešpondenčních vztahů, a také celkové náklady — od licenčních poplatků po OPEX na compliance a reporting.
EMI licence v Litvě: výhody a rizika
Litva se stala magnetem pro fintech díky Bank of Lithuania, jeho průhledným procesům a rozumným lhůtám. Pro společnosti s jasným modelem vydávání elektronických peněz a e-peněženek, integrací do SEPA a připravenou technologií je to rychlá cesta na trh. Pasportování EMI v EU přes Litvu funguje předvídatelně a regulátor je otevřen konstruktivní spolupráci.
Rizika: vysoký práh očekávání ohledně substance, reálného řízení a místních manažerů, stejně jako zvýšená pozornost k mechanismům ochrany prostředků a korešpondenčním bankám. Pro klienty COREDO se zde důležitou součástí projektu stává včasné potvrzení přístupu k zajištěným účtům a navázání vztahů s bankami z «bílého seznamu».
EMI licence v Irsku: požadavky a očekávání
Central Bank of Ireland je tradičně přísná k systému správy, režimu vedoucích manažerů a nezávislým ředitelům. Na druhou stranu Irsko poskytuje silný přístup k talentům a k ekosystému mezinárodních platebních hráčů. Požadavky na kyberbezpečnost a provozní odolnost jsou zde nadprůměrné, ale předvídatelné. Pokud je vaším cílem partnerství s globálními značkami a projekt s vysokou úrovní řízení rizik, Irsko je silná volba.
EMI licence na Maltě: pro fintech s mezinárodním modelem
Malta je zajímavá svou flexibilitou a přístupem k anglicky orientovanému právnímu prostředí. MFSA bedlivě sleduje AML/CFT a outsourcing, ale lhůty jsou k jednání, pokud ukážete zralý model přístupu založeného na riziku a technologickou připravenost. Pro fintech s plány na card acquiring a multiměnové peněženky může Malta poskytnout dobrý vstupní bod, ale bude potřeba posílený controlling v oblasti reportingu a auditů.
Kapitál, vlastní prostředky a ochrana klientských prostředků: finanční odolnost institucí elektronických peněz
Minimální vlastní kapitál pro EMI v EU závisí na obchodním modelu, ale základní prahy stanovují EMD2 a místní předpisy. Kromě počátečního kapitálu regulátoři požadují vlastní prostředky (own funds), vypočtené podle prudenčních požadavků (prudential requirements) s ohledem na objemy emisí a platebních operací. V praxi COREDO je potvrzení zdroje kapitálu a stability financování (funding) jedním z prvních dokumentů, které připravujeme k pohovoru s dohledem.
Safeguarding — základní kámen. Požadavky na uchovávání prostředků (safeguarding) předpokládají segregaci klientských prostředků na trustové účty nebo segregované účty, případně pojistné/garanční mechanismy. Variantu volíme s ohledem na dostupnost bank a náklady kapitálu. Řešení vyvinuté v COREDO pro jeden z projektů zahrnovalo multibankovní model safeguarding s automatickým rebalancováním podle limitů rizika.
Korespondenční banky a přístup k SEPA/IBAN
Hlavní operační riziko EMI, korespondenční vztahy a de-risking. Korespondenční banky a EMI se často „dívají“ jeden na druhého skrze prizma odvětvové statistiky rizik. Zde je důležité prokázat vyspělý AML/CFT, transparentní vlastnickou strukturu a srozumitelnou geografii klientů. Naše praxe COREDO potvrzuje: předběžný audit AML a stress-test scénářů monitorování zvyšují šance na otevření safeguarded účtů a přístup k SEPA.
Organizační struktura a substance
Dceřiná společnost vs pobočka: otázka nejen právní techniky, ale i regulatorního vnímání. Dceřiná struktura dává větší suverenitu v oblasti governance a nezávislých ředitelů, pobočka někdy urychlí proces, ale je složitější z hlediska místního řízení a daňové substance. Preferuji dceřiný model pro licenci elektronických peněz v EU, pokud je cílem dlouhodobá škálovatelnost.
Místo reálného řízení (mind and management), výbory pro rizika/audit a nezávislí ředitelé nejsou „škrticí políčka“, ale základ dialogu s regulátorem. Fit and proper testy pro klíčové manažery hodnotí nejen zkušenosti, ale i schopnost čelit rizikům. V projektech COREDO předem sestavujeme kalendář zasedání, matice odpovědnosti a důkazy o zapojení lokálního managementu.
Daňová substance a transferové oceňování pro EMI: oblasti zvýšené pozornosti. Je důležité, aby funkce a rizika byly tam, kde vzniká příjem, a politika transfer pricing byla zdokumentována. To přímo ovlivňuje vnímání substance a snižuje regulatorní rizika EMI licence při mezistátních kontrolách.
Postup udělení licence: od podnikatelského plánu po spolupráci s regulátorem
Jak získat EMI-licenci — otázka disciplíny. Podnikatelský plán pro EMI-žádost by měl odrážet unit economics, strategii klientského portfolia, risk appetite a plán governance. Licenční dokumentace zahrnuje politiky AML/CFT, safeguarding, IT-security, outsourcing, plán incidentů, finanční model na 3–5 let a popis technologické architektury.
Fit and proper, senior managers regime a governance: oblast, kde mnozí ztrácejí čas. Regulátor hodnotí tým vedení, jejich pravomoci, nezávislost a systém vnitřní kontroly. V jednom projektu tým COREDO nahradil „nominální“ role skutečnými funkčními lídry, přidal nezávislého ředitele s bankovní zkušeností a odhalil mechanismus eskalace rizik, žádost prošla pohovorem bez dalších kol.
Časové rámce a náklady. Typické lhůty pro získání licence 6–12+ měsíců, v závislosti na zemi a připravenosti žadatele. Náklady na získání EMI licence sestávají z odměn konzultantů, státních poplatků, nákladů na audit a spuštění interních systémů. Roční OPEX zahrnuje compliance, reportování, audit, AML-systémy, kybernetickou bezpečnost a představenstvo. Vždy doporučuji plánovat 12–18 měsíců finančního „koridoru“, aby bylo možné překonat pauzy při otázkách regulátora.
AML/CFT a compliance: systém, kterému důvěřují banky a regulátoři
Regulátoři EU žijí podle AMLD5/AMLD6, FATF a doporučení EBA. Pracovní standard, přístup založený na riziku k AML: segmentace klientů, KYC/CDD podle úrovní rizika, PEP screening, sanctions screening, geografické indikátory a průběžné přezkoumávání rizikových profilů. Pro jednoho klienta COREDO zavedlo KYC-as-a-Service s nezávislou verifikací a centralizovaným řízením třetích stran: to snížilo CAC a zjednodušilo audit.
Transaction monitoring – srdce systému. Je potřeba kombinace pravidel, scénářů a strojového učení, srozumitelné prahy pro CTR, postupy STR a protokoly eskalace. Je důležité zajistit end-to-end sledovatelnost řešení: od spouštěče až po zprávu. Často provádíme cost-benefit analýzu implementace AML systémů, aby se předešlo „zlatému“ IT a zachovala přesnost upozornění.
Outsourcing a riziko třetích stran – oblast, kde regulátoři zpřísnili požadavky. V dohodách o cloudovém hostingu a poskytovatelích KYC zakotvujeme právo na audit, plány BCP/DR, požadavky na umístění dat a lhůty pro incident reporting. Tým COREDO předem popisuje kontrolní body a kritéria ukončení, aby se zabránilo uzamčení u dodavatele.
Technologická a provozní odolnost
Kyberbezpečnost a incident reporting, povinná vrstva. Jsou potřeba politiky pro přístupy, šifrování, řízení zranitelností, penetrační testy a plány reakce. Regulátoři očekávají hlášení incidentů ve stanovených lhůtách a důkazy o poučení z incidentů. GDPR vymezuje rámec práce s osobními údaji, souhlasy, DPIA a práva subjektů.
Provozní odolnost není jen datová centra a cloudy, ale i kontinuita podnikání. BCP/DR musí obsahovat testy, kritické RTO/RPO a scénáře ztráty korespondenční banky. V jednom projektu COREDO nasimulovalo přechod na záložní safeguarded účty za 48 hodin: právě to prokázalo regulátorovi zralost provozního modelu.
Tokenizace a stablecoiny, hraniční oblast. E-money je závazek emitenta, nikoli kryptoaktivum. Pokud produkt zahrnuje práci se stablecoiny nebo tokenizací, je důležité jasně oddělit platební služby a jakékoli prvky digitálních aktiv, aby se nevybočilo z rámce licence elektronických peněz EU a nevstoupilo do dalších režimů. Architekturu předem konzultujeme s regulátorem, aby se předešlo překvapením.
Marketingová strategie a návratnost investic
Metriky ROI pro EMI musí být pragmatické: CAC podle segmentů, LTV s ohledem na churn a mezibankovní poplatky, unit economics podle produktů, období návratnosti. Požaduji od týmů ukázat základní, realistický a stresové scénáře, včetně snižování rizik u bank a zpoždění v integracích.
Passporting a škálování v EU jsou silným tahounem ROI. Ale pamatujte na dohled hostitelského státu: některé země kladou dodatečné požadavky na notifikace, lokalizaci marketingu nebo reportingu. V první fázi se soustředíme na 3–5 zemí s nejlepším poměrem velikosti trhu a požadavků.
Škálování v Asii a na Blízkém východě vyžaduje jiné přístupy. V Singapuru a Dubaji platí samostatné režimy licencování; passporting EU tam nefunguje. COREDO doprovází klienty v těchto jurisdikcích prostřednictvím místních licencí a partnerství, často využívaje evropskou EMI jako „kotvící“ centrum kompetencí a řízení rizik.
Rizika a scénáře: od odvolání licence po plány nápravy
Důvody pro odnětí licence: systémová porušení ochrany klientských prostředků, nedostatečný kapitál, slabé AML/CFT, manažerské vakuum, kritické incidenty bez nápravy. V roadmapě COREDO je vždy playbook: spouštěče pro posílení kapitálu, rychlá výměna poskytovatele, forenzní vyšetřování AML a komunikace s regulátorem.
Jak minimalizovat regulační rizika při vstupu na trh EU? Za prvé, transparentní vlastnická struktura a registry skutečných vlastníků. Za druhé – hospodářská substance a místo skutečného řízení. Za třetí, stres-test vlastních prostředků a plán pro případ nárůstu transakčního objemu. Za čtvrté, pravidelné interní audity a nezávislé přezkumy AML/CFT.
Exit strategie a M&A. EMI: aktivum, jehož hodnota závisí na kvalitě compliance. Předem plánujeme možnosti: prodej portfolia, fúze, konverze na jiný typ licence, přesun operací mezi dcerami a pobočkami (úprava korporátní struktury). Taková flexibilita snižuje rizika a zvyšuje ROI.
Případové studie COREDO
- Registrace platební společnosti v EU s passportingem. Klient: multikontinentální skupina, cílový segment: SMB cross-border. Připravili jsme business plán, finanční model, governance, substance, provedli fit and proper, získali EMI licenci a nastavili passporting do pěti zemí. Výsledek: vstup do SEPA za 10 měsíců a stabilní přístup ke korespondenčním bankám.
- Spuštění EMI pro krypto-fiat on-ramp. Úkol: jasné oddělení e-money a digitálních aktiv. Tým COREDO vypracoval politiku tokenizace, AML/CFT pro konverzní scénáře, sankční screening a transaction monitoring. Regulátor schválil architekturu, korespondenční banky schválily safeguarded accounts za podmínky segregace toků.
- Remediace AML a obnovení přístupu k bankovnictví. Klient čelil de-riskingu a nařízení zesílit monitoring. Praxe COREDO potvrdila: cílená kalibrace scénářů, zavedení nezávislého KYC a školení týmu, přezkoumání prahových hodnot pro STR/CTR. Během 90 dnů jsme obnovili dvě korespondenční linky a vyřešili nařízení.
Odpovědi na často kladené strategické otázky
- Jaká jsou klíčová regulatorní rizika pro podnikání při otevření EMI v EU a jak je zmírnit? To jsou kapitálová přiměřenost, ochrana klientských prostředků (safeguarding), AML/CFT, governance a kyberodolnost. Zmírňujeme to pomocí včasné gap-analýzy, stresového testu kapitálu, nezávislého AML-auditu, BCP/DR a plánu hlášení incidentů.
- Jak srovnat náklady na licencování, kapitálové požadavky a čas uvedení na trh? Vytvoříme matici: země × time-to-market × minimální kapitál × dostupnost bankovních služeb × OPEX. Zohledňujeme poplatky za licence a administrativní náklady, stejně jako náklady na compliance v horizontu 3 let.
- Které metriky ROI použít? CAC, LTV, unit economics podle typů transakcí, podíl nákladů na safeguarding na výnosech, payback a NPV s ohledem na rizikový diskont.
- Jak strukturovat korporátní skupinu a provozní model pro škálování v Evropě a Asii? Dceřiná společnost v EU jako centrum licence, pobočky pro operace a marketing, samostatné lokální licence v Asii, shared services pro IT/AML, transparentní TP-model.
- Jaké jsou dlouhodobé důsledky pro přístup k bankovnictví při volbě jurisdikce? Volba země ovlivňuje vnímání bankami, rychlost otevírání účtů, přístup k SEPA a partnerství s kartovými schématy. Jurisdikce se silným dohledem může zvýšit důvěru bank, ale bude vyžadovat vyšší OPEX.
- Jaké scénáře výstupu a rizika odejmutí licence plánovat předem? Plán nápravy, posílení kapitálu v případě stresu, možnosti změny poskytovatelů, M&A a konzervace provozu s ochranou klientských prostředků.
- Které požadavky týkající se místa skutečného řízení a substance jsou kritické? Lokální ředitelé, přijímání klíčových rozhodnutí v zemi udělení licence, fyzická přítomnost, nezávislé výbory a prokázané funkce.
- Jaké jsou typické roční náklady na compliance (OPEX) a jak je optimalizovat? Patří sem audit a reporting pro EMI, AML systémy, kyberbezpečnost, představenstvo, licence softwaru. Optimalizujeme prostřednictvím rizikově orientovaného outsourcingu, KYC-as-a-Service, sjednocení reportingu podle EBA a automatizace monitoringu.
Praktický kontrolní seznam od COREDO před podáním na EMI
- Potvrďte minimální vlastní kapitál a zdroje prostředků; vypočítejte vlastní prostředky podle prudenciálních požadavků s ohledem na vrcholové objemy.
- Prokažte mechanismy ochrany klientských prostředků: smlouvy o svěřenských fondech/oddělených účtech, politika denních smíření, záložní banka.
- Zaveďte systém řízení (governance): nezávislí ředitelé, výbory, matice pravomocí, politika střetu zájmů.
- Vybudujte AML/CFT: KYC/CDD, PEP a sankční screening, monitorování transakcí, STR/CTR, školení, interní audit.
- Připravte technologickou základnu: požadavky na kybernetickou bezpečnost pro EMI, deník incidentů, plán BCP/DR, DPIA podle GDPR.
- Popište outsourcing a řízení třetích stran: SLA, právo auditu, umístění dat, plány náhrady.
- Proveďte strategii vstupu na trh a finanční model: ROI, CAC/LTV, scénáře snižování rizik (de-risking), mapa passportingu a místních požadavků.
Jak pracujeme v COREDO: proces, role, transparentnost
Plán projektu obvykle zahrnuje čtyři fáze: předlicenční diagnostika a strategie jurisdikce; architektura governance, AML a IT; sběr a podání balíčku, komunikace s regulátorem; spuštění provozu, pasportování, nastavení reportingu. Každá fáze má metriky připravenosti a kontrolní body, a komunikace probíhá podle harmonogramu dohodnutého na startu.
Za klíčová vyjednávání s regulátorem a složité strukturální rozcestí zodpovídám osobně. Je pro mě důležité, aby žádost odrážela skutečný byznys a vydržela prověrku nejen v době udělení licence, ale i po dvou letech aktivního růstu. V projektech, kde COREDO vystupuje jako dlouhodobý partner, se rychlost rozhodování a transparentnost procesů stávají našimi společnými konkurenčními výhodami.
Závěr: co dělat už teď
- Určete cílové trhy a porovnejte je s možnostmi passportingu. Pokud je Asie prioritou, zahrňte do plánu škálování místní licence.
- Proveďte poctivou analýzu mezer v oblasti kapitálu, safeguarding, AML/CFT a IT. Doplňte nedostatky před jednáním s regulátorem.
- Připravte tým pro fit and proper: reálné role, nezávislí ředitelé, srozumitelný kalendář governance.
- Včasný dialog s korespondenčními bankami je zásadní. Bez safeguarded účtů se licence nepřemění na byznys.
- Ohodnoťte ROI a OPEX s ohledem na tři scénáře. Silný finanční model je váš jazyk s regulátorem a bankami.
COREDO buduje projekty, na které je příjemné se dívat i po letech. Pokud navrhujete EMI licenci v EU, hledáte řešení ohledně PSD2 a EMI licence, plánujete passporting a strategii bankovních vztahů, máme praktická řešení a zkušenosti s jejich dovedením k výsledku. Napište nám a společně proměníme nápad v udržitelný platební byznys.