Veřejná nabídka platebního systému v souladu s PSD3 a PSR

Nikita Veremeev

20.02.2026 | 6 minutové čtení

Aktualizováno: 20.02.2026

Od roku 2016 vedu COREDO přes desítky licencí, stovky registrací a tisíce stran smluv. Největší hodnotu pro klienty nepřináší samotný fakt získání licence, ale stabilní smluvní rámec, který vyjasňuje pravidla hry: právě veřejná nabídka platebního systému určuje důvěru uživatelů, spolehlivost vypořádání plateb a ochranu prostředků. Evropa nyní přechází k nové regulační architektuře: PSD3 a PSR, a veřejná nabídka se stává kritickým dokumentem, který ovlivňuje obchodní model neméně než kód a zpracování plateb.

Tým COREDO již přizpůsobil veřejné nabídky pro PSP, EMI a technologické poskytovatele v EU, Velké Británii, Singapuru a Dubaji. Naše zkušenosti ukazují: správná «veřejná nabídka PSD3» ušetří několik čtvrtletí času, miliony na dodržování předpisů a snižuje pravděpodobnost sankcí od regulátorů. V tomto článku dávám praktický rámec, příklady a kontrolní seznamy, které používáme na projektech, a vysvětluji, jak proměnit veřejnou nabídku z právního dokumentu v fungující provozní nástroj.

Aktualizace veřejné nabídky k PSD3/PSR

Ilustrace k oddílu «Aktualizace veřejné nabídky k PSD3/PSR» v článku «Veřejná nabídka platebního systému podle PSD3 a PSR»
PSD3 a PSR (Nařízení o platebních službách) přerozdělují požadavky mezi směrnicí a nařízením: část pravidel bude mít přímý účinek, část se harmonizuje prostřednictvím národních příslušných orgánů. To se týká ochrany prostředků klientů (safeguarding), silné autentizace (SCA), otevřených API pro TPP a provozní odolnosti. Veřejná nabídka podle PSR se stává viditelným nositelem těchto požadavků a regulátoři ji vnímají ne jako formalitu, ale jako odraz řízení rizik.

Hlavní rozdíly PSD3 oproti PSD2 v oblasti veřejné nabídky, rozšířená transparentnost tarifů a rizik, větší důraz na SLA pro provádění plateb a na incidenty, a také jasná ustanovení o rozdělení odpovědnosti mezi PSP, obchodníkem a TPP. Doporučení EBA týkající se veřejných nabídek a role národních příslušných orgánů posilují kontrolu nad zveřejňováním, mechanismy souhlasu a postupem oznamování změn podmínek nabídky. V praxi to znamená, že «nabídka poskytovatele platebních služeb podle PSD3» by měla být synchronizována s politikami SCA, KYC/AML a provozními postupy, a ne žít vlastním životem.

Veřejná nabídka pro PSP, EMI, elektronické peníze

Ilustrace k oddílu «Veřejná nabídka pro PSP, EMI, e-money» ve článku «Veřejná nabídka platebního systému podle PSD3 a PSR»
Začínám projekt mapováním rizik a obchodních procesů. Řešení vyvinuté v COREDO spojuje každou produktovou funkci s konkrétními oddíly smlouvy a interními politikami. Pro EMI a e-money by nabídka měla přímo popisovat režim ochrany prostředků, typy peněženek, limity a výběry, a také «veřejná nabídka e-money a PSD3» by měla být sladěna se safeguarding účty a pojistným krytím.

Klíčové bloky nabídky:

souhlas uživatele a mechanismus akceptace (click-wrap, eIDAS elektronický podpis v případě potřeby vysoké právní síly);
transparentnost tarifů a model tvorby cen poplatků, včetně marže na transakci a příplatků za přeshraniční platby;
ukazatele SLA: doba autorizace, doba vypořádání, dostupnost služby, priorita incidentů;
ustanovení o vráceních a chargebacku, rozdělení odpovědnosti mezi PSP a obchodníkem;
veřejná nabídka a ochrana prostředků klientů: segregace, pojištění, každoroční audity safeguarding;
veřejná nabídka a požadavky KYC/AML: povinnosti klienta poskytovat údaje, spouštěče blokací, RBA;
soukromí: zpracování osobních údajů a GDPR, přeshraniční přenos dat a požadavky na lokalizaci.

Nabídka PSD3: požadavky PSR

Ilustrace k oddílu «Nabídka PSD3: požadavky PSR» ve článku «Veřejná nabídka platebního systému podle PSD3 a PSR»

Praxe COREDO potvrzuje: regulátor čte «povinná ustanovení nabídky PSD3» jako kontrolní seznam zralosti. V nabídce zaznamenáme:

práva uživatele a ochrana práv uživatelů v nabídce PSD3: jasné informace o rizicích, tarifech, limitech, právech na náhradu;
SCA a výjimky: biometrie, důvěryhodní příjemci, nízkorizikové transakce;
provozní odolnost a hlášení incidentů: lhůty pro oznámení klientům a regulátorovi, komunikační kanály;
outsourcing třetích stran: SLA a odpovědnost poskytovatelů, právo na audit, kritické závislosti;
nezávislé audity, revize a vnitřní kontrola: periodicita, rozsah, nápravná opatření;
požadavky na kapitál PSP a požadavky na emitenty elektronických peněz (EMI): metodika, stresové testy, udržování rezerv.

Požadavky PSR také posilují zveřejňování informací o směrování plateb, vícestranných korespondenčních modelech a povinnostech při přístupu k účtu v podmínkách otevřeného bankovnictví. To je třeba promítnout formálně i provozně.

poskytovatel služeb iniciace plateb/poskytovatel služeb informací o účtu/tržiště/poskytovatel platebních služeb pod privátní značkou

Ilustrace k oddílu «PISP/AISP/tržiště/white-label PSP» v článku «Veřejná nabídka platebního systému podle PSD3 a PSR»
Pro PISP a AISP musí „veřejná nabídka pro PISP a AISP“ zveřejňovat přístup API třetích stran (TPP), postup delegovaného souhlasu, a také veřejnou nabídku v podmínkách open banking – kdo, kdy a jak uchovává tokeny, protokoly událostí a jak zajistit souhlas uživatelů při delegování API. Naše zkušenost v COREDO ukázala, že zbytečná nejednoznačnost zde vede ke stížnostem a ztrátě passportingu.

Pro marketplace plateb je důležité zvolit model: custodian vs escrow. Veřejná nabídka pro marketplace plateb musí vysvětlovat segregaci prostředků sub-merchantů, harmonogram vypořádání a podmínky ukončení služeb/přechodu klientů bez rizika „uváznutí“ prostředků. V white-label PSP zaznamenáváme rozdělení odpovědnosti mezi backendovým licencovaným poskytovatelem a značkou, včetně Due Diligence při partnerství s PSP a práva na modernizace API bez zhoršení SLA.

AML/KYC a přístup založený na riziku v nabídce

Иллюстрация к разделу «AML/KYC a přístup založený na riziku v nabídce» ve článku «Veřejná nabídka platebního systému podle PSD3 a PSR»

Veřejná nabídka a AML/KYC/CDD nejsou o kopírování politiky compliance, ale o jasných pravidlech pro klienta.

Navrhuji přístup založený na riziku (RBA): rizikové segmenty, úrovně CDD, spouštěče rozšířené due diligence, sankční kontrolu a screening technologií. Pro monitorování transakcí a hlášení SAR v nabídce zakotvujeme právo pozastavit transakci, vyžádat si dokumenty, informovat FIU a národní regulátory.

Samostatnou část věnujeme datům: doby uchovávání, přístup, přeshraniční přenos dat (EEA a mimo něj), právní důvody a lokalizace při požadavcích jednotlivých zemí. Klient by měl chápat, že compliance je součást služby, nikoli samostatná překážka. Taková transparentnost snižuje spornost případů a zvyšuje kvalitu onboardingu.

Bezpečnost a technické požadavky na text

Veřejná nabídka a bezpečnost API: povinný blok. Doporučuji zakotvit požadavky na OAuth2, JWT, správu klíčů a HSM, stejně jako minimální požadavky na shodu (compliance) ve veřejné nabídce pro PCI-DSS (síťový perimetr, šifrování dat PAN, tokenizace karet). Na úrovni protokolů je vhodné zmínit migraci na ISO 20022 a vliv na schémata souhlasu a formát údajů.

Incidenty popisujeme jasně: priority, RTO/RPO, zajištění kontinuity provozu (business continuity) a obnova po havárii (disaster recovery) ve veřejné nabídce, postup eskalací. Pro instantní platby (TIPS, RTP, FastPay) stanovíme specifická SLA a rizika neodvolatelnosti (irrevocability), stejně jako mechanismy revize po autorizaci (post-authorization review) a antifraudové filtry. Řešení vyvinuté v COREDO kombinuje tyto technické standardy s právními povinnostmi bez rozporů.

Souhlas a oznámení uživatelů

Souhlas uživatele: základ. V nabídce popisuji mechaniky oznamování a přijímání souhlasu uživatelů, včetně logů, IP adres, časových razítek, a v případě potřeby: eIDAS a elektronického podpisu v uživatelských dohodách. Pro TPP procesy zvlášť stanovím, jak zajistit souhlas uživatelů při delegování API, dobu platnosti tokenů a jejich odvolání.

Oznámení o změně podmínek nabídky by mělo zahrnovat kanály (e-mail, in-app), minimální lhůty, právo klienta odstoupit od smlouvy bez sankcí před vstoupením změn v platnost a pravidla zpracování «tichého souhlasu» tam, kde je to přípustné. Takové nastavení vylučuje spory a zvyšuje odolnost při kontrolách.

SLA a provozní metriky v nabídce

SLA je jazyk důvěry pro obchodníka. Ustanovujeme:

čas autorizace a potvrzení, podíl operací s opakovanou autentizací;
čas vyúčtování (D+0/D+1), uzávěrka (cut-off), deduplikaci;
dostupnost služby (například 99,9 %), okno údržby a postup degradace funkcí;
řízení sporů a zákaznické podpory při chargebacku: TAT, kanály, eskalace.

Pro instant-pay služby je užitečné zahrnout samostatná SLA: podíl plateb <10 sekund, průměrná doba finalizace a záložní trasy pro případ nedostupnosti jednotlivých schémat. Dohody s obchodníky a SLA pro vyúčtování je logické umístit do přílohy, aby bylo možné operativně aktualizovat ukazatele bez změny základního textu.

Zabezpečení kapitálu v nabídce

Veřejná nabídka a zajištění a segregace klientských prostředků (safeguarding) jsou předmětem zvýšené pozornosti. Modely zajištění: bankovní účty vs pojištění, jejich kombinace a lhůty pro smíření. Uvádím periodicitu smíření, právo klienta na informace o kustodních bankách a nezávislá potvrzení od auditora.

Oddíl o požadavcích na kapitál PSP vysvětluje metodu výpočtu, spouštěče dokapitalizace a postup oznámení regulátorovi. Pro marketplace doplňuji, jak zorganizovat safeguarding pro marketplace: oddělené účty pro sub-merchanty, escrow pro spory, dočasné rezervy a podmínky automatického odblokování.

Přeshraniční operace, pasportování a banky

Passporting a omezení přeshraničních operací — častý zdroj nedorozumění.

V nabídce uvádíme geografii služeb, měny poskytování, omezení podle zemí a využití partnerských PSP. Integrace s korespondenčními bankami a poplatky musí být transparentní: kde mohou vzniknout korespondenční bankovní poplatky a kdo je hradí.

Veřejná nabídka při přeshraničních platbách by měla zohledňovat daňové aspekty: veřejná nabídka a zdanění platebních služeb – kdo odvádí daně, jak se posuzují poplatky pro B2B a B2C. Při práci v EU je výhodné reflektovat passporting a podmínky obsluhy nerezidentů, v Asii vazbu na licence MAS, HKMA nebo DIFC/FSRA.

Spory, vrácení peněz a zpětné stržení platby

Postupy vrácení prostředků a mechanismus chargebacku nejsou jen odkazy na schémata karet. Rozkládám to krok za krokem: časové harmonogramy, potřebné důkazy, role obchodníka, rozdělení odpovědnosti PSP při chybách infrastruktury a směrování. Pro A2A platby upravujeme oddělené mechanismy řešení chyb, vrácení na iniciativu PISP a zásah banky držitele účtu.

Řešení sporů a rozhodčí doložka umožňují vyhnout se jurisdikčním pastem. Právní doložky: rozhodné právo a jurisdikci vybíráme s ohledem na licenci a domicil chráněných účtů. V nabídce je vhodné popsat limity odpovědnosti a odškodnění: rozumné stropy, výjimky pro hrubou nedbalost a úmysl, a vyloučení odpovědnosti ve veřejné nabídce v mezích zákona.

Zajištění kontroly při outsourcingu

Veřejná nabídka a podmínky subdodávky/outsourcingu by měly stanovit, že kritické funkce jsou předávány pouze schváleným poskytovatelům, s právem na audit a s bezpečnostními požadavky. Uvádíme outsourcing třetích stran: SLA a odpovědnost dodavatelů, plány kontinuity, kompatibilní RTO/RPO. Klienti by měli vědět, že outsourcing nezhoršuje jejich práva, a poskytovatel si zachovává kontrolu.

Pro white-label a agenturní schémata, white-label a partnerské modely popisujeme rozdělení vitríny a licencované entity, zveřejnění značky licence, passporting a právo migrace na «základního» poskytovatele při ukončení.

Rizika, TCO/ROI a soulad podle PSD3

Odhad TCO a ROI při přizpůsobení nabídky pod PSD3, povinný manažerský úkol. Počítáme CAPEX/OPEX na aktualizace API, právní revize, testy odolnosti a nezávislé audity. Potenciální pokuty a regulační rizika srovnáváme s pravděpodobnostmi incidentů a dopadem na GMV a marži na transakci.

Jaké podmínky nabídky zvyšují důvěru obchodníků? Transparentní SLA, jasná matice odpovědnosti, flexibilní směrování plateb a jasná pravidla chargebacku. Jaké metriky sledovat po aktualizaci nabídky? CAC, LTV, GMV, podíl úspěšných autorizací, rychlost vyrovnání, podíl incidentů, NPS obchodníků, výše rezerv a refundací.

Plán PSD3: etapy a termíny

Tým COREDO připravil typický plán pro dosažení souladu s PSD3:

Analýza mezer: rozdíly oproti současné nabídce, ovlivňující požadavky PSR, doporučení EBA.
Přepracování struktury: vzor veřejné nabídky PSP, propojení s politikami SCA, AML/KYC, BCP/DR.
Technické a rizikové přezkoumání: bezpečnost API, PCI-DSS, OAuth2/JWT/HSM, ISO 20022, okamžité platby.
Právní bloky: příslušné právo, jurisdikce, limity a odškodnění, outsourcing, zajištění klientských prostředků.
Test komunikací: mechanismus souhlasů, oznámení o změně podmínek nabídky, UX screenshoty.
Interní školení: provozní runbooky a KRI, KPI compliance projektu a kontrola plnění.
Pilot a nasazení: nezávislé audity, stanovení SLA, monitorování metrik, úpravy.

Termíny závisí na rozsahu, ale v průměru se vejdeme do 8–16 týdnů, pokud jsou politiky backendu připraveny a bezpečnost ověřena.

Případové studie implementací v Evropě a Asii

V EU tým COREDO upravil veřejnou nabídku pro PSP ve střední Evropě při přechodu na okamžité platby a spuštění marketplace-scenářů. Stanovili jsme SLA pro TIPS, definovali escrow rezervy a vymezení odpovědnosti mezi platformou a sub-merchanty. Po spuštění se GMV zvýšilo díky důvěře velkých obchodníků a podíl incidentů se snížil o třetinu díky jasným postupům.

V Singapuru řešení vyvinuté v COREDO pomohlo sladit veřejnou nabídku pro platební infrastrukturu s požadavky MAS a s ekvivalenty eIDAS pro elektronické podpisy. Implementovali jsme sankční screening pro asijské koridory a zajistili přeshraniční přenos dat s lokálními replikami. Regulátor schválil model outsourcingu kybernetické bezpečnosti při zachování kontroly u licencované entity.

Šablona veřejné nabídky pro PSP

Příklad veřejné nabídky pro PSP jako „kostra“ oddílů:

Pojmy a role: PSP, obchodník, uživatel, TPP, PISP/AISP, tržiště a subobchodníci.
Rozsah služeb a geografický rozsah: kanál/schémy, okamžité platby, omezené jurisdikce.
Tarify a model poplatků: transparentní informování spotřebitelů a zveřejnění, daně.
Souhlas uživatele a eIDAS: mechanika akceptace, delegování přes API.
SCA a řízení rizik PSD3: faktory, výjimky, protipodvodová opatření, KRI.
Safeguarding: bankovní účty vs pojištění, rekonsiliace, audity.
SLA pro provádění plateb a vyrovnání: metriky, servisní okna, degradace.
Vrácení a chargeback: lhůty, důkazy, rozdělení odpovědnosti PSP.
AML/KYC/CDD a sankce: RBA, SAR, spolupráce s FIU.
Soukromí a GDPR: přeshraniční přenos dat a požadavky na lokalizaci.
Outsourcing a subdodávky: právo na audit, bezpečnost, rezervy.
Provozní odolnost: hlášení incidentů, kontinuita podnikání a obnova po havárii.
Směrování plateb a korespondenti: poplatky, záložní kanály.
Omezení a limity: transakce, měny, kategorie obchodníků.
Limity odpovědnosti a náhrady škod, vyloučení odpovědnosti ve veřejné nabídce (v mezích zákona).
Ukončení a přechod: klíčové body ukončení a přechodu klientů, export dat.
Použitelné právo, jurisdikce, řešení sporů a arbitrážní doložka.
Mechanismus oznámení o změně podmínek nabídky.

Tato šablona urychluje vyjednávání „veřejné nabídky pro PSP v EU“ a odpovídá očekáváním regulátorů a obchodníků.

Kontrolní seznam pro ověření nabídky podle PSD3

Kontrola souladu nabídky s PSD3 – kontrolní seznam:

Uvedeny všechny role, kanály a schémata, včetně PISP/AISP a open banking.
SCA a výjimky jsou sladěny s politikami a UX toky.
Safeguarding je transparentní: banky/pojištění, vyrovnání, nezávislé audity.
SLA jsou definována, KPI jsou měřitelné, incidenty jsou popsány.
Vrácení/chargebacky jsou podrobně specifikovány podle schémat.
AML/KYC/CDD RBA je jasně uveden, SAR a sankční kontrola jsou zohledněny.
GDPR a přeshraniční přenos dat jsou ověřeny DPO.
Outsourcing: právo na audit, bezpečnost API, PCI-DSS.
Právní doložky: limity, rozhodné právo, spoliation-safe logování souhlasů.
Mechanika oznámení a souhlasů je testována a logována.
Integrace ISO 20022/instant-pay je reflektována v termínech a SLA.
Národní požadavky NCA jsou zohledněny, passporting je správně popsán.

Zhodnotit návratnost investic (ROI) a snížit sankční rizika

Jak ohodnotit ROI z úpravy veřejné nabídky? Porovnáváme zlepšení konverze autorizací, snížení sporných transakcí, úspory na incidentech a auditech, růst důvěry obchodníků a snížení CAC.

Jak minimalizovat riziko pokut při zavádění PSD3? Propojte každý požadavek s metrikami a odpovědnými odděleními, zajistěte nezávislé přezkumy a véďte deník rozhodnutí o rizicích.

Řízení nákladů na compliance při růstu podnikání vyžaduje prioritizaci: nejprve safeguarding a SCA, pak SLA a outsourcing, a teprve potom ojedinělé jurisdikční nuance. Takový přístup podporuje škálování multiměnové infrastruktury bez přetížení rozpočtu.

Dopad PSD3: tokenizace kryptoslužeb

Dopad PSD3 na kryptoslužby a tokenizaci se projevuje v požadavcích na KYC/AML, SCA, ukládání a převod hodnoty prostřednictvím platební infrastruktury. Veřejná nabídka a požadavky PCI-DSS jsou důležité pro tokenizaci karet a scénáře on/off-ramp. Pro tokenizaci karet a bezpečnost platebních údajů stanovujeme PCI povinnosti obchodníka a roli poskytovatele tokenizace, stejně jako povinnosti v oblasti kyberbezpečnosti API, OAuth2, JWT, HSM.

Přístup třetích stran k API a podmínky nabídky by měly odstraňovat nejasnosti ohledně práv k údajům a zrušení přístupu. Open banking ovlivňuje smluvní vztahy, a nabídka by měla být v souladu s dohodou s obchodníky a SLA pro vyrovnání plateb.

Regulační praxe a pískoviště

Licencování platebních poskytovatelů v EU a v Asii zůstává odlišné, ale ideologie je jednotná: prokažte řízení rizik smlouvami a postupy.

Regulační pískoviště pro platební služby v jednotlivých zemích pomáhá otestovat veřejnou nabídku platební infrastruktury pro omezený okruh klientů. V projektech často testujeme postupy řešení sporů, SLA a safeguarding právě v pískovišti, abychom urychlili následnou certifikaci.

Role národních kompetentních orgánů v dohledu nad PSP sílí, a veřejná nabídka PSR je první kontaktní bod dohledu s vaším „tone of compliance“. Čím přesnější dokument, tím snazší projít off-site a on-site kontrolami.

Živé formulace: co si obchodníci cení

Jaké podmínky nabídky zvyšují důvěru obchodníků? Já jasně vymezuji odpovědnost za zpoždění vyrovnání plateb, transparentní matici slev při růstu obratu a popisuji fallback-směrování plateb. Smlouva s obchodníky často obsahuje KPI pro autorizace, lhůty pro refundace a kvalitu podpory, a také právo na předčasné ukončení při degradaci SLA. Taková rovnováha zájmů stabilizuje GMV a snižuje churn.

Pro white-label PSP je vhodné zveřejnit «kdo je skutečně licencován» a kde bude klient moci pokračovat v obsluze po ukončení dohody o white-label. Klíčové body ukončení a přechodu klientů popisují export dat, rozbalení tokenů a termíny finanční migrace.

Práce na projektech COREDO

Naše zkušenost v COREDO ukázala: dokonalá nabídka není možná bez synchronizace právního textu, technologických standardů a provozních runbooků. Tým COREDO vytvořil interaktivní matici, kde se každý bod nabídky mapuje na kontrolu ISO 27001/PCI-DSS, postup v antifraud, KPI v SLA a režim BCP. To vytváří bezšvovou kontrolu a usnadňuje nezávislé audity.

Když klient připravuje «públicная оферта для white-label PSP», prověřujeme prověrku (due diligence) partnera, jeho záložní kapacity, směrování, a také podmínky subdodávek. V důsledku toho nabídka odráží reálnou škálu rizik a obstojí při prověrkách jak podle pokynů EBA, tak i lokálních NCA.

Nabídka jako strategické aktivum

Veřejná nabídka pro platební službu podle PSD3 a PSR není právní formalitou. Je to strategické aktivum, které chrání uživatele, snižuje rizika a zvyšuje tržby díky důvěře obchodníků a efektivitě operací. Když dokument propojuje SCA, safeguarding, AML/KYC, SLA a zabezpečení API s reálnými procesy, podnikání se v EU, v Asii a SNS sebevědomě rozšiřuje.

COREDO připravuje «ofertu platebního poskytovatele PSD3» rychle a systematicky, vycházející z praxe auditů a případových studií v různých jurisdikcích. Pokud váš produkt potřebuje «veřejnou nabídku pro PSP v EU», «veřejnou nabídku při zavádění instantních plateb» nebo «šablonu veřejné nabídky PSP» pro white-label a tržiště, tým COREDO upraví dokument podle požadavků EBA, návrhu nařízení EU PSD3/PSR a očekávání obchodníků. Věřím v jednoduchý vzorec: silná oferta – méně incidentů, vyšší konverze, stabilnější růst.