Nikita Veremeev
21.02.2026 | 6 minutové čtení
Aktualizováno: 21.02.2026
Od roku 2016 vedu COREDO a každý den vidím, jak Open Banking mění pravidla hry pro banky, fintechy a klienty. Otevřená bankovní API se z nápadu proměnila v infrastrukturu, na které se budují platební služby, agregátory účtů, BaaS platformy a integrované finance. Do roku 2026 vstoupí sektor do nové fáze, s přechodem od PSD2 k PSD3, přehodnocením licencování platebních služeb, posílením AML/CFT a jednotnými standardy zabezpečení API. V tomto článku se podělím o praxi COREDO: jak připravit architekturu, licence a procesy tak, aby nejen odpovídaly změnám, ale také umožnily vybudování udržitelného obchodního modelu.
Tým COREDO realizoval desítky projektů registrace právnických osob v EU, Velké Británii, Singapuru a Dubaji, získával licence pro PISP a AIS, pomáhal spouštět e-money a platební instituce, nastavoval AML, SCA a GDPR. Naše zkušenosti v COREDO ukázaly: úspěch se formuje na rozhraní licencování, technologií a operační kontroly. Níže: praktická roadmapa, kterou sám používám při hodnocení projektů.
Jak se připravit na Open Banking 2026
Regulace Open Bankingu se zrychluje. V EU směrnice PSD3 a související platební nařízení (PSR) směřují k jednotným pravidlům pro přístup k účtu (XS2A), zpřísnění požadavků na autentizaci klientů (SCA) a jasnějšímu modelu odpovědnosti poskytovatelů třetích stran. Současně probíhá přechod k jednotné licenci Open Finance – od platebních účtů k investičním produktům, pojištění a penzijním produktům, což otevírá nové toky dat a služeb.
Licencování Open Bankingu se stává podrobnějším. Regulátoři upřesňují kritéria pro licence PISP a AIS pro rok 2026, zavádějí dodatečné požadavky na kapitálovou přiměřenost pro poskytovatele e-money a kapitálové normy pro PSP v roce 2026. Týmy se připravují na povinnost standardů FAPI a OAuth v roce 2026, jednotné požadavky na správu API a přeshraniční audit.
Změny ovlivňují obchodní model Open Bankingu po zpřísnění licencí. Ziskovost je nyní založena na přesném výpočtu unit economics, rozumné cenové politice pro API, SLA a škálovatelné architektuře. Řešení vyvinuté v COREDO pro jednoho z evropských fintechů zvýšilo rentabilitu díky přepracování cenotvorby (subscription + per-call), optimalizaci rate limiting a zavedení revenue share pro partnery.
PSD2 k PSD3: změny Open Bankingu
Přechod z PSD2 na PSD3 v roce 2026 odstraňuje dřívější šedé zóny. Regulátoři upevňují postavení TPP, zavádějí jasnější postupy dohledu a auditu pro TPP v roce 2026 a činí povinnými mechanismy správy souhlasů s explicitními potvrzeními o souhlasu. Banky dostanou jasné povinnosti ohledně přístupu k účtům, a odmítnutí připojení z technických důvodů bude vyžadovat zdokumentované odůvodnění a KPI pro dostupnost API.
Co se prakticky změní v pravidlech PSD3 pro Open Banking? Zesílení SCA a bezpečnosti API, unifikace požadavků na verze API, na logování a připravenost pro forenzní analýzu, a také nové předpisy pro správu zákaznických dat v Open Bankingu. Regulátor zesílí dohled nad rozdělením odpovědnosti mezi bankou a TPP, aby klienti nezůstali rukojmími složitých smluv.
Současně se formuje přechod od PSD2 k jednotné licenci Open Finance. Očekávám postupné zavádění: nejprve platební a informační služby, následně rozšíření na investice a pojištění. To znamená novou úroveň náležité prověrky pro poskytovatele, přehodnocení DPIA a opětovné posouzení rizik zveřejnění dat.
Licencování PISP, AIS a elektronických peněz
В COREDO часто стартуем с карты лицензирования: модель услуг, юрисдикция, целевые рынки, источники дохода и риски. bankovní licence vs лицензия электронных денег принципиально различаются по капитальным требованиям, надзору и функционалу. Для многих моделей embedded finance e-money и/или регистрация платёжного учреждения в ЕС 2026 дают оптимальный баланс между скоростью выхода и охватом.
Jak získat licenci PISP v EU po roce 2025? Doporučuji začít 6–9 měsíců předem: právnická osoba v vhodné jurisdikci EU, obchodní plán s unit economics, politika SCA, popis zabezpečení API, smluvní základ s bankami a platebními procesory, AML/CTF rámec, а также operational resilience и BCM. Практика COREDO подтверждает: сильный technology risk assessment и DPIA сокращают вопросы регулятора и ускоряют рассмотрение.
Regulátoři zavádějí tiered licensing model и modular licensing. Licence s omezenou činností (limited activity / lite license) umožňují ověřit unit economics на одном рынке, а затем расширяться. Sandbox licencování pro Open Banking je pracovní nástroj v Сингапуре (MAS APIX), в отдельных странах ЕС и на Ближнем Востоке. Важно учитывать регуляторные песочницы и критерии выхода: четкие KPI по рискам, отчетность и план масштабирования.
Passporting a запрет на passporting после Brexit изменили стратегии выхода на рынки. V EU má passporting pro platební licence stále hodnotu, а в Великобритании требуется отдельная лицензия FCA. Equivalence regimes и взаимное признание лицензий mezi ЕС и СНГ применяются ограниченно, поэтому международное лицензирование Open Banking почти всегда требует локальной стратегии и структурирования кросс-бордер-потоков данных.
Požadavky na otevřená bankovní API
Požadavky na API Open Banking v roce 2026 se konsolidují kolem FAPI (Financial-grade API), OAuth 2.0 a OpenID Connect, stejně jako mTLS pro vzájemnou autentizaci. Povinnost standardů FAPI a OAuth v roce 2026 znamená přestavbu bezpečnostních profilů a přehodnocení klientských SDK. Tým COREDO zaváděl podobné profily pro poskytovatele AIS: implementovali jsme token binding, rotatable keys a přísné řízení oprávnění (scope management), což zvýšilo podíl autorizací bez tření a snížilo počet incidentů.
Interoperabilita se stane podmínkou licencování. Berlin Group a NextGenPSD2 určují profil API v EU, a ISO 20022 ovlivňuje platební integrace a sémantiku zpráv. Doporučuji nastavit API governance a versioning s jasnými pravidly pro ukončování podpory (deprecation), a také zavést API SLA, rate limiting a throttling, aby byla pro partnery zajištěna předvídatelnost.
Bezpečnost, nejen šifrování. Tokenizace platebních dat, šifrování v klidu (at rest) a při přenosu (in transit), centralizované řízení tajemství, povinné logování, auditní záznamy a forenzní připravenost – to vše regulátoři kontrolují v rámci prudenciálního dohledu. Testování bezpečnosti API a požadavky na pentesty jsou zakotveny v licenčních podmínkách; COREDO pomáhá klientům připravit se na testy, zavádět bug bounty a formalizovat Secure SDLC. Pro zralé hráče mít úrovně SOC 2 a ISO 27001 zvyšuje šance na partnerství s bankami.
Ochrana osobních údajů a GDPR
Soulad s GDPR v Open Bankingu — základ. Regulátoři vyžadují Data Protection Impact Assessment (DPIA), mechanismy minimalizace dat a privacy by design, srozumitelné postupy pro přenositelnost údajů a mezibankovní sdílení dat. Řízení souhlasu (consent management) a potvrzení souhlasu (consent receipts) musí být čitelné, a odvolání souhlasu (consent revocation) rychlé, s jasnými právními důsledky pro zastavení zpracování a vymazání.
požadavky regulátorů na správu klientských dat v Open Bankingu se zpřísňují. Doporučuji jmenovat datového správce, stanovit politiku uchovávání a mazání, zavést DLP a klasifikaci dat. Přeshraniční toky dat a lokalizace vyžadují mapování dat a právní základy pro přeshraniční přenos, zejména při práci v Asii a na Blízkém východě.
Význam digitální identifikace eIDAS při licencování Open Bankingu roste, a eIDAS 2 a digitální identifikace klientů urychlují onboarding a snižují podvody. W3C Verifiable Credentials a digitální peněženky poskytují způsob, jak ověřovat atributy bez zbytečné výměny dat. Řešení vyvinuté v COREDO pro jednoho klienta v EU integrovalo eID a VC do KYC procesu, což snížilo CAC a urychlilo aktivaci účtů.
AML/CFT a řízení rizik pro TPP 2026
Požadavky AML/CFT pro TPP zahrnují metodologii orientovanou na rizika, segmentaci klientů, hodnocení rizik a monitorovací scénáře. Automatizace KYC/KYB a nástroje pro ověřování skutečných vlastníků tvoří základ pro boj proti legalizaci výnosů z trestné činnosti a sankčním rizikům. V COREDO jsme vytvářeli vícestupňové scénáře pro PISP, včetně behaviorálních vzorců, velocity-pravidel a geo-rizika.
Operační odolnost a řízení kontinuity provozu (BCM) — další oblast pozornosti. Regulátoři očekávají plány odolnosti vůči výpadkům, testování obnovy, reakce na incidenty a povinná oznámení regulátorovi. Řízení rizik třetích stran a dohled nad dodavateli jsou zakotveny v politice; kontrolní seznam vendor due diligence pomáhá vybírat poskytovatele KYC, cloudové platformy a zpracování plateb s ohledem na požadavky dohledu.
Postupy dohledu a auditu pro TPP v roce 2026 zahrnují pravidelné vykazování, nezávislý AML audit a IT kontroly, a také kontrolu změn v API. Nárůst AML rizik v otevřeném bankovnictví v roce 2026 vyžaduje oporu v konsorciálních signálech podvodů, sdílení indikátorů kompromitace a standardizované formáty pro hlášení SAR/STR. Praxe COREDO potvrzuje: včasná integrace s regulačními portály snižuje zátěž compliance týmu.
Smlouvy a pojištění odpovědnosti
TPP model odpovědnosti musí být zachycen ve smlouvách s bankami a obchodníky. Alokace odpovědnosti mezi bankou a TPP musí zohledňovat SCA, zpracování plateb, SLA API a zpracování chyb. Ustanovení o náhradě škody a pojištění odpovědnosti (pojištění profesní odpovědnosti, kybernetické pojištění) kryjí zbytková rizika a požadavky partnerů na limity krytí.
Šablony smluv pro API partnerství zahrnují oddíly o API SLA, rate limits, maintenance windows, versioning, auditech a bezpečnostních požadavcích. Právní důsledky úniku dat přes Open Banking API se zpřísňují: kromě pokut podle GDPR partneři zahrnují smluvní pokuty a mechanismy regresních nároků. V COREDO pomáháme vybudovat rovnováhu: splnitelné závazky a ověřitelné metriky.
Monetizace a škálování
Strategie vstupu na trh pro fintech s Open Banking kombinuje licencování, cenotvorbu a partnerství s bankami. Go-to-market pro BaaS a embedded finance vyžaduje jasnou roli: poskytovatel licence, technologický orchestrátor nebo obojí současně. Monetizace API v B2B2C a B2C se liší z hlediska CAC, LTV a doby návratnosti; v prvním případě se sází na korporátní smlouvy a integrace, v druhém na produkt a marketing.
Modely cenotvorby pro API (per-call, subscription, revenue share) ovlivňují jednotkovou ekonomiku platebních produktů. Doporučuji počítat ROI metriky: CAC, LTV, marži na transakci, fixní náklady na compliance a náklady na SLA. Metodiky výpočtu ROI projektů Open Banking při licenčních nákladech by měly zohledňovat roční audity, penetrační testy, pojištění, poplatky regulátorovi a rovněž rozpočet na SOC 2/ISO 27001.
Škálovatelnost vyžaduje cloud-native a multi-region nasazení, mikroservisní architekturu, API gateway a event-driven přístup. Jak škálovat BaaS při nových požadavcích na licence? Rozdělit stacky podle jurisdikcí, standardizovat bezpečnost, centralizovat monitoring a logy, a také modelovat zátěžové testy. Tým COREDO zaváděl podobnou architekturu ve dvou regionech EU a Asie s jednotnými kontrolami a lokalizací datových toků.
Mezinárodní trhy a pískoviště
MAS APIX a asijské sandboxy umožňují testovat produkty s bankami a TPP, procvičovat SCA a KYC v kontrolovaném prostředí. Open Banking Nigeria směřuje k vlastním standardům a místním regulacím, kde je důležitá lokalizace dat a výměna s centrální bankou. Account Aggregator (model Indie) ukazuje, jak consent-architektura a jednotná výměna vytvářejí škálovatelný ekosystém.
Regulační pískoviště a kritéria pro opuštění (supervisory sandbox exit criteria) vyžadují jasné KPI, manažerské reportování a plán souladu s plnou licencí. Které asijské trhy přizpůsobí nové licence Open Banking rychleji? Singapur a Hongkong postupují dynamicky; SAE urychlují požadavky na BaaS a digitální identifikaci; některé trhy jihovýchodní Asie jdou etapami, začínají piloty v oblasti plateb.
Mezinárodní licencování Open Banking nevyhnutelně souvisí s cross-border data flows. V COREDO navrhujeme lokalizační matice, podepisujeme standardní smluvní doložky a strukturujeme právnické osoby v EU, Velké Británii, Singapuru a Dubaji pro legální výměnu a zpracování dat.
Případové studie COREDO
Případ 1: licence pro PISP a AIS v EU. Klient: fintech zaměřený na multibanking a platby v reálném čase. Tým COREDO provedl registraci platebního ústavu, připravil dokumentaci k SCA a zabezpečení API, implementoval FAPI, OAuth 2.0 a mTLS, nastavil profil Berlin Group a platby ISO 20022. V dohodách s bankami jsme zakotvili rozdělení odpovědnosti, dohodli SLA pro API a správu verzí. Výsledek: licence a připojení ke více než 30 bankám za 9 měsíců.
Případ 2: e-money + BaaS ve Velké Británii a v EU po Brexitu. Klient potřeboval dvě licence a oddělení datových toků. Řešení vyvinuté v COREDO oddělilo právní subjekty, standardizovalo SOC 2/ISO 27001, zavedlo DPIA a privacy by design a také zorganizovalo dohled nad dodavateli pro poskytovatele KYC. Výsledek – rychlé uvedení embedded finance produktů B2B2C s transparentním modelem rozdělení příjmů.
Případ 3: Singapur a digitální identifikace. Pro lokální AIS/TPP jsme integrovali eKYC, eID a W3C Verifiable Credentials, připojili MAS APIX sandbox a provedli sandbox licencování pro Open Banking. Po dosažení KPI klient přešel na plnou licenci, přičemž si ponechal všechny politiky pro BCM, reakci na incidenty a regulační reporting.
Případ 4: M&A a due diligence kontrolní seznam pro aktiva Open Banking. Investor zvažoval koupi poskytovatele s licencí AIS. Praxe COREDO zahrnovala kontrolu licence, kapitálové požadavky, stav bezpečnosti API, logy a auditní stopy, GDPR/DPIA, AML/CFT scénáře, pojistné krytí, smlouvy s bankami a rozdělení odpovědnosti. Kupující obdržel mapu rizik a integrační plán na 180 dní.
Náklady, termíny a plán souladu 2026
Otázka: kolik stojí dodržení nových pravidel licencování? Odhad nákladů na splnění požadavků nových licencí Open Banking se skládá z počátečních poplatků regulátorovi, právní přípravy, technologií (FAPI, OAuth, mTLS, tokenizace, logování), auditů (IT/AML), pentestu, pojištění, SOC 2/ISO 27001 a personálních nákladů na compliance. Podle našich pozorování je pro PISP/AIS v EU rozpočet prvního roku často srovnatelný s 12–18 měsíci burn-rate na compliance a bezpečnost.
Otázka: jaké lhůty mají regulátoři pro zavedení PSD3/analogů? V roce 2026 se očekává přechodné období, kdy staré licence zůstávají v platnosti, ale vyžadují aktualizaci v oblasti SCA, API a dat. Délka přechodného období na nové licence Open Banking činí několik čtvrtletí; kombinované projekty zahrnující licenci i techniku probíhají rychleji.
Plán souladu 2026 a projektový plán by měly zahrnovat: licencování (PISP/AIS/e-money/platební instituce), technický základ API, GDPR/DPIA a eIDAS, AML/CFT a scénáře, BCM a provozní odolnost, pojištění, regulatorní vykazování a formát vykazování, stejně jako připravenost na prudentiální dozor. Tým COREDO doporučuje čtvrtletní kontrolní body, aby regulátor viděl předvídatelnost pokroku.
Často kladené otázky klientů
Otázka: jak se rozděluje odpovědnost při podvodu přes TPP? Odpovědnost se řídí smlouvami a pravidly regulátora: pokud TPP správně aplikoval SCA a dodržoval SLA, banka pokryje část ztrát; pokud TPP porušil SCA nebo zpracoval transakci bez souhlasu, odpovědnost přechází na TPP. Trvám na jasných ustanoveních o odškodnění (indemnity clauses) a na postupu pro vyšetřování.
Otázka: má smysl měnit jurisdikci registrace kvůli novým pravidlům? Často není nutné migrovat, pokud je trh klíčový. Mnohem produktivnější je doladit licence, posílit zabezpečení API, přepracovat DPIA a lokalizovat data při přeshraničních tocích. V některých případech relokace kvůli passportingu v EU nebo přístupu do sandboxu v Asii přinese zrychlení.
Otázka: lze použít externí KYC služby pro splnění požadavků nových licencí? Ano, za podmínek due diligence dodavatele, technických a právních SLA, kontrol shody s AML/CFT a ochraně dat. V COREDO vytváříme kontrolní seznam due diligence dodavatele, který zahrnuje kontrolu sankcí, stresové testy SLA a plány nouzového přepnutí.
Otázka: co se změní v PSD3 pro Open Banking? Zesílí SCA, sjednotí se požadavky na API, odpovědnost bude jasnější a správa souhlasů (consent management) se stane jádrem. Regulátor rozšíří dohled nad TPP a banky obdrží jasné povinnosti týkající se přístupu k účtům, což usnadní připojení.
Otázka: jak ovlivní nová licenční pravidla banky a fintechy? Banky aktualizují API a bezpečnost, posílí kontrolu dodavatelů a standardizují smlouvy. Fintechy investují do bezpečnosti, AML a architektury, ale získají větší předvídatelnost a vyšší úroveň důvěry na trhu.
Kontrolní seznam bezpečnosti XS2A a API 2026
XS2A (přístup k účtu) v roce 2026 znamená: FAPI profile, OAuth 2.0, OpenID Connect, mTLS; SCA a bezpečnost API; Berlin Group/NextGenPSD2 a ISO 20022; správa API a verzování; SLA API, omezení rychlosti a throttling; tokenizace, šifrování v klidu / při přenosu; logování, auditní stopy a forenzní připravenost; testování bezpečnosti API, penetrační testy; SOC 2 a ISO 27001. V COREDO tento seznam proměňujeme v pracovní plán projektu s odpovědnými osobami a termíny.
BaaS a integrované finance: rizika a růst
Banking-as-a-Service poskytuje rychlý přístup na trh, ale nese provozní rizika. Licencování a compliance BaaS vyžadují transparentní rozdělení odpovědnosti, kontrolu dodavatelů, pravidelné auditorské postupy a stresové testování procesů. Jak škálovat BaaS při nových požadavcích na licence? Rozdělovat odpovědnost na úrovni smluv, včleňovat bezpečnost do architektury a udržovat jednotné standardy logování a vykazování.
Monetizace dat a ochrana soukromí spolu fungují, pokud použijete privacy by design, souhlasy a minimalizaci dat. Cenové modely pro API – od per-call po subscription a revenue share musí zohledňovat throttling, cache vrstvy a konverzi ISO 20022, jinak bude jednotková ekonomika «pohlcena» náklady na výkon.
Smlouvy banky a TPP: změny pravidel
Smlouvy banky a TPP v roce 2026 je lepší stavět na modulárních šablonách: licence a soulad; API a bezpečnost; SLA a verze; odpovědnost a odškodnění; data a GDPR; audit a dohled. Rozdělení odpovědnosti zakotvujte matematicky: procenta pokrytí, limity, postupy vyšetřování. Přidávejte pojištění odpovědnosti (kybernetické, profesní), stejně jako ustanovení o povinných oznámeních a lhůtách obnovy.
COREDO zavádí smluvní balíčky s přílohami pro API, SLA a bezpečnostní profily, aby snížil cykly schvalování. Takový přístup urychluje integrace a zvyšuje předvídatelnost pro všechny strany.
Výsledky pro vedoucí a ředitele
Open Banking 2026 je o zralosti: licencování, bezpečnost API, GDPR, AML/CFT a provozní odolnost. Obchodní model získává výhodu, když licence a technologie fungují společně: pak se ROI stává předvídatelným a růst říditelným. Tým COREDO pomáhá projít cestu od registrace platební instituce k mezinárodnímu škálování, propojující požadavky regulátorů s reálnými obchodními metrikami.
Pokud plánujete licenci pro fintech v EU v roce 2026, připravujete se na licence PISP a AIS pro 2026 nebo kombinujete BaaS a e-money, začněte mapou požadavků: PSD3/PSR, GDPR a DPIA, FAPI/OAuth/mTLS, AML/CFT, BCM, reporting, pojištění a smlouvy. Dále strukturovat jurisdikce, vyčleňte rozpočet na dodržování předpisů, vyberte standardy API a připravte tým na dohled.
Věřím v Open Banking, který vytváří transparentnost, konkurenci a nové služby. A z vlastní zkušenosti COREDO vím: když strategie licencování, architektura a compliance jdou jedním směrem, trh odpovídá důvěrou a produkt: růstem.