KYC refresh – proč banka znovu požaduje dokumenty společnosti a jak tím projít

Nikita Veremeev

07.03.2026 | 6 minutové čtení

Aktualizováno: 07.03.2026

Ptají se mě pravidelně: proč banka znovu požaduje dokumenty společnosti rok po otevření účtu, pokud se přece nic „nezměnilo“? Odpověď je jednoduchá: KYC refresh — není jednorázová kontrola, ale povinná součást životního cyklu vztahu mezi bankou a klientem. Banky jednají v souladu s doporučeními FATF, 5. a 6. směrnicí EU pro boj proti praní špinavých peněz (AMLD5, AMLD6), místními pravidly AML a pravidly pro sankční compliance. Tyto standardy vyžadují periodické prověřování klientů banky (periodic KYC), stejně jako mimořádné aktualizace údajů při zásadních změnách v podnikání.

Je tu ještě jeden důležitý faktor: GDPR a požadavky na transparentnost zpracování osobních údajů. Banky jsou povinny požadovat pouze nezbytné údaje, uchovávat je v souladu s politikou uchovávání dat (data retention) a při mezinárodním přenosu používat právní mechanismy, jako jsou Standardní smluvní doložky (SCC). V důsledku toho se požadavky staly konkrétnějšími, ale také častějšími: selektivní, cílené aktualizace údajů klienta (KYC) jsou novým standardem, nikoli výjimkou.

Co banka kontroluje při obnovení KYC?

Základem aktualizace KYC je CDD: Zákaznická prověrka, tedy identifikace a ověření společnosti (KYB: Poznejte své podnikání), jejích ředitelů, akcionářů a konečných příjemců výhod (UBO: Konečný příjemce výhod). Kontrola se týká struktury vlastnictví, údajů z rejstříku akcionářů (rejstřík akcionářů) a, pokud existují, trustových smluv a dalších dokumentů týkajících se trustových struktur. Banka porovnává údaje s korporačním schématem vlastnictví (schéma vlastnictví), potvrzuje je prostřednictvím státních rejstříků společností (např. Companies House a její protějšky v EU) a rejstříků transparentnosti vlastnictví (rejstřík skutečných vlastníků, rejstřík korporátní transparentnosti).

Obligatorním prvkem je sankční screening – porovnání se sankčními seznamy OFAC, EU a OSN, stejně jako PEP screening (politicky exponované osoby) a prověření negativních zmínek v médiích (adverse media screening). Současně banka analyzuje transakce: souladu toků s deklarovanou činností, prahové hodnoty pro monitorování transakcí, pravidla upozornění v TMS (Systém monitorování transakcí), případy podání hlášení o podezřelé aktivitě (SAR, Hlášení o podezřelé aktivitě).

Spouštěče pro aktualizaci KYC

Spouštěče pro KYC refresh jsou události, které banka musí sledovat a prověřit. Hlavní příklady: změna vlastníka nebo UBO, obměna ředitelů nebo tajemníka, emise nových akcií nebo změna podílů, restrukturalizace, vznik nominátních uspořádání (nominee arrangements), práce s akciemi na doručitele (bearer shares) v historických strukturách, otevírání zahraničních poboček, vstup na nové trhy.

Aktualizace KYC v EU, Asii a SNS

KYC refresh v bankách EU se vyznačuje silným spoléháním na AMLD5/AMLD6, zveřejňováním UBO přes veřejné nebo semi-otevřené registry, využíváním eIDAS pro elektronickou identifikaci a aktivní digitalizací procesů eKYC. V řadě jurisdikcí (např. Estonsko, Kypr) banky požadují úředně ověřené překlady a apostilu, a také pečlivě kontrolují soulad s GDPR, včetně DPIA (hodnocení dopadu na ochranu osobních údajů) pro složité případy.

V Asii je situace nesourodá. Singapur (MAS) a Hongkong (HKMA) podporují vysoké standardy, ale zároveň široce používají digitální onboarding, biometrickou verifikaci a API integrace s vládními registry. V zemích jihovýchodní Asie banky aktivněji spolupracují s poskytovateli identifikace a ověřování identity, zavádějí OCR a automatické kontroly dokumentů, ale vyžadují podrobné ekonomické odůvodnění plateb. Tým COREDO realizoval několik projektů eKYC v Singapuru a zaznamenává rostoucí důraz na continuous monitoring a snižování false positives v TMS.

V zemích SNS přístup závisí na konkrétní jurisdikci a korespondenční bance. Často klíčovou roli hraje due diligence v rámci korespondenčního bankovnictví: evropští nebo asijští partneři vyžadují od místních bank zvýšenou kontrolu. Kvůli tomu může KYC refresh zahrnovat dodatečná potvrzení obchodní činnosti, prohloubenou analýzu vlastnické struktury a sankční filtry na úrovni mezinárodních plateb. Zde řešení vyvinuté v COREDO, připravené balíčky dokumentů pro korespondenty a přehledné ownership charts výrazně snižují tření.

Příprava dokumentů pro obnovení KYC

Seznam dokumentů pro obnovení KYC závisí na rizikovém profilu a jurisdikci. Obvykle banka vyžádá:

• zakladatelské dokumenty, potvrzení o zápisu společnosti a platné potvrzení o obsazení funkcí;
• stanovy, firemní usnesení a plné moci (power of attorney), seznam akcionářů a zápisy o změnách;
• potvrzení UBO a zveřejnění vlastnického řetězce, včetně nominee smluv, trust deed a údajů o trustee/protektorech;
• organizační schéma vlastnictví s procentuálními podíly a jurisdikcemi, a také doprovodná vysvětlující poznámka ke struktuře;
• dokumenty potvrzující ekonomickou činnost: klíčové smlouvy, faktury, přepravní doklady, popis obchodního modelu a unit-ekonomiky;
• potvrzení adresy a substance: nájemní smlouvy na kanceláře, mzdové údaje, informace o zaměstnancích a ředitelích;
• bankovní doporučující dopis (bank reference) na vyžádání, auditorské zprávy, daňová přiznání;
• ověřené překlady a apostila/notářské ověření, pokud to banka vyžaduje;
• politika AML/CFT, popis systému monitoringu transakcí (pokud jste finanční společnost), prahové hodnoty pravidel, postupy pro oznámení podezřelých transakcí (SAR).

Jak projít aktualizací KYC v bance

Doporučuji začít proaktivním kontaktem s relationship managerem. Dohodněte formát předání dat, SLA na kontrolu a kanály komunikace. Pokud je struktura složitá: připravte krátkou „narrativní poznámku“, kde krok za krokem vysvětlíte obchodní model, směrování plateb a roli každého článku vlastnictví. Naše zkušenost v COREDO ukázala, že jedna stránka jasných vysvětlení ušetří týdny schvalování.

Dále: kontrola dokumentů podle formálních požadavků: aktuálnost potvrzení, doba platnosti apostily, shoda jmen a adres ve všech zdrojích, logika schématu vlastnictví a absence „přerušení“ ve vazbách. Dobrá praxe: vyexportovat case management report: seznam příloh, verze každého souboru, datum aktualizace, kdo je připravil. To zvyšuje důvěru compliance officera a urychluje práci.

Konečně připravte odpovědi na typické otázky: zdroje prostředků a majetku, důvody netypických transakcí, role protistran, vysvětlení cenových anomálií. Pokud banka spouští EDD, dohodněte hranice, abyste neplýtvali zdroji na zbytečné požadavky. Tým COREDO pomáhá nastavit „hranice“ kontroly a dohodnout se na konkrétních ukazatelích dokončení.

Kontrolní seznam KYC pro vedoucího

• Upřesněte periodicitu kontrol: roční, dvouleté, na základě triggeru a kritéria přístupu založeného na riziku.
• Aktualizujte KYC profil: ředitelé, akcionáři, UBO, adresy, substance, kontaktní osoby.
• Připravte schéma vlastnictví (ownership chart) a narrativní poznámku o obchodním modelu a transakcích.
• Zkontrolujte sankční a PEP rizika u klíčových osob, proveďte screening negativních zpráv (adverse media screening).
• Porovnejte prahové hodnoty a pravidla TMS, popište SAR postupy a case management.
• Zajistěte certifikované překlady a apostilu tam, kde je to nutné.
• Dohodněte GDPR/SCC, politiku uchovávání dat a přístupů, audit trail.
• Vypracujte postupy pro „materiální změny“ a mechanismy oznamování bance (material change reporting).
• Ukončete „otevřené záležitosti“ z předchozích požadavků banky a dohodněte SLA pro současné kolo.

Běžné chyby: jak se jim vyhnout

Třetí chybou je ignorování požadavků na ochranu soukromí a mezinárodní přenos dat. Neschválené SCC nebo absence DPIA pro citlivé procesy vedou k vracení záležitostí na úroveň právního útvaru banky. V COREDO tato rizika řešíme předem: připravujeme vizualizaci řetězce vlastnictví a entity resolution, prověřujeme dokumenty pomocí OCR a kontrolních pravidel, kontrolujeme sankční a PEP flagy a poskytujeme vysvětlení k negativním mediálním zmínkám.

Kdy je potřeba EDD a jak projít prověrkou

Rozšířená kontrola klientů (EDD) se aktivuje při vysokém rizikovém ratingu, složité mezijurisdikční struktuře, přítomnosti prvků trustu, nominátním uspořádání nebo případech akcií na doručitele. Jako spouštěče slouží také vazby na sankčně citlivá odvětví, netypické trasy plateb, činnost ve více oblastech regulačního dohledu a požadavky ze strany korespondenčních bank.

AML, sankce a compliance v praxi

Silný compliance-program pro pravidelný KYC refresh se opírá o RBA, jasný model hodnocení rizika klienta, frekvenci kontrol a průběžné monitorování. Trvám na pravidelném testování sankčních filtrů (OFAC/EU/UN), aktuálních zdrojů PEP, nastavení monitoringu negativních médií s cílem snížit falešná pozitiva a na transparentní eskalaci případů.

Z hlediska procesů jsou důležité:

• zdokumentovaná politika uchovávání dat a mechanismus DSAR;
• jasná auditní stopa a deník změn;
• pravidla SAR a linie odpovědnosti;
• připravenost na regulatorní kontroly a kontrolní akce;
• školení týmu a pravidla pro aktualizace na základě spouštěčů.

Pro fintech společnosti doporučuji mít po ruce materiály o suptech-trendech a regulatorních očekáváních, a také udržovat dialog s bankou o kalibraci prahových hodnot TMS a snížení falešných poplachů. Taková otevřenost posiluje důvěru a snižuje pravděpodobnost neočekávaných blokací.

Návratnost investic z automatizace KYC

Digitální onboarding a eKYC se již staly standardem v EU и v Asii. Провайдеры идентификации предлагают биометрическую верификацию, OCR и автоматическую проверку документов, API-интеграции с реестрами компаний и rejstříkem skutečných majitelů (beneficial ownership register), а также blockchainová řešení для верификации неизменности записей. В COREDO мы настраиваем case management, rules engine для автоматических правил, систему уведомлений и прозрачной коммуникации с клиентами.

Distanční ověření dokumentů je srovnatelné z hlediska spolehlivosti s osobním, pokud jsou přítomny multifaktorové kontroly a správné nastavení rizikových pravidel (risk rules). V případě potřeby kombinujeme přístupy: eKYC pro většinu případů a osobní pohovory při EDD. Takový hybrid pomáhá udržet rovnováhu mezi zákaznickou zkušeností a souladem s předpisy.

Případové studie COREDO

• Platební společnost v EU. Klient rozšiřoval operace na dva nové trhy a banka iniciovala KYC refresh s EDD. Tým COREDO připravil diagram vlastnictví s podrobnostmi podle jurisdikcí, popis obchodního modelu, nastavil sadu potvrzení podle TMS prahů a postupů SAR. Zajistili jsme ověřené překlady a apostilu pro část dokumentů, synchronizovali GDPR/SCC pro přenos dat poskytovateli v třetí zemi. Výsledek: uzavření kontroly za 19 pracovních dnů místo předpokládaných 8 týdnů.
• Fintech v Singapuru s krypto-licencí. Banka požádala o opětovné potvrzení UBO a vysvětlení složité trust-struktury. Řešení vyvinuté v COREDO zahrnovalo forenzní due diligence zdrojů prostředků, prověrky pozadí klíčových osob, a také vizualizaci řetězce vlastnictví a identifikaci entit. Upravili jsme nastavení sankčních a PEP filtrů, snížili počet false positives o 32 % a pomohli bance dohodnout nový režim continuous monitoring bez zvýšení provozních nákladů klienta.
• Výrobní skupina ze SNS s provozním centrem v Česku. Bance byly požadovány dokumenty pro potvrzení ekonomické činnosti, ověření dodavatelského řetězce a soulad s GDPR při přenosu záloh dat do cloudu. Praxe COREDO potvrdila: jasná sada smluv, přepravních dokladů a vysvětlení logistiky v kombinaci s DPIA a SCC odstraňují pochyby. Kontrola proběhla včas, riziko odmítnutí bylo odstraněno a banka se vzdala „de-riskingu“.

Řízení očekávání: cena/termíny/rizika

Doba provedení obnovení KYC závisí na rizikové třídě: od 10–15 pracovních dnů pro standardní případy až do 6–8 týdnů při EDD. Složitá multijurisdikční uspořádání a korespondenční schválení mohou proces prodloužit. Abych proces urychlil, doporučuji předem dohodnout kontrolní seznam, SLA, formáty souborů, certifikaci dokumentů a přístup k rejstříkům.

Důsledky odmítnutí při obnovení KYC jsou nepříjemné: zmrazení operací, dlouhá jednání s korespondenty, v krajním případě – uzavření účtu. V takových situacích COREDO buduje remediční programy: upravujeme strukturu, aktualizujeme odhalení UBO, znovu sestavujeme compliance dokumenty, nastavujeme řízení případů a vyjednáváme s bankou až do obnovení normálního servisu.

Jak COREDO zajišťuje podporu?

Od roku 2016 COREDO provází registraci právnických osob v EU, v Česku, na Slovensku, na Kypru, v Estonsku, ve Velké Británii, v Singapuru a v Dubaji, získávání finančních licencí (krypto, platební, forex, bankovní), AML poradenství a komplexní podporu podnikání. V projektech KYC refresh skládám křížově-funkční týmy: právní blok, AML/sankce, transakční analytika, ochrana osobních údajů a lokální konzultanti pro jednotlivé jurisdikce.

Pro startupy a rychle rostoucí fintechy COREDO zavádí KYC-as-a-Service a regtech řešení: eKYC, API integrace s registry, OCR, biometriku, rules engine pro automatické kontroly a case management, a také metodiky snižování falešně pozitivních výsledků. Taková architektura poskytuje škálovatelnost, snižuje provozní rizika a urychluje aktualizaci KYC bez újmy na kontrole.

Jak vysvětlit bance složitou strukturu

Vždy začínám sestavením jednoduchého korporátního diagramu: úrovně vlastnictví, procenta, jurisdikce a role. Poté připravuji vysvětlující poznámku ve třech blocích: obchodní model, logika peněžních toků a geografie, a také substance a provozní tým. Pokud struktura obsahuje prvky trustu, rozebírám trust deed, funkce trustee a protectora, daňové aspekty a důvody volby konstrukce.

Pokud společnost spolupracuje s několika bankami nebo korespondenty, sjednocuji terminologii a formáty. To snižuje pravděpodobnost nesrovnalostí a urychluje schvalování. Když jde o typické otázky — UBO, nominální uspořádání, akcie na doručitele v historii — připravujeme předem alternativní formulace a právní odkazy, abychom bance poskytli jasný právní základ.

Monitorování transakcí při aktualizaci KYC

Banka ověřuje, zda skutečné transakce odpovídají deklarovanému modelu. V centru pozornosti jsou prahové hodnoty pro pravidla TMS, frekvence a průměrná částka transakcí, geografie protistran, vazby uvnitř skupiny a vysvětlení nových obchodních směrů. Existence zdokumentovaných SAR-procedur a záznamu posuzování případů dokládá řiditelnost procesů.

GDPR a mezinárodní přenos údajů

KYC refresh v přeshraničních projektech nevyhnutelně zasahuje do mezinárodního přenosu údajů. Doporučuji předem dohodnout SCC, provést DPIA u vysoce rizikových procesů, popsat politiku uchovávání údajů a lhůty pro jejich odstranění. Nezapomínejte na mechanismy informování klientů a transparentnost procesu: kdy, jaké údaje a proč jsou požadovány, kdo k nim má přístup a jak se zpracovávají žádosti DSAR.

Škálování KYC procesů startupů

Startupy by měly připravovat na opakovanou kontrolu banky od prvního dne: zaznamenávat firemní rozhodnutí, pečlivě vést rejstřík akcionářů, uchovávat podepsané smlouvy a faktury, mít připravený popis obchodního modelu. Škálovatelnost KYC procesů začíná u jednoduchých věcí: jednotné šablony dokumentů, řízení případů (case management), jasná SLA v rámci týmu a pravidla oznamování podstatných změn.

Tým COREDO pomáhá vybudovat KYC politiku pro více jurisdikcí, integrovat poskytovatele identifikace a vytvořit systém, který přežije růst x10 bez laviny ruční nápravy a backlogu případů. To má přímý dopad na ROI a náklady na soulad s předpisy.

Hlavní závěry

KYC refresh – není byrokratická formalita, ale řízený proces, který lze předvídat, urychlovat a proměnit v konkurenční výhodu. Když je vlastnická struktura průhledná, dokumenty prověřené, transakční monitoring správně kalibrován a procesy ochrany soukromí odpovídají GDPR, banka vidí spolehlivého partnera, ne zdroj provozního rizika.