Představte si situaci: spustili jste úspěšnou platební službu, obsluhujete tisíce klientů, a najednou obdržíte dopis od regulátora s požadavkem uvést všechny procesy do souladu s novými standardy. Pokuty za nedodržení dosahují milionů eur, a lhůty na adaptaci se počítají na týdny. To není hypotéza – to je realita, s níž se v roce 2025 setkaly stovky společností.
Evropské regulační orgány zásadně změnily přístup k vydávání platebních karet. Pokud byly dříve požadavky relativně flexibilní, nyní se staly přísnými a nemilosrdnými. Přitvrzení se týká všeho: od postupů ověřování klientů až po technologické bezpečnostní standardy, od sankčních omezení až po daňové regulace. A to je teprve začátek.
Proč k tomu dochází?
boj proti praní peněz, protiopatření vůči sankcím, ochrana proti kybernetickým útokům — všechny tyto faktory přiměly Evropskou centrální banku (ECB) a Evropský orgán pro bankovní dohled (EBA) přehodnotit celý systém regulace platebních služeb. Společnosti, které se neadaptují, riskují ztrátu licencí, zablokování účtů a poškození pověsti.
Za devět let činnosti COREDO jsme pomohli více než 500 společnostem z Evropy, Asie a SNS úspěšně zaregistrovat platební služby a získat potřebné licence. Naše zkušenost ukázala, že úspěch nezávisí jen na znalosti legislativy, ale i na pochopení toho, jak regulátoři tyto požadavky interpretují v praxi. V tomto článku se podělím o to, co by měl vědět každý podnikatel, který plánuje pracovat s vydáváním karet v Evropě.
Emise platebních karet EU: kdo kontroluje?
Evropský systém finanční regulace je uspořádán jako matrjoška. Na nejvyšší úrovni jsou nadnárodní orgány, Evropská centrální banka a Evropský orgán pro bankovní dohled. Ty stanovují obecná pravidla a standardy. Na střední úrovni působí národní centrální banky a finanční regulátoři každé země. Ti přizpůsobují evropské požadavky místním podmínkám a vykonávají dohled. Na nejnižší úrovni jsou samotné společnosti, které musí současně vyhovovat všem těmto požadavkům.
Praxe COREDO potvrzuje: společnosti často nechápou, kdo je přesně kontroluje. Například pokud registrujete platební instituci ve Španělsku, bude vás kontrolovat španělský regulátor (Banco de España), ale zároveň musíte splňovat požadavky EBA a ECB. To znamená, že podléháte třem úrovním regulace současně.
Role ECB, EBA a regulátorů v emisi karet
Evropská centrální banka se zaměřuje na makroekonomickou stabilitu a měnovou politiku. V kontextu emise karet je její role však klíčová: ECB stanovuje požadavky na platební systémy, určuje bezpečnostní standardy a sleduje systémová rizika. Když ECB vydá doporučení, není to jen rada — je to fakticky závazný požadavek pro všechny účastníky trhu.
Evropský orgán pro bankovní dohled (EBA) je orgán, který vyvíjí technické standardy pro platební služby. EBA vydává pravidelné aktualizace, které určují, jak přesně by měly společnosti implementovat požadavky PSD2 (Payment Services Directive 2). Například EBA určuje, které metody ověření klientů se považují za dostatečné, jaké technologie by měly být použity pro ochranu dat a jak organizovat monitoring podezřelých operací.
Národní regulátoři jsou ti, kteří vydávají licence a provádějí dohled na místní úrovni. Mají určitou volnost v interpretaci evropských požadavků, ale nemohou je ignorovat. Například španělský Banco de España může stanovit vyšší požadavky na kapitál než minimum stanovené EBA, ale nemůže stanovit nižší.
Řešení COREDO pro klienty z různých zemí: vytvořili jsme systém monitoringu požadavků, který sleduje změny na všech třech úrovních regulace. To nám umožňuje rychle informovat klienty o nových požadavcích a pomáhat přizpůsobit jejich procesy.
PSD2 a vydávání karet v letech 2025–2026
Payment Services Directive 2: to není jen směrnice, je to revoluce v platebním průmyslu. Vstoupivší v platnost v roce 2018, PSD2 předefinovala pravidla hry pro všechny účastníky trhu. Ale v letech 2025–2026 se její požadavky staly ještě přísnějšími a detailnějšími.
Základní princip PSD2: otevřenost a konkurence. Směrnice vyžaduje, aby banky otevíraly přístup k účtům třetím stranám (Open Banking), aby platební služby byly dostupné nejen bankám, ale i specializovaným platebním institucím, a aby měli klienti možnost volby mezi různými poskytovateli služeb.
Pro emitenty karet to znamená několik klíčových povinností. Za prvé, silná autentizace klienta (Strong Customer Authentication, SCA). To není jen heslo — jde o dvoufaktorové ověření, které musí být použito u každé transakce nad stanovený limit. Za druhé, požadavky na bezpečnost dat. Všechna data karet musí být uložena zašifrovaná, přenášena přes zabezpečené kanály a zpracovávána v souladu se standardy EMV a 3D Secure.
Za třetí, požadavky na otevřené bankovnictví (Open Banking). Pokud chce klient připojit vaši kartu k službě agregátoru plateb, musíte poskytnout API pro integraci. To vytváří nové příležitosti, ale i nová rizika: je třeba zajistit, aby třetí strany splňovaly bezpečnostní požadavky.
Praxe COREDO ukázala, že mnohé společnosti podceňují požadavky PSD2. Myslí si, že stačí jen přidat dvoufaktorové ověření a je vše v pořádku. Ve skutečnosti jsou požadavky mnohem hlubší. Je třeba přehodnotit celou architekturu systému, aktualizovat procesy a proškolit tým. Pomohli jsme jedné španělské společnosti provést kompletní audit souladu s PSD2 a ukázalo se, že měli více než 50 mezer v compliance. Po odstranění těchto nedostatků společnost nejenže předešla pokutám, ale také zlepšila uživatelský zážitek.
Sankční omezení a emise karet v letech 2025–2026
Zde je třeba být maximálně upřímný: sankce EU proti ruským platebním systémům vytvořily bezprecedentní výzvy pro společnosti, které pracují s přeshraničními platbami. Od 25. ledna 2026 EU rozšířila sankce proti SPFS, SBP a systému „Mir“. To znamená, že organizace v EU již tyto systémy nemohou používat a společnosti zpracovávající platby musí zajistit, že jejich klienti nesnižují sankční omezení.
Pro emitenty karet to vytváří složitou situaci. Pokud vydáváte karty, které mohou být použity pro platby přes sankční systémy, můžete být pohnáni k odpovědnosti. Nejde jen o pokutu, může to vést ke ztrátě licence a trestnímu stíhání vedení společnosti.
Řešení, které vyvinul tým COREDO: vytvořili jsme systém monitoringu sankcí, který se integruje s platebními systémy. Systém automaticky kontroluje každou transakci vůči sankčním seznamům a blokuje podezřelé operace. To vyžaduje investice do technologie, ale je to nezbytné pro splnění požadavků regulátorů.
Kromě toho musí společnosti pravidelně aktualizovat své politiky týkající se sankcí. Je nutné jasně definovat, které země a společnosti neobsluhujete, které platební systémy nepoužíváte a jak kontrolujete klienty z hlediska sankčních omezení. To vše musí být zdokumentováno a pravidelně revidováno.
Požadavky AML pro vydávání karet v letech 2025–2026
Anti-Money Laundering (AML) není jen soubor pravidel, je to filozofie, která by měla prostupovat celou organizací. Pokud v roce 2024 mohly společnosti považovat AML za administrativní zátěž, v letech 2025–2026 se z něj stala strategická priorita.
Regulátoři zpřísnili požadavky, protože objemy praní špinavých peněz rostou. Podle odhadů Mezinárodního měnového fondu se každoročně pere 2 až 5 % světového HDP. To jsou biliony dolarů. A platební systémy se často stávají kanálem pro tyto operace. Regulátoři se rozhodli, že se to musí změnit.
Aktualizované standardy AML a KYC v EU při vydávání karet
Know Your Customer (KYC) je proces, při němž společnost identifikuje klienta a prověřuje jej z hlediska rizik. V letech 2025–2026 se požadavky na KYC výrazně zpřísnily.
Dříve mohly společnosti používat zjednodušenou verifikaci pro klienty s nízkým rizikem. Nyní musí projít plnou verifikací všichni klienti. To znamená, že je třeba shromáždit nejen pasové údaje, ale i informace o zdrojích příjmů, o struktuře společnosti (pokud je klient právnickou osobou) a o beneficiárních vlastnících.
Pro fyzické osoby proces vypadá takto: klient nahraje kopii pasu, udělá selfie, potvrdí adresu bydliště. Systém ověří tato data vůči databázím (například vůči seznamům PEP, politicky exponovaných osob). Pokud klient spadá do kategorie zvýšeného rizika, je vyžadována dodatečná verifikace.
Pro společnosti je proces mnohem složitější. Je třeba shromáždit zakladatelské dokumenty, informace o struktuře vlastnictví, údaje o beneficiárních vlastnících (Ultimate Beneficial Owners, UBO). Je nutné ověřit, zda společnost není spojena se sankčními zeměmi, nebo zda se nezabývá činností, která by mohla souviset s praním peněz (například kasina, obchod se zbraněmi).
Praxe COREDO ukázala, že mnoho společností podceňuje složitost KYC pro korporátní klienty. Pomohli jsme jedné litevské platební společnosti vyvinout proces KYC, který zahrnuje 15 kontrolních kroků. Zdá se to mnoho, ale je to nezbytné pro dodržení požadavků regulátorů a pro ochranu společnosti před riziky.
Termíny verifikace se také zpřísnily. Dříve mohly společnosti provádět verifikaci během 10 dnů. Nyní je požadováno provést verifikaci během 2–5 dnů. To znamená, že je nutné investovat do automatizace procesu. Doporučujeme používat systémy digitální identifikace (například eIDAS v EU), které umožňují urychlit proces verifikace.
Výkaznictví a monitorování AML operací
Pokud je KYC vstupní kontrolou, pak monitorování operací je průběžný dohled. Společnosti musí zavést systémy, které sledují všechny klientské transakce a odhalují podezřelé vzorce.
Co se považuje za podezřelé? Například když klient náhle začne provádět transakce v částce 10krát vyšší než obvykle. Nebo když klient, který žije v Evropě, provádí platby do zemí, které jsou pod sankcemi. Nebo když klient provádí mnoho drobných transakcí, které v součtu dávají velkou částku (to se nazývá „strukturování“ a je to známka praní peněz).
Systémy monitorování by měly tyto vzorce automaticky odhalovat a generovat upozornění. Poté by compliance specialista měl upozornění analyzovat a rozhodnout, zda je nutné podat oznámení o podezřelé aktivitě (Suspicious Activity Report, SAR) regulátorovi.
Výkaznictví je kritický moment. Pokud společnost odhalí podezřelou transakci, musí podat hlášení regulátorovi v určené lhůtě (obvykle 5–10 dnů). Pokud společnost hlášení nepodá, považuje se to za porušení a může to vést k pokutám.
Řešení COREDO pro klienty: pomáháme společnostem zavést monitorovací systémy, které odpovídají požadavkům regulátorů. Také pomáháme vyvíjet postupy pro analýzu upozornění a přípravu hlášení. To vyžaduje investice, ale je to nezbytné pro dodržení požadavků.
Rizika a řízení při vydávání korporátních karet v EU
Korporátní karty jsou specifický případ. Vydávají se společnostem, ne fyzickým osobám, a proto vyžadují důkladnější prověření.
Hlavní riziko při vydávání korporátních karet je, že karta může být použita k financování terorismu nebo jiné nezákonné činnosti. Například společnost může být bílým pláštěm pro praní peněz. Nebo může být karta použita k financování teroristických organizací.
Pro minimalizaci těchto rizik by společnosti měly provádět zesílenou verifikaci korporátních klientů. To zahrnuje kontrolu struktury vlastnictví společnosti, ověření beneficiárních vlastníků, kontrolu vůči sankčním seznamům a prověření historie společnosti.
Kromě toho by společnosti měly nastavit limity pro transakce korporátních karet. Například limit na denní souhrn transakcí, limit na počet transakcí za den, limit na transakce v určitých zemích.
Praxe COREDO ukázala, že společnosti, které berou řízení rizik vážně, získávají výhodu. Vyhýbají se pokutám, vyhýbají se uzavření účtů bankami a získávají důvěru regulátorů. Pomohli jsme jedné španělské společnosti vyvinout systém řízení rizik, který zahrnuje automatickou kontrolu všech korporátních klientů. To vedlo k tomu, že společnost odhalila několik podezřelých klientů a vyhnula se vážným problémům.
Registrace právnických osob pro emisi karet v EU
Pokud jste se rozhodli spustit platební službu s emisí karet, první otázka zní: kde zaregistrovat společnost? Je to zásadní rozhodnutí, které ovlivňuje vše ostatní: požadavky na kapitál, daně, na požadavky na compliance, možnost škálování.
Výběr jurisdikce pro registraci společnosti za účelem emise karet
V EU je několik jurisdikcí, které se specializují na platební služby. Každá má své výhody a nevýhody.
- Španělsko: je to jedna z nejpopulárnějších voleb pro startupy. Požadavky na kapitál jsou relativně nízké (od €50 000 pro platební instituci), proces udělování licence je relativně rychlý (3–6 měsíců), daně jsou konkurenceschopné. Navíc ve Španělsku je dobře rozvinut ekosystém platebních společností, jsou zde zkušení poradci a poskytovatelé služeb.
- Litva: je to další oblíbená volba. Litevský regulátor (Banka Litvy) je známý svým progresivním přístupem k regulaci. Požadavky na kapitál jsou nízké, proces udělení licence rychlý, daně nízké. Litva je také známá svou digitální infrastrukturou a podporou fintech společností.
- Lucembursko: je to volba pro společnosti, které chtějí pracovat s vysokou hodnotou aktiv. Požadavky na kapitál jsou vysoké (od €1 mil.), ale reputace Lucemburska jako finančního centra otevírá dveře k přilákání investic. Daně v Lucembursku jsou také konkurenceschopné díky daňovým zvýhodněním pro finanční společnosti.
- Kypr: je to volba pro společnosti, které chtějí působit s klienty z různých regionů. Kypr má nízké požadavky na kapitál, rychlý proces udělení licence, nízké daně. Kromě toho má Kypr dobré vazby se společnostmi z Asie a Blízkého východu.
Řešení COREDO pro klienty: pomáháme společnostem vybrat optimální jurisdikci na základě jejich cílů, rozpočtu a plánů růstu. Vytvořili jsme matici porovnání jurisdikcí, která zahrnuje požadavky na kapitál, lhůty pro udělení licence, daně, požadavky na compliance, možnosti škálování.
| Jurisdikce |
Minimální kapitál |
Doba udělení licence |
Sazba daně |
Požadavky na compliance |
Vhodné zejména pro |
| Španělsko |
€50 000 |
3–6 měsíců |
25% |
Střední |
Startupy, expanze v EU |
| Litva |
€50 000 |
2–4 měsíce |
15% |
Střední |
Startupy, digitální řešení |
| Lucembursko |
€1 mil. |
6–12 měsíců |
0,29 % (s úlevami) |
Vysoké |
Společnosti s vysokou hodnotou aktiv |
| Kypr |
€50 000 |
3–6 měsíců |
0 % (na zisk z investic) |
Střední |
Společnosti působící v Asii a na Blízkém východě |
Licencování a povolení k emisi karet
získání licence na emisi karet: jde o dlouhý a složitý proces. Zahrnuje několik fází a vyžaduje přípravu velkého množství dokumentů.
První fáze – výběr typu licence. V EU jsou dva hlavní typy licencí pro platební služby: Payment Institution License (licence platební instituce) и Electronic Money Institution License (licence instituce elektronických peněz).
- Licence platební instituce: uděluje se společnostem, které poskytují služby převodu peněz, zpracování plateb, vydávání platebních nástrojů (včetně karet). Je to nejběžnější licence pro společnosti, které chtějí vydávat karty.
- Licence instituce elektronických peněz: uděluje se společnostem, které vydávají elektronické peníze (např. předplacené karty). Tato licence vyžaduje vyšší kapitál a přísnější požadavky na compliance.
Druhá fáze: příprava dokumentů. Je třeba připravit podnikatelský plán, popis technologické architektury, popis postupů compliance, popis postupů řízení rizik, popis postupu péče o zákazníky. Všechny tyto dokumenty musí být v místním jazyce a musí odpovídat požadavkům regulátora.
Třetí fáze je podání žádosti. Žádost se podává přes online portál regulátora. Je třeba vyplnit formulář, nahrát dokumenty a zaplatit poplatek za posouzení žádosti (obvykle od €500 do €5 000).
Čtvrtá fáze: posouzení žádosti. Regulátor kontroluje dokumenty, může požadovat další informace nebo uskutečnit setkání s vedením společnosti. Tato fáze může trvat od 2 do 12 měsíců v závislosti na jurisdikci a složitosti žádosti.
Pátá fáze je získání licence. Pokud regulátor žádost schválí, společnost získá licenci. Licence se uděluje na určité období (obvykle 5 let) a může být prodloužena.
Praxe COREDO ukazuje, že společnosti často podceňují složitost licenčního procesu. Myslí si, že stačí jen podat dokumenty a čekat na schválení. Ve skutečnosti je nutné aktivně komunikovat s regulátorem, odpovídat na požadavky a poskytovat dodatečné informace. Pomohli jsme jedné litevské společnosti projít licenčním procesem za 3 měsíce díky tomu, že jsme předem připravili všechny dokumenty a aktivně komunikovali s regulátorem.
Dokumenty a postup registrace právnické osoby
Před podáním žádosti o licenci je třeba zaregistrovat společnost. Proces registrace závisí na jurisdikci, ale obecně vypadá takto:
Singapur, například, ukazuje, jak efektivně zorganizovat registraci společnosti. Proces registrace společnosti v Singapuru je znám svou rychlostí a efektivitou – většina žádostí je schválena během 15 minut až 3 dnů po zaplacení poplatku. I když se Singapur nachází v Asii, jeho přístup k regulaci platebních služeb může sloužit jako vzor pro evropské jurisdikce.
V EU obvykle proces registrace společnosti zahrnuje následující kroky:
- Výběr názvu společnosti – je třeba zajistit, že název je jedinečný a neporušuje práva třetích stran.
- Příprava zakladatelských dokumentů: je třeba připravit stanovy společnosti, rozhodnutí o založení společnosti, informace o ředitelích a akcionářích.
- otevření bankovního účtu – je třeba otevřít účet v bance pro vložení kapitálu.
- Podání dokumentů do rejstříku společností – je třeba podat dokumenty do místního rejstříku společností (např. ve Španělsku je to Registro Mercantil).
- Získání osvědčení o registraci – po schválení žádosti společnost obdrží osvědčení o registraci.
Doba registrace se liší od 3 do 7 dnů v závislosti na jurisdikci. Po registraci může společnost podat žádost o licenci platební instituce.
Technické požadavky a bezpečnostní standardy při emisi karet
Dříve byla technologie jen nástrojem pro realizaci podnikání, v letech 2025–2026 se technologie stala základem pro dodržování požadavků regulátorů. Regulátoři nyní požadují, aby společnosti používaly určité technologické standardy a metody ochrany dat.
Tokenizace a bezkontaktní platby: co je důležité vědět
Tokenizace: je to proces, při kterém jsou skutečná data karty (číslo, datum platnosti, CVV) nahrazena tokenem, unikátním identifikátorem. Token lze použít pro platby, ale pokud bude token kompromitován, skutečná data karty zůstanou v bezpečí.
Regulátoři EU nyní vyžadují, aby všechny společnosti vydávající karty používaly tokenizaci. Není to doporučení — je to povinný požadavek. Společnosti, které tokenizaci nepoužívají, riskují pokutu nebo ztrátu licence.
Bezkontaktní platby jsou platby, které probíhají bez fyzického kontaktu karty s terminálem. Může jít o platbu přes NFC (Near Field Communication), platbu přes QR kód nebo platbu prostřednictvím mobilní aplikace. Regulátoři vyžadují, aby všechny společnosti podporovaly bezkontaktní platby a aby tyto platby byly chráněny proti podvodům.
Praxe COREDO ukázala, že zavedení tokenizace a bezkontaktních plateb vyžaduje značné investice do technologie. Je třeba aktualizovat systémy zpracování plateb, integrovat se s platebními systémy (Visa, Mastercard) a provést testování a certifikaci. Ale jsou to investice, které se vyplatí díky snížení podvodů a zlepšení uživatelské zkušenosti.
