COREDO

V mezinárodních skupinách otázka KYC politiky zaznívá dnes velmi přímo: jednotný standard nebo lokální adaptace? Jako člověk, který od roku 2016 rozvíjí COREDO a denně vidí reálné případy z EU, Asie a SNS, odpovím jasně: formálně je potřeba jednotný rámec, prakticky – bez promyšlené lokální adaptace by byznys prostě nepřežil.

Proč starý přístup KYC nefunguje

• platebním systémům,
• korespondenčním účtům,
• licencím (krypto, EMI, PI, forex, investičním),
• ekosystémům tržišť a fintech partnerům.

• Každá jurisdikce požaduje «trochu jinak»: formuláře, lhůty, dokumenty, úrovně EDD.
• Platební partneři a banky praktikují překompliance: kontrolují každého klienta a každou transakci, blokují účty, požadují aktualizovat KYC «častěji, než je to napsáno v zákoně».
• Expanze do 5–10+ zemí se mění v chaos: odlišné postupy, různé IT systémy, rozdílné interpretace AML rizik v dceřiných společnostech.

Jednotný KYC‑standard skupiny: složení a požadavky

• Rizikový apetit a typologie klientů
  • maloobchodní, SME, korporátní, finanční instituce;
  • vysokorizikové segmenty: klienti CBI (investment migration), krypto-brokeři, PSP, P2P platformy.
  • logika: koho jste vůbec ochotni obsluhovat, a koho ne v žádné zemi.
• KYC klasifikace a úrovně kontroly
  • standardní kontrola,
  • rozšířená prověrka důvěryhodnosti (EDD),
  • zesílená prověrka pro PEP, sankční a CBI klienty.
  Zde je důležitá jednotnost: pokud EDD pro korporátního klienta v jedné dceřiné společnosti zahrnuje analýzu původu kapitálu za 3 roky, a v jiné pouze deklaraci, globální rizikový profil se zkreslí.
• Základní 15-krokový proces KYC pro právnické osoby
  V COREDO často budujeme právě vícestupňový proces, kde bez ohledu na zemi existují povinné kroky:
  • identifikace společnosti (registrační dokumenty, stanovy);
  • identifikace beneficientních vlastníků a kontrolní struktury;
  • ověření ředitelů a klíčových kontrolujících osob;
  • analýza nesrovnalostí mezi pasy a daňovým rezidenstvím;
  • potvrzení adresy;
  • ověření podle sankčních seznamů, PEP, negativních médií;
  • ověření původu kapitálu a zdrojů příjmů;
  • hodnocení obchodního modelu a geografii transakcí;
  • přidělení rizikového ratingu;
  • rozhodnutí: onboarding / zamítnutí / EDD / dodatečné požadavky.
• Politika KYT a monitoring transakcí
  • pravidla monitoringu v reálném čase podezřelých operací;
  • logika spouštěčů podle zemí a protistran;
  • přístup k blokování/pozastavování operací a žádání dokumentů.
• Požadavky na digitální compliance a kyberbezpečnost
  • používání systémů digitální identifikace a eIDAS (pro EU);
  • požadavky na uchovávání KYC spisů a záznamů o činnostech;
  • základní standardy kyberbezpečnosti: ochrana dat klientů, kontrola přístupu, logování prověrek.
• Role nezávislého compliance officera
  • jednotné požadavky na kvalifikaci;
  • nezávislé reportování na úroveň správní rady;
  • právo veta na rizikové onboardingy.

Kde je lokální adaptace KYC povinná
I dokonale nastavený globální standard nezruší fakt, že požadavky EU na KYC, regulace fintechu v Asii a praxe regulátorů SNS se liší.

Vidím tři úrovně, kde je lokální adaptace nejen žádoucí, ale kritická.

Požadavky a lhůty

• V řadě zemí EU regulátoři přecházejí od «zjednodušené verifikace» k přísnému modelu plné KYC prověrky téměř pro všechny kategorie klientů.
• Zkracují se lhůty verifikace: to, co dříve zabralo až 10 dní, nyní očekávají dokončit za 2–5 dní: obzvlášť ve fintechu, aby klient nepřešel ke konkurenci.
• Pro platební společnosti a krypto licence lokální regulátoři (např. v Litvě, Estonsku, na Kypru) stanovují samostatné požadavky na strukturu AML/KYC politik, složení reportingu a formát dat.

• směrnice EU, PSD2, eIDAS pro platební a fintech společnosti;
• požadavky místních dozorových orgánů v Asii, synchronizované s Guidance FATF;
• požadavky na strojově čitelný AML reporting a online monitoring ze strany regulátorů.

Požadavky na substance a reálnou přítomnost

• skutečná kancelář a zaměstnanci,
• místní ředitelé,
• řízení rizik a compliance na místě,
• objem operací v jurisdikci.

• přesunutí funkcí (risk, AML, IT) mezi zeměmi;
• odůvodnění, proč jsou KYC funkce centralizovány nebo naopak lokalizovány;
• argumentaci substance právě v té zemi, kde chcete získat licenci nebo bankovní účet.

Praktiky bank a platebních partnerů

• nejasná struktura skutečných vlastníků;
• nesoulad mezi pasy a daňovým rezidentstvím;
• nedostatek průhledných důkazů o původu kapitálu;
• slabá KYC-politika na úrovni skupiny a chybějící lokální postupy.

KYC vs KYT a Travel Rule: co se změnilo

• zavedení Travel Rule FATF: předávání údajů o odesílateli a příjemci mezi VASP (Virtual Asset Service Providers) a platebními institucemi;
• monitorování odesílatele a příjemce v reálném čase podle sankčních a rizikových seznamů;
• používání blockchainových analyzátorů pro hodnocení rizika adres a transakcí.

• přepracovat vnitřní politiku z «KYC jednou na začátku» na průběžný KYT-monitoring;
• zavést regulatorní synchronizaci mezi zeměmi: aby transakce procházející přes EU a Asii odpovídaly jednotným pravidlům pro data a vykazování;
• připravit se na online-monitoring transakcí ze strany regulátorů a povinnou výměnu dat mezi zeměmi.

KYC pro korporátní klienty: struktura

• Základní KYC (všechny jurisdikce)
  • standardní soubor dokumentů o společnosti a skutečných vlastnících;
  • minimální kontrola negativních faktorů;
  • počáteční hodnocení rizika.
• Rozšířený KYC / EDD
  • detailní analýza struktury a konečné kontroly;
  • hloubková prověrka původu kapitálu (bankovní výpisy, smlouvy, účetní závěrky);
  • prověrka korporátní historie, M&A-transakcí, změn skutečných vlastníků;
  • monitoring PEP-statusu a politických rizik.
• Speciální scénáře (CBI, vysoce rizikoví klienti)
  U CBI klientů a při investiční migraci považují mezinárodní banky a regulátoři skupinu za vysoce rizikovou.
  • připravuje odůvodnění ekonomické podstaty klienta;
  • prokazuje soulad pasu, rezidentství a skutečného centra zájmů;
  • dokumentuje věrohodnost původu kapitálu a důvody pro strukturování aktiv prostřednictvím té či oné jurisdikce.

Vyplatí se automatizace KYC a digitální compliance?

• Zkrácení doby onboardingu z 10 na 2–5 dní pro korporátní klienty díky systémům digitální identifikace a automatizovaným kontrolním seznamům.
• Snížení zátěže compliance oddělení: část postupů přechází na automatické screeningy a strojově čitelné vykazování pro regulátory.
• Zvýšení důvěry ze strany bank a partnerů: existence vyspělého digitálního compliance a kybernetické bezpečnosti je již povinným kritériem při výběru partnerů.

• zavedení systémů digitální identifikace a integraci s eIDAS pro EU;
• použití řešení pro strojově čitelné AML-vykazování a automatickou generaci reportů;
• zavedení modulů monitoringu v reálném čase transakcí a sankčního screeningu;
• vybudování vnitřní architektury integrovaných AML/KYC-procedur v produktu IT- a fintech společnosti.

Jak se vyhnout blokacím bankovních účtů

• existuje jednotný KYC/AML standard skupiny, srozumitelný pro banky a PSP;
• lokální postupy odpovídají očekáváním regulátorů konkrétních zemí;
• společnost předem nastavuje KYT a Travel Rule procesy podle mezinárodních požadavků;
• je připraven soubor důkazů o původu kapitálu a odůvodnění struktury skupiny.

• analyzuje, kde přesně KYC procesy partnerovi nevyhověly;
• doladí KYC politiku a spisy klientů;
• naváže komunikaci s bankou nebo platební institucí, vysvětluje obchodní model a compliance rámce.

Jednotný standard a lokální adaptace

Pro mezinárodní skupinu nestačí «подстроиться под закон».
Potřebný je strategický KYC-rámec, který obstojí při kontrole regulátory, bankami a partnery současně v EU, Asii a SNS.

• Stanovit globální rizikový apetýt a cílové trhy
  Odpovězte upřímně: jaké klienty jste ochotni obsluhovat a v kterých jurisdikcích je to přípustné.
• Vybudovat jednotný KYC/AML standard skupiny
  • struktura politiky,
  • procesy KYC/KYT,
  • požadavky na EDD a CBI,
  • digitální okruh a kybernetická bezpečnost.
• Provést lokální adaptaci podle zemí
  • zohlednit požadavky EU, národní zákony, PSD2, eIDAS, pokyny FATF;
  • začlenit substance a lokální regulatorní očekávání;
  • synchronizovat vykazování a formáty dat.
• Integrovat KYC/AML do produktu a provozu
  zejména pro fintech, platební společnosti, kryptoslužby; zajistit monitoring v reálném čase a automatizaci klíčových postupů.
• Pravidelně přezkoumávat politiku podle nových požadavků
  • FATF a EU aktualizují standardy,
  • regulátoři Asie se s nimi stále aktivněji synchronizují,
  • k roku 2026 bude seznam povinných prvků KYC a KYT jen rozšíří se.

Když za mnou přijde zakladatel fintechového projektu s otázkou: „V které zemi je lepší získat licenci EMI a jak to udělat bez fatálních chyb?“, vždy nezačínám u země, ale u obchodního modelu. Právě on určuje, kde budete moci fungovat udržitelně, s jasně definovanými regulatorními riziky a předvídatelným ROI.

Během let působení COREDO v Evropě, Asii a SNS prošel tým s klienty celou cestu: od první myšlenky „chci svou licenci EMI v EU“ až po fungující platební instituce s passportingem v rámci EHP, auditem podle mezinárodních standardů a promyšlenou AML-funkcí. V tomto článku shrnu tyto zkušenosti do praktického průvodce: jak vybrat jurisdikci, které požadavky skutečně „bolí“ v praxi, kde leží hranice regulatorního apetitu k riziku a jak snížit pravděpodobnost zamítnutí na startu.

EMI licence v EU: co potřebujete vědět

EMI licence v Evropě: je to oprávnění působit jako emitent elektronických peněz a poskytovat platební služby na základě směrnic PSD2 a EMD2. V podstatě EMI licence v EU umožňuje:

• vydávat elektronické peníze (zůstatky peněženek, předplacená řešení, uložená hodnota);
• zřizovat a vést platební účty pro klienty;
• poskytovat platební služby a elektronické peníze pro modely B2B a B2C;
• budovat white‑label řešení pro partnery a škálovat fintech platformu po celém EHP prostřednictvím passportingu EMI licence.

V kterékoliv zemi Evropy regulator pohlíží na poskytovatele EMI přes tři klíčové bloky:

• obchodní model a udržitelnost (podnikatelský plán, výnosnost, řízení rizik);
• compliance pro poskytovatele EMI (AML/KYC, governance, fit & proper management);
• IT a provozní infrastruktura (bezpečnost, řízení incidentů, ochrana prostředků).

Moje praktická rada: nevnímejte EMI jako „zaškrtávací políčko“ nebo hezký status. Je to infrastrukturní řešení pro byznys na 5–10 let dopředu. Pokud neplánujete fungovat alespoň v takovém horizontu, možná je pro vás zatím blíže model práce přes partnerského poskytovatele.

Plná licence instituce elektronických peněz nebo malá instituce elektronických peněz/platební instituce: kde začít

Mnoho projektů přichází s tvrdým požadavkem: „potřebujeme pouze plnou EMI licenci“. V praxi je rozumné zvážit tři možnosti:

• plná EMI licence
  Vhodné, pokud plánujete škálování po celém EHP, zpracování významných objemů a práci s různými segmenty (B2B/B2C, cross‑border platby, peněženky, karty, API‑integrace pro open banking).
• licence small EMI (omezená Licence emitenta elektronických peněz)
  Je to kompromis: lokální nebo objemově omezené operace, zjednodušené požadavky, ale bez passportingu v EHP. V některých zemích ji používají jako „zkoušební polygon“: dokázat regulátorovi, investorům a sobě samým, že model funguje.
• PI (platební instituce)
  PI licence v EU umožňuje poskytovat platební služby bez statusu emitenta elektronických peněz. Pro některé modely money remittance, acquiring nebo určitá B2B‑řešení může být PI dostačující.

Důrazně nedoporučuji vybírat mezi EMI a PI „podle pocitu“. V COREDO vždy začínáme rozborem případů použití: jaké produkty nabízíte, komu, v kterých zemích, jaké jsou limity, kde vzniká zůstatek klienta, jak vyděláváte, jaká je struktura poplatků a floatu.

Jak vybrat zemi pro EMI licenci

Věta «v které zemi je lepší získat EMI licenci» sama o sobě není korektní. Správněji – «která jurisdikce je optimální pro můj obchodní model, profil rizika a strategii škálování».

Vždy doporučuji podnikatelům nahlížet na zemi skrze pět oblastí:

1. regulatorní rizika EMI a rizikový apetit regulátora
   • Jak regulátor reaguje na nové obchodní modely?
   • Jak často se pravidla mění?
   • Jaká je praxe dohledu (frekvence kontrol, tón komunikace, předvídatelnost rozhodnutí)?
2. Minimální kapitál pro EMI a požadavky na kapitalizaci
   • Počáteční kapitál: standardně 350 000 eur pro klasický model EMI v EU.
   • Průběžná kapitálová přiměřenost: metodika výpočtu kapitálu podle objemu operací a rizik.
   • Je potřeba nejen formální částka, ale i promyšlený model: kde budete držet kapitál, jak jej vykazovat podle IFRS, jak se změní struktura kapitálu při růstu.
3. Požadavky na substance EMI (kancelář, personál)
   • Skutečná obchodní přítomnost: místní kancelář, zaměstnanci, rezidentní ředitelé.
   • Role místního týmu: kdo skutečně rozhoduje, kdo je zodpovědný za dodržování předpisů (compliance), řízení rizik, IT.
4. IT požadavky pro EMI licenci
   • soulad s požadavky v oblasti ICT a řízení bezpečnostních rizik;
   • architektura, redundance, plán obnovy po havárii (disaster recovery plan);
   • řízení kybernetických a operačních rizik EMI, práce s outsourcingem a cloudovými poskytovateli.
5. Daňové aspekty a celková struktura skupiny
   • kompatibilita země s vašimi toky (B2B, B2C, mezinárodní platby);
   • smlouvy o zamezení dvojího zdanění;
   • vliv jurisdikce na ocenění projektu investory a budoucí kola financování.

Úkolem COREDO v takových projektech není jen «zaregistrovat», ale pomoci vybudovat strukturu, která obstojí při prověrce regulátora, auditora a investora zároveň.

Jurisdikce pro licenci EMI: kde a pro koho

Níže: ne «žebříček zemí», ale typické scénáře, které vidím v projektech přicházejících do COREDO.

EMI licence v Litvě

Litva už dlouho přitahuje fintech projekty orientované na EHP. Pro mnoho mezinárodních hráčů je EMI‑licence v Litvě praktický způsob, jak vstoupit na evropský trh s jasnými termíny a transparentními požadavky.

Kdy má tato země smysl:

• pro vás je zásadní passporting EMI‑licence v rámci EHP;
• budujete produkt zaměřený na EU, ale tým je rozprostřen v různých zemích;
• jste připraveni na důkladnou práci v oblasti IT a řízení rizik: regulátor bedlivě sleduje ICT, provozní rizika a ochranu klientských prostředků (safeguarding).

V praxi tým COREDO věnuje litevským projektům obzvlášť velkou pozornost v:

• tříletému podnikatelskému plánu a stresovému testování modelu;
• IT‑architektuře: zálohování, monitorování incidentů, logování, řízení změn;
• modelu AML/KYC: jak je přístup založený na riziku zachycen v postupech a IT systémech.

EMI licence v Irsku

EMI‑licence v Irsku je nejčastěji zvažována vyspělejšími projekty a skupinami, které budují evropské centrum (hub).

Klíčové rysy:

• vysoké požadavky Centrální banky Irska na strukturu governance, fit & proper management, nezávislé kontrolní funkce;
• vážný důraz na compliance pro poskytovatele EMI: AML, řízení rizik, interní audit;
• zvýšená pozornost udržitelnosti obchodního modelu a dlouhodobé životaschopnosti.

Často vidím, že týmy podceňují náklady na compliance v Irsku: zahrnují nejen interní specialisty, ale i externí poradce, auditory, plán pravidelných kontrol. Odměna za to: vysoká úroveň důvěry trhu a investorů.

EMI licence v Česku

Česko zajímá ty, kteří hledají rovnováhu mezi provozními náklady, úrovní regulační kontroly a možností pracovat s klienty z různých evropských zemí.

Specifika:

• jasná infrastruktura pro registraci právnické osoby a budování substance;
• rozumné požadavky na lokální přítomnost a řízení;
• možnost kombinovat EMI‑licenci s provozní činností ve střední Evropě.

Klientský případ: tým COREDO doprovázel projekt, který porovnával EMI Litva vs. EMI Česko. Nakonec se strategie rozdělila: Litva — pro škálování B2C produktu v rámci EHP, Česko — pro provozní back‑office, vývoj a část B2B směru. To je scénář, kdy jedna země pro EMI licenci není jediná odpověď.

EMI licence ve Velké Británii: požadavky FCA

EMI‑licence ve Velké Británii je volba těch, kteří se vědomě podrobují vysoké úrovni regulačního dohledu ze strany FCA, očekávajíce na oplátku silnou značku a přístup k britskému ekosystému.

Co je důležité zvážit:

• požadavky FCA na governance, řízení rizik a transparentnost struktury skutečných majitelů jsou obzvlášť detailní;
• velká pozornost je věnována outsourcingu a poskytovatelům služeb pro EMI, včetně cloudových řešení;
• posilují se požadavky na kybernetickou bezpečnost, hlášení incidentů a IT odolnost.

Pro mezinárodní projekt zaměřený na Evropu a Asii je logické uvažovat o Velké Británii jako o součásti širší struktury, nikoli jako o jediném vstupním bodu.

Mauricius: EMI licence pro offshore

EMI‑licence na Mauriciu vyvolává u podnikatelů mnoho otázek: „nakolik spolehlivé je budovat mezinárodní fintech byznys na základě takové licence?“

Viděl jsem úspěšné případy, kde Mauricius:

• byl využit jako hub pro mezinárodní platby mimo EHP;
• kombinoval se s evropskou strukturou (např. Litva / Irsko) pro práci s klienty v EU;
• umožňoval optimalizovat daňové zatížení a strukturu skupiny při splnění požadavků na substance.

Problémy původního nadpisu:

• Zbytečná kancelářština („Typické“, „úzká místa“)
• Zní to jako akademická práce, ne jako vyhledávací dotaz
• Obsahuje 9 slov, což překračuje doporučení

Úzká místa u EMI licence

Aby se snížilo riziko zamítnutí vydání EMI licence, vždy žádám klienty, aby upřímně zhodnotili tři oblasti ještě před kontaktováním regulátora.

Struktura vlastnictví a beneficiářů

Regulátor pečlivě zkoumá:

• transparentnost skutečného vlastnictví (beneficial ownership);
• zdroje prostředků (source of funds / zdroj majetku);
• historii a reputaci akcionářů a ředitelů (fit and proper test).

Komplexní vícestupňové struktury bez jasné ekonomické logiky zvyšují regulační riziko EMI v jakékoli zemi. V COREDO často začínáme právě „vyčištěním“ struktury: odstraňujeme zbytečné úrovně, upravujeme korporátní dokumenty a připravujeme zdůvodnění vlastnického řetězce.

Podnikatelský plán a model příjmů

Pro regulátora je důležité nejen vidět tříletý finanční plán, ale také pochopit:

• jak vyděláváte (předplatné, provize, interchange‑příjmy, FX‑marže, B2B‑poplatek);
• jak řídíte regulační rizika (např. vysoce rizikové segmenty, přeshraniční platby);
• co se stane se společností v stresových scénářích: odchod klíčového partnera, nárůst chargebacků, regulační změny.

Tým COREDO provádí stresové testování obchodních modelů pro EMI licenci: modelujeme několik scénářů a sledujeme, jak se mění kapitál, likvidita a náklady na compliance.

AML/KYC a přístup založený na riziku

Postupy AML/KYC pro poskytovatele EMI jsou oblastí, kde se nejčastěji objevují dodatečné otázky regulátora. Typické problémy:

• deklarativní politiky bez popisu reálného procesu;
• neexistence propojení mezi mapou rizik klientů a spouštěči v IT systému;
• neodůvodněně měkký nebo naopak přehnaně přísný přístup k vysoce rizikovým segmentům.

Vidím, že podnikatelé se obávají, že silné risk‑based AML „zabije konverzi“. V praxi však dobře navržené řešení umožňuje:

• segmentovat klienty podle rizika a nastavovat různé cesty KYC;
• využívat poskytovatele dat a automatizaci pro urychlení nízkorizikového toku;
• ponechat „ruční režim“ a posílené Due Diligence pro vysoce rizikové případy.

IT‑architektura, kybernetická bezpečnost a outsourcing očima regulátora

V evropských projektech stále častěji vidím, že osud žádosti o licenci EMI se rozhoduje právě na úrovni IT‑ a bezpečnostní architektury.

Klíčové oblasti zájmu regulátorů:

• Řízení IT a security rizik pro EMI: politika pro incidenty, obnova po havárii (disaster recovery), zajištění kontinuity provozu (business continuity);
• architektura API a logování operací;
• oddělená prostředí (development / testing / production) a řízení změn;
• používání cloudů a kritický outsourcing.

Při přípravě na licencování tým COREDO podrobně projde s klientem:

• schéma infrastruktury (servery, datová centra, poskytovatelé cloudu, VPN, klíčové služby);
• toky dat (včetně dat klientů, platebních údajů, logů);
• model zálohování a metriky RTO/RPO.

Termíny a náklady licence EMI

Na otázku „kolik trvá získání EMI licence v EU“ vždy odpovídám jedním slovem: záleží. Ale existuje realistický rámec.

S ohledem na přípravu:

• analýza obchodního modelu a výběr jurisdikce;
• strukturace společnosti, substance, výběr ředitelů a klíčových funkcí;
• příprava obchodního plánu, politik, postupů, IT popisů;
• předběžné konzultace s regulátorem (kde je to vhodné);

Plnohodnotný projekt „na klíč“ v Evropě obvykle trvá 9–18 měsíců, někdy déle: pokud je model složitý nebo struktura skupiny netriviální.

Náklady na získání EMI licence zahrnují:

• minimálního základního kapitálu (například minimální základní kapitál EMI 350 000 EUR pro některé země EU);
• profesionálních služeb (právní podpora EMI licence, finanční modelování, IT a AML design);
• nákladů na substance: kancelář, místní tým, ředitelé, kontrolní funkce;
• následného auditu a trvale fungujícího compliance oddělení.

Jak snížit riziko zamítnutí regulátorem

Регулятор nemá zájem na tom, abyste nepracovali. Jeho úkolem je, abyste pracovali bezpečně. To je důležité mít na paměti.

1. Včasný dialog a transparentnost
   • Je snazší vysvětlit složitý prvek modelu v rané fázi, než jej obhajovat po oficiálním podání.
2. Konzistence dokumentů
   • Podnikatelský plán, politiky, IT popisy, řídicí struktura a smlouvy s partnery musí být logicky provázány. Regulátor rychle zaznamená rozpory.
3. Realistický přístup
   • Příliš agresivní plány růstu, nepodpořené kapitálem, týmem a technologiemi, vyvolávají pochybnosti. V COREDO často «snižujeme» očekávání a přepracováváme finanční model.
4. Připravenost na dozor
   • Regulační dozor (inspekce na místě (on‑site) a mimo místo (off‑site), pravidelné zprávy, audit) – to není «trest», ale normální součást života licencované společnosti. Je důležité procesy vybudovat předem, a ne reagovat post factum.

Kdy je lepší spolupracovat s partnerem než získat licenci EMI

Existují scénáře, kdy upřímně doporučuji nespěchat se získáním licence:

• produkt ještě nedosáhl product‑market fitu;
• unit‑ekonomika je nestabilní;
• tým není připraven zajistit plnohodnotný compliance, řízení rizik a IT‑provoz na úrovni nositele licence.

Role COREDO zde: nejde o prodej služby licencování, ale o pomoc vidět celou cestu: od MVP do plnohodnotného licencovaného institutu, s minimálními regulačními a provozními riziky.

Jak otevřít EMI strukturu s COREDO

V praxi tým COREDO:

• analyzuje obchodní model a pomáhá vybrat zemi, kde regulační rizika EMI v různých zemích odpovídají vašemu apetitu k riziku;
• strukturuje právnickou osobu (nebo skupinu), vytváří srozumitelnou strukturu vlastnictví a substance;
• připravuje kompletní balík dokumentů pro licencování: od obchodního plánu a politiky řízení rizik až po AML/KYC postupy a IT popisy;
• doprovází komunikaci s regulátorem, pomáhá rychle odpovídat na požadavky a upravovat model;
• zajišťuje další podporu: AML poradenství, právní podpora, spolupráce s auditory, aktualizace politik podle regulatorních změn.

Moje osobní stanovisko je jednoduché: vlastní EMI licence pro mezinárodní fintech projekt je investicí do kontroly nad produktem, marží a rychlostí rozvoje. Ale jen pokud jste připraveni na důkladnou, systematickou práci s regulačními, IT a provozními riziky.

Когда предприниматель или финансовый директор говорит мне: «Мы хотим купить лицензированную PSP-компанию в Европе»,: я всегда задаю один и тот же встречный вопрос: «Вы уверены, что готовы к честному Due Diligence?»

Nákup platební instituce (Payment Institution) nebo instituce elektronických peněz (EMI) není jen M&A transakce, ale nákup regulační historie, kultury compliance a rizikového profilu, který buď posílí váš holding, nebo se stane zdrojem trvalých konfliktů s regulátory a bankami.

Za léta rozvoje COREDO v EU, Asii a SNS náš tým s klienty realizoval desítky projektů: od due diligence při koupi PSP společnosti v Evropě a v Singapuru až po doprovod transakcí při získávání licencí EMI/PI spolu se společnostmi a integraci těchto aktiv do velkých finančních skupin. Tato zkušenost ukázala: úspěch transakce z 80 % závisí na kvalitě předběžného due diligence: právního, finančního, daňového, provozního a, samozřejmě, AML/KYC.

Proč je výhodnější koupit licencovanou PSP

Když s klienty diskutujeme strategii vstupu na trh plateb, obvykle máme na stole dvě možnosti:

• získání nové licence (EMI/PI) v EU, Velké Británii, Singapuru nebo Dubaji;
• nákup licencované PSP společnosti s platnou licencí a infrastrukturou.

Nákup hotové PSP umožňuje:

• zkrátit time-to-market: často o 12–18 měsíců rychleji ve srovnání se získáním nové licence;
• získat hotové vztahy s korespondenčními bankami a platebními partnery;
• zdědit obchodníky, technologickou platformu a tým;
• použít stávající licenci k passportingu v rámci EU (při dodržení požadavků PSD2 a národních pravidel).

Ale spolu s licencí investor přebírá:

• regulatorní legacy‑rizika (staré porušení, neuzavřená opatření);
• historický transakční profil a portfolio klientů;
• reputační historii PSP na trhu.

Struktura prověrky poskytovatele platebních služeb společnosti

Když ke mně přicházejí s žádostí „due diligence při koupi PSP společnosti“, hned práci rozdělím minimálně do šesti bloků:

1. Právní due diligence
2. Regulační a licenční due diligence (včetně kontroly PSP licence)
3. AML/KYC due diligence a compliance prověrka
4. Finanční a daňové due diligence
5. Operační due diligence a IT/kybernetická bezpečnost
6. Strategické a business due diligence (unit‑ekonomika, udržitelnost modelu, ROI)

Každý blok poskytuje vlastní vrstvu red flags a my v COREDO jsme zvyklí výsledky prezentovat formou risk heatmap: vizuální mapy klíčových rizik transakce a jejich dopadu na cenu, strukturu SPA a plán po uzavření.

Právní due diligence: struktura a změna kontroly

Právní doprovod nákupu PSP v EU a v Asii začíná u základních, avšak kritických věcí.

Co prověřuji jako první

• Struktura vlastnictví a skuteční vlastníci (UBO)
  • transparentnost řetězce;
  • existence trustů, nominálních struktur, offshore prvků;
  • shoda skutečných vlastníků s údaji u regulátora.

  Varovné signály při koupi PSP: nesoulad mezi korporátními dokumenty a údaji regulátora, skrytí ovládající osoby, složité struktury bez obchodního důvodu.

• Právní původ licence
  • zda jsou v zakladatelských dokumentech a v licenci omezení změny kontroly;
  • je‑li vyžadováno povinné schválení změny kontroly ze strany regulátora;
  • existují‑li právní omezení na změnu ředitelů a klíčového personálu.
• Existence významných smluv a závazků
  • smlouvy s korespondenčními bankami, platebními schématy, poskytovateli anti‑fraudu a KYC;
  • agenturní, outsourcingové a white‑label smlouvy;
  • dohody s klíčovými obchodníky, partnerské a referral smlouvy.

Jaké dokumenty požadovat při due diligence PSP

Seznam vždy přizpůsobujeme jurisdikci, ale jádro zůstává:

• korporátní dokumenty (stanovy, rozhodnutí akcionářů, registr účastníků);
• licence PSP/EMI, všechny přílohy, dopisy a rozhodnutí regulátora;
• registr akcionářů a skutečných vlastníků, potvrzení UBO;
• klíčové obchodní smlouvy (banky, schémata, obchodníci, poskytovatelé KYC/AML, IT‑outsourcing);
• interní zásady a postupy (v části governance, rozhodování, outsourcingu);
• historie soudních sporů a nároků protistran.

Regulační due diligence: licence a směrnice PSD2

Jak ověřit licenci PSP v EU

Vždy trvám alespoň na:

• ověření licence v oficiálním registru regulátora;
• analýze rozsahu licence: jaké druhy platebních služeb jsou povoleny, zda existují omezení podle geografického působení nebo typu klientů;
• kontrole souladu obchodního modelu s požadavky PSD2 (a v budoucnu PSD3) a AMLD.

Historie inspekcí a předpisů regulátora

Tým COREDO vždy požaduje:

• kopie regulačních dopisů, předpisů, vymáhacích opatření za poslední 3–5 let;
• zprávy externích auditorů týkající se regulačních záležitostí;
• plány remediace a akční plány, které PSP předkládala regulátorovi.

Klíčová otázka je, jak společnost pracovala s připomínkami: řešila je včas, posílila compliance‑funkci, zlepšila governance.

Náležitá prověrka v oblasti prevence praní špinavých peněz a ověřování klientů při spolupráci s poskytovatelem platebních služeb

Co kontroluji v KYC/AML compliance

• Politiku přístupu založeného na riziku
  • zda existuje formální prohlášení o rizikovém apetitu;
  • jak jsou klienti segmentováni podle rizika (odvětví s vysokým rizikem, jurisdikce s vysokým rizikem);
  • jak se rozhoduje o onboardingu a offboardingu.
• Postupy KYC/AML
  • customer due diligence (CDD) a enhanced due diligence (EDD);
  • ověření zdroje prostředků/zdroj majetku;
  • postupy průběžného monitoringu klientů a transakcí;
  • kontrola sankcí, screening PEP, monitoring negativních zpráv.
• Monitoring transakcí a protifraudová opatření
  • existence automatizovaného systému pro monitoring transakcí;
  • scénáře a pravidla (rules‑based, risk‑based nebo hybridní modely);
  • model řízení alertů a interních šetření;
  • ukazatele chargeback ratio a dispute ratio u klíčových obchodníků.

Jaké dokumenty pro AML due diligence

V rámci projektů COREDO pro AML due diligence poskytovatele PSP obvykle požaduji:

• politiku AML, politiku KYC, hodnocení rizik a prohlášení o rizikovém apetitu;
• popisy procesů onboardingu, monitoringu, vyšetřování a reportingu (SAR/STR);
• zprávy z interního a externího AML auditu;
• statistiky STR/SAR, offboardingů a odmítnutí při onboardingu za 2–3 roky;
• záznamy o školení zaměstnanců;
• výběr klientských souborů (KYC‑dokumentace), včetně klientů s vysokým rizikem a PEP;
• výběr transakcí z high‑risk segmentů pro forenzní analýzu.

Due diligence vysoce rizikových jurisdikcí

Pro mezinárodní investory v COREDO pravidelně provádíme sankční due diligence platební společnosti:

• analyzujeme země, měny a platební koridory;
• kontrolujeme, zda existují klienti nebo transakce spojené se sankčními režimy;
• hodnotíme procesy kontroly sankcí a monitoringu negativních zpráv.

Finanční a daňový due diligence: regulační kontext

Platební byznys je specifický: samotný finanční due diligence neposkytuje úplný obraz bez pochopení regulačních omezení.

V rámci projektů COREDO zaměřených na finanční due diligence PSP sledujeme:

• strukturu příjmů: poplatky za processing, interchange, FX‑marže, doplňkové služby;
• koncentraci tržeb u několika klíčových obchodníků;
• stabilitu maržovosti a unit‑ekonomiky napříč segmenty;
• náklady na compliance, IT, licence a regulační kapitál.

Daňový due diligence při koupi společnosti ve fintechu doplňujeme o:

• analýzou mezispolečnostních dohod v rámci skupiny;
• ověřením substance v jurisdikcích, kde působí;
• hodnocením souladu daňového modelu s celkovou obchodní logikou.

Provozní due diligence IT / kybernetická bezpečnost

Pro PSP není technologie back‑office, ale jádro licencované činnosti. Provozní due diligence PSP poskytovatele v COREDO vždy zahrnuje:

• hodnocení governance: role a nezávislost představenstva, existence výboru pro compliance, tři linie obrany;
• analýzu klíčového týmu: zkušenosti CEO, COO, CCO, MLRO, IT ředitele;
• posouzení procesu řízení incidentů a zajištění kontinuity provozu.

Kontrola IT‑infrastruktury a kybernetické bezpečnosti

Minimální sada otázek:

• architektura platformy (vlastní vs white‑label, kritické závislosti na dodavatelích);
• SLA s klíčovými poskytovateli, dostupnost (uptime), plány obnovy po havárii;
• výsledky penetračního testování a hodnocení zranitelností;
• správa přístupů, logování, oddělení povinností.

GDPR a osobní údaje

V EU a ve Spojeném království vždy zvlášť sleduji:

• existenci a zavedení GDPR politik (ochrana údajů, uchovávání údajů, minimalizace údajů);
• jmenování DPO a jeho role;
• incidenty úniku dat (data breach) a reakci společnosti.

Varovné signály při náležité prověrce PSP

Během posledních let si tým COREDO vytvořil poměrně ustálený seznam „červených vlajek“, při nichž buď doporučuji vážně přehodnotit cenu a strukturu transakce, nebo se zcela vzdát:

• Nesoulad skutečné činnosti s udělenou licencí (např. skrytá činnost e‑money bez příslušné licence).
• Systémová porušení AML/KYC: chybějící odpovídající dokumentace u vysokorizikových klientů, slabé EDD postupy, formální přístup k průběžnému monitoringu.
• Otevřená regulační vyšetřování nebo nesplněná nařízení.
• Silná koncentrace na sankčně citlivých trzích nebo vysoce rizikových jurisdikcích bez promyšleného přístupu založeného na riziku.
• Kritická závislost na jedné korespondenční bance nebo jednom velkém obchodníkovi.
• Historie vážných úniků dat, slabá kyberbezpečnost, chybějící řádný plán obnovy po havárii.
• Nepřehledná struktura vlastnictví, skrytí skuteční vlastníci, nesoulady mezi údaji u regulátora a v korporačních dokumentech.
• Absence reálné řídící struktury a nezávislého compliance manažera.

Důkladná prověrka v rámci struktury transakce

Když je due diligence při koupi podniku dokončeno, pro mě je nejdůležitější převést zjištění do konkrétních právních a finančních mechanismů SPA.

V praxi COREDO často nabízí:

• earn‑out: část ceny je vázána na budoucí ukazatele (včetně indikátorů compliance, zachování licencí, absence nových sankcí/pokut);
• escrow a zadržení: část částky je zablokována na dobu dostatečnou k projevení možných rizik z minulosti;
• specializované representations & warranties týkající se:
  • neexistence skrytých regulačních šetření;
  • úplnosti zveřejnění AML/CTF incidentů;
  • stavu licence a neexistenci důvodů pro její odnětí;
• odškodnění za:
  • pokuty a sankce za porušení, jejichž kořeny sahají do období před uzavřením transakce;
  • regulační nároky týkající se historického klientského portfolia a transakcí.

Porovnání jurisdikcí pro investory

Samostatná část práce, výběr jurisdikce pro koupi licencované PSP společnosti: EU, Velká Británie, Singapur, některá asijská nebo blízkovýchodní centra.

Na co se obvykle zaměřujeme s klienty:

• přísnost a předvídatelnost regulátora;
• požadavky na kapitálovou přiměřenost a ochranu klientských prostředků (safeguarding);
• postoj bank k PSP z dané jurisdikce;
• možnosti škálování (passporting v EU, přeshraniční Licencování v Asii);
• historické případy vymáhací praxe.

Jak provádím due diligence PSP s klientem

Aby bylo due diligence platební instituce v Evropě nebo v Asii skutečně užitečné, nikoli formální, v COREDO dodržujeme jednoduchou, ale fungující metodiku:

1. Sestavujeme mapu cílů investora
   • proč se kupuje PSP (geografie, produkty, licence, technologie, zákaznická základna);
   • plánovací horizont (rychlá integrace nebo pečlivý roll‑out).
2. Vypracováváme rozsah due diligence a mapu rizik transakce
   • určujeme hloubku prověrky podle bloků: právní, regulační, AML/KYC, finanční, daňový, IT, provozní;
   • vymezujeme kritická KPI a varovné signály.
3. Provádíme postupnou analýzu
   • nejprve předběžný screening (abychom v rané fázi odfiltrovali zjevně problematické cíle);
   • poté podrobné prozkoumání klíčových oblastí.
4. Převádíme závěry do plánu transakce
   • upravujeme strukturu transakce a SPA;
   • připravujeme plán nápravy po uzavření;
   • modelujeme scénáře regulačních kontrol a stresové scénáře (např. odnětí korespondenčních účtů hlavní bankou).
5. Doprovázíme změnu kontroly a komunikaci s regulátorem
   • připravujeme balík dokumentů pro schválení změny kontroly;
   • pomáháme nastavit dialog s regulátorem, vysvětlit strategii nového vlastníka;
   • bereme v úvahu termíny a podmínky schválení v časovém harmonogramu transakce.

Co je důležité před zahájením transakce

• due diligence fintech společnosti a PSP nikdy není «příliš důkladné» z hlediska AML/KYC a regulací;
• slabý compliance cílové společnosti je téměř vždy dražší než ta nejvyšší sleva na cenu;
• správně provedený due diligence při koupi společnosti není náklad, ale nástroj vyjednávání a řízení návratnosti investice (ROI).

Pokud zvažujete koupi licencovaného platebního institutu, EMI nebo jiného fintech aktiva v EU, Asii nebo SNS, začněte ne diskusí o ceně, ale s plánem due diligence. Cena je odvozena od rizik, nikoli naopak.