Odeslat požadavek
COREDO > Blog > Due diligence při koupi PSP společnosti – varovné signály

Due diligence při koupi PSP společnosti – varovné signály

Avatar photo
Aktualizováno: 13.01.2026
Obsah článku

Когда предприниматель или финансовый директор говорит мне: «Мы хотим купить лицензированную PSP-компанию в Европе»,: я всегда задаю один и тот же встречный вопрос: «Вы уверены, что готовы к честному Due Diligence

Nákup platební instituce (Payment Institution) nebo instituce elektronických peněz (EMI) není jen M&A transakce, ale nákup regulační historie, kultury compliance a rizikového profilu, který buď posílí váš holding, nebo se stane zdrojem trvalých konfliktů s regulátory a bankami.

Za léta rozvoje COREDO v EU, Asii a SNS náš tým s klienty realizoval desítky projektů: od due diligence při koupi PSP společnosti v Evropě a v Singapuru až po doprovod transakcí při získávání licencí EMI/PI spolu se společnostmi a integraci těchto aktiv do velkých finančních skupin. Tato zkušenost ukázala: úspěch transakce z 80 % závisí na kvalitě předběžného due diligence: právního, finančního, daňového, provozního a, samozřejmě, AML/KYC.

V tomto článku rozložím na jednotlivé části, jak přistoupit k due diligence PSP společnosti, které red flags jsou kritické, jaké dokumenty je nutné požadovat a jak využít výsledky prověrky pro strukturu transakce a ochranu investora.

Proč je výhodnější koupit licencovanou PSP

Ilustrace k oddílu «Proč je výhodnější koupit licencovanou PSP» v článku «Due Diligence při koupi PSP‑společnosti – red flags»

Když s klienty diskutujeme strategii vstupu na trh plateb, obvykle máme na stole dvě možnosti:

  • získání nové licence (EMI/PI) v EU, Velké Británii, Singapuru nebo Dubaji;
  • nákup licencované PSP společnosti s platnou licencí a infrastrukturou.

Nákup hotové PSP umožňuje:

  • zkrátit time-to-market: často o 12–18 měsíců rychleji ve srovnání se získáním nové licence;
  • získat hotové vztahy s korespondenčními bankami a platebními partnery;
  • zdědit obchodníky, technologickou platformu a tým;
  • použít stávající licenci k passportingu v rámci EU (při dodržení požadavků PSD2 a národních pravidel).

Ale spolu s licencí investor přebírá:

  • regulatorní legacy‑rizika (staré porušení, neuzavřená opatření);
  • historický transakční profil a portfolio klientů;
  • reputační historii PSP na trhu.

Proto je due diligence platebního poskytovatele vždy koncipováno jako projekt založený na rizicích (risk‑based approach) s jasnou mapou rizik při nákupu firmy.

Struktura prověrky poskytovatele platebních služeb společnosti

Ilustrace k oddílu „Struktura due diligence PSP společnosti“ ve článku „Due Diligence při koupi PSP-společnosti – red flags“

Když ke mně přicházejí s žádostí „due diligence při koupi PSP společnosti“, hned práci rozdělím minimálně do šesti bloků:

  1. Právní due diligence
  2. Regulační a licenční due diligence (včetně kontroly PSP licence)
  3. AML/KYC due diligence a compliance prověrka
  4. Finanční a daňové due diligence
  5. Operační due diligence a IT/kybernetická bezpečnost
  6. Strategické a business due diligence (unit‑ekonomika, udržitelnost modelu, ROI)

Každý blok poskytuje vlastní vrstvu red flags a my v COREDO jsme zvyklí výsledky prezentovat formou risk heatmap: vizuální mapy klíčových rizik transakce a jejich dopadu na cenu, strukturu SPA a plán po uzavření.

Právní due diligence: struktura a změna kontroly

Ilustrace k části «Právní due diligence: struktura a změna kontroly» v článku «Due Diligence při nákupu PSP‑společnosti – varovné signály»

Právní doprovod nákupu PSP v EU a v Asii začíná u základních, avšak kritických věcí.

Co prověřuji jako první

  • Struktura vlastnictví a skuteční vlastníci (UBO)
    • transparentnost řetězce;
    • existence trustů, nominálních struktur, offshore prvků;
    • shoda skutečných vlastníků s údaji u regulátora.

    Varovné signály při koupi PSP: nesoulad mezi korporátními dokumenty a údaji regulátora, skrytí ovládající osoby, složité struktury bez obchodního důvodu.

  • Právní původ licence
    • zda jsou v zakladatelských dokumentech a v licenci omezení změny kontroly;
    • je‑li vyžadováno povinné schválení změny kontroly ze strany regulátora;
    • existují‑li právní omezení na změnu ředitelů a klíčového personálu.
  • Existence významných smluv a závazků
    • smlouvy s korespondenčními bankami, platebními schématy, poskytovateli anti‑fraudu a KYC;
    • agenturní, outsourcingové a white‑label smlouvy;
    • dohody s klíčovými obchodníky, partnerské a referral smlouvy.

Právní doprovod transakce M&A ve fintechu se vždy dotýká speciálních ustanovení: prohlášení a záruky (representations & warranties) týkající se licence, AML/regulatorních otázek, stavu compliance, a také nároků na náhradu škody (indemnities) za předchozí porušení.

Jaké dokumenty požadovat při due diligence PSP

Seznam vždy přizpůsobujeme jurisdikci, ale jádro zůstává:

  • korporátní dokumenty (stanovy, rozhodnutí akcionářů, registr účastníků);
  • licence PSP/EMI, všechny přílohy, dopisy a rozhodnutí regulátora;
  • registr akcionářů a skutečných vlastníků, potvrzení UBO;
  • klíčové obchodní smlouvy (banky, schémata, obchodníci, poskytovatelé KYC/AML, IT‑outsourcing);
  • interní zásady a postupy (v části governance, rozhodování, outsourcingu);
  • historie soudních sporů a nároků protistran.

Právní due diligence platební organizace v COREDO vždy spojujeme s regulatorní složkou: právník hodnotí nejen formální platnost dokumentů, ale i to, jak se tyto dokumenty „propojují“ s licenčními požadavky konkrétního regulátora.

Regulační due diligence: licence a směrnice PSD2

Ilustrace k oddílu „Regulační due diligence: licence a PSD2“ v článku „Due Diligence při koupi PSP‑společnosti – red flags“

Upřímně řečeno, koupě licencované platební společnosti v EU bez důkladné regulační prověrky je hra naslepo.

Jak ověřit licenci PSP v EU

Vždy trvám alespoň na:

  • ověření licence v oficiálním registru regulátora;
  • analýze rozsahu licence: jaké druhy platebních služeb jsou povoleny, zda existují omezení podle geografického působení nebo typu klientů;
  • kontrole souladu obchodního modelu s požadavky PSD2 (a v budoucnu PSD3) a AMLD.

Klíčové red flags při due diligence PSP společnosti: nesoulad skutečné činnosti s povolenými službami, používání schémat obcházejících regulaci (de‑facto e‑money, prezentované jako technický processing), výrazné odchylky od požadavků na safeguarding klientských prostředků a kapitálovou přiměřenost.

Historie inspekcí a předpisů regulátora

Tým COREDO vždy požaduje:

  • kopie regulačních dopisů, předpisů, vymáhacích opatření za poslední 3–5 let;
  • zprávy externích auditorů týkající se regulačních záležitostí;
  • plány remediace a akční plány, které PSP předkládala regulátorovi.

Klíčová otázka je, jak společnost pracovala s připomínkami: řešila je včas, posílila compliance‑funkci, zlepšila governance.

Pokud due diligence platebního institutu v Evropě odhalí opakující se porušení, odložená nařízení nebo probíhající vyšetřování, má to přímý dopad na: strukturu ceny (earn‑out, zadržení, escrow); rozsah odškodnění (indemnities); rozhodnutí, vstoupit do transakce nyní nebo až po dokončení remediace.

Náležitá prověrka v oblasti prevence praní špinavých peněz a ověřování klientů při spolupráci s poskytovatelem platebních služeb

Ilustrace k oddílu «AML/KYC due diligence při práci s PSP» v článku «Due Diligence při koupi PSP‑společnosti – varovné signály»

Kdybyste se mě zeptali, která část prověrky PSP je rozhodující pro úspěšné dokončení transakce, odpovím: AML/KYC due diligence.

Co kontroluji v KYC/AML compliance

  • Politiku přístupu založeného na riziku
    • zda existuje formální prohlášení o rizikovém apetitu;
    • jak jsou klienti segmentováni podle rizika (odvětví s vysokým rizikem, jurisdikce s vysokým rizikem);
    • jak se rozhoduje o onboardingu a offboardingu.
  • Postupy KYC/AML
    • customer due diligence (CDD) a enhanced due diligence (EDD);
    • ověření zdroje prostředků/zdroj majetku;
    • postupy průběžného monitoringu klientů a transakcí;
    • kontrola sankcí, screening PEP, monitoring negativních zpráv.
  • Monitoring transakcí a protifraudová opatření
    • existence automatizovaného systému pro monitoring transakcí;
    • scénáře a pravidla (rules‑based, risk‑based nebo hybridní modely);
    • model řízení alertů a interních šetření;
    • ukazatele chargeback ratio a dispute ratio u klíčových obchodníků.

Známky vysokého AML rizika u poskytovatele PSP často vidíme již v prvních týdnech prověrky: koncentrace na klientelu s vysokým rizikem (hazard, sázení, forex, kryptoměny) bez jasných omezení; nedostatečná dokumentace u klientů s vysokým rizikem; formální KYC dotazníky bez podpůrných dokumentů; slabý nebo chybějící průběžný monitoring.

Jaké dokumenty pro AML due diligence

V rámci projektů COREDO pro AML due diligence poskytovatele PSP obvykle požaduji:

  • politiku AML, politiku KYC, hodnocení rizik a prohlášení o rizikovém apetitu;
  • popisy procesů onboardingu, monitoringu, vyšetřování a reportingu (SAR/STR);
  • zprávy z interního a externího AML auditu;
  • statistiky STR/SAR, offboardingů a odmítnutí při onboardingu za 2–3 roky;
  • záznamy o školení zaměstnanců;
  • výběr klientských souborů (KYC‑dokumentace), včetně klientů s vysokým rizikem a PEP;
  • výběr transakcí z high‑risk segmentů pro forenzní analýzu.

Due diligence vysoce rizikových jurisdikcí

Pro mezinárodní investory v COREDO pravidelně provádíme sankční due diligence platební společnosti:

  • analyzujeme země, měny a platební koridory;
  • kontrolujeme, zda existují klienti nebo transakce spojené se sankčními režimy;
  • hodnotíme procesy kontroly sankcí a monitoringu negativních zpráv.

Klíčová otázka: nezpůsobí koupě PSP riziko de‑riskingu ze strany korespondenčních bank a platebních schémat. Někdy právě sankční profil klientské základny vede banky k odmítnutí pokračovat ve vztazích po změně kontroly (change of control).

Finanční a daňový due diligence: regulační kontext

Platební byznys je specifický: samotný finanční due diligence neposkytuje úplný obraz bez pochopení regulačních omezení.

V rámci projektů COREDO zaměřených na finanční due diligence PSP sledujeme:

  • strukturu příjmů: poplatky za processing, interchange, FX‑marže, doplňkové služby;
  • koncentraci tržeb u několika klíčových obchodníků;
  • stabilitu maržovosti a unit‑ekonomiky napříč segmenty;
  • náklady na compliance, IT, licence a regulační kapitál.

Hlavní varovné signály: závislost na jednom velkém obchodníkovi nebo úzkém segmentu; agresivní růst obratu bez proporcionálního nárůstu funkce compliance; významná část příjmů z odvětví, k nimž se regulátoři stavějí obzvlášť přísně.

Daňový due diligence při koupi společnosti ve fintechu doplňujeme o:

  • analýzou mezispolečnostních dohod v rámci skupiny;
  • ověřením substance v jurisdikcích, kde působí;
  • hodnocením souladu daňového modelu s celkovou obchodní logikou.

Provozní due diligence IT / kybernetická bezpečnost

Pro PSP není technologie back‑office, ale jádro licencované činnosti. Provozní due diligence PSP poskytovatele v COREDO vždy zahrnuje:

  • hodnocení governance: role a nezávislost představenstva, existence výboru pro compliance, tři linie obrany;
  • analýzu klíčového týmu: zkušenosti CEO, COO, CCO, MLRO, IT ředitele;
  • posouzení procesu řízení incidentů a zajištění kontinuity provozu.

Kontrola IT‑infrastruktury a kybernetické bezpečnosti

Minimální sada otázek:

  • architektura platformy (vlastní vs white‑label, kritické závislosti na dodavatelích);
  • SLA s klíčovými poskytovateli, dostupnost (uptime), plány obnovy po havárii;
  • výsledky penetračního testování a hodnocení zranitelností;
  • správa přístupů, logování, oddělení povinností.

GDPR a osobní údaje

V EU a ve Spojeném království vždy zvlášť sleduji:

  • existenci a zavedení GDPR politik (ochrana údajů, uchovávání údajů, minimalizace údajů);
  • jmenování DPO a jeho role;
  • incidenty úniku dat (data breach) a reakci společnosti.

Kontrola zabezpečení osobních údajů klientů PSP není formalita: vážná porušení mohou vést k pokutám v rozsahu srovnatelném s ročním ziskem společnosti.

Varovné signály při náležité prověrce PSP

Během posledních let si tým COREDO vytvořil poměrně ustálený seznam „červených vlajek“, při nichž buď doporučuji vážně přehodnotit cenu a strukturu transakce, nebo se zcela vzdát:

  • Nesoulad skutečné činnosti s udělenou licencí (např. skrytá činnost e‑money bez příslušné licence).
  • Systémová porušení AML/KYC: chybějící odpovídající dokumentace u vysokorizikových klientů, slabé EDD postupy, formální přístup k průběžnému monitoringu.
  • Otevřená regulační vyšetřování nebo nesplněná nařízení.
  • Silná koncentrace na sankčně citlivých trzích nebo vysoce rizikových jurisdikcích bez promyšleného přístupu založeného na riziku.
  • Kritická závislost na jedné korespondenční bance nebo jednom velkém obchodníkovi.
  • Historie vážných úniků dat, slabá kyberbezpečnost, chybějící řádný plán obnovy po havárii.
  • Nepřehledná struktura vlastnictví, skrytí skuteční vlastníci, nesoulady mezi údaji u regulátora a v korporačních dokumentech.
  • Absence reálné řídící struktury a nezávislého compliance manažera.

Každá taková červená vlajka nutně transakci nezabije, ale vyžaduje: buď výraznou slevu a posílené odškodnění; nebo jasný plán nápravy před uzavřením nebo v rané fázi po uzavření.

Důkladná prověrka v rámci struktury transakce

Když je due diligence při koupi podniku dokončeno, pro mě je nejdůležitější převést zjištění do konkrétních právních a finančních mechanismů SPA.

V praxi COREDO často nabízí:

  • earn‑out: část ceny je vázána na budoucí ukazatele (včetně indikátorů compliance, zachování licencí, absence nových sankcí/pokut);
  • escrow a zadržení: část částky je zablokována na dobu dostatečnou k projevení možných rizik z minulosti;
  • specializované representations & warranties týkající se:
    • neexistence skrytých regulačních šetření;
    • úplnosti zveřejnění AML/CTF incidentů;
    • stavu licence a neexistenci důvodů pro její odnětí;
  • odškodnění za:
    • pokuty a sankce za porušení, jejichž kořeny sahají do období před uzavřením transakce;
    • regulační nároky týkající se historického klientského portfolia a transakcí.

Při velkých transakcích s PSP týmy COREDO pomáhají strukturovat obchody s odloženou platbou (earn‑out), kdy prodávající nese dílčí odpovědnost za to, jak podnik obstojí při následných regulačních prověřováních a bankovním due diligence.

Porovnání jurisdikcí pro investory

Samostatná část práce, výběr jurisdikce pro koupi licencované PSP společnosti: EU, Velká Británie, Singapur, některá asijská nebo blízkovýchodní centra.

Na co se obvykle zaměřujeme s klienty:

  • přísnost a předvídatelnost regulátora;
  • požadavky na kapitálovou přiměřenost a ochranu klientských prostředků (safeguarding);
  • postoj bank k PSP z dané jurisdikce;
  • možnosti škálování (passporting v EU, přeshraniční Licencování v Asii);
  • historické případy vymáhací praxe.

Někdy je racionálnější nehonit se za «nejlevnější» licencí, a zvolit jurisdikci, kde: je snazší přesvědčit banky o udržitelnosti modelu; je menší riziko náhlého zpřísnění regulace; je vyšší pravděpodobnost strategického odprodeje aktiva v budoucnu.

Jak provádím due diligence PSP s klientem

Aby bylo due diligence platební instituce v Evropě nebo v Asii skutečně užitečné, nikoli formální, v COREDO dodržujeme jednoduchou, ale fungující metodiku:

  1. Sestavujeme mapu cílů investora
    • proč se kupuje PSP (geografie, produkty, licence, technologie, zákaznická základna);
    • plánovací horizont (rychlá integrace nebo pečlivý roll‑out).
  2. Vypracováváme rozsah due diligence a mapu rizik transakce
    • určujeme hloubku prověrky podle bloků: právní, regulační, AML/KYC, finanční, daňový, IT, provozní;
    • vymezujeme kritická KPI a varovné signály.
  3. Provádíme postupnou analýzu
    • nejprve předběžný screening (abychom v rané fázi odfiltrovali zjevně problematické cíle);
    • poté podrobné prozkoumání klíčových oblastí.
  4. Převádíme závěry do plánu transakce
    • upravujeme strukturu transakce a SPA;
    • připravujeme plán nápravy po uzavření;
    • modelujeme scénáře regulačních kontrol a stresové scénáře (např. odnětí korespondenčních účtů hlavní bankou).
  5. Doprovázíme změnu kontroly a komunikaci s regulátorem
    • připravujeme balík dokumentů pro schválení změny kontroly;
    • pomáháme nastavit dialog s regulátorem, vysvětlit strategii nového vlastníka;
    • bereme v úvahu termíny a podmínky schválení v časovém harmonogramu transakce.

Co je důležité před zahájením transakce

Nákup PSP není rychlý zkratkový postup, ale strategické rozhodnutí, které mění rizikový profil celé skupiny. Z mé zkušenosti:

  • due diligence fintech společnosti a PSP nikdy není «příliš důkladné» z hlediska AML/KYC a regulací;
  • slabý compliance cílové společnosti je téměř vždy dražší než ta nejvyšší sleva na cenu;
  • správně provedený due diligence při koupi společnosti není náklad, ale nástroj vyjednávání a řízení návratnosti investice (ROI).

Mým úkolem jako zakladatele COREDO a úkolem mého týmu je zajistit, aby při rozhodování o koupi PSP vaše rozhodnutí vycházelo nikoli z optimismu prodávajícího, ale ze strukturované analýzy: právní, finanční, daňové, AML a provozní.

Pokud zvažujete koupi licencovaného platebního institutu, EMI nebo jiného fintech aktiva v EU, Asii nebo SNS, začněte ne diskusí o ceně, ale s plánem due diligence. Cena je odvozena od rizik, nikoli naopak.

ZANECHTE NÁM KONTAKTNÍ ÚDAJE
A ZÍSKEJTE KONZULTACI

    Kontaktováním nás souhlasíte s tím, že vaše údaje budou použity pro účely zpracování vaší žádosti v souladu s naší Zásadou ochrany osobních údajů.

    +420 228 886 867

    K Červenému dvoru 3269/25a, Praha, 130 00, Česká republika

    Mapa stránek    © 2026 Copyright © RES JUDICATA s.r.o. Všechna práva vyhrazena | llms.txt