COREDO – EU Legal & Compliance Services Expertní právní poradenství, licencování finančních služeb (EMI, PSP, CASP dle MiCA) a AML/CFT compliance v rámci celé Evropské unie. Se sídlem v Praze poskytujeme komplexní regulační řešení v Německu, Polsku, Litvě a ve všech 27 členských státech EU.
Pavel Kos
10.03.2026 | 6 minutové čtení
Aktualizováno: 10.03.2026
Od roku 2016 vedu COREDO jako platformu odborných řešení na pomezí práva, financí a technologií. Během té doby tým COREDO realizoval desítky projektů v EU, v Česku, na Slovensku, na Kypru, v Estonsku, ve Velké Británii, v Singapuru a v Dubaji: od registrace právnických osob a licencování platebních služeb v EU až po budování AML funkcí a rozšíření na nové trhy. Dobře znám požadavky podnikatelů a finančních ředitelů: potřebují spolehlivého partnera, který mluví jazykem byznysu, ne řečí regulátora, a umí provést klienta skrze detaily PSD2, AMLD5/AMLD6 a požadavky NCA k ostrému spuštění.
Tento článek: praktický průvodce. Postupně rozeberu klasifikaci platebních služeb v EU, různé typy licencí (EMI/PI/SPI), požadavky na obchodní model a technickou architekturu, AML/KYC/KYB postupy a nuance škálování. Po cestě uvedu ukázky toho, jak řešení vyvinutá v COREDO pomáhala klientům urychlovat Licencování, budovat SCA a monitorování transakcí a sebejistě absolvovat Q&A s regulátorem platebních služeb EU.
Jak uvažovat o platebním podnikání v EU
Regulace v EU se posouvá podle logiky «funkce: riziko – kontrola». Směrnice PSD2 a klasifikace plateb poskytují rámec, kde každá funkce (iniciace platby, informace o účtu, emise elektronických peněz) nese soubor organizačních, technologických a AML-požadavků. Je důležité od prvních dnů oddělit hranice mezi bankovní činností (přijímání vkladů, poskytování úvěrů z vlastních prostředků) a službami PSP, aby bylo možné při žádosti o licenci prokázat nepřítomnost bankovní činnosti.
Trh nyní žije očekáváním PSD3 a změny se přirozeně integrují. Praxe COREDO potvrzuje: kdo včas přestavuje procesy s ohledem na posílení SCA, otevřená API a rizikově orientovaný AML, snižuje náklady na compliance a získává zrychlení time-to-market. Přitom základní princip zůstává stejný — jasně popsat produkt, transakční toky, role zúčastněných stran a hranice odpovědnosti.
Klasifikace plateb podle PSD2
Když jde o klasifikaci platebních služeb v EU, klíčovou rozvodnicí – které přesně služby poskytujete a podle jakého schématu se pohybují peníze. Druhy platebních služeb podle PSD2 zahrnují, mimo jiné, payment initiation service (PIS) a account information service (AIS).
Služba iniciace platby (PIS), jde o iniciaci platby z účtu plátce v bance přes Open Banking API; poskytovatel neudržuje prostředky, ale přebírá autentizaci, vytvoření platebního příkazu a potvrzení stavu.
Služba informací o účtu (AIS): přístup k agregovaným informacím o účtech klienta s jeho souhlasem, bez iniciace pohybů.
Merchant acquiring vs payment initiation – častá otázka v žádostech. Acquiring je přijímání kartových plateb v zájmu obchodníka (s účastí acquiring banky, karetních schémat a často BIN sponsorship), zatímco PIS je iniciace bankovního převodu přes otevřené API. Tyto modely mají odlišnou logiku toků, míru závislosti na karetních standardech a složení rizik. Správný právní popis rozlišuje toky prostředků a určuje, zda je třeba licencování platebních služeb v EU typu PI/EMI nebo zda postačí agenturní model.
Samostatná oblast: jak klasifikovat emisi elektronických peněz. Pokud uchováváte klientské prostředky s povinností odkupu za nominální hodnotu a vydáváte e-money, jde o licenci Electronic Money Institution (EMI). Jak klasifikovat mobilní peněženky podle PSD2? Pokud peněženka jen iniciuje platby bez ukládání prostředků, je to bližší PIS. Pokud jsou na rozvaze poskytovatele evidovány předplacené prostředky klienta, jde o e-money s požadavky na safeguarding a kapitál.
Formy licencí PI, EMI, SPI a regulátoři
Licencování není jen „fajfka“ pro spuštění, ale i strategie škálování. V EU fungují hierarchie: autorizace Payment Institution (PI) pro širokou škálu platebních služeb, Electronic Money Institution (EMI) pro e‑money a rozšířenou funkčnost peněženek a karet, a také registrace Small Payment Institution (SPI) pro modely s omezeným objemem transakcí. Správná volba šetří kapitál a zkracuje dobu spuštění.
regulátoři EU (NCA, EBA, ECB) určují rámec: místní NCA vydávají povolení, EBA vydává směrnice a Q&A, ECB ovlivňuje platební infrastrukturu a dozorové praktiky v eurozóně. Na co se NCA zaměřují při klasifikaci služby? Na transparentnost platebních toků, segregaci prostředků, kompetence vedení, AML kontrolní prostředí a realističnost podnikatelského plánu. Naše zkušenost v COREDO ukázala, že proaktivní dialog s NCA s demonstrováním promyšleného přístupu založeného na rizicích výrazně snižuje počet kol připomínek.
EMI licence v EU: co od regulátora očekávat
Electronic Money Institution (EMI) — volba pro poskytovatele s uchováváním klientských prostředků, emisí e‑money a vydáváním karet společně s BIN sponzorem a issuer processorem. Do obchodního plánu pro EMI licenci je důležité zahrnout detailní ekonomiku: zdroje příjmů (revenue streams: MDR, interchange, FX spread, předplatné), strukturu nákladů, odhad nákladů na souladu (compliance cost modelling) a metriky unit‑ekonomiky. Regulátor očekává důkazy o nedotčení bankovních hranic: žádné vklady a žádné poskytování úvěrů na úkor klientských prostředků.
Tým COREDO obvykle sestavuje pro EMI spis se zaměřením na safeguarding, smlouvy o ochranných účtech, politiky pro rekonciliaci a stress scenarios. Když regulátor platebních služeb EU vidí logickou architekturu řízení likvidity, jasný auditní stopu a zralé postupy CDD/EDD, diskuse se přesouvá od „je to možné“ k „jak a kdy“. To urychluje passporting platební licence do dalších zemí EU po získání hlavního povolení.
PI a SPI: prahy a scénáře
Autorizace Payment Institution (PI) je pracovní kůň pro PIS/AIS, money remittance, acquiring bez uchovávání prostředků na vlastním účtu jako e‑money. Prahové hodnoty registrace a kritéria autorizace vs registrace závisí na objemech: pro počáteční fáze někdy stačí SPI, ale bez práva na passporting a s limity měsíčních obratů. Kdy je třeba registrace jako Small Payment Institution? Když je model úzký z hlediska rizik a rozsahu, testujete poptávku a chcete rychlé uvedení na trh s následným upgradováním na PI.
Ve fázi PI autorizace často připravujeme balíček kaskádovitě: nejprve SPI kvůli rané validaci trhu, poté PI, s připravenou technickou architekturou, kterou je snazší škálovat. Tato trasa snižuje burn rate a umožňuje v praxi potvrdit produktové hypotézy a SCA procesy, než přejdete k plnohodnotnému PI.
Volba jurisdikce PSP v Evropě a Asii
Registrace platební společnosti v EU: je to rovnováha mezi termíny, kapitálovými požadavky, dostupností emitenta IBAN/SEPA a otevřeností regulátora k inovacím. Pro některé úkoly vyhovují trhy se silnou SEPA infrastrukturou a zralými NCA, pro jiné jurisdikce s rychlým administrativním cyklem. Registrace platebního instituce mimo EU, například v Singapuru nebo Dubaji, bude vyžadovat zohlednění norem MAS nebo místních centrálních bank pro Stored Value Facilities a licencí na platební služby.
V Asii často využíváme sandbox programy regulátorů a testování pro piloty s Open Banking API nebo lokálními ekvivalenty. To poskytuje argumentaci při následné plné autorizaci: otestovali SCA, provedli zátěžové testování TPS, shromáždili metriky o chargeback a selháních. Řešení vyvinuté v COREDO obvykle zahrnuje srovnávací matici jurisdikcí s hodnocením passportingu finančních licencí, dostupnosti BIN sponsorship a požadovaných politik pro dodržování pravidel při outsourcingu a rizika třetích stran.
Popis obchodního modelu pro regulátora EU
Regulátor potřebuje „průhlednou krabici“, ne „černou“. V oddílu „jak popsat podnikání pro regulátora EU“ používáme modulární strukturu business model canvas pro platební byznys, kde role obchodníků, koncových uživatelů, partnerských bank a poskytovatelů KYC vytvářejí jasný value chain. Obchodní model pro platební licenci by měl vymezit, kdo iniciuje platbu, kdo drží prostředky, kde vzniká riziko a kdo uplatňuje kontrolu.
Jak popsat model poplatků a zdroje příjmů pro regulátora? Přímo a přesně: merchant discount rate, interchange income, FX spread, předplatné za účtování, poplatek za API. Je důležité ukázat, jak se MDR dělí mezi acquirerem a poskytovatelem, jak se tvoří net settlement, jaká SLA jsou s acquiring bank. Jaké metriky ROI jsou důležité pro platební startup? GMV, net revenue, LTV/CAC, průměrná velikost transakce, podíl schválených transakcí, chargeback ratio a cost-to-serve podle segmentů.
Transakční toky a schémata
Jak popsat flow transakcí pro licenci platební instituce? Vytváříme technické diagramy toků plateb pro regulátora na základě ISO 20022 a platebních formátů, vysvětlujeme konverzi na SEPA kreditní převod a SEPA instant, ukazujeme, kde probíhá autorizace EMV 3-D Secure a kde se uplatňuje SCA. Pro cross-border scénáře zaznamenáváme, jak se používá SWIFT a GPI pro přeshraniční převody a které korespondenční banky jsou zapojeny.
Popis API a scénářů použití pro auditory zahrnuje standardy Open Banking API, strukturu endpointů, schémata autentizace, idempotency a retry-policy. Otázky škálování zpracování transakcí a vysokého zatížení uzavíráme čísly pro TPS, latency, auto-scaling a degradační scénáře. Tým COREDO také dokumentuje transaction data mapping a audit trail: kdo a kdy vytvářel, měnil a potvrzoval entity, aby auditorovi bylo snadné sledovat životní cyklus operace.
Bezpečnost SCA: požadavky a praxe
SCA a požadavky na bezpečnost plateb nejsou jen kontrolní seznam, ale základ důvěry. Vysvětlujeme, jak se uplatňuje EMV 3-D Secure pro karty, jak jsou implementovány požadavky Strong Customer Authentication (SCA) v PIS/AIS podle PSD2, kde se uchovává tokenizovaný PAN a jak je dodržováno PCI DSS a tokenizace karet. Privacy by design a shodu s GDPR popisujeme prostřednictvím minimalizace dat, pseudonymizace a jasných politik uchovávání.
Integrace AML do CI/CD a compliance-by-design: náš standard pro fintech projekty. Každá změna v pravidlech rizika prochází testovacím prostředím, sandboxem pro fintech a pilotními projekty s kontrolou dopadu na false positives/false negatives. Takový přístup přesvědčuje NCA, že bezpečnost a compliance jsou součástí architektury, ne jen «nástavba» navrchu.
Opatření proti praní peněz a financování terorismu a ověřování zákazníků a podniků pro poskytovatele platebních služeb
Požadavky AML pro PSP v EU vycházejí ze směrnic AML/CTF (AMLD5, AMLD6) a doporučení FATF, včetně tzv. travel rule pro převody s identifikací odesílatele a příjemce. Specifika KYC/KYB pro multijurisdikční PSP se týkají standardizace postupů CDD a EDD: pro fyzické osoby – doklad, adresa, selfie/video KYC; pro společnosti – zakladatelské dokumenty, verifikace UBO a skutečných majitelů, kontrola zdrojů prostředků. PEP a sankční screening by měl pokrývat lokální i mezinárodní seznamy s pravidelnou aktualizací.
Praktiky vytváření monitoringu transakcí pro žadatele se opírají o přístup založený na riziku pro kontrolu transakcí. Zavádíme rules engine se segmentními limity, velocity rules, geo-rizikovým profilováním a behaviorální analytikou. Praxe Suspicious Activity Report (SAR) je zdokumentovaná: kritéria eskalace, lhůty, obsah, uchovávání důkazů. Postupy AML pro multiměnové operace zohledňují FX a konverzi: zaznamenávají se zdroje kurzů, marže, sankční a exotická měnová rizika.
Chyby a jak reagovat na připomínky NCA
Nezjevné chyby v popisu obchodního modelu při podání žádosti jsou často spojeny s zaměněním acquiringu za PIS nebo s promícháním elektronických peněz s agenturními schématy. Na co se NCA zaměřují při klasifikaci služby? Na absenci rozporů mezi právním popisem a skutečnou technickou realizací, na správnost klientské smlouvy a zveřejnění (disclosures). Jak připravit odpovědi na připomínky regulátora ohledně klasifikace služeb a směrnice PSD2 o platebních službách? Sestavujeme matrici obav: každou připomínku spojujeme s bodem politiky, úpravou schématu toku a aktualizací SLA s partnery.
Praxe COREDO potvrzuje, že otevřený tón a ochota poskytnout dodatečné důkazy (logy SCA, protokoly zátěžových testů, zprávy GDPR DPIA) vzbuzují důvěru a zkracují cyklus otázek/odpovědí. Nakonec se dialog s regulátorem mění z kontroly ve společnou kalibraci modelu.
Akceptace plateb, karty a partnerství
Struktura smlouvy s acquirerem pro licencovaného PSP je samostatným artefaktem ve spise. Popisuje sazbu poplatku obchodníka (merchant discount rate) a schéma provizí, odpovědnost za správu chargebacků a řešení sporů, termíny vypořádání, práva na zadržování a rotující rezervu. Interakci s acquiring bankou a proces akceptace plateb zaznamenáváme tak, aby regulátor jasně viděl rozdělení rizik.
Pokud produkt zahrnuje karty, rozebíráme role vydavatele (issuer), issuer processoru, BIN sponzorství a jak popsat spolupráci s kartovými schématy a BIN sponzorem. Pro agregátorové modely, payment aggregator a white-label řešení, stejně jako model payment facilitator (PayFac) se submerchanty a KYB procesy. Outsourcing compliance a rizika třetích stran jsou pokryty samostatnými politikami: Prověrka (Due Diligence) poskytovatelů, práva auditu, kontrola subdodavatelů a plány pro případ incidentů.
Škálování passportingu a přeshraničních služeb
Jak škálovat PSP na trhy EU a SNS? Nejprve – passporting platební licence do ostatních zemí EU, poté: partnerství a lokální registrace tam, kde passporting neplatí. Specifika klasifikace přeshraničních peněžních převodů vyžadují přesný popis koridorů, korespondenčních vztahů, limitů a sankčních profilů. Jak zohlednit FX a konverzi v popisu platební služby? Dokumentujeme cenotvorbu, zdroje kurzů, kontrolu odchylek a informační zveřejnění pro klienta.
Regulační pískoviště, sandbox programy regulátorů a testování pomáhají prokázat odolnost platformy při vysoké zátěži. Otázky škálování zpracování transakcí a vysoké zátěže řešíme plánem řízení kapacit: cíle TPS, horizontální škálování, záložní datová centra a RTO/RPO. Pro SEPA uvádíme čas do finality, pro SWIFT stav GPI a SLA pro sledování.
Balík dokumentů: co je povinné
Jaké dokumenty jsou potřeba pro podání žádosti o licenci platební instituce? Korporátní dokumenty, popisy služeb a procesních toků, podnikatelský plán a finanční model, politiky AML/KYC/KYB, IT-bezpečnost a SCA, smlouvy s bankami/procesory, plány zabezpečení prostředků, životopisy vedení a kontrolních funkcí. Jaké údaje o konečných beneficiářích jsou požadovány pro podání? Úplné vlastnické řetězce, potvrzující dokumenty, důkazy o původu prostředků, adresy a identifikace.
Jak zpracovat popis technické architektury platebního řešení pro regulátora? Aplikační vrstvy, bezpečnostní perimetry, sítě, šifrování, HSM, správa tajemství, záznamy přístupů a monitoring. API dokumentace a specifikace pro regulátora zahrnují schémata autorizace, kódy chyb, časování a důkazy o kompatibilitě se standardy Open Banking API. Pro GDPR přikládáme DPIA, záznamy o zpracování údajů a zásady privacy by design.
Případy COREDO: jak přístup funguje
V projektu pro platebního poskytovatele v Evropě s modelem peněženky a karet tým COREDO klasifikoval produkt jako EMI s vydáváním elektronických peněz a kartami přes BIN-sponzora. Nastavili jsme SCA na bázi EMV 3-D Secure, vypracovali pravidla monitorování transakcí a ukázali NCA schéma zajištění prostředků a vyrovnání. Regulátor schválil model po jednom kole upřesnění a klient rychle spustil passporting platební licence v rámci EU.
V jiném případě klient vystupoval jako payment facilitator s agregací obchodníků, split-platbami a white-label. Naši právníci strukturovali smlouvu s akceptantem (acquirer), stanovili rozdělení MDR a odpovědnost za chargebacky, a inženýři připravili technické diagramy toků plateb pro regulátora. Praxe COREDO potvrdila: jasné KYB submerchantů a průhledná logika blokování/uvolnění prostředků umožňují snížit poznámky NCA na minimum.
Třetí příklad – krosborderová platforma mezi EU a Asií s využitím SEPA Instant v rámci EU a SWIFT GPI pro meziregionální převody. Popsali jsme zvláštnosti klasifikace přeshraničních peněžních převodů, zohlednili travel rule a sankční screening, a také popsali FX-procesy a marži. Po pilotu v sandboxu klient škáloval TPS, přičemž si udržel stabilitu SAR-procedur a nízkou míru false positives.
Jak funguje COREDO
Cesta začíná diagnostickou seancí: produkt, tok, rizika, volba: registrace platební společnosti v EU nebo asijská licence. Dále – mapa jurisdikcí s kritérii «regulátor platebních služeb EU», lhůty, kapitál, passporting, dostupnost partnerů pro vydávání/akvizici. Ve třetí fázi tým COREDO navrhuje podnikatelský plán, model výnosů, zhodnocení nákladů na dodržování PSD2 a AML a metriky ROI pro platební platformy (LTV/CAC, GMV, marže a cost-to-serve).
Dále připravujeme technický balíček: SCA, PCI DSS, Open Banking API, ISO 20022, SEPA/SEPA instant, SWIFT GPI, schémata TPS a odolnosti proti výpadkům. Současně utváříme AML/CTF: KYC/KYB, CDD/EDD, PEP/sankce, přístup založený na riziku a pravidlový engine. Poté: podání žádosti, odpovědi na připomínky, předložení důkazů a v případě potřeby iterace v sandboxu pro fintech a pilotní projekty.
Po autorizaci je důležitý režim «živého compliance»: systémy sledování transakcí, aktualizace politik podle vydávání nových pokynů EBA a trendů PSD3 — očekávání a změny, podpora při passportingu finančních licencí. Naše podpora zahrnuje školení týmů, testy připravenosti na audit a pravidelný audit stop dat (audit trail) a privacy by design.
Závěry
Licencování platebních služeb: nejde o „projít kontrolou“, ale o vytvoření škálovatelného a řiditelného modelu, kde compliance posiluje byznys. Za léta praxe jsem se přesvědčil: když podnikatel přesně určí klasifikaci služby podle PSD2, zvolí vhodnou licenci (PI, EMI nebo SPI), nastaví transparentní toky a vybuduje AML/KYC „jak se patří“, dialog s regulátorem se stává produktivním a předvídatelným. Výsledek – úspora času, srozumitelná cena souladu a připravenost na růst v EU, Asii a SNS.
Pokud plánujete registraci platební společnosti v EU, licencování platebních služeb v EU nebo budujete platebního poskytovatele v Evropě s expanzí na nové trhy, tým COREDO je připraven se zapojit. Pomůžeme popsat byznys pro regulátora EU, připravit technické a AML balíčky, nastavit SCA a monitorování transakcí a doprovázet passporting do jiných zemí. Takový partnerský formát dává jistotu v každém dalším kroku a proměňuje složitou regulaci v udržitelnou konkurenční výhodu.