Požadavky na platební instituce v EU: hlavní rozdíly

Nikita Veremeev

02.02.2026 | 6 minutové čtení

Aktualizováno: 02.02.2026

Od roku 2016 tým COREDO realizoval desítky projektů v oblasti registrace společností v EU, Asii a zemích SNS, získávání finančních licencí, nastavení AML a spuštění provozních procesů pro fintech. V tomto článku jsem shromáždil zkušenosti, které pomáhají klientům projít cestu od nápadu platební služby k mezinárodní škálovatelné modelu s passportingem, průhlednou funkcí compliance a udržitelnou ekonomikou.

Cílem textu je poskytnout jasnou roadmapu: jak přistoupit k licencování platebních institucí v EU, kde jsou slabá místa regulace plateb podle PSD2 v EU, a jak proměnit regulaci z nákladů na konkurenční výhodu. Praxe COREDO potvrzuje: rozumné plánování, pečlivá práce s regulátory a disciplína v operačním riziku zkracují lhůty, snižují náklady na dodržování předpisů a urychlují růst.

PI nebo EMI: licence nebo partnerství

Ilustrace k oddílu «PI nebo EMI: licence nebo partnerství» v článku «Payment institutions v EU – rozdíly v požadavcích regulátorů»
První rozcestí: licence EMI vs licence PI. Licencování EMI a platební instituce se v podstatě liší: EMI má právo emitovat elektronické peníze a uchovávat klientské zůstatky v peněženkách, zatímco PI poskytuje platební služby bez emise e-money. Jsou to odlišná obchodní rizika, kapitálové požadavky a postupy ochrany klientských prostředků v EU, proto by volba měla vycházet z produktové roadmapy.

Pravidelně vidím situace, kdy mladý fintech usiluje o EMI, přestože monetizace je založena na platebním acquiringu a PIS/AIS v logice open banking. V takových případech licence platební instituce v EU bývá dostačující a rychleji se škáluje prostřednictvím passportingu platební instituce v EU. Řešení vyvinuté v COREDO obvykle zahrnuje modelování tržeb, řízení likvidity a požadavků na kapitál na 24–36 měsíců, aby se regulatorní a provozní okruhy nepřetížily předčasně.

Další rozcestí – licence vs partnerství s bankou. Partnerský model (sponsored BIN, white-label, agenturní dohody) urychluje spuštění MVP a snižuje CAPEX, ale přidává závislost na cizí compliance politice a omezuje mezinárodní škálovatelnost. Vlastní registrace platební instituce v EU vyžaduje čas a zdroje, ale poskytuje kontrolu, flexibilitu v cenotvorbě a přímý přístup ke schématům a korespondentům. Náš tým často buduje hybrid: rychlý start přes partnerskou banku a následné zřízení platební instituce v EU pro klíčové trhy.

Právní rámec je také důležitý. Právní modely pobočky vs dceřiné společnosti pro vstup na trh EU nabízejí rozdílnou hloubku substance a možnosti řízení rizik. Dceřiná společnost zjednodušuje passporting a komunikaci s regulátory, zatímco pobočka je vhodná pro testování hypotéz nebo omezenou přítomnost. Pro skupiny mimo EU je třeba zohlednit omezení v passportingu a absenci plnohodnotné ekvivalence: často správným krokem je vytvoření EU-substance s nezávislým managementem a místním compliance.

Regulátoři EU: PSD2, EBA a diskrece

Ilustrace k oddílu «Regulátoři EU: PSD2, EBA a diskrece» v článku «Payment institutions v EU – rozdíly požadavků regulátorů»
Regulace plateb PSD2 v EU a pokyny EBA k platebním službám vytvořily základní vrstvu požadavků. Но в rámci tohoto rámce platí národní diskreční pravidla PSD2 a rozdíly v požadavcích regulátorů EU vůči platebním institucím. Naše zkušenost v COREDO ukázala, že správné porovnání národních přístupů ušetří měsíce a sníží objem korespondence v průběhu licencování.

regulatorní požadavky BaFin na platební instituce kladou větší důraz na IT bezpečnost a outsourcing (MaRisk, BAIT), důkladné prověření managementu a jasné oddělení funkcí. Jde o trh s intenzivním dohledem a vysokou kvalitou dialogu, ale očekávání ohledně substance a provozní zralosti jsou nadprůměrná.
Požadavky ACPR na platební instituce se soustředí na ochranu spotřebitele, zajištění prostředků (safeguarding) a řízení incidentů. V žádosti se oceňuje jasnost governance, smluv s třetími stranami a měřitelný program školení zaměstnanců.
Požadavky DNB na platební instituce jsou tradičně silné v oblasti rizik integrity a řízení outsourcingových řetězců. V Nizozemsku se bedlivě dívají na modely kontrol, nezávislost compliance funkce a realistiku finančních plánů.
Požadavky Banco de España na platební instituce kladou navíc důraz na lokální přítomnost a výkaznictví. Regulátor očekává promyšlenou implementaci požadavků na monitorování transakcí a scénářovou analýzu rizik.
Požadavky Centrální banky Irska (CBI) jsou známé přísným prahem «fitness and probity», strukturou PCF rolí a požadavkem na detailní plány provozní odolnosti. Jedná se o jednu z nejkonzistentnějších praxí přezkoumání v EU.
CSSF a Banca d’Italia projevují vysoká očekávání ohledně kapitálu, IT kontrol a AML. V Itálii je důležité pečlivě popsat ring-fencing a rezervy likvidity, a v Lucembursku – prokázat zralost řízení rizik při aktivním outsourcingu.

Role ECB a dohled v platební infrastruktuře se týkají dohledu nad systémy clearingu/rozúčtování a systémově významných provozovatelů. Pro PI/EMI je hlavním kontaktem národní regulátor, ale standardy ECB formují pozadí očekávání ohledně odolnosti a hlášení incidentů. Trvalý dohled vs preferenční postupy se v různých zemích EU liší intenzitou inspekcí, ale obecný trend je větší pozornost provozním rizikům a kyberodolnosti.

Kapitál, zajištění a likvidita

Ilustrace k oddílu „Kapitál, zajištění a likvidita“ v článku „Payment institutions v EU – rozdíly v požadavcích regulátorů“
Kapitální požadavky pro platební instituce v EU závisí na spektru služeb a počítají se podle metodik PSD2 (Metody A/B/C), a minimální počáteční kapitál pro PI je obvykle v rozmezí 20–125 tisíc eur. Pro EMI je vyšší, obvykle od 350 tisíc eur, s ohledem na emisi elektronických peněz a specifická rizika udržování zůstatků. Požadavky na kapitál: minimální částky a doplňkové rezervy se kombinují s požadavky na kapitálovou přiměřenost podle výsledků stresových testů a plánů růstu.

Zajištění pomocí segregovaných účtů versus svěřeneckých účtů: klíčová volba provozního modelu. V některých jurisdikcích jsou použitelné pojistné/garanční alternativy, ale převládá segregace prostředků na účtech v úvěrových institucích. Rozdíly v požadavcích na rezervování a ring‑fencing se projevují v detailech: doba denní segregace, přípustné depozitáře, mechanika rekonciliací a nezávislé auditorské kontroly.

Řízení likvidity a požadavky regulátorů spočívají v udržování dostatečnosti vlastních prostředků, pokrytí špičkových zátěží a plánování „horizontu přežití“ pro stresová scénáře. Požadavky na reporting likvidity a stresových testů v EU se sbližují, ale formáty a periodicita se liší u BaFin, ACPR, DNB a CBI. Praxe COREDO potvrzuje: včasná automatizace ALM metrik a nezávislá kontrola limitů zabraňují regulatorním otázkám v pozdějších fázích.

AML/KYC: politika a metriky

Ilustrace k sekci «AML/KYC: politika a metriky» v článku «Payment institutions v ES – rozdíly požadavků regulátorů»
AML požadavky pro platební instituce jsou založeny na AML Directives (AMLD5, AMLD6) a doporučeních FATF. Ty vyžadují hodnotit rizika, uplatňovat KYC/KYB, postupy prověrek skutečných majitelů (BO) pro PI, sledovat transakce a nastavovat reporting o podezřelých operacích. Řešení vyvinuté v COREDO často zahrnuje matice rizik podle jurisdikcí, produktů a kanálů, stejně jako návrh «schránky» eskalace a práce s výjimkami.

Automatizace KYC, eIDAS a vzdálená identifikace umožňují urychlit onboarding, ale vyžadují kalibraci s ohledem na národní pravidla a úroveň rizik. Biometrická identifikace a shoda s regulačními standardy jsou možné při zavedení silných postupů liveness‑ověření, ochrany šablon a nezávislého testování. V korespondenčních vztazích je důležité zohlednit interakci s bankovními korespondenty a požadavky KYC, protože banky diktují dodatečné standardy prověřování klientů PI/EMI.

Boj proti finančním sankcím a screening pro platební společnosti předpokládá porovnávání klientů a protistran se seznamy OFAC/EU a lokálními rejstříky. Kontrola PEP a řízení zvýšeného rizika by měly být kombinovány s flexibilní segmentací, aby se «neudusila» konverze. Prahové hodnoty pro hlášení o podezřelých operacích (STR) jsou interpretovány různě, ale obecná logika EU je — STR se podávají na základě podezření, nikoli podle částkových prahů, zatímco prahy se častěji uplatňují u jiných typů reportingu.

Systémy monitoringu transakcí a strojové učení posilují odhalování anomálií, pokud jsou modely podloženy korektními scénáři, kvalitní tréninkovou vzorkou a periodickou validací. Řízení false positive v AML a dopad na podnikání‑procesy, samostatná disciplína: naše zkušenost ukazuje, že optimalizace pravidel, priorizace alertů a zpětná vazba z vyšetřování snižují falešná spuštění o 30–50% bez zhoršení detection rate. Metriky efektivity AML programů (SAR rate, detection rate) stojí za to zaznamenávat v KPI compliance‑funkce a pravidelně je projednávat na úrovni představenstva.

SCA/RTS, GDPR a odolnost

Ilustrace k sekci «SCA/RTS, GDPR a odolnost» v článku «Platební instituce v EU – rozdíly požadavků regulátorů»

SCA a RTS požadavky pro poskytovatele plateb stanovily standardy silné autentizace a řízení rizik transakcí. Výjimky podle TRA a pro nízké částky zlepšují UX, pokud jsou modely rizik kvalitně kalibrovány a dohodnuty s regulátorem a zpracovatelskými partnery. Integrace Open Banking a požadavky na API pro TPP předpokládají odolnost API, SLA, správu verzí a bezpečné mechanismy správy tokenů.

Požadavky na informační bezpečnost a GDPR pro platební služby v EU stanovují přísný standard ochrany dat, transparentnosti zpracování a práv subjektů. Outsourcing poskytovatelů cloudových služeb a regulatorní požadavky na lokalizaci dat vyžadují pozornost k místu uchovávání, přístupu z třetích zemí, šifrování a auditorským právům. Smluvní závazky při outsourcingu kritických funkcí by měly pokrývat kontrolu subdodavatelů, právo inspekcí, RTO/RPO a plány odchodu ze smlouvy.

Řízení provozní odolnosti a BCP pro poskytovatele plateb je v EU posilováno DORA (Digital Operational Resilience Act). Hlášení incidentů a pravidla oznamování regulátorům ukládají povinnost hlásit významné provozní nebo bezpečnostní události ve stanovených lhůtách a formátech. Požadavky na penetrační testování a zabezpečení aplikací jsou doplněny správou zranitelností, bezpečným vývojem a kontrolou změn v obchodním modelu a oznamováním regulátorům, pokud se mění služby nebo geografický rozsah.

Využívání externích služeb a boj proti podvodům

Outsourcing a řízení třetích stran v platebních institucích jsou oblastí zvýšené pozornosti inspekcí. Řízení obchodních partnerů a due diligence dodavatelů by mělo zahrnovat hodnocení finanční stability, bezpečnostních kontrol a souladu jejich subdodavatelů. Požadavky na řízení rizik třetích stran a SLA předpokládají metriky dostupnosti, doby reakce, kvality vyšetřování a zdokumentovaný postup eskalace.

Rozdíly v přístupech národních regulátorů k boji proti podvodům ovlivňují soubor minimálních opatření, ale obecný trend je kombinace behaviorální analytiky, device‑fingerprintingu a monitoringu napříč kanály. Regulační opatření proti podvodům a chargebacky vyžadují úzkou spolupráci s poskytovateli schémat a acquiringovými bankami. Integrace prevence podvodů s UX a konverzí se dosahuje prostřednictvím adaptivního uplatňování SCA, bílých seznamů důvěryhodných příjemců a promyšlené komunikace s uživatelem.

Regulační rámce zasahují jak povolené, tak zakázané obchodní modely pro platební instituce, včetně omezení na ukládání prostředků mimo safeguarding a míchání klientských a vlastních prostředků. Regulační omezení pro FX a cross‑border payments se liší podle zemí, zvláště v otázkách korespondenčních řetězců a exotických měn. Regulace mezibankovních plateb a clearingu (SEPA) stanovuje standardy formátů a lhůt, a připojení k schématům vyžaduje zralost procesů a spolehlivou IT‑architekturu.

Dokumenty, lhůty, ekonomika souladu

Dokumenty a balík pro podání žádosti o licenci platební instituce zahrnují podnikatelský plán, finanční modely, politiky a postupy, popis IT‑architektury, outsourcingové smlouvy, mechaniku safeguardingu, plán BCP/DR, compliance matice a dotazování vedení. Tým COREDO pečlivě synchronizuje provozní a právní části, aby v korespondenci s regulátorem nevznikaly „nesoulady“ mezi jazykem byznysu a compliance. To snižuje počet kol dotazů a urychluje schválení.

Časy získání licence platební instituce v různých jurisdikcích EU se pohybují od 6–9 měsíců až do 12–18 měsíců, v závislosti na připravenosti týmu a složitosti obchodního modelu. Časový skluz licencování: průměrné lhůty podle jurisdikcí se zkracují, pokud je předlicenční dialog postaven na jasném přehledu rizik a realistických KPI. Sandbox regulace pro fintech v EU pomáhá testovat hypotézy a komunikovat s regulátory, ale má omezení co do rozsahu, typů operací a nenahrazuje plnohodnotnou licenci.

Náklady na dodržování požadavků PSD2 pro podnikání se skládají z CAPEX na přípravu a IT a OPEX na udržování funkcí compliance, auditu a reportingu. Srovnání nákladů na compliance: CAPEX vs OPEX ukazuje, že investice do automatizace KYC oproti manuální kontrole se vrací při rozsahu od desítek tisíc nových registrací ročně. Metriky ROI při zavádění požadavků compliance zahrnují snížení počtu falešně pozitivních případů, dobu otevření účtu, podíl zachycených podvodných transakcí a snížení regulatorních dotazů.

Škálování, M&A a reputace

Mezinárodní škálovatelnost a passporting po splnění místních požadavků: hlavní dividenda EU‑licence. Vliv národních diskrecí EU na jednotný trh plateb přetrvává, proto by strategie vstupu na prioritní země měla zohlednit rozdíly v reportingu, lokální substanci a interakci se zákazníky. Koncept passportingu a omezení pro non‑EU společnosti zůstávají aktuální: pro skupiny z třetích zemí je substancí v EU s nezávislým řízením praktický standard.

Požadavky na interní kontrolu a compliance‑funkci by se měly zintenzivňovat s růstem: nezávislost, přímý přístup k představenstvu, pravidelné zprávy a plány zlepšení. Požadavky na audit a externí reporting a regulatorní kontroly a inspekce: příprava a odpověď se organizují prostřednictvím předem schváleného «playbooku» a sady KPI/důkazů. Řízení reputačních rizik v případě nesouladu zahrnuje transparentní komunikaci, plán nápravných opatření a dokumentaci pokroku.

Praktiky due diligence při M&A platebních platforem vyžadují prověření licencí, souladu se safeguarding, kvality AML‑okruhů, smluv s třetími stranami a otevřených regulatorních otázek. Scénáře odchodu při odnětí licence a ochrana klientů by měly být předem uvedeny v plánech BCP a ve smlouvách o safeguarding. Hodnocení scalability: vliv regulatorních bariér na růst uživatelů a model tvorby cen platebních služeb a vliv regulatorních požadavků je třeba zohlednit při plánování unit‑ekonomiky a výběru trhů.

MiCA a tokenizovaná aktiva

Regulace krypto-plateb a překryv s MiCA se stává novou realitou pro platební společnosti, které chtějí přijímat nebo konvertovat digitální aktiva. Pravidla práce s e‑money a emise tokenizovaných aktiv se liší, a custodial vs non‑custodial modely v platbách nesou odlišná rizika a očekávání ohledně kontrol. V COREDO pomáháme oddělit toky: platební služby podle PSD2, e‑money podle EMI, a krypto-služby podle národních a celoevropských režimů MiCA, aby se rizika a licence nemíchaly.

Outsourcing kritických funkcí v kryptočásti vyžaduje zvláštní pozornost vůči řetězci subdodavatelů a ukládání klíčů. Regulační orgány očekávají jasné odpovědi ohledně sankčního screeningu, původu prostředků a monitorování transakcí na blockchainu. Mezinárodní spolupráce v oblasti AML a doporučení FATF pro VASP ukládají dodatečné kontroly, které je důležité zohlednit při integraci krypto-cesty do celkového rizikového apetitu PI/EMI.

Případy COREDO – od žádosti k růstu

Jeden z projektů: licence platebního institutu v Irsku. Klient přišel s ambicí instantních plateb na B2B trhu a plánem rychlých přeshraničních převodů. Tým COREDO vybudoval governance podle požadavků CBI, popsal TRA modely pro SCA/RTS, připravil outsourcingové smlouvy a plán BCP s ohledem na DORA. V důsledku prošla žádost s minimálním počtem požadavků a po získání licence klient úspěšně realizoval passporting do několika zemí EHP.

Jiný příklad – vstup fintech společnosti na německý trh s cílem poskytovat open banking služby. Porovnali jsme požadavky BaFin na IT a outsourcing se stávající cloudovou architekturou, posílili kontrolu změn a zavedli nezávislý proces pen-testing. Současně byl dohodnut přístup k safeguarding prostřednictvím segregovaných účtů v bance prvního stupně a nastaveny scénáře sledování transakcí, což snížilo provozní rizika a urychlilo integraci s partnery.

Třetí případ – škálování španělského PI s přidáním FX funkcionality. Praxe COREDO potvrdila, že Banco de España pečlivě sleduje přeshraniční řetězce a likviditu. Zavedením stresových testů měnových pozic, dohodou o dodatečných limitech s korespondenty a aktualizací AML politiky s důrazem na exotické koridory společnost zachovala tempo růstu bez připomínek ze strany dohledu.

Kontrolní seznam spuštění platební instituce

Strategie licencování a geografie. Určete, kde je kritická místní substance a jak rychle potřebujete passporting, a vytvořte model PI vs EMI a partnerství s bankou vs vlastní licence v horizontu 24 měsíců. Takový přístup snižuje regulatorní duplicity a nadbytečné náklady na přestavbu architektury.
finanční stabilita a ochrana klientských prostředků. Vypočítejte kapitál a rezervy, zvolte model segregated vs trust účtů, připravte smlouvy s depozitními bankami a popisy reconciliations. Ujistěte se, že ALM metriky a stresové scénáře jsou dostupné „na jedno kliknutí“.
Compliance a AML. Nastavte KYC/KYB, BO kontroly, sankční screening OFAC/EU, PEP procedury a monitoring transakcí s ML scénáři. Zaveďte metriky SAR/detection a program snižování false positives se zpětnou vazbou z vyšetřování.
Technologie a bezpečnost. Implementujte SCA/RTS, API politiku pro open banking TPP, GDPR kontrolu a rejstřík zpracování údajů. Proveďte nezávislý pen‑test a sestavte plány BCP/DR podle DORA s postupy pro hlášení incidentů.
Outsourcing a třetí strany. Proveďte due diligence dodavatelů, dohodněte SLA, práva auditu, plány odchodu a kontrolujte subdodavatele. Ověřte shodu cloudové architektury s požadavky místního regulátora.
Výkaznictví a inspekce. Připravte regulatorní kalendář, šablony zpráv, «playbook» pro kontroly a proces oznamování změn v obchodním modelu. Pravidelně školte personál a udržujte kulturu compliance.

Škálovatelný růst regulací COREDO

Registrace, licence a AML nejsou «papírování», ale systém řízení rizik, na kterém stojí mezinárodní platební byznys. Когда основа крепкая – капитальные требования выдержаны, safeguarding прозрачен, SCA/RTS реализованы, AML‑контур измерим и технологичен, рост происходит быстрее, а диалог с регуляторами становится конструктивным. В COREDO я настаиваю на последовательности: сначала стратегия и архитектура, затем документы и доказательства, и только потом подача.

Naše zkušenost v COREDO ukázala, že správně zvolená jurisdikce, kvalitní balík pro získání licence a vyspělý provozní model zkracují time‑to‑market a náklady na dodržování předpisů. Tým COREDO umí mluvit jedním jazykem s BaFin, ACPR, DNB, Banco de España, Banca d’Italia, CBI и CSSF, учитывая национальные дискреции при неизменной логике PSD2. Мы сопровождаем клиентов от регистрации юридических лиц до лицензирования EMI и payment institution, от AML‑концепции до инцидент‑репортинга и DORA, помогая строить надежные, масштабируемые и прибыльные платежные бизнесы.

Если ваш план, выйти в ЕС, использовать passporting и при этом сохранить прозрачность процессов и экономию времени, начните с продуманной дорожной карты. Практика COREDO подтверждает: стратегия, подкрепленная измеримыми контролями и вниманием к деталям, превращает регуляторные требования в фундамент долгосрочного партнерства с рынком и регуляторами.

Platební instituce v EU – rozdíly v požadavcích regulátorů