COREDO – EU Legal & Compliance Services Expertní právní poradenství, licencování finančních služeb (EMI, PSP, CASP dle MiCA) a AML/CFT compliance v rámci celé Evropské unie. Se sídlem v Praze poskytujeme komplexní regulační řešení v Německu, Polsku, Litvě a ve všech 27 členských státech EU.
Pavel Kos
08.03.2026 | 6 minutové čtení
Aktualizováno: 08.03.2026
Od roku 2016 rozvíjím COREDO jako partnera pro mezinárodní podnikání: zakládání společností, finanční licencování, AML poradenství a provozní podporu v EU, v Česku, na Slovensku, na Kypru, v Estonsku, ve Spojeném království, v Singapuru a v Dubaji. Během těchto let jsem viděl, jak digitální finance dospívají: od prvních platebních licencí až po velké VASP, které jednají s korespondenčními bankami na rovném základě. Dnešní klíčové téma: příprava na Travel Rule pro fintech a implementace Travel Rule v kryptoprojektech. V letech 2024–2026 se požadavky konsolidují, zpřísňují a stávají se podmínkou přístupu k infrastruktuře tradičních financí a k globálním trhům.
Napsal jsem tento článek jako praktickou příručku pro vedoucí pracovníky, CTO a CCO, kteří odpovídají za strategii a každodenní realizaci. Tým COREDO realizoval desítky projektů v oblasti licencování (krypto, platby, forex), regulatorní připravenosti a AML transformací v EU a v Asii, a zde jsem shromáždil ověřená řešení – bez teorie pro teorii. Praxe COREDO potvrzuje: správně nastavený Travel Rule se nepřeměňuje v „compliance brzdu“, ale urychluje vstup na nové trhy a usnadňuje přístup k bankovním platebním kanálům.
Proč je pravidlo Travel Rule důležité do roku 2026
Travel Rule, это regulační požadavky Travel Rule na předávání identifikačních údajů o odesílateli a příjemci mezi poskytovateli služeb s virtuálními aktivy (Travel Rule pro VASP) a dalšími regulovanými subjekty při převodech. Ve své podstatě jde o transpozici bankovního principu „informace o odesílateli a příjemci“ do krypto- a fintech infrastruktury. Do roku 2026 regulátoři očekávají zralé, škálovatelné a bezpečné provedení, kompatibilní mezi regiony a protokoly.
Práhové částky se postupně vyrovnávají a výjimky se zužují. Korrespondenční banky při kryptoplatbách již zahrnují otázky Travel Rule do svých Due Diligence dotazníků, a bez jasné implementace VASP ztrácí možnost spolupracovat s důvěryhodnými fiatovými partnery. Naše zkušenost v COREDO ukázala: pokud Travel Rule začleníte do architektury KYC/AML, místo abyste ho přidávali navrch, stane se ROI projektu pozitivní již v prvním roce díky snížení false positives a urychlení vyšetřování.
Doporučení FATF 16: klíčová ustanovení
FATF Recommendation 16 / Doporučení FATF 16 požaduje, aby VASP (poskytovatel služeb s virtuálními aktivy) a klasifikace transakcí zajišťovali identifikaci odesílatele a příjemce, předávání minimálně nezbytných údajů a jejich ověření v okamžiku zahájení převodu. Požadavky na předávané údaje o odesílateli a příjemci zahrnují jméno, účetní identifikátory, adresu/národnost nebo ekvivalent, jakož i informace dostatečné pro následné vyšetřování podezřelých operací. Důležitý je princip „okamžitého a bezpečného sdílení“: údaje jsou předávány bezpečně a synchronně s platebním tokem nebo před připsáním příjemci.
Standardy EU a Asie: MiCA, DAC8, AMLA
V EU vliv MiCA a DAC8 na provádění Travel Rule zvyšuje potřebu sladění údajů: MiCA stanoví rámec pro poskytovatele kryptoslužeb, zatímco DAC8 ukládá požadavky na výměnu dat o krypto aktivech pro daňové orgány. Dopad EU AMLA na krypto compliance se projeví v unifikaci dohledu a postupů vyšetřování. Ve Spojeném království FCA a regionální pokyny k Travel Rule upřesňují dohled nad VASP a očekávají zdokumentované postupy. V USA FinCEN pokyny k Travel Rule se zaměřují na identifikaci protistran a hlášení, včetně SAR/STR. V Singapuru MAS (Сингапур) je přístup k Travel Rule a AML systémový a pragmatický: důraz na řízení rizik, technickou kompatibilitu a ochranu PII. Regionální standardy Travel Rule v EU a Asii směřují k interoperabilitě, což usnadňuje mezinárodní operace při správné implementaci.
Pravidlo o předávání údajů o převodech pro poskytovatele virtuálních aktiv: realita
VASP (poskytovatel služeb s virtuálními aktivy) a jeho klasifikace zahrnují burzy, kustodní peněženky, makléře a některé platební operátory, pokud zpracovávají kryptoaktiva. Požadavky zahrnují KYC postupy v kontextu Travel Rule, prověřování sankcí a PEP, stejně jako začlenění mechanismů pro předávání a příjem informací do transakčních pipeline. Regulátoři zvlášť zdůrazňují kontrolu nad beneficiálním vlastnictvím (UBO) a Travel Rule: propojení UBO údajů s entitami pomáhá snižovat riziko obcházení pomocí fiktivních příjemců.
Implementace protokolů přenosu dat
Aby byla zajištěna mezinárodní kompatibilita a spolehlivost, je kritické vybrat protokoly přenosu dat pro Travel Rule a předvídat mezioperační brány a mezisíťové principy. Trh směřuje k několika dominantním standardům a rozumná architektura by měla podporovat zároveň dvě až tři, aby minimalizovala provozní přerušení.
OpenVASP, TRISA a komunikace mezi VASP
Specifikace OpenVASP a praktická integrace jsou vhodné pro hybridní scénáře a peer-to-peer navazování důvěry. Architektura TRISA a schéma důvěry mezi VASP spoléhají na PKI, což usnadňuje vzájemnou autentizaci a ověřování členství. Protokoly mezivaспového výměny (InterVASP Messaging), včetně IVMS101, stanovují společný slovník dat pro interoperabilitu. Řešení vyvinuté v COREDO pro jednoho z klientů v Estonsku zavedlo dual-stack: integrace OpenVASP a případy integrace a kompatibility TRISA pokryly více než 80 % protistran v EU a Asii prostřednictvím mezioperačních bran.
Formáty zpráv a on-chain metadata
Formáty zpráv: JSON, protobuf, mapování ISO 20022 umožňují sladit datové struktury se souvisejícími systémy. Mapování ISO 20022 usnadňuje integrační vzory s Core Banking a platebními bránami, zejména když VASP spolupracuje s EMI nebo PSP. Samostatnou otázkou je pole memo a standardy on-chain metadat: některé sítě podporují přenos odkazů nebo hashů na off-chain data; je důležité neukládat PII na blockchain a místo toho používat odkazy a důkazy založené na hashech. Mezinárodní interoperabilita a mapování polí transakcí zrychlují zpracování a snižují manuální dodatečné zpracování.
Škálování a výkon
Vždy žádám tým architektů, aby začínal od perimetru: API Gateway, webhooks a zabezpečení přenosu, přísná autentizace mezi VASP, a také rate limiting, throughput, TPS pro masové převody. Škálování přenosu metadat při vysokém zatížení vyžaduje zpracování dávkami a agregaci zpráv pro optimalizaci bez ztráty synchronizace compliance. SLA, latence a požadavky na zpoždění přenosu je třeba dohodnout v MoU a SLA: pro retailové převody cílujeme na <300 ms za výměnu metadat při kešovaných důvěryhodných kanálech; pro institucionální: je přípustné až 1–2 sekund, pokud proběhlo předběžné ověření.
Ochrana osobně identifikovatelných údajů
Bezpečnost je základem důvěry. Držím se principu “privacy by design”: infrastruktura standardně šifruje, minimalizuje a řídí přístup k datům, ne jako volitelnou možnost.
Správa klíčů v kryptografii
Šifrování a ochrana PII při přenosu metadat jsou založeny na end-to-end šifrování a požadavcích TLS verze 1.2+ s moderními šifrovými schématy. HSM, KMS a správa klíčů pro zprávy Travel Rule zajišťují hardwarovou ochranu a rotaci klíčů. PKI a certifikáty pro autentizaci VASP vytvářejí důvěryhodné prostředí mezi účastníky; periodická rotace a OCSP stavy jsou součástí povinné regulace. Tým COREDO zaváděl E2E šifrování s oboustrannou autentizací, což snížilo riziko MITM a zjednodušilo externí audity.
Moderní hashování a soukromí
Hashování osobních údajů (PII) pro účely shody se používá ve scénářích předběžného porovnávání bez zveřejnění. Používáme hashování PII: SHA-256, sůl a principy dynamického solení, aby se vyloučila rizika rainbow tabulek. Hashování chránící soukromí a porovnávání dat doplňujeme důkazy s nulovou znalostí (zero-knowledge proofs) pro selektivní zveřejnění KYC, kdy protistrana potvrdí atribut bez předání primárního dokumentu.
Perspektivní směr: decentralized identifiers (DID) a Verifiable Credentials; DIDComm a WACI pro výměnu přihlašovacích údajů zrychlují onboarding protistran. V složitých případech používáme secure multi-party computation (MPC) v KYC pipelines, a také pseudonymizaci a tokenizaci osobních údajů ke snížení stopy PII v produkci.
GDPR a životní cyklus dat
Shoda s GDPR při implementaci Travel Rule vyžaduje jasné odůvodnění: GDPR: právní základ, minimalizace dat, přeshraniční přenos a omezení účelů zpracování. Politiky uchovávání dat a retention v kontextu Travel Rule určují lhůty a podmínky mazání; zásady uchovávání dat a požadavky regulátorů ЕС doporučují uchovávání provozních logů 5–7 let, přičemž mazání a minimalizace osobních údajů (data minimisation) zůstávají povinné. Praxe COREDO potvrzuje, že segmentace, přístup založený na rolích a kontrolované přeshraniční převody prostřednictvím standardních smluvních ustanovení chrání podnik při auditech.
Integrace s AML a monitorování transakcí
Travel Rule nežije odděleně od AML. Jeho síla se projevuje, když data automaticky zásobují scénáře monitorování, správu případů a výkaznictví.
Ověření klienta (KYC) a sankce ve sdílených utilitách
KYC-procedury v podmínkách Travel Rule zahrnují průběžnou aktualizaci údajů klientů, sankční prověrky a seznamy PEP v procesu Travel Rule před poskytnutím úvěru příjemci. Pro snížení nákladů zvažujeme praxi KYC-utility / shared KYC; společné služby v EU a Singapuru už vykazují dobré výsledky při dodržení DPA. Regulátor požaduje jasné runbooky pro případ neúspěšné výměny dat: zablokování úvěrování, eskalaci a SAR/STR.
Sledování ML a KPI
Integrace Travel Rule s existujícím AML/Transaction Monitoring probíhá přes streamové konektory. Algoritmy strojového učení ke snížení false positives pomáhají filtrovat triggery s přihlédnutím ke kontextu protistran a geografii. Důležité jsou metriky efektivity: false positive rate, time-to-investigate a KPI: cost per alert, alerts per 1000 tx, MTTR; ty sledují systémy pro správu případů a workflow orchestration AML. V jednom z projektů ve Velké Británii řešení vyvinuté v COREDO snížilo FP-rate o 28 % díky doplňkovým znakům z Travel Rule a segmentaci protistran podle spolehlivosti.
Výkaznictví, audit a bezpečnost
SAR/STR — mechanika a automatizace podávání oznámení se vkládá do case managementu, aby se nepromeškaly lhůty. Neměnnost audit trailu a důkaz kontinuální kontroly zabezpečujeme pomocí hash-based proofs a hashování logů; pro regulatorní demonstrace využíváme blockchain anchoring k doložení souladu bez odhalení PII. SOC 2, ISO 27001 a další bezpečnostní certifikace zvyšují důvěru bank-korešpondentů; pravidelné penetration testingy a red-teamové zkoušky integrací potvrzují zralost ochrany.
Provozní model zavedení
Vždy navrhuji spočítat peníze před startem. To je fér vůči byznysu i týmu.
Co jsou CAPEX, OPEX a ROI?
Náklady na zavedení Travel Rule (CAPEX a OPEX) závisí na rozsahu operací a počtu protistran. SaaS‑řešení versus on‑premise implementace Travel Rule se liší TCO: SaaS snižuje CAPEX a zrychluje spuštění, on‑premise poskytuje kontrolu nad daty a flexibilní přizpůsobení. Model ROI pro investice do Travel Rule bere v úvahu snížení manuálních kontrol, zkrácení SLA pro incidenty, zvýšení šance na schválení bankami a růst konverze mezinárodních převodů. V případech COREDO nastupovalo kladné ROI za 9–14 měsíců při objemu >50 tis. transakcí měsíčně.
Bankovní požadavky a partnerství
Strategie partnerských integrací VASP‑to‑VASP vytváří síť důvěry a snižuje latenci výměny. Požadavky korespondenčních bank u kryptoplatby zahrnují potvrzení Travel Rule, nezávislé audity, sankční filtry a správu UBO. Tým COREDO pomáhal sladit takové spisy v Singapuru a na Kypru; výsledkem bylo otevření účtů u respektovaných institucí a rozšíření limitů.
Rizika dodavatelů a smluv
Vendor selection checklist для SaaS-поставщиков Travel Rule включает протоколы (OpenVASP/TRISA/IVMS101), сертификации, latency, географию хостинга, DPA соответствия и возможности кастомизации. správa rizik dodavatelů a third-party risk assessment stanovuje escrow zdrojových kódů, migrační plán a postup pravidelných nezávislých testů. Právní dohody mezi VASP: MoU, DPA, SLA jsou povinné; samostatně definujeme odpovědnost za incidenty, oznamování regulátorům a mechanismy nápravy.
Kontinuita a incidenty
Scénáře odolnosti vůči chybám a disaster recovery pro výměnu metadat by měly pokrývat degradaci na alternativní kanály, opakování pokusů, cache stavů důvěry a návrat k ruční kontrole. Plán jednání při incidentech a runbook pro VASP zahrnuje klasifikaci incidentu, RACI, komunikaci s protistranou a regulatorní oznámení a spolupráci s dohledem ve stanovených lhůtách. Vidím, jak takové runbooky snižují stres v týmech a zjednodušují externí kontroly.
Mezinárodní kompatibilita a mapování
Globální podnikání se opírá o standardy a přesné mapování dat. Nejde o „hezké“, jde o rychlost a kvalitu.
Mapování: standardy a regionální rozdíly
Mezinárodní kompatibilita a mapování polí transakcí jsou založeny na IVMS101 a ISO 20022; formáty zpráv: JSON, protobuf, mapování ISO 20022 poskytují flexibilitu. Regionální rozdíly: EU, Asie, SNS se odrážejí v detailech ověřování adres, identifikátorů a omezeních přeshraničního předávání. Tým COREDO nastavoval profily zemí, aby automaticky doplňoval potřebná pole pro MAS, FCA nebo místní dohledové orgány v SNS.
Dozorová komunikace MiCA a DAC8
Vliv MiCA a DAC8 na provádění Travel Rule posiluje propojení daňových a AML požadavků, což vyžaduje včasnou konsolidaci dat. Regulatorní oznámení a komunikace s dohledem se stávají předvídatelnými, pokud jsou systémy schopné vytvářet kompletní spisy k transakci s doplněnými informacemi Travel Rule. To urychluje uzavírání dotazů a snižuje náklady na obhajobu.
Případové studie a piloty COREDO 2024–2026
Cením si konkrétnosti. Takto jsme dospěli k provozní vyspělosti v různých jurisdikcích.
Integrace OpenVASP: případové studie
Pro evropského VASP s licencí v Estonsku tým COREDO zrealizoval integraci OpenVASP s podporou IVMS101 a obousměrnou autentizací. Implementovali jsme meziprovozní brány a mezisíťové principy pro práci s asijskými protistranami přes adaptéry. Výsledek – pokrytí >65% adresátů v EU a v Asii a dodržení SLA pro latenci <400 ms.
Integrace TRISA a kompatibilita
V Singapuru jsme připojili TRISA s lokálním hostingem klíčové infrastruktury a PKI, synchronizovali DPA podle GDPR a místního PDPA. Kompatibilitu s OpenVASP jsme zajistili prostřednictvím univerzálního mapování polí a směrovacího brokera, který volil protokol podle domény protistrany. Praxe COREDO potvrzuje: dual-stack snižuje nedoručení zpráv a šetří na ručním dopracování.
Testování PoC a piloty
Testování, PoC a piloty nasazení Travel Rule stavíme na PoC kritériích: bezpečnost, latence, interoperabilita, náklady. Používáme syntetická data, emulátory TPS, fault injection a nezávislé pentesty. V jednom z PoC jsme dosáhli stabilního průtoku 1200 zpráv/s s dávkovým zpracováním a agregací zpráv pro optimalizaci, aniž bychom překročili hranice SLO latence.
Případy souladu 2024–2026
V období 2024–2026 mezi klienty COREDO byli burzy z EU, kustodové z Dubaje a fintechy z Velké Británie. Prošli auditní připraveností a prokázali shodu s Travel Rule, synchronizovali politiky uchovávání dat a retence a dohodli SLA s klíčovými protistranami. To jim pomohlo otevřít přístup k novým bankovním kanálům a snížit podíl zastavených převodů.
Kroky pro CTO a CCO
Aby se přešlo od záměrů k nasazení, doporučuji postupovat iterativně, ale systematicky.
Kontrolní seznamy pro vedoucí
- Regulační rámec: FATF 16, MiCA, DAC8, FinCEN, FCA, MAS; místní požadavky jurisdikce inkorporace.
- Architektura: výběr protokolů (OpenVASP/TRISA), IVMS101, mapování ISO 20022, API Gateway, webhooks.
- Bezpečnost: HSM/KMS, PKI, TLS, end-to-end šifrování, SOC 2/ISO 27001, penetrační testování a red-team prověrky integrací.
- Data: právní základ podle GDPR, minimalizace dat, přeshraniční přenosy, zásady uchovávání dat a požadavky regulátorů EU.
- Operace: case management, orchestraci workflow pro AML, automatizaci SAR/STR, runbook pro incidenty.
- Výkon: cíle TPS, rate limiting, batch processing, SLA a SLO na latenci.
- Právní rámec: MoU, DPA, SLA, checklist pro výběr dodavatelů a hodnocení rizik třetích stran.
- Finance: CAPEX/OPEX, model ROI, strategie škálování a kontrola UBO.
Strategie partnerství a provozu do roku 2026
Vybudujte jádro důvěryhodných protistran a podepište mezioperátorské SLA. Nastavte strategii partnerských integrací VASP-to-VASP s předběžnou výměnou testovacích profilů a hashů seznamů sankcí. Prodiskutujte s korrespondentskými bankami očekávané formáty reportování, integrační vzory s Core Banking a platebními bránami a politiku eskalace při alertech.
Jak snížit provozní náklady
Strategie snižování provozních nákladů při dodržování Travel Rule zahrnují sdílené KYC utility, konsolidaci logování a hashování logů s levným dlouhodobým úložištěm, automatizaci rutiny případů pomocí ML. Používejte hashování chránící soukromí, aby se snížila nákladná ruční schválení PII. Pro špičkové zátěže škálujte přes fronty a batch processing, nikoli trvalým overprovisioningem.
Závěr
Travel Rule 2026 není jen další zaškrtávací políčko v compliance. Je to způsob, jak mluvit s bankami a regulátory jedním jazykem, rozšiřovat mezinárodní působnost a snižovat provozní rizika. Vidím, jak klienti COREDO získávají strategickou výhodu, když implementují Travel Rule uvědoměle: na bázi standardů, s respektem k soukromí klientů a s jasnou ekonomikou.
Pokud plánujete registraci právnické osoby v EU, v Asii nebo v SNS, získání finanční licence nebo vybudování AML-funkce, zařaďte Travel Rule od prvního dne. Tým COREDO touto cestou prošel mnohokrát a ví, jak skloubit regulatorní očekávání s realitou byznysu – od výběru protokolů do auditu a jednání s korespondenčními bankami. Jsem připraven projednat vaše plány a pomoci vypracovat roadmapu, která obstojí vůči požadavkům 2024–2026 a poskytne byznysu oporu pro škálování.