COREDO

В международных группах вопрос KYC-политики звучит сегодня очень прямо: единый стандарт или локальная адаптация? Как человек, который с 2016 года развивает COREDO и ежедневно видит живые кейсы из ЕС, Азии и СНГ, я уверенно отвечу: формально, нужен единый каркас, практически — без продуманной локальной адаптации бизнес просто не выживет.

Почему старый KYC-подход не работает

• платёжным системам,
• корреспондентским счетам,
• лицензиям (крипто, EMI, PI, форекс, инвестиционные),
• экосистемам маркетплейсов и финтех-партнёров.

• Каждая юрисдикция требует «чуть-чуть по-другому»: формы, сроки, документы, уровни EDD.
• Платёжные партнёры и банки практикуют оверкомплаенс: проверяют каждого клиента и каждую операцию, блокируют счета, требуют обновлять KYC «чаще, чем это написано в законе».
• Масштабирование в 5–10+ стран превращается в хаос: разные процедуры, разные IT-системы, разные интерпретации AML-рисков в дочках.

Единый KYC‑стандарт группы: состав и требования

• Риск-аппетит и типологии клиентов
  • розничные, SME, корпоративные, финансовые институты;
  • высокорисковые сегменты: CBI-клиенты (investment migration), крипто-brokers, PSP, P2P-платформы.
  • логика: кого вы вообще готовы обслуживать, а кого: нет ни в одной стране.
• KYC-классификация и уровни проверки
  • стандартная проверка,
  • расширенная проверка благонадёжности (EDD),
  • усиленная проверка для PEP, санкционных и CBI-клиентов.
  Здесь важно единообразие: если EDD для корпоративного клиента в одной дочке включает анализ происхождения капитала за 3 года, а в другой: только декларацию, глобальный риск-профиль искажается.
• Базовый 15-этапный процесс KYC для юридических лиц
  В COREDO мы часто выстраиваем именно многоэтапный процесс, где независимо от страны присутствуют обязательные шаги:
  • идентификация компании (регистрационные документы, статуты);
  • идентификация бенефициарных владельцев и контрольной структуры;
  • проверка директоров и ключевых контролирующих лиц;
  • анализ несоответствий между паспортами и налоговым резидентством;
  • подтверждение адреса;
  • проверка по санкционным, PEP, негативным медиа;
  • проверка происхождения капитала и источников доходов;
  • оценка бизнес-модели и географии транзакций;
  • присвоение риск-рейтинга;
  • решение: onboard / отказ / EDD / дополнительные запросы.
• Политика KYT и мониторинг транзакций
  • правила real-time мониторинга подозрительных операций;
  • логика триггеров по странам и контрагентам;
  • подход к блокировке/холдированию операций и запросу документов.
• Требования к Digital compliance и кибербезопасности
  • использование систем цифровой идентификации и eIDAS (для ЕС);
  • требования к хранению KYC-досье и журналов действий;
  • базовые стандарты кибербезопасности: защита данных клиентов, контроль доступа, логирование верификаций.
• Роль независимого комплаенс-офицера
  • единые требования к квалификации;
  • независимая отчётность на уровень Совета директоров;
  • право вето на рискованные onboarding’и.

Где обязательна локальная адаптация KYC
Даже идеально выстроенный глобальный стандарт не отменяет того, что требования ЕС к KYC, регуляция финтеха в Азии и практика регуляторов СНГ различаются.

Я вижу три уровня, где локальная адаптация не просто желательна, а критична.

Требования и сроки

• В ряде стран ЕС регуляторы переходят от «упрощённой верификации» к жёсткой модели полной KYC-проверки почти для всех категорий клиентов.
• Сокращаются сроки верификации: то, что раньше занимало до 10 дней, теперь ожидают завершать за 2–5 дней: особенно в финтехе, чтобы клиент не ушёл к конкуренту.
• Для платёжных компаний и крипто-лицензий локальные регуляторы (например, в Литве, Эстонии, на Кипре) устанавливают отдельные требования к структуре AML/KYC-политик, составу отчётности и формату данных.

• директивы ЕС, PSD2, eIDAS для платежных и финтех-компаний;
• требования местных надзорных органов Азии, синхронизированных с Guidance FATF;
• требования по машиночитаемой AML-отчётности и онлайн-мониторингу со стороны регуляторов.

Требования к substance и реальному присутствию

• реальный офис и сотрудников,
• местных директоров,
• управление рисками и комплаенсом на месте,
• объём операций в юрисдикции.

• переразмещение функций (risk, AML, IT) между странами;
• обоснование того, почему KYC-функции централизованы или, наоборот, локализованы;
• аргументацию substance именно в той стране, где вы хотите получить лицензию или банковский счёт.

Практика банков и платёжных партнёров

• непонятная структура бенефициаров;
• несоответствие паспортов и налогового резидентства;
• отсутствие прозрачных доказательств происхождения капитала;
• слабая KYC-политика на уровне группы и отсутствие локальных процедур.

KYC vs KYT и Travel Rule: что изменилось

• внедрение Travel Rule FATF: передача данных отправителя и получателя между VASP (Virtual Asset Service Providers) и платёжными учреждениями;
• real-time мониторинг отправителя и получателя по санкционным и рисковым спискам;
• использование Blockchain-анализаторов для оценки риска адресов и транзакций.

• перестроить внутреннюю политику от «KYC раз в начале» к постоянному KYT-мониторингу;
• внедрить регуляторную синхронизацию между странами: чтобы транзакции, проходящие через ЕС и Азию, соответствовали единым правилам по данным и отчётности;
• подготовиться к онлайн-мониторингу транзакций регуляторами и обязательному обмену данными между странами.

KYC для корпоративных клиентов: структура

• Базовый KYC (все юрисдикции)
  • стандартный набор документов по компании и бенефициарам;
  • минимальная проверка негативных факторов;
  • первичный риск-скоринг.
• Расширенный KYC / EDD
  • детальный анализ структуры и конечного контроля;
  • углублённую проверку происхождения капитала (банковские выписки, договоры, отчётность);
  • проверку корпоративной истории, M&A-сделок, смены бенефициаров;
  • мониторинг PEP-статуса и политических рисков.
• Специальные сценарии (CBI, высокорисковые клиенты)
  Для CBI-клиентов и инвестиционной миграции международные банки и регуляторы относятся к группе высокого риска.
  • готовит обоснование экономической сущности клиента;
  • показывает непротиворечивость паспорта, резидентства и фактического центра интересов;
  • документирует достоверность происхождения капитала и причины структурирования активов через ту или иную юрисдикцию.

Автоматизация KYC и digital compliance окупаются?

• Сокращение сроков onboarding’а с 10 до 2–5 дней для корпоративных клиентов за счёт систем цифровой идентификации и автоматизированных чек-листов.
• Снижение нагрузки на комплаенс-отделы: часть процедур уходит в автоматический скрининг и машиночитаемую отчётность для регуляторов.
• Повышение доверия со стороны банков и партнёров: наличие зрелого digital compliance и кибербезопасности — уже обязательный критерий при отборе партнёров.

• внедрение систем цифровой идентификации и интеграцию с eIDAS для ЕС;
• использование решений для машиночитаемой AML-отчётности и автоматической генерации отчётов;
• внедрение модулей real-time мониторинга транзакций и санкционного скрининга;
• выстраивание внутренней архитектуры встроенных AML/KYC-процедур в продукт IT- и финтех-компании.

Как избежать блокировок банковских аккаунтов

• есть единый KYC/AML-стандарт группы, понятный банкам и PSP;
• локальные процедуры соответствуют ожиданиям регуляторов конкретных стран;
• компания заранее выстраивает KYT и Travel Rule-процессы по международным требованиям;
• подготовлен набор доказательств происхождения капитала и обоснование структуры группы.

• анализирует, где именно KYC-процессы не устроили партнёра;
• дорабатывает KYC-политику и досье клиентов;
• выстраивает коммуникацию с банком или платёжным институтом, объясняя модель бизнеса и комплаенс-контуры.

Единый стандарт и локальная адаптация

Для международной группы недостаточно «подстроиться под закон».
Нужен стратегический KYC-каркас, который выдерживает проверку регуляторов, банков и партнёров одновременно в ЕС, Азии и СНГ.

• Определить глобальный риск-аппетит и целевые рынки
  Честно ответить: каких клиентов вы готовы обслуживать и в каких юрисдикциях это допустимо.
• Построить единый KYC/AML-стандарт группы
  • структура политики,
  • процессы KYC/KYT,
  • требования к EDD и CBI,
  • цифровой контур и кибербезопасность.
• Сделать локальную адаптацию по странам
  • учесть требования ЕС, национальные законы, PSD2, eIDAS, guidance FATF;
  • встроить substance и локальные регуляторные ожидания;
  • синхронизировать отчётность и форматы данных.
• Встроить KYC/AML в продукт и операционку
  особенно для финтеха, платежных компаний, криптосервисов; обеспечить real-time мониторинг и автоматизацию ключевых процедур.
• Регулярно пересматривать политику под новые требования
  • FATF и ЕС обновляют стандарты,
  • регуляторы Азии всё активнее синхронизируются с ними,
  • к 2026 году список обязательных элементов KYC и KYT будет только расширяться.

Когда ко мне приходит основатель финтех‑проекта с вопросом: «В какой стране лучше получать EMI лицензию и как сделать это без фатальных ошибок?», я всегда начинаю не с страны, а с бизнес‑модели. Именно она определяет, где вы сможете работать устойчиво, с понятными регуляторными рисками и прогнозируемым ROI.

За годы работы COREDO в Европе, Азии и СНГ команда прошла с клиентами весь путь: от первой идеи «хочу свою EMI лицензию в ЕС» до функционирующих платежных институтов с паспортингом по ЕЭЗ, аудитом по международным стандартам и продуманной AML‑функцией. В этой статье я соберу тот опыт в практическое руководство: как выбрать юрисдикцию, какие требования реально «болят» на практике, где проходят границы регуляторного риск‑аппетита и как снизить вероятность отказа на старте.

EMI лицензия в ЕС: что нужно знать

EMI лицензия в Европе: это разрешение работать как эмитент электронных денег и предоставлять платежные услуги на основе директив PSD2 и EMD2. По сути, лицензия EMI в ЕС позволяет:

• выпускать электронные деньги (балансы кошельков, предоплаченные решения, stored value);
• открывать и вести платежные счета для клиентов;
• предоставлять платежные и электронные деньги лицензии для B2B и B2C моделей;
• строить white‑label решения для партнёров и масштабировать финтех‑платформу по всему ЕЭЗ через паспортинг EMI лицензии.

В любой стране Европы регулятор смотрит на EMI провайдера через три ключевых блока:

• бизнес‑модель и устойчивость (бизнес‑план, доходность, управление рисками);
• compliance для EMI провайдера (AML/KYC, governance, fit & proper менеджмент);
• IT и операционная инфраструктура (безопасность, управление инцидентами, safeguarding средств).

Мой практический совет: не воспринимать EMI как «галочку» или красивый статус. Это инфраструктурное решение для бизнеса на 5–10 лет вперёд. Если вы не рассчитываете оперировать хотя бы в таком горизонте, возможно, вам пока ближе модель работы через партнёрского провайдера.

Полная EMI лицензия или small EMI / PI: с чего начать

Многие проекты приходят с жёстким запросом: «нужна только полная EMI лицензия». На практике разумно рассматривать три опции:

• полная EMI лицензия
  Подходит, если вы планируете масштабирование по всему ЕЭЗ, обработку значительных объёмов и работу с разными сегментами (B2B/B2C, cross‑border платежи, кошельки, карты, API‑интеграции под open banking).
• лицензия small EMI (ограниченная Лицензия эмитента электронных денег)
  Это компромисс: локальные или ограниченные по объёму операции, упрощённые требования, но без паспортинга по ЕЭЗ. В ряде стран её используют как «учебный полигон»: доказать регулятору, инвесторам и самим себе, что модель работает.
• PI (платёжное учреждение)
  PI лицензия в ЕС позволяет оказывать платежные услуги без статуса эмитента электронных денег. Для некоторых моделей money remittance, acquiring или определённых B2B‑решений PI бывает достаточным.

Я категорически не рекомендую выбирать между EMI и PI «по ощущениям». В COREDO мы всегда начинаем с разборки юзкейсов: какие продукты вы даёте, кому, в каких странах, какие лимиты, где возникает баланс клиента, как вы зарабатываете, какова структура комиссий и float.

Как выбрать страну для EMI лицензии

Фраза «в какой стране лучше получать EMI лицензию» сама по себе некорректна. Правильнее — «какая юрисдикция оптимальна для моей бизнес‑модели, риск‑профиля и стратегии масштабирования».

Я всегда предлагаю предпринимателям смотреть на страну через пять блоков:

1. регуляторные риски EMI и риск‑аппетит регулятора
   • Как регулятор реагирует на новые бизнес‑модели?
   • Насколько часто меняются правила?
   • Какова практика надзора (частота проверок, тон коммуникации, предсказуемость решений)?
2. Минимальный капитал для EMI и требования к капитализации
   • Initial capital: стандартно 350 000 евро для классической EMI модели в ЕС.
   • Ongoing capital adequacy: методика расчёта капитала под объёмы операций и риски.
   • Нужна не только формальная сумма, но и осознанная модель: где вы будете держать капитал, как отражать его по МСФО, как изменится структура капитала при росте.
3. Substance требования к EMI (офис, персонал)
   • Реальное деловое присутствие: локальный офис, сотрудники, директора‑резиденты.
   • Роль местной команды: кто реально принимает решения, кто отвечает за compliance, риск‑менеджмент, IT.
4. IT‑требования к EMI лицензии
   • соответствие требованиям по ICT и security risk management;
   • архитектура, резервирование, disaster recovery plan;
   • управление кибер‑ и операционными рисками EMI, работа с аутсорсингом и облачными провайдерами.
5. Налоговые аспекты и общая структура группы
   • совместимость страны с вашими потоками (B2B, B2C, международные платежи);
   • соглашения об избежании двойного налогообложения;
   • влияние юрисдикции на оценку проекта инвесторами и будущие раунды.

Задача COREDO в таких проектах, не просто «зарегистрировать», а помочь выстроить структуру, которая выдержит проверку регулятора, аудитора и инвестора одновременно.

Юрисдикции для EMI лицензии: где и для кого

Ниже: не «рейтинг стран», а типовые сценарии, которые я вижу в проектах, приходящих в COREDO.

EMI-лицензия в Литве

Литва давно стала точкой притяжения финтех‑проектов, ориентированных на ЕЭЗ. Для многих международных игроков EMI лицензия в Литве, это практичный способ выйти на европейский рынок с понятными сроками и прозрачными требованиями.

Когда эта страна логична:

• вам критичен паспортинг EMI лицензии по ЕЭЗ;
• вы строите продукт с фокусом на ЕС, но команда распределена по разным странам;
• вы готовы к серьёзной работе по IT и риск‑менеджменту: регулятор внимательно смотрит на ICT, операционные риски и safeguarding.

На практике команда COREDO уделяет литовским проектам особенно много внимания к:

• трёхлетнему бизнес‑плану и стресс‑тестированию модели;
• IT‑архитектуре: резервирование, мониторинг инцидентов, логирование, управление изменениями;
• AML/KYC‑модели: как risk‑based подход отражён в процедурах и IT‑системах.

EMI лицензия в Ирландии

EMI лицензия в Ирландии чаще всего рассматривается более зрелыми проектами и группами, которые строят европейский hub.

Ключевые особенности:

• высокие требования Центрального банка Ирландии к governance структуре, fit & proper менеджменту, независимым функциям контроля;
• серьёзный фокус на compliance для EMI провайдера: AML, управление рисками, внутренний аудит;
• повышенное внимание к устойчивости бизнес‑модели и long‑term viability.

Я часто вижу, как команды недооценивают стоимость compliance в Ирландии: сюда входят не только штатные специалисты, но и внешние консультанты, аудиторы, план регулярных проверок. Вознаграждение за это: высокий уровень доверия рынка и инвесторов.

EMI лицензия в Чехии

Чехия интересует тех, кто ищет баланс между операционными затратами, уровнем регуляторного контроля и возможностью работать с клиентами из разных стран Европы.

Особенности:

• понятная инфраструктура для регистрации юридического лица и выстраивания substance;
• разумные требования к локальному присутствию и управлению;
• возможность совмещать EMI‑лицензию с операционной деятельностью в Центральной Европе.

Клиентский кейс: команда COREDO сопровождала проект, который рассматривал EMI Литва против EMI Чехия. В итоге стратегия разделилась: Литва: под масштабирование B2C‑продукта по ЕЭЗ, Чехия — под операционный back‑office, разработку и часть B2B‑направления. Это тот сценарий, когда одна страна для EMI лицензии — не единственный ответ.

EMI лицензия в Великобритании: требования FCA

EMI лицензия в Великобритании: это выбор тех, кто сознательно идёт на высокий уровень регуляторного надзора со стороны FCA, ожидая взамен сильный бренд и доступ к британской экосистеме.

Что важно учитывать:

• требования FCA к governance, управлению рисками и прозрачности структуры бенефициаров особенно детальны;
• много внимания уделяется outsourcing и поставщикам услуг для EMI, включая cloud‑решения;
• усиливаются требования к кибербезопасности, incident reporting и IT‑resilience.

Для международного проекта с фокусом на Европу и Азию логично рассматривать Великобританию как часть более широкой структуры, а не единственную точку входа.

Маврикий: EMI лицензия для офшора

EMI лицензия на Маврикии вызывает у предпринимателей много вопросов: «насколько надежно строить международный финтех‑бизнес на базе такой лицензии?»

Я видел успешные кейсы, где Маврикий:

• использовался как hub для международных расчётов вне ЕЭЗ;
• сочетался с европейской структурой (например, Литва / Ирландия) для работы с клиентами в ЕС;
• позволял оптимизировать налоговую нагрузку и структуру группы при соблюдении substance‑требований.

Проблемы исходного заголовка:

• Лишняя канцелярия («Типовые», «узкие места»)
• Звучит как академическая работа, а не поисковый запрос
• Содержит 9 слов, что превышает рекомендацию

Узкие места при EMI лицензии

Чтобы снизить риски отказа в выдаче EMI лицензии, я всегда прошу клиентов честно оценить три блока ещё до выхода к регулятору.

Структура владения и бенефициаров

Регулятор внимательно смотрит на:

• прозрачность beneficial ownership;
• источники средств (source of funds / source of wealth);
• историю и репутацию акционеров и директоров (fit and proper тест).

Сложные многоуровневые структуры без понятной экономической логики увеличивают регуляторные риски EMI в любой стране. В COREDO мы часто начинаем именно с «расчистки» структуры: убираем лишние уровни, наводим порядок в корпоративных документах, подготавливаем обоснование цепочки владения.

Бизнес-план и модель доходов

Для регулятора важно не только увидеть трёхлетний финансовый план, но и понять:

• как вы зарабатываете (подписка, комиссия, interchange‑доходы, FX‑маржа, B2B‑fee);
• как вы управляетесь с regulatory risk (например, high‑risk сегменты, cross‑border платежи);
• что будет с компанией при стресс‑сценариях: уход ключевого партнёра, рост chargeback, регуляторные изменения.

Команда COREDO практикует стресс‑тестирование бизнес‑моделей для EMI лицензии: моделируем несколько сценариев и смотрим, как меняется капитал, ликвидность и compliance‑затраты.

AML/KYC и риск‑ориентированный подход

AML/KYC процедуры для EMI провайдера — это то, где чаще всего возникают дополнительные вопросы регулятора. Типичные проблемы:

• декларативные политики без описания реального процесса;
• отсутствие связки между risk‑картой клиентов и триггерами в IT‑системе;
• необоснованно мягкий или, наоборот, чрезмерно жёсткий подход к high‑risk сегментам.

Я вижу, как предприниматели боятся, что сильный risk‑based AML «убьёт конверсию». На практике грамотный дизайн позволяет:

• сегментировать клиентов по риску и выстраивать разные маршруты KYC;
• использовать data‑провайдеров и автоматизацию для ускорения low‑risk потока;
• оставлять «ручной режим» и усиленный Due Diligence для high‑risk.

IT‑архитектура, кибербезопасность и outsourcing глазами регулятора

В европейских проектах я всё чаще вижу, что исход заявки на EMI лицензии решается именно на уровне IT‑ и security архитектуры.

Ключевые точки внимания регуляторов:

• IT и security risk management для EMI: политика по инцидентам, disaster recovery, business continuity;
• архитектура API и логирование операций;
• segregated среды (development / testing / production) и управление изменениями;
• использование облаков и критический outsourcing.

При подготовке к лицензированию команда COREDO детально проходит с клиентом:

• схему инфраструктуры (сервера, дата‑центры, cloud‑провайдеры, VPN, ключевые сервисы);
• потоки данных (включая данные клиентов, платежные данные, логи);
• модель резервирования и RTO/RPO‑метрики.

Сроки и стоимость EMI лицензии

На вопрос «сколько занимает получение EMI лицензии в ЕС» я всегда отвечаю одним словом: зависит. Но есть реалистичный коридор.

С учётом подготовки:

• анализ бизнес‑модели и выбор юрисдикции;
• структурирование компании, substance, подбор директоров и ключевых функций;
• подготовка бизнес‑плана, политик, процедур, IT‑описаний;
• предварительные консультации с регулятором (где это уместно);

полноценный проект «под ключ» в Европе обычно укладывается в 9–18 месяцев, иногда дольше: если модель сложная или структура группы нетривиальная.

Стоимость получения EMI лицензии складывается из:

• минимального уставного капитала (например, минимальный уставной капитал EMI 350 000 евро для ряда стран ЕС);
• профессиональных услуг (юридическое сопровождение EMI лицензии, финансовое моделирование, IT‑ и AML‑дизайн);
• расходов на substance: офис, локальная команда, директоры, контролирующие функции;
• последующего аудита и постоянно работающего compliance‑блока.

Как снизить риск отказа регулятора

Регулятор не заинтересован в том, чтобы вы не работали. Его задача, чтобы вы работали безопасно. Это важно помнить.

1. Ранний диалог и прозрачность
   • Проще объяснить сложный элемент модели на раннем этапе, чем защищать его после официальной подачи.
2. Согласованность документов
   • Бизнес‑план, политики, IT‑описания, governance структура и договоры с партнёрами должны быть логически увязаны. Регулятор быстро видит противоречия.
3. Реалистичность
   • Слишком агрессивные планы роста, не подкреплённые капиталом, командой и технологиями, вызывают сомнения. Мы в COREDO часто «приземляем» ожидания и пересобираем финансовую модель.
4. Готовность к надзору
   • Регуляторный надзор (on‑site и off‑site проверки, регулярные отчёты, аудит) — это не «наказание», а нормальная часть жизни лицензированной компании. Важно заранее выстроить процессы, а не реагировать постфактум.

Когда лучше работать с партнёром, а не получать EMI лицензию

Есть сценарии, в которых я честно рекомендую не спешить с лицензией:

• продукт ещё не прошёл market fit;
• unit‑экономика неустойчива;
• команда не готова содержать полноценный compliance, риск и IT‑контур на уровне лицензиата.

Роль COREDO здесь: не продать услугу лицензирования, а помочь увидеть весь путь: от MVP до полноценного лицензированного института, с минимальными регуляторными и операционными рисками.

Как открыть EMI‑структуру с COREDO

На практике команда COREDO:

• анализирует бизнес‑модель и помогает выбрать страну, где регуляторные риски EMI в разных странах соответствуют вашему риск‑аппетиту;
• структурирует юридическое лицо (или группу), выстраивает понятную структуру владения и substance;
• готовит полный пакет документов для лицензирования: от бизнес‑плана и политики по рискам до AML/KYC‑процедур и IT‑описаний;
• сопровождает диалог с регулятором, помогает оперативно отвечать на запросы и корректировать модель;
• выстраивает дальнейшее сопровождение: AML‑консалтинг, юридическая поддержка, взаимодействие с аудиторами, обновление политик под регуляторные изменения.

Моя личная позиция проста: собственная EMI лицензия для международного финтех проекта: это инвестиция в контроль над продуктом, маржой и скоростью развития. Но только при условии, что вы готовы к серьёзной, системной работе с регуляторными, IT‑ и операционными рисками.

Когда предприниматель или финансовый директор говорит мне: «Мы хотим купить лицензированную PSP-компанию в Европе»,: я всегда задаю один и тот же встречный вопрос: «Вы уверены, что готовы к честному Due Diligence?»

Покупка платежного института (Payment Institution) или электронного денежного института (EMI), это не просто M&A сделка, а покупка регуляторной истории, комплаенс‑культуры и рискового профиля, который либо усилит ваш холдинг, либо станет источником постоянных конфликтов с регуляторами и банками.

За годы развития COREDO в ЕС, Азии и СНГ наша команда прошла с клиентами десятки проектов: от due diligence при покупке PSP компании в Европе и Сингапуре до сопровождения сделок по приобретению EMI/PI лицензий вместе с компаниями и интеграции этих активов в крупные финансовые группы. Этот опыт показал: успех сделки на 80% определяется качеством предварительного due diligence: юридического, финансового, налогового, операционного и, конечно, AML/KYC.

Почему выгоднее купить лицензированную PSP

Когда мы с клиентами обсуждаем стратегию выхода на рынок платежей, обычно на столе два варианта:

• получение новой лицензии (EMI/PI) в ЕС, Великобритании, Сингапуре или Дубае;
• покупка лицензированной PSP компании с действующей лицензией и инфраструктурой.

Покупка готовой PSP позволяет:

• сократить time-to-market: часто на 12–18 месяцев быстрее по сравнению с получением новой лицензии;
• получить готовые отношения с банками‑корреспондентами и платежными партнёрами;
• унаследовать мерчантов, технологическую платформу и команду;
• использовать существующую лицензию для паспортинга в рамках ЕС (при соблюдении требований PSD2 и национальных правил).

Но вместе с лицензией инвестор принимает на себя:

• регуляторные legacy‑риски (старые нарушения, незакрытые предписания);
• исторический транзакционный профиль и портфель клиентов;
• репутационную историю PSP на рынке.

Структура due diligence PSP компании

Когда ко мне приходят с запросом «due diligence при покупке PSP компании», я сразу делю работу минимум на шесть блоков:

1. Юридический due diligence
2. Регуляторный и лицензированный due diligence (в т.ч. проверка PSP лицензии)
3. AML/KYC due diligence и комплаенс‑проверка
4. Финансовый и налоговый due diligence
5. Operational due diligence и IT/cyber security
6. Стратегический и бизнес‑due diligence (unit‑экономика, устойчивость модели, ROI)

Каждый блок даёт собственный слой red flags, и уже в COREDO мы привыкли оформлять результат в виде risk heatmap: визуальной карты ключевых рисков по сделке и их влияния на цену, структуру SPA и post‑closing roadmap.

Юридический due diligence: структура и change of control

Юридическое сопровождение покупки PSP в ЕС и Азии начинается с базовых, но критичных вещей.

Что проверяю первым

• Структура владения и бенефициары (UBO)
  • прозрачность цепочки;
  • наличие трастов, номинальных структур, офшорных элементов;
  • совпадение бенефициаров с теми, кто указан у регулятора.

  Red flags при покупке PSP: расхождения между корпоративными документами и данными регулятора, скрытые контролирующие лица, сложные структуры без деловой причины.

• Юридическое происхождение лицензии
  • есть ли в уставных документах и лицензии ограничения на смену контроля;
  • предусмотрен ли обязательный approval change of control со стороны регулятора;
  • есть ли юридические ограничения на смену директоров и ключевого персонала.
• Наличие существенных договоров и обязательств
  • договоры с банками‑корреспондентами, платёжными схемами, провайдерами антифрод и KYC;
  • агентские, outsourcing и white‑label договоры;
  • соглашения с ключевыми мерчантами, партнёрские и referral контракты.

Какие документы запросить при due diligence PSP

Список всегда адаптируем к юрисдикции, но ядро остаётся:

• корпоративные документы (устав, решения акционеров, реестр участников);
• лицензия PSP/EMI, все приложения, письма и решения регулятора;
• реестр акционеров и бенефициаров, подтверждение UBO;
• ключевые коммерческие договоры (банки, схемы, мерчанты, провайдеры KYC/AML, IT‑аутсорсинг);
• внутренние policies & procedures (в части governance, decision‑making, outsourcing);
• история судебных споров и претензий контрагентов.

Регуляторный due diligence: лицензия и PSD2

Как проверить лицензию PSP в ЕС

Я всегда настаиваю минимум на:

• верификации лицензии через официальный реестр регулятора;
• анализе scope лицензии: какие виды платёжных услуг разрешены, есть ли ограничения по географии или видам клиентов;
• проверке соответствия бизнес‑модели требованиям PSD2 (а в перспективе PSD3) и AMLD.

История инспекций и предписаний регулятора

Команда COREDO всегда запрашивает:

• копии регуляторных писем, предписаний, enforcement actions за последние 3–5 лет;
• отчёты внешних аудиторов по регуляторным вопросам;
• планы remediation и action plans, которые PSP подавала регулятору.

Ключевой вопрос, как компания работала с замечаниями: закрывала ли своевременно, усиливала ли комплаенс‑функцию, улучшала ли governance.

AML/KYC due diligence при работе с PSP

Что проверяю в KYC/AML комплаенсе

• Политику risk-based approach
  • есть ли формализованный risk appetite statement;
  • как сегментируются клиенты по риску (high‑risk industries, high‑risk jurisdictions);
  • как принимаются решения по onboarding и offboarding.
• KYC/AML процедуры
  • customer due diligence (CDD) и enhanced due diligence (EDD);
  • source of funds/source of wealth проверки;
  • процедуры ongoing monitoring клиентов и транзакций;
  • sanctions screening, PEP screening, adverse media.
• Transaction monitoring & anti‑fraud
  • наличие автоматизированной системы мониторинга транзакций;
  • сценарии и правила (rules‑based, risk‑based или hybrid models);
  • модель управления alert’ами и internal investigations;
  • показатели chargeback ratio и dispute ratio по ключевым мерчантам.

Какие документы для AML due diligence

В рамках проектов COREDO по AML due diligence PSP провайдера я обычно прошу:

• AML policy, KYC policy, risk assessment и risk appetite statement;
• описания процессов onboarding, мониторинга, расследований и reporting (SAR/STR);
• отчёты по внутреннему и внешнему AML‑аудиту;
• статистику по STR/SAR, offboarding’ам и отказам в onboarding за 2–3 года;
• training records для сотрудников;
• выборку клиентских файлов (KYC‑досье), включая high‑risk клиентов и PEP;
• выборку транзакций по high‑risk сегментам для forensic‑анализа.

Due diligence высокорисковых юрисдикций

Для международных инвесторов мы в COREDO регулярно проводим санкционный due diligence платежной компании:

• анализируем страны, валюты и коридоры платежей;
• проверяем, есть ли клиенты или транзакции, связанные с санкционными режимами;
• оцениваем процессы sanctions screening и negative news monitoring.

Финансовый и налоговый due diligence: регуляторный контекст

Платёжный бизнес специфичен: сухой финансовый due diligence не даёт полной картины без понимания регуляторных ограничений.

В рамках проектов COREDO по финансовому due diligence PSP мы смотрим:

• структуру доходов: комиссии с processing, interchange, FX‑маржа, допуслуги;
• концентрацию выручки на нескольких ключевых мерчантах;
• стабильность маржинальности и unit‑экономики по сегментам;
• расходы на комплаенс, IT, лицензии и регуляторный capital.

Налоговый due diligence при покупке компании в финтехе дополняем:

• анализом межкомпанейных соглашений внутри группы;
• проверкой substance в юрисдикциях присутствия;
• оценкой соответствия налоговой модели общей бизнес‑логике.

Operational due diligence IT / кибербезопасность

Для PSP технология — не back‑office, а ядро лицензируемой деятельности. Operational due diligence PSP провайдера в COREDO всегда включает:

• оценку governance: роль и независимость совета директоров, наличие compliance committee, three lines of defence;
• анализ ключевой команды: опыт CEO, COO, CCO, MLRO, IT‑директора;
• оценку процесса incident management и business continuity.

Проверка IT‑инфраструктуры и кибербезопасности

Минимальный набор вопросов:

• архитектура платформы (own vs white‑label, критические зависимости от вендоров);
• SLA с ключевыми провайдерами, uptime, disaster recovery планы;
• результаты penetration testing и vulnerability assessments;
• управление доступами, логирование, segregation of duties.

GDPR и персональные данные

В ЕС и Великобритании я всегда особо смотрю на:

• наличие и внедрение GDPR‑политик (data protection, data retention, data minimisation);
• назначение DPO и его роль;
• инциденты data breach и реакцию компании.

Red flags при due diligence PSP

За последние годы у команды COREDO сформировался достаточно устойчивый список «красных флажков», при которых я либо рекомендую серьёзно пересмотреть цену и структуру сделки, либо вообще отказаться:

• Несоответствие фактической деятельности лицензии (например, скрытая e‑money деятельность без соответствующей лицензии).
• Системные нарушения AML/KYC: отсутствие должной документации по high‑risk клиентам, слабые EDD‑процедуры, формальный подход к ongoing monitoring.
• Открытые регуляторные расследования или невыполненные предписания.
• Сильная концентрация на санкционно чувствительных рынках или high‑risk jurisdictions без продуманного risk‑based подхода.
• Критическая зависимость от одного банка‑корреспондента или одного крупного мерчанта.
• История серьёзных data breaches, слабая кибербезопасность, отсутствие нормального disaster recovery.
• Непрозрачная структура владения, скрытые бенефициары, расхождения между данными у регулятора и в корпоративных документах.
• Отсутствие реальной governance‑структуры и независимого комплаенс‑офицера.

Due diligence в структуре сделки

Когда due diligence при покупке бизнеса завершён, для меня самое важное — перевести выводы в конкретные юридические и финансовые механизмы SPA.

На практике COREDO часто предлагает:

• earn‑out: часть цены привязывается к будущим показателям (в т.ч. по комплаенс‑индикаторам, сохранению лицензий, отсутствию новых санкций/штрафов);
• escrow и удержания: часть суммы блокируется на время, достаточное для проявления возможных legacy‑рисков;
• специализированные representations & warranties по:
  • отсутствию скрытых регуляторных расследований;
  • полноте раскрытия AML/CTF инцидентов;
  • статусу лицензии и отсутствии оснований для её отзыва;
• indemnities за:
  • штрафы и санкции за нарушения, корни которых лежат до closing;
  • регуляторные претензии по историческому клиентскому портфелю и транзакциям.

Сравнение юрисдикций для инвесторов

Отдельный пласт работы, выбор юрисдикции для покупки лицензированной PSP компании: ЕС, Великобритания, Сингапур, отдельные азиатские или ближневосточные центры.

На что обычно обращаем внимание с клиентами:

• жёсткость и предсказуемость регулятора;
• требования по capital adequacy и safeguarding;
• отношение банков к PSP из данной юрисдикции;
• возможности масштабирования (passporting в ЕС, кросс‑бордер Лицензирование в Азии);
• исторические кейсы enforcement‑практики.

Как выстраиваю due diligence PSP с клиентом

Чтобы сделать due diligence платежного института в Европе или Азии действительно полезным, а не формальным, в COREDO придерживаемся простой, но рабочей методологии:

1. Формируем карту целей инвестора
   • зачем покупается PSP (география, продукты, лицензия, технология, клиентская база);
   • горизонт планирования (быстрая интеграция или аккуратный roll‑out).
2. Разрабатываем scope due diligence и риск‑карту сделки
   • определяем глубину проверки по блокам: юридический, регуляторный, AML/KYC, финансовый, tax, IT, операционный;
   • выделяем критические KPIs и red flags.
3. Проводим поэтапный анализ
   • сначала high‑level screening (чтобы на раннем этапе отсеять заведомо проблемные цели);
   • затем детальный deep dive по ключевым направлениям.
4. Превращаем выводы в план сделки
   • корректируем структуру сделки и SPA;
   • готовим roadmap remediation после closing;
   • моделируем сценарии регуляторных проверок и стресс‑сценарии (например, отзыв корреспондентских счетов основным банком).
5. Сопровождаем change of control и взаимодействие с регулятором
   • готовим пакет документов для согласования смены контроля;
   • помогаем выстроить диалог с регулятором, объяснить стратегию нового владельца;
   • учитываем сроки и условия approvals в таймлайне сделки.

Что важно до старта сделки

• due diligence fintech компании и PSP никогда не бывает «слишком глубоким» в части AML/KYC и регуляторики;
• слабый комплаенс у цели почти всегда дороже, чем самая высокая скидка на цену;
• правильно проведённый due diligence при покупке компании, это не расход, а инструмент переговоров и управления ROI.

Если вы рассматриваете покупку лицензированного платёжного института, EMI или другого финтех‑актива в ЕС, Азии или СНГ, начинайте не с обсуждения цены, а с плана due diligence. Цена — производная от рисков, а не наоборот.