Представьте ситуацию: вы запустили успешный платежный сервис, обслуживаете тысячи клиентов, и вдруг получаете письмо от регулятора с требованием привести все процессы в соответствие с новыми стандартами. Штрафы за несоблюдение достигают миллионов евро, а сроки адаптации исчисляются неделями. Это не гипотеза — это реальность, с которой столкнулись сотни компаний в 2025 году.
Европейские регуляторы кардинально изменили подход к эмиссии платежных карт. Если раньше требования были относительно гибкими, то сейчас они стали жесткими и неумолимыми. Ужесточение касается всего: от процедур верификации клиентов до технологических стандартов безопасности, от санкционных ограничений до налогового регулирования. И это только начало.
Почему это происходит?
борьба с отмыванием денег, противодействие санкциям, защита от кибератак, все эти факторы заставили Европейский центральный банк (ЕЦБ) и Европейское агентство по банковскому надзору (EBA) пересмотреть всю систему регулирования платежных услуг. Компании, которые не адаптируются, рискуют потерять лицензии, столкнуться с блокировкой счетов и репутационным ущербом.
За девять лет работы COREDO мы помогли более 500 компаниям из Европы, Азии и СНГ успешно зарегистрировать платежные сервисы и получить необходимые лицензии. Наш опыт показал, что успех зависит не только от знания законодательства, но и от понимания того, как регуляторы интерпретируют эти требования на практике. В этой статье я поделюсь тем, что нужно знать каждому предпринимателю, планирующему работать с эмиссией карт в Европе.
Эмиссия платежных карт ЕС: кто контролирует?
Европейская система финансового регулирования устроена как матрешка. На верхнем уровне находятся наднациональные органы, Европейский центральный банк и Европейское агентство по банковскому надзору. Они устанавливают общие правила и стандарты. На среднем уровне работают национальные центральные банки и финансовые регуляторы каждой страны. Они адаптируют европейские требования к местным условиям и проводят надзор. На нижнем уровне — сами компании, которые должны соответствовать всем этим требованиям одновременно.
Практика COREDO подтверждает: компании часто не понимают, кто именно их контролирует. Например, если вы регистрируете платежное учреждение в Испании, вас будет контролировать испанский регулятор (Banco de España), но одновременно вы должны соответствовать требованиям EBA и ЕЦБ. Это означает, что вы подчиняетесь трем уровням регулирования одновременно.
Роль ЕЦБ, EBA и регуляторов в эмиссии карт
Европейский центральный банк фокусируется на макроэкономической стабильности и денежно-кредитной политике. Но в контексте эмиссии карт его роль критична: ЕЦБ устанавливает требования к платежным системам, определяет стандарты безопасности и следит за системными рисками. Когда ЕЦБ издает рекомендацию, это не просто совет — это фактически обязательное требование для всех участников рынка.
Европейское агентство по банковскому надзору (EBA), это орган, который разрабатывает технические стандарты для платежных услуг. EBA издает регулярные обновления, которые определяют, как именно компании должны реализовывать требования PSD2 (Payment Services Directive 2). Например, EBA определяет, какие методы верификации клиентов считаются достаточными, какие технологии должны использоваться для защиты данных, как организовать мониторинг подозрительных операций.
Национальные регуляторы — это те, кто выдает лицензии и проводит надзор на местах. Они имеют определенную свободу в интерпретации европейских требований, но не могут их игнорировать. Например, испанский Banco de España может установить более высокие требования к капиталу, чем минимум, установленный EBA, но не может установить более низкие.
Решение COREDO для клиентов из разных стран: мы создали систему мониторинга требований, которая отслеживает изменения на всех трех уровнях регулирования. Это позволяет нам оперативно информировать клиентов о новых требованиях и помогать адаптировать их процессы.
PSD2 и эмиссия карт в 2025–2026
Payment Services Directive 2: это не просто директива, это революция в платежной индустрии. Вступившая в силу в 2018 году, PSD2 переопределила правила игры для всех участников рынка. Но в 2025–2026 годах её требования стали еще более строгими и детальными.
Основной принцип PSD2: открытость и конкуренция. Директива требует, чтобы банки открывали доступ к счетам третьим сторонам (Open Banking), чтобы платежные услуги были доступны не только банкам, но и специализированным платежным учреждениям, и чтобы клиенты имели выбор между различными поставщиками услуг.
Для эмитентов карт это означает несколько ключевых обязательств. Во-первых, сильная аутентификация клиентов (Strong Customer Authentication, SCA). Это не просто пароль — это двухфакторная аутентификация, которая должна использоваться при каждой транзакции выше определенного лимита. Во-вторых, требования к безопасности данных. Все данные карт должны храниться в зашифрованном виде, передаваться через защищенные каналы, обрабатываться в соответствии со стандартами EMV и 3D Secure.
В-третьих, требования к открытому банкингу (Open Banking). Если клиент хочет подключить вашу карту к сервису агрегатора платежей, вы должны предоставить API для интеграции. Это создает новые возможности, но также новые риски: нужно убедиться, что третьи стороны соответствуют требованиям безопасности.
Практика COREDO показала, что многие компании недооценивают требования PSD2. Они думают, что достаточно просто добавить двухфакторную аутентификацию и считать, что все в порядке. На самом деле, требования намного глубже. Нужно пересмотреть всю архитектуру системы, обновить процессы, обучить команду. Мы помогли одной испанской компании провести полный аудит соответствия PSD2, и выяснилось, что у них было более 50 пробелов в комплаенсе. После исправления этих пробелов компания не только избежала штрафов, но и улучшила пользовательский опыт.
Санкционные ограничения и эмиссия карт в 2025–2026
Здесь нужно быть максимально честным: санкции ЕС против российских платежных систем создали беспрецедентные вызовы для компаний, работающих с трансграничными платежами. С 25 января 2026 года ЕС расширил санкции против СПФС, СБП и системы «Мир». Это означает, что организации ЕС больше не могут использовать эти системы, а компании, работающие с платежами, должны убедиться, что их клиенты не нарушают санкционные ограничения.
Для эмитентов карт это создает сложную ситуацию. Если вы выпускаете карты, которые могут использоваться для платежей через санкционные системы, вы можете быть привлечены к ответственности. Это не просто штраф, это может привести к закрытию лицензии и уголовному преследованию руководителей компании.
Решение, которое разработала команда COREDO: мы создали систему мониторинга санкций, которая интегрируется с платежными системами. Система автоматически проверяет каждую транзакцию на соответствие санкционным спискам и блокирует подозрительные операции. Это требует инвестиций в технологию, но это необходимо для соблюдения требований регуляторов.
Кроме того, компании должны регулярно обновлять свои политики в отношении санкций. Нужно четко определить, какие страны и компании вы не обслуживаете, какие платежные системы вы не используете, как вы проверяете клиентов на предмет санкционных ограничений. Все это должно быть задокументировано и регулярно пересматриваться.
AML требования для эмиссии карт в 2025–2026
Anti-Money Laundering (AML) — это не просто набор правил, это философия, которая должна пронизывать всю организацию. Если в 2024 году компании могли относиться к AML как к административному бремени, то в 2025–2026 годах это стало стратегическим приоритетом.
Регуляторы ужесточили требования потому, что объемы отмывания денег растут. По оценкам Международного валютного фонда, ежегодно отмывается от 2 до 5% мирового ВВП. Это триллионы долларов. И платежные системы часто становятся каналом для этих операций. Регуляторы решили, что это должно измениться.
Обновленные стандарты AML и KYC в ЕС при выпуске карт
Know Your Customer (KYC), это процесс, при котором компания идентифицирует клиента и проверяет его на предмет рисков. В 2025–2026 годах требования к KYC стали намного более строгими.
Раньше компании могли использовать упрощенную верификацию для низкорисковых клиентов. Теперь все клиенты должны пройти полную верификацию. Это означает, что нужно собрать не только паспортные данные, но и информацию об источниках доходов, о структуре компании (если клиент: юридическое лицо), о бенефициарных владельцах.
Для физических лиц процесс выглядит так: клиент загружает копию паспорта, делает селфи, подтверждает адрес проживания. Система проверяет эти данные против баз данных (например, против списков PEP, политически значимых лиц). Если клиент попадает в категорию повышенного риска, требуется дополнительная верификация.
Для компаний процесс намного сложнее. Нужно собрать учредительные документы, информацию о структуре собственности, данные о бенефициарных владельцах (Ultimate Beneficial Owners, UBO). Нужно проверить, не связана ли компания с санкционными странами, не занимается ли она деятельностью, которая может быть связана с отмыванием денег (например, казино, торговля оружием).
Практика COREDO показала, что многие компании недооценивают сложность KYC для корпоративных клиентов. Мы помогли одной литовской платежной компании разработать процесс KYC, который включает 15 этапов проверки. Это кажется много, но это необходимо для соблюдения требований регуляторов и для защиты компании от рисков.
Сроки верификации также ужесточились. Раньше компании могли проводить верификацию в течение 10 дней. Теперь требуется провести верификацию в течение 2–5 дней. Это означает, что нужно инвестировать в автоматизацию процесса. Мы рекомендуем использовать системы цифровой идентификации (например, eIDAS в ЕС), которые позволяют ускорить процесс верификации.
Отчётность и мониторинг AML операций
Если KYC, это входная проверка, то мониторинг операций: это постоянный контроль. Компании должны установить системы, которые отслеживают все операции клиентов и выявляют подозрительные паттерны.
Что считается подозрительным? Например, если клиент внезапно начинает совершать операции на сумму в 10 раз больше, чем обычно. Или если клиент, который живет в Европе, совершает платежи в страны, которые находятся под санкциями. Или если клиент совершает множество небольших операций, которые в сумме дают большую сумму (это называется «структурирование» и является признаком отмывания денег).
Системы мониторинга должны автоматически выявлять эти паттерны и генерировать алерты. Затем специалист по комплаенсу должен проанализировать алерт и решить, нужно ли подавать отчет о подозрительной операции (Suspicious Activity Report, SAR) в регулятор.
Отчетность — это критический момент. Если компания выявила подозрительную операцию, она должна подать отчет в регулятор в течение определенного срока (обычно 5–10 дней). Если компания не подала отчет, это считается нарушением и может привести к штрафам.
Решение COREDO для клиентов: мы помогаем компаниям внедрить системы мониторинга, которые соответствуют требованиям регуляторов. Мы также помогаем разработать процедуры анализа алертов и подготовки отчетов. Это требует инвестиций, но это необходимо для соблюдения требований.
Риски и управление при эмиссии корпоративных карт в ЕС
Корпоративные карты: это особый случай. Они выпускаются компаниям, а не физическим лицам, и поэтому требуют более тщательной проверки.
Основной риск при эмиссии корпоративных карт: это то, что карта может использоваться для финансирования терроризма или других незаконных деятельностей. Например, компания может быть фасадом для отмывания денег. Или карта может использоваться для финансирования террористических организаций.
Для минимизации этих рисков компании должны проводить усиленную верификацию корпоративных клиентов. Это включает проверку структуры собственности компании, проверку бенефициарных владельцев, проверку против санкционных списков, проверку истории компании.
Кроме того, компании должны установить лимиты на операции по корпоративным картам. Например, лимит на дневную сумму операций, лимит на количество операций в день, лимит на операции в определенных странах.
Практика COREDO показала, что компании, которые серьезно относятся к управлению рисками, получают преимущество. Они избегают штрафов, они избегают закрытия счетов банками, они получают доверие регуляторов. Мы помогли одной испанской компании разработать систему управления рисками, которая включает автоматическую проверку всех корпоративных клиентов. Это привело к тому, что компания выявила несколько подозрительных клиентов и избежала серьезных проблем.
Регистрация юрлиц для эмиссии карт в ЕС
Если вы решили запустить платежный сервис с эмиссией карт, первый вопрос: где регистрировать компанию? Это критическое решение, которое влияет на все остальное: на требования к капиталу, на налоги, на требования к комплаенсу, на возможность масштабирования.
Выбор юрисдикции для регистрации компании под эмиссию карт
В ЕС есть несколько юрисдикций, которые специализируются на платежных услугах. Каждая имеет свои преимущества и недостатки.
- Испания: это один из самых популярных выборов для стартапов. Требования к капиталу относительно низкие (от €50 000 для платежного учреждения), процесс лицензирования относительно быстрый (3–6 месяцев), налоги конкурентоспособны. Кроме того, в Испании хорошо развита экосистема платежных компаний, есть опытные консультанты и поставщики услуг.
- Литва: это еще один популярный выбор. Литовский регулятор (Банк Литвы) известен своим прогрессивным подходом к регулированию. Требования к капиталу низкие, процесс лицензирования быстрый, налоги низкие. Литва также известна своей цифровой инфраструктурой и поддержкой финтех-компаний.
- Люксембург, это выбор для компаний, которые хотят работать с высокой стоимостью активов. Требования к капиталу высокие (от €1 млн), но репутация Люксембурга как финансового центра открывает двери для привлечения инвестиций. Налоги в Люксембурге также конкурентоспособны благодаря налоговым льготам для финансовых компаний.
- Кипр: это выбор для компаний, которые хотят работать с клиентами из разных регионов. Кипр имеет низкие требования к капиталу, быстрый процесс лицензирования, низкие налоги. Кроме того, Кипр имеет хорошие связи с компаниями из Азии и Ближнего Востока.
Решение COREDO для клиентов: мы помогаем компаниям выбрать оптимальную юрисдикцию на основе их целей, бюджета и планов развития. Мы создали матрицу сравнения юрисдикций, которая включает требования к капиталу, сроки лицензирования, налоги, требования к комплаенсу, возможности масштабирования.
| Юрисдикция |
Минимальный капитал |
Сроки лицензирования |
Налоговая ставка |
Требования к комплаенсу |
Лучше всего для |
| Испания |
€50 000 |
3–6 месяцев |
25% |
Средние |
Стартапы, масштабирование в ЕС |
| Литва |
€50 000 |
2–4 месяца |
15% |
Средние |
Стартапы, цифровые решения |
| Люксембург |
€1 млн |
6–12 месяцев |
0.29% (с льготами) |
Высокие |
Компании с высокой стоимостью активов |
| Кипр |
€50 000 |
3–6 месяцев |
0% (на прибыль от инвестиций) |
Средние |
Компании, работающие с Азией и Ближним Востоком |
Лицензирование и разрешение на эмиссию карт
получение лицензии на эмиссию карт: это долгий и сложный процесс. Он включает несколько этапов и требует подготовки большого количества документов.
Первый этап — это выбор типа лицензии. В ЕС есть два основных типа лицензий для платежных услуг: Payment Institution License (лицензия платежного учреждения) и Electronic Money Institution License (лицензия учреждения электронных денег).
- Payment Institution License: выдается компаниям, которые предоставляют услуги по переводу денег, обработке платежей, выпуску платежных инструментов (включая карты). Это самая распространенная лицензия для компаний, которые хотят выпускать карты.
- Electronic Money Institution License: выдается компаниям, которые выпускают электронные деньги (например, предоплаченные карты). Эта лицензия требует более высокого капитала и более строгих требований к комплаенсу.
Второй этап: это подготовка документов. Нужно подготовить бизнес-план, описание технологической архитектуры, описание процедур комплаенса, описание процедур управления рисками, описание процедур обслуживания клиентов. Все эти документы должны быть на местном языке и должны соответствовать требованиям регулятора.
Третий этап, это подача заявки. Заявка подается через онлайн-портал регулятора. Нужно заполнить форму, загрузить документы, оплатить сбор за рассмотрение заявки (обычно от €500 до €5 000).
Четвертый этап: это рассмотрение заявки. Регулятор проверяет документы, может запросить дополнительную информацию, может провести встречу с руководством компании. Этот этап может занять от 2 до 12 месяцев в зависимости от юрисдикции и сложности заявки.
Пятый этап, это получение лицензии. Если регулятор одобрил заявку, компания получает лицензию. Лицензия выдается на определенный срок (обычно 5 лет) и может быть продлена.
Практика COREDO показала, что компании часто недооценивают сложность процесса лицензирования. Они думают, что достаточно просто подать документы и ждать одобрения. На самом деле, нужно активно взаимодействовать с регулятором, отвечать на запросы, предоставлять дополнительную информацию. Мы помогли одной литовской компании пройти процесс лицензирования за 3 месяца благодаря тому, что мы заранее подготовили все документы и активно взаимодействовали с регулятором.
Документы и процедура регистрации юрлица
Перед подачей заявки на лицензию нужно зарегистрировать компанию. Процесс регистрации зависит от юрисдикции, но в целом он выглядит так:
Сингапур, например, демонстрирует, как эффективно организовать регистрацию компании. Процесс регистрации компании в Сингапуре известен своей скоростью и эффективностью — большинство заявок одобряется в течение 15 минут до 3 дней после оплаты пошлины. Хотя Сингапур находится в Азии, его подход к регулированию платежных услуг может служить образцом для европейских юрисдикций.
В ЕС процесс регистрации компании обычно включает следующие этапы:
- Выбор названия компании — нужно убедиться, что название уникально и не нарушает права третьих сторон.
- Подготовка учредительных документов: нужно подготовить устав компании, решение о создании компании, информацию о директорах и акционерах.
- открытие банковского счета — нужно открыть счет в банке для депозита капитала.
- Подача документов в реестр компаний, нужно подать документы в местный реестр компаний (например, в Испании это Registro Mercantil).
- Получение свидетельства о регистрации, после одобрения заявки компания получает свидетельство о регистрации.
Сроки регистрации варьируются от 3 до 7 дней в зависимости от юрисдикции. После регистрации компания может подать заявку на лицензию платежного учреждения.
Технологические требования и стандарты безопасности при эмиссии карт
Если раньше технология была просто инструментом для реализации бизнеса, то в 2025–2026 годах технология стала основой для соответствия требованиям регуляторов. Регуляторы теперь требуют, чтобы компании использовали определенные технологические стандарты и методы защиты данных.
Токенизация и бесконтактные платежи: что важно знать
Токенизация: это процесс, при котором реальные данные карты (номер, срок действия, CVV) заменяются на токен, уникальный идентификатор. Токен можно использовать для платежей, но если токен будет скомпрометирован, реальные данные карты останутся в безопасности.
Регуляторы ЕС теперь требуют, чтобы все компании, выпускающие карты, использовали токенизацию. Это не рекомендация — это обязательное требование. Компании, которые не используют токенизацию, рискуют получить штраф или потерять лицензию.
Бесконтактные платежи, это платежи, которые совершаются без физического контакта карты с терминалом. Это может быть платеж через NFC (Near Field Communication), платеж через QR-код, платеж через мобильное приложение. Регуляторы требуют, чтобы все компании поддерживали бесконтактные платежи и чтобы эти платежи были защищены от мошенничества.
Практика COREDO показала, что внедрение токенизации и бесконтактных платежей требует значительных инвестиций в технологию. Нужно обновить системы обработки платежей, нужно интегрировать с платежными системами (Visa, Mastercard), нужно провести тестирование и сертификацию. Но это инвестиции, которые окупаются благодаря снижению мошенничества и улучшению пользовательского опыта.
