Когда предприниматель или финансовый директор говорит мне: «Мы хотим купить лицензированную PSP-компанию в Европе»,: я всегда задаю один и тот же встречный вопрос: «Вы уверены, что готовы к честному Due Diligence?»
Покупка платежного института (Payment Institution) или электронного денежного института (EMI), это не просто M&A сделка, а покупка регуляторной истории, комплаенс‑культуры и рискового профиля, который либо усилит ваш холдинг, либо станет источником постоянных конфликтов с регуляторами и банками.
За годы развития COREDO в ЕС, Азии и СНГ наша команда прошла с клиентами десятки проектов: от due diligence при покупке PSP компании в Европе и Сингапуре до сопровождения сделок по приобретению EMI/PI лицензий вместе с компаниями и интеграции этих активов в крупные финансовые группы. Этот опыт показал: успех сделки на 80% определяется качеством предварительного due diligence: юридического, финансового, налогового, операционного и, конечно, AML/KYC.
В этой статье я разложу по полочкам, как подойти к due diligence PSP компании, какие red flags критичны, какие документы обязательно запросить и как использовать результаты проверки для структуры сделки и защиты инвестора.
Почему выгоднее купить лицензированную PSP
Когда мы с клиентами обсуждаем стратегию выхода на рынок платежей, обычно на столе два варианта:
- получение новой лицензии (EMI/PI) в ЕС, Великобритании, Сингапуре или Дубае;
- покупка лицензированной PSP компании с действующей лицензией и инфраструктурой.
Покупка готовой PSP позволяет:
- сократить time-to-market: часто на 12–18 месяцев быстрее по сравнению с получением новой лицензии;
- получить готовые отношения с банками‑корреспондентами и платежными партнёрами;
- унаследовать мерчантов, технологическую платформу и команду;
- использовать существующую лицензию для паспортинга в рамках ЕС (при соблюдении требований PSD2 и национальных правил).
Но вместе с лицензией инвестор принимает на себя:
- регуляторные legacy‑риски (старые нарушения, незакрытые предписания);
- исторический транзакционный профиль и портфель клиентов;
- репутационную историю PSP на рынке.
Поэтому due diligence платежного провайдера всегда строится как риск‑ориентированный (risk‑based approach) проект с чёткой картой рисков при покупке бизнеса.
Структура due diligence PSP компании
Когда ко мне приходят с запросом «due diligence при покупке PSP компании», я сразу делю работу минимум на шесть блоков:
- Юридический due diligence
- Регуляторный и лицензированный due diligence (в т.ч. проверка PSP лицензии)
- AML/KYC due diligence и комплаенс‑проверка
- Финансовый и налоговый due diligence
- Operational due diligence и IT/cyber security
- Стратегический и бизнес‑due diligence (unit‑экономика, устойчивость модели, ROI)
Каждый блок даёт собственный слой red flags, и уже в COREDO мы привыкли оформлять результат в виде risk heatmap: визуальной карты ключевых рисков по сделке и их влияния на цену, структуру SPA и post‑closing roadmap.
Юридический due diligence: структура и change of control
Юридическое сопровождение покупки PSP в ЕС и Азии начинается с базовых, но критичных вещей.
Что проверяю первым
- Структура владения и бенефициары (UBO)
- прозрачность цепочки;
- наличие трастов, номинальных структур, офшорных элементов;
- совпадение бенефициаров с теми, кто указан у регулятора.
Red flags при покупке PSP: расхождения между корпоративными документами и данными регулятора, скрытые контролирующие лица, сложные структуры без деловой причины.
- Юридическое происхождение лицензии
- есть ли в уставных документах и лицензии ограничения на смену контроля;
- предусмотрен ли обязательный approval change of control со стороны регулятора;
- есть ли юридические ограничения на смену директоров и ключевого персонала.
- Наличие существенных договоров и обязательств
- договоры с банками‑корреспондентами, платёжными схемами, провайдерами антифрод и KYC;
- агентские, outsourcing и white‑label договоры;
- соглашения с ключевыми мерчантами, партнёрские и referral контракты.
Юридическое сопровождение сделки M&A в финтехе всегда затрагивает special clauses: representations & warranties по лицензии, AML/регуляторным вопросам, compliance‑статусу, а также indemnities за прошлые нарушения.
Какие документы запросить при due diligence PSP
Список всегда адаптируем к юрисдикции, но ядро остаётся:
- корпоративные документы (устав, решения акционеров, реестр участников);
- лицензия PSP/EMI, все приложения, письма и решения регулятора;
- реестр акционеров и бенефициаров, подтверждение UBO;
- ключевые коммерческие договоры (банки, схемы, мерчанты, провайдеры KYC/AML, IT‑аутсорсинг);
- внутренние policies & procedures (в части governance, decision‑making, outsourcing);
- история судебных споров и претензий контрагентов.
Юридический due diligence платежной организации в COREDO всегда связываем с регуляторным: юрист оценивает не только формальную валидность документов, но и то, как они «сшиваются» с лицензионными требованиями конкретного регулятора.
Регуляторный due diligence: лицензия и PSD2
Если говорить честно, покупка лицензированной платежной компании в ЕС без глубокой регуляторной проверки, это игра вслепую.
Как проверить лицензию PSP в ЕС
Я всегда настаиваю минимум на:
- верификации лицензии через официальный реестр регулятора;
- анализе scope лицензии: какие виды платёжных услуг разрешены, есть ли ограничения по географии или видам клиентов;
- проверке соответствия бизнес‑модели требованиям PSD2 (а в перспективе PSD3) и AMLD.
Ключевые red flags при due diligence PSP компании: несоответствие фактической деятельности разрешённым услугам, использование схем, обходящих регулирование (de‑facto e‑money, оформленные как технический процессинг), существенные отклонения от требований по safeguarding клиентских средств и capital adequacy.
История инспекций и предписаний регулятора
Команда COREDO всегда запрашивает:
- копии регуляторных писем, предписаний, enforcement actions за последние 3–5 лет;
- отчёты внешних аудиторов по регуляторным вопросам;
- планы remediation и action plans, которые PSP подавала регулятору.
Ключевой вопрос, как компания работала с замечаниями: закрывала ли своевременно, усиливала ли комплаенс‑функцию, улучшала ли governance.
Если due diligence платежного института в Европе показывает регулярные нарушения, отложенные предписания или открытые расследования, это напрямую влияет на: структуру цены (earn‑out, удержания, escrow); объём indemnities; решение, входить в сделку сейчас или после завершения remediation.
AML/KYC due diligence при работе с PSP
Если спросить меня, какая часть проверки PSP критична для выживания сделки, я отвечу: AML/KYC due diligence.
Что проверяю в KYC/AML комплаенсе
- Политику risk-based approach
- есть ли формализованный risk appetite statement;
- как сегментируются клиенты по риску (high‑risk industries, high‑risk jurisdictions);
- как принимаются решения по onboarding и offboarding.
- KYC/AML процедуры
- customer due diligence (CDD) и enhanced due diligence (EDD);
- source of funds/source of wealth проверки;
- процедуры ongoing monitoring клиентов и транзакций;
- sanctions screening, PEP screening, adverse media.
- Transaction monitoring & anti‑fraud
- наличие автоматизированной системы мониторинга транзакций;
- сценарии и правила (rules‑based, risk‑based или hybrid models);
- модель управления alert’ами и internal investigations;
- показатели chargeback ratio и dispute ratio по ключевым мерчантам.
Признаки высокого AML риска у PSP провайдера часто видим уже в первые недели проверки: концентрация на high‑risk merchants (gambling, betting, forex, crypto) без чётких ограничений; недостаточная документация по high‑risk клиентам; формальные KYC‑анкеты без подтверждающих документов; слабый или отсутствующий ongoing monitoring.
Какие документы для AML due diligence
В рамках проектов COREDO по AML due diligence PSP провайдера я обычно прошу:
- AML policy, KYC policy, risk assessment и risk appetite statement;
- описания процессов onboarding, мониторинга, расследований и reporting (SAR/STR);
- отчёты по внутреннему и внешнему AML‑аудиту;
- статистику по STR/SAR, offboarding’ам и отказам в onboarding за 2–3 года;
- training records для сотрудников;
- выборку клиентских файлов (KYC‑досье), включая high‑risk клиентов и PEP;
- выборку транзакций по high‑risk сегментам для forensic‑анализа.
Due diligence высокорисковых юрисдикций
Для международных инвесторов мы в COREDO регулярно проводим санкционный due diligence платежной компании:
- анализируем страны, валюты и коридоры платежей;
- проверяем, есть ли клиенты или транзакции, связанные с санкционными режимами;
- оцениваем процессы sanctions screening и negative news monitoring.
Ключевой вопрос: не создаст ли покупка PSP риск de‑risking со стороны банков‑корреспондентов и платёжных схем. Иногда именно санкционный профиль клиентской базы становится причиной отказа банков продолжать отношения после change of control.
Финансовый и налоговый due diligence: регуляторный контекст
Платёжный бизнес специфичен: сухой финансовый due diligence не даёт полной картины без понимания регуляторных ограничений.
В рамках проектов COREDO по финансовому due diligence PSP мы смотрим:
- структуру доходов: комиссии с processing, interchange, FX‑маржа, допуслуги;
- концентрацию выручки на нескольких ключевых мерчантах;
- стабильность маржинальности и unit‑экономики по сегментам;
- расходы на комплаенс, IT, лицензии и регуляторный capital.
Ключевые red flags: зависимость от одного крупного мерчанта или узкой ниши; агрессивный рост оборота без пропорционального роста комплаенс‑функции; значимая часть дохода от отраслей, к которым регуляторы относятся особенно жёстко.
Налоговый due diligence при покупке компании в финтехе дополняем:
- анализом межкомпанейных соглашений внутри группы;
- проверкой substance в юрисдикциях присутствия;
- оценкой соответствия налоговой модели общей бизнес‑логике.
Operational due diligence IT / кибербезопасность
Для PSP технология — не back‑office, а ядро лицензируемой деятельности. Operational due diligence PSP провайдера в COREDO всегда включает:
- оценку governance: роль и независимость совета директоров, наличие compliance committee, three lines of defence;
- анализ ключевой команды: опыт CEO, COO, CCO, MLRO, IT‑директора;
- оценку процесса incident management и business continuity.
Проверка IT‑инфраструктуры и кибербезопасности
Минимальный набор вопросов:
- архитектура платформы (own vs white‑label, критические зависимости от вендоров);
- SLA с ключевыми провайдерами, uptime, disaster recovery планы;
- результаты penetration testing и vulnerability assessments;
- управление доступами, логирование, segregation of duties.
GDPR и персональные данные
В ЕС и Великобритании я всегда особо смотрю на:
- наличие и внедрение GDPR‑политик (data protection, data retention, data minimisation);
- назначение DPO и его роль;
- инциденты data breach и реакцию компании.
Проверка защищенности персональных данных клиентов PSP — это не формальность: серьёзные нарушения могут привести к штрафам масштаба, сопоставимого с годовой прибылью компании.
Red flags при due diligence PSP
За последние годы у команды COREDO сформировался достаточно устойчивый список «красных флажков», при которых я либо рекомендую серьёзно пересмотреть цену и структуру сделки, либо вообще отказаться:
- Несоответствие фактической деятельности лицензии (например, скрытая e‑money деятельность без соответствующей лицензии).
- Системные нарушения AML/KYC: отсутствие должной документации по high‑risk клиентам, слабые EDD‑процедуры, формальный подход к ongoing monitoring.
- Открытые регуляторные расследования или невыполненные предписания.
- Сильная концентрация на санкционно чувствительных рынках или high‑risk jurisdictions без продуманного risk‑based подхода.
- Критическая зависимость от одного банка‑корреспондента или одного крупного мерчанта.
- История серьёзных data breaches, слабая кибербезопасность, отсутствие нормального disaster recovery.
- Непрозрачная структура владения, скрытые бенефициары, расхождения между данными у регулятора и в корпоративных документах.
- Отсутствие реальной governance‑структуры и независимого комплаенс‑офицера.
Каждый такой red flag не обязательно убивает сделку, но требует: либо серьёзной скидки и усиленных indemnities; либо чёткого remediation‑плана до closing или в ранний post‑closing.
Due diligence в структуре сделки
Когда due diligence при покупке бизнеса завершён, для меня самое важное — перевести выводы в конкретные юридические и финансовые механизмы SPA.
На практике COREDO часто предлагает:
- earn‑out: часть цены привязывается к будущим показателям (в т.ч. по комплаенс‑индикаторам, сохранению лицензий, отсутствию новых санкций/штрафов);
- escrow и удержания: часть суммы блокируется на время, достаточное для проявления возможных legacy‑рисков;
- специализированные representations & warranties по:
- отсутствию скрытых регуляторных расследований;
- полноте раскрытия AML/CTF инцидентов;
- статусу лицензии и отсутствии оснований для её отзыва;
- indemnities за:
- штрафы и санкции за нарушения, корни которых лежат до closing;
- регуляторные претензии по историческому клиентскому портфелю и транзакциям.
При крупных сделках с PSP команды COREDO помогает структурировать сделки с отсрочкой платежа (earn‑out), где продавец несёт долевую ответственность за то, как бизнес выдержит последующие регуляторные проверки и банковский due diligence.
Сравнение юрисдикций для инвесторов
Отдельный пласт работы, выбор юрисдикции для покупки лицензированной PSP компании: ЕС, Великобритания, Сингапур, отдельные азиатские или ближневосточные центры.
На что обычно обращаем внимание с клиентами:
- жёсткость и предсказуемость регулятора;
- требования по capital adequacy и safeguarding;
- отношение банков к PSP из данной юрисдикции;
- возможности масштабирования (passporting в ЕС, кросс‑бордер Лицензирование в Азии);
- исторические кейсы enforcement‑практики.
Иногда рациональнее не гнаться за «самой дешёвой» лицензией, а выбрать юрисдикцию, где: проще убедить банки в устойчивости модели; меньше риск внезапного ужесточения регулирования; выше вероятность стратегической перепродажи актива в будущем.
Как выстраиваю due diligence PSP с клиентом
Чтобы сделать due diligence платежного института в Европе или Азии действительно полезным, а не формальным, в COREDO придерживаемся простой, но рабочей методологии:
- Формируем карту целей инвестора
- зачем покупается PSP (география, продукты, лицензия, технология, клиентская база);
- горизонт планирования (быстрая интеграция или аккуратный roll‑out).
- Разрабатываем scope due diligence и риск‑карту сделки
- определяем глубину проверки по блокам: юридический, регуляторный, AML/KYC, финансовый, tax, IT, операционный;
- выделяем критические KPIs и red flags.
- Проводим поэтапный анализ
- сначала high‑level screening (чтобы на раннем этапе отсеять заведомо проблемные цели);
- затем детальный deep dive по ключевым направлениям.
- Превращаем выводы в план сделки
- корректируем структуру сделки и SPA;
- готовим roadmap remediation после closing;
- моделируем сценарии регуляторных проверок и стресс‑сценарии (например, отзыв корреспондентских счетов основным банком).
- Сопровождаем change of control и взаимодействие с регулятором
- готовим пакет документов для согласования смены контроля;
- помогаем выстроить диалог с регулятором, объяснить стратегию нового владельца;
- учитываем сроки и условия approvals в таймлайне сделки.
Что важно до старта сделки
Покупка PSP — это не быстрый shortcut, а стратегическое решение, которое меняет профиль рисков всей группы. Из моего опыта:
- due diligence fintech компании и PSP никогда не бывает «слишком глубоким» в части AML/KYC и регуляторики;
- слабый комплаенс у цели почти всегда дороже, чем самая высокая скидка на цену;
- правильно проведённый due diligence при покупке компании, это не расход, а инструмент переговоров и управления ROI.
Моя задача как основателя COREDO и задача моей команды: сделать так, чтобы, приняв решение о покупке PSP, вы опирались не на оптимизм продавца, а на структурированный анализ: юридический, финансовый, налоговый, AML и операционный.
Если вы рассматриваете покупку лицензированного платёжного института, EMI или другого финтех‑актива в ЕС, Азии или СНГ, начинайте не с обсуждения цены, а с плана due diligence. Цена — производная от рисков, а не наоборот.