Требования к платежным учреждениям в ЕС: основные различия

Никита Веремеев

02.02.2026 | 6 мин чтения

Обновлено: 02.02.2026

C 2016 года команда COREDO реализовала десятки проектов по регистрации компаний в ЕС, Азии и странах СНГ, получению финансовых лицензий, настройке AML и запуску операционных процессов для финтеха. В этой статье я собрал опыт, который помогает клиентам пройти путь от идеи платежного сервиса до международной масштабируемой модели с passporting, прозрачной комплаенс‑функцией и устойчивой экономикой.

Цель текста: дать ясную дорожную карту: как подойти к лицензированию payment institutions в ЕС, где тонкие места PSD2 регулирования платежей в ЕС, и как превратить регуляторику из издержек в конкурентное преимущество. Практика COREDO подтверждает: грамотное планирование, аккуратная работа с регуляторами и дисциплина в операционном риске сокращают сроки, снижают стоимость соответствия и ускоряют рост.

PI или EMI: лицензия или партнерство

Иллюстрация к разделу «PI или EMI: лицензия или партнерство» у статті «Payment institutions в ЕС – различия требований регуляторов»
Первое развилка: EMI лицензия vs PI лицензия. Лицензирование EMI и payment institution различается по сути: EMI вправе эмитировать электронные деньги и хранить клиентские остатки на кошельках, в то время как PI предоставляет платежные услуги без эмиссии e-money. Это разные бизнес‑риски, капитальные требования и процедуры safeguarding клиентских средств ЕС, поэтому выбор должен исходить из продуктовой дорожной карты.

Я регулярно вижу ситуации, когда молодой финтех стремится к EMI, хотя монетизация основана на платежном эквайринге и PIS/AIS в логике open banking. В таких кейсах лицензия платежного института ЕС оказывается достаточной и быстрее масштабируется через passporting платежного института в ЕС. Решение, разработанное в COREDO, обычно включает моделирование выручки, управления ликвидностью и требований к капиталу на 24–36 месяцев, чтобы не перегружать регуляторные и операционные периметры раньше времени.

Вторая развилка — лицензия vs партнерство с банком. Партнерская модель (sponsored BIN, white-label, агентские соглашения) ускоряет запуск MVP и снижает CAPEX, но добавляет зависимость от чужой комплаенс‑политики и ограничивает международную масштабируемость. Собственная регистрация платежного института в ЕС требует времени и ресурсов, зато дает контроль, гибкость в ценообразовании и прямой доступ к схемам и корреспондентам. Наша команда часто строит гибрид: быстрый старт через банк‑партнера, а затем открытие платежного института в ЕС для ключевых рынков.

Юридическая оболочка также важна. Правовые модели филиал vs дочерняя компания для выхода на рынок ЕС дают разную глубину substance и управляемости рисками. Дочерняя компания упрощает passporting и взаимодействие с регуляторами, тогда как филиал годится для тестирования гипотез или ограниченного присутствия. Для non‑EU групп нужно учитывать ограничения по passporting и отсутствие полноценного equivalence: часто правильный ход, создание EU‑substance с независимым менеджментом и локальным комплаенсом.

Регуляторы ЕС: PSD2, EBA и дискреции

Иллюстрация к разделу «Регуляторы ЕС: PSD2, EBA и дискреции» у статті «Payment institutions в ЕС – различия требований регуляторов»
PSD2 регулирование платежей в ЕС и EBA указания по платежным услугам сформировали базовый слой требований. Но внутри этой рамки действуют национальные дискрецийнные правила PSD2 и различия требований регуляторов ЕС по платежным учреждениям. Наш опыт в COREDO показал, что грамотное сопоставление национальных подходов экономит месяцы и снижает объем переписки в процессе лицензирования.

регуляторные требования BaFin для платежных учреждений усиливают акценты на IT‑безопасности и аутсорсинге (MaRisk, BAIT), глубокой проверке менеджмента и четком разделении функций. Это рынок с плотным надзором и высоким качеством диалога, но ожидания по substance и операционной зрелости выше среднего.
Регуляторные требования ACPR для платежных учреждений сосредоточены на защите потребителя, safeguarding и управлении инцидентами. В заявке ценится ясность governance, контрактов с третьими сторонами и измеримая программа обучения персонала.
Регуляторные требования DNB для платежных учреждений традиционно сильны в integrity risk и управлении цепочками аутсорсинга. В Нидерландах внимательно смотрят на модели контроля, независимость комплаенс‑функции и реалистичность финансовых планов.
Регуляторные требования Banco de España для платежных учреждений добавляют акцент на локальный presence и отчетность. Регулятор ожидает продуманную реализацию требований по мониторингу транзакций и сценарный анализ рисков.
Регуляторные требования Центрального банка Ирландии (CBI) известны строгим порогом «fitness and probity», структурой PCF‑ролей и требованием детальных планов по операционной устойчивости. Это одна из самых последовательных практик review в ЕС.
CSSF и Banca d’Italia демонстрируют высокие ожидания к капиталу, IT‑контролям и AML. В Италии важно аккуратно описать ринг‑фенсинг и резервы ликвидности, а в Люксембурге — доказать зрелость управления рисками при активном аутсорсинге.

ECB роли и надзор в платежной инфраструктуре касаются oversight систем клиринга/расчетов и системно значимых операторов. Для PI/EMI основной контакт — национальный регулятор, но стандарты ЕЦБ формируют фон ожиданий по резилиентности и инцидент‑репортингу. Постоянный надзор vs преференциальные процедуры в разных странах ЕС различаются по плотности инспекций, но общая тенденция — больше внимания к операционным рискам и киберустойчивости.

Капитал, safeguarding и ликвидность

Иллюстрация к разделу «Капитал, safeguarding и ликвидность» у статті «Payment institutions в ЕС – различия требований регуляторов»
Капитальные требования для платежных учреждений в ЕС зависят от спектра услуг и рассчитываются по методикам PSD2 (Методы A/B/C), а минимальный стартовый капитал для PI обычно в диапазоне 20–125 тысяч евро. Для EMI — выше, как правило от 350 тысяч евро, учитывая эмиссию электронных денег и специфические риски удержания остатков. Требования к капиталу: минимальные суммы и буферы сочетаются с требованиями к запасам капитала и capital adequacy по результатам stress‑тестов и планам роста.

Safeguarding через segregated accounts vs trust accounts: ключевой выбор операционной модели. В некоторых юрисдикциях применимы страховые/гарантийные альтернативы, но доминирует сегрегация средств на счетах в кредитных учреждениях. Отличия требований по резервированию и ринг‑фенсингу проявляются в деталях: срок ежедневной сегрегации, допустимые банки‑хранители, механика reconciliations и независимые аудиторские проверки.

Управление ликвидностью и требования регуляторов сводятся к поддержанию достаточности собственных средств, покрытию пиковых нагрузок и планированию «survival horizon» при стресс‑сценариях. Требования к отчетности по ликвидности и стресс‑тестам в ЕС сближаются, но форматы и периодичность отличаются у BaFin, ACPR, DNB и CBI. Практика COREDO подтверждает: ранняя автоматизация ALM‑метрик и независимый контроль по лимитам предотвращают регуляторные вопросы на поздних этапах.

AML/KYC: политика и метрики

Иллюстрация к разделу «AML/KYC: политика и метрики» у статті «Payment institutions в ЕС – различия требований регуляторов»
AML требования для платежных учреждений строятся на AML Directives (AMLD5, AMLD6) и рекомендациях FATF. Они обязывают оценивать риски, применять KYC/KYB, процедуры проверки бенефициарных владельцев (BO) для PI, вести мониторинг транзакций и выстраивать отчетность о подозрительных операциях. Решение, разработанное в COREDO, часто включает матрицы рисков по юрисдикциям, продуктам и каналам, а также дизайн «лестницы» эскалации и работы с исключениями.

KYC автоматизация, eIDAS и удаленная идентификация позволяют ускорить онбординг, но требуют калибровки с учетом национальных правил и уровня рисков. Биометрическая идентификация и соответствие регуляторным стандартам возможны при наличии сильных процедур liveness‑проверки, защиты шаблонов и независимого тестирования. В корреспондентских отношениях важно учитывать взаимодействие с банковскими корреспондентами и требования KYC, поскольку банки диктуют дополнительные стандарты проверки клиентов PI/EMI.

Борьба с финансовыми санкциями и screening для платежных компаний предполагают сопоставление клиентов и контрагентов со списками OFAC/EU и локальными перечнями. Проверка PEP и управление повышенным риском должны сочетаться с гибкой сегментацией, чтобы не «задушить» конверсию. Пороговые значения для отчетов о подозрительных операциях (STR) трактуются по‑разному, но общая логика ЕС — STR подаются по основанию подозрения, а не суммовым порогам, в то время как пороги чаще применяются к иным типам отчетности.

Transaction monitoring системы и машинное обучение укрепляют выявление аномалий, если модели подкреплены корректными сценариями, качественной обучающей выборкой и периодической валидацией. Управление false positive в AML и влияние на бизнес‑процессы, отдельная дисциплина: наш опыт показывает, что оптимизация правил, приоритизация алертов и обратная связь от расследований сокращают ложные срабатывания на 30–50% без ухудшения detection rate. Метрики эффективности AML программ (SAR rate, detection rate) стоит фиксировать в KPI комплаенс‑функции и регулярно обсуждать на уровне совета директоров.

SCA/RTS, GDPR и устойчивость

Иллюстрация к разделу «SCA/RTS, GDPR и устойчивость» у статті «Payment institutions в ЕС – различия требований регуляторов»

SCA и RTS требования для платежных провайдеров установили стандарты сильной аутентификации и управления рисками транзакций. Исключения по TRA и низким суммам улучшают UX, если риск‑модели качественно калиброваны и согласованы с регулятором и процессинговыми партнерами. Интеграция Open Banking и требования к API для TPP подразумевают устойчивость API, SLA, контроль версий и безопасные механизмы управления токенами.

Требования к информационной безопасности и GDPR для платежных сервисов в ЕС задают жесткую планку по защите данных, прозрачности обработки и правам субъектов. Outsourcing cloud‑провайдеров и регулятивные требования по локализации данных требуют внимания к месту хранения, доступу из третьих стран, шифрованию и правам аудита. Договорные обязательства при аутсорсинге критичных функций должны покрывать контроль подряда, право инспекций, RTO/RPO и планы выхода из договора.

Управление операционной устойчивостью и BCP для платежных провайдеров усиливается DORA (Digital Operational Resilience Act) в ЕС. Инцидент‑репортинг и регламент уведомлений регуляторам обязывают сообщать о значимых операционных или безопасностных событиях в установленные сроки и форматы. Требования к тестированию на проникновение и безопасность приложений дополняются управлением уязвимостями, безопасной разработкой и контролем над изменениями в бизнес‑модели и уведомлением регуляторов, если меняются услуги или география.

Аутсорсинг и борьба с мошенничеством

Outsourcing и управление третьими сторонами в платежных институтах, зона повышенного внимания инспекций. Управление бизнес‑партнёрами и Due Diligence поставщиков должно включать оценку финансовой устойчивости, контроля безопасности и соответствия их субподрядчиков. Требования к управлению рисками третьих сторон и SLA предполагают метрики доступности, времени реакции, качества расследований и документированную процедуру эскалации.

Различия в подходах к борьбе с мошенничеством у национальных регуляторов влияют на набор минимальных мер, но общий тренд — сочетание поведенческой аналитики, device‑fingerprinting и мониторинга по каналам. Регуляторные меры против мошенничества и chargeback требуют тесной работы со scheme providers и банками‑эквайерами. Интеграция fraud prevention с UX и конверсией достигается через адаптивное применение SCA, белые списки доверенных выгодоприобретателей и продуманную коммуникацию с пользователем.

Regulatory рамки затрагивают и разрешённые и запрещённые бизнес‑модели для платежных учреждений, включая ограничения на хранение средств вне safeguarding и смешение клиентских и собственных средств. Регуляторные ограничения на FX и cross‑border payments различаются по странам, особенно в вопросах корреспондентских цепочек и экзотических валют. Регулирование межбанковских расчетов и клиринга (SEPA) задает стандарты форматов и сроков, а подключение к схемам требует зрелости процессов и надежной IT‑архитектуры.

Документы, сроки, экономика соответствия

Документы и пакет для подачи на лицензию платежного института включают бизнес‑план, финансовые модели, политики и процедуры, описание IT‑архитектуры, договоры аутсорсинга, safeguarding‑механику, план BCP/DR, комплаенс‑матрицы и анкетирование руководства. Команда COREDO тщательно синхронизирует операционную и юридическую части, чтобы в переписке с регулятором не возникало «разрывов» между словарями бизнеса и комплаенса. Это уменьшает количество раундов запросов и ускоряет прохождение.

Времена получения лицензии платежного института в разных юрисдикциях ЕС варьируются от 6–9 месяцев до 12–18 месяцев, в зависимости от готовности команды и сложности бизнес‑модели. Временной лаг лицензирования: средние сроки по юрисдикциям сокращаются, если предлицензионный диалог построен на понятной картине рисков и реалистичных KPI. Sandbox регулрование для финтеха в ЕС помогает протестировать гипотезы и взаимодействовать с регуляторами, но имеет ограничения по масштабу, видам операций и не заменяет полноценной лицензии.

Стоимость соответствия PSD2 для бизнеса складывается из CAPEX на подготовку и IT, и OPEX на поддержание функций комплаенса, аудита и отчетности. Сравнение расходов на комплаенс: CAPEX vs OPEX показывает, что инвестиции в автоматизацию KYC против ручной проверки окупаются при масштабе от десятков тысяч онбордингов в год. Метрики ROI при внедрении требований комплаенс включают снижение false positives, время открытия счета, долю удержанных мошеннических транзакций и уменьшение регуляторных запросов.

Масштабирование, M&A и репутация

Международная масштабируемость и passporting после локальных требований: главный дивиденд EU‑лицензии. Влияние национальных дискреций ЕС на единый рынок платежей сохраняется, поэтому стратегия выхода на приоритетные страны должна учитывать различия отчетности, локального substance и взаимодействия с потребителями. Концепция passporting и ограничения для non‑EU компаний остаются актуальными: для групп из третьих стран субстанция в ЕС с независимым управлением: практический стандарт.

Требования к внутреннему контролю и комплаенс‑функции должны усиливаться по мере роста: независимость, прямой доступ к совету директоров, регулярные отчеты и планы улучшений. Требования по аудиту и внешней отчетности и регуляторные проверки и инспекции: подготовка и ответ организуются через заранее утвержденный «playbook» и набор KPI/доказательств. Управление репутационными рисками при несоответствии включает прозрачную коммуникацию, план корректирующих действий и документирование прогресса.

Практики due diligence при M&A платежных платформ требуют проверки лицензий, соответствия safeguarding, качества AML‑контуров, контрактов с третьими сторонами и открытых регуляторных вопросов. Сценарии выхода при отзыве лицензии и защита клиентов должны быть заранее прописаны в планах BCP и в договорах safeguarding. Оценка scalability: влияние регуляторных барьеров на рост пользователей и модель ценообразования платежных услуг и влияние регуляторных требований нужно учитывать при планировании unit‑экономики и выборе рынков.

MiCA и токенизированные активы

Регуляция крипто‑платежей и пересечение с MiCA становится новой реальностью для платежных компаний, которые хотят принимать или конвертировать цифровые активы. Правила работы с e‑money и эмиссия токенизированных активов различаются, а custodial vs non‑custodial модели в платежах несут разные риски и ожидания по контролям. В COREDO мы помогаем разделить потоки: платежные услуги под PSD2, e‑money под EMI, и крипто‑сервисы под национальные и общеевропейские режимы MiCA, чтобы не «смешивать» риски и лицензии.

Outsourcing критичных функций в крипто‑части требует особого внимания к цепочке субподрядчиков и хранению ключей. Регуляторы ждут ясных ответов по санкционному screening, происхождению средств и мониторингу транзакций на блокчейне. Международная кооперация по AML и рекомендации FATF по VASP накладывают дополнительные проверки, что важно учитывать при интеграции крипто‑пути в общий риск‑аппетит PI/EMI.

Кейсы COREDO — от заявки к росту

Один из проектов: лицензия платежного института в Ирландии. Клиент пришел с амбицией instant‑payments на B2B‑рынке и планом быстрых кросс‑бордер переводов. Команда COREDO выстроила governance под требования CBI, описала TRA‑модели под SCA/RTS, подготовила договоры аутсорсинга и план BCP с учетом DORA. В результате заявка прошла с минимальным количеством запросов, а после получения лицензии клиент успешно реализовал passporting в несколько стран ЕЭЗ.

Другой пример — выход финтех‑компании на рынок Германии с прицелом на open banking сервисы. Мы сопоставили требования BaFin по IT и аутсорсингу с уже существующей облачной архитектурой, усилили контроль изменений и внедрили независимый процесс pen‑testing. Параллельно был согласован подход к safeguarding через segregated accounts в банке первого уровня и настроены сценарии transaction monitoring, что сократило операционные риски и ускорило интеграцию с партнерами.

Третий кейс — масштабирование испанского PI с добавлением FX‑функционала. Практика COREDO подтвердила, что Banco de España внимательно смотрит на cross‑border цепочки и ликвидность. Мы внедрили стресс‑тесты по валютным позициям, договорились о дополнительных лимитах с корреспондентами и обновили политику AML с акцентом на экзотические коридоры. В результате компания сохранила темпы роста без нареканий по надзору.

Чек-лист запуска платежного института

Стратегия лицензирования и география. Определите, где критичны local‑substance и как быстро нужен passporting, и постройте модель PI vs EMI и банк‑партнёрство vs собственная лицензия на горизонте 24 месяцев. Такой подход снижает регуляторные повторы и излишние затраты на перестройку архитектуры.
финансовая устойчивость и safeguarding. Рассчитайте капитал и буферы, выберите модель segregated vs trust счета, подготовьте договоры с банками‑хранителями и описания reconciliations. Убедитесь, что ALM‑метрики и стресс‑сценарии доступны «по кнопке».
Комплаенс и AML. Настройте KYC/KYB, BO‑проверки, санкционный screening OFAC/EU, PEP‑процедуры и monitoring транзакций с ML‑сценариями. Введите метрики SAR/detection и программу снижения false positives с обратной связью от расследований.
Технологии и безопасность. Имплементируйте SCA/RTS, API‑политику для open banking TPP, GDPR‑контроль и реестр обработок данных. Проведите независимый pen‑test и оформите планы BCP/DR по DORA с процедурами инцидент‑репортинга.
Аутсорсинг и третьи стороны. Проведите due diligence поставщиков, согласуйте SLA, права аудита, планы выхода и контролируйте субподрядчиков. Проверьте соответствие cloud‑архитектуры требованиям местного регулятора.
Отчетность и инспекции. Подготовьте регуляторный календарь, шаблоны отчетов, «playbook» на проверки и процесс уведомления об изменениях в бизнес‑модели. Регулярно обучайте персонал и поддерживайте культуру комплаенса.

Масштабируемый рост регуляторики COREDO

Регистрации, лицензии и AML — это не «бумажная работа», а система управления рисками, на которых держится международный платежный бизнес. Когда основа крепкая — капитальные требования выдержаны, safeguarding прозрачен, SCA/RTS реализованы, AML‑контур измерим и технологичен, рост происходит быстрее, а диалог с регуляторами становится конструктивным. В COREDO я настаиваю на последовательности: сначала стратегия и архитектура, затем документы и доказательства, и только потом подача.

Наш опыт в COREDO показал, что правильно выбранная юрисдикция, грамотный пакет на лицензию и зрелая операционная модель сокращают time‑to‑market и стоимость соответствия. Команда COREDO умеет говорить на одном языке с BaFin, ACPR, DNB, Banco de España, Banca d’Italia, CBI и CSSF, учитывая национальные дискреции при неизменной логике PSD2. Мы сопровождаем клиентов от регистрации юридических лиц до лицензирования EMI и payment institution, от AML‑концепции до инцидент‑репортинга и DORA, помогая строить надежные, масштабируемые и прибыльные платежные бизнесы.

Если ваш план, выйти в ЕС, использовать passporting и при этом сохранить прозрачность процессов и экономию времени, начните с продуманной дорожной карты. Практика COREDO подтверждает: стратегия, подкрепленная измеримыми контролями и вниманием к деталям, превращает регуляторные требования в фундамент долгосрочного партнерства с рынком и регуляторами.