U mnoha zakladatelů projektů typu EMI se otázka AML otevírá příliš pozdě. Nejprve se řeší obchodní model. Poté nabízený produkt. Následují jednání s bankami. Pak se začne skládat licenční dokumentace a teprve v tu chvíli si všichni vzpomenou, že součástí žádosti musí být také systém opatření proti praní peněz.
Právě takový postup patří k nejrychlejším způsobům, jak může žádost o licenci působit slabě a nepřesvědčivě.
Plnění AML požadavků u žadatelů o licenci EMI nemá být poslední sadou vnitřních předpisů doplněnou těsně před podáním žádosti. Regulátor očekává, že bude tento systém od počátku zabudován do samotného obchodního modelu. Pokud chce žadatel vydávat elektronické peníze, přijímat klienty na dálku, rychle převádět peněžní prostředky, působit přeshraničně nebo využívat zástupce a externí dodavatele, musí být AML řešení připraveno dříve, než je licenční dokumentace dokončena, nikoli až poté. Pokyny EBA k povolovacímu řízení to vyjadřují zcela jasně, když od žadatelů o licenci EMI vyžadují, aby v rámci žádosti předložili konkrétní informace o vnitřních kontrolních mechanismech AML/CFT. Tytéž pokyny se použijí i na povolování EMI prostřednictvím rámce PSD2, který se přiměřeně uplatní i na instituce elektronických peněz.
To je skutečný výchozí bod. Regulátora nezajímá, zda máte AML příručku v šanonu. Zajímá ho, zda je vaše instituce schopna od prvního dne v reálném provozu rozpoznávat, vyhodnocovat, eskalovat, dokumentovat a oznamovat rizika finanční kriminality.
Co se regulátor skutečně snaží zjistit
Když dozorový orgán čte AML část žádosti o licenci EMI, obvykle si klade několik velmi praktických otázek.
Rozumějí zakladatelé tomu, kde se v tomto podnikání skutečně nacházejí rizika praní peněz a financování terorismu? Je model přijímání klientů věrohodný? Jsou dostatečně pochopeny jednotlivé kategorie klientů? Navazují pravidla sledování na skutečné transakční chování? Je zřejmé, kdo nese za AML odpovědnost? Lze činnosti zajišťované prostřednictvím partnerů nebo externích dodavatelů stále účinně řídit samotnou EMI? Lze podezřelou činnost bez zmatků eskalovat a oznámit?
Tyto otázky jsou důležité i proto, že sektor EMI zůstává pod zvýšeným AML dohledem. Ve svém stanovisku k rizikům ML/TF z roku 2025 EBA uvedla, že příslušné orgány stále častěji hodnotí vlastní riziko praní peněz a financování terorismu v sektoru institucí elektronických peněz jako významné až velmi významné a poukázala na opakované nedostatky v oblastech průběžného sledování, identifikace klienta, vnitřních kontrol a oznamování podezřelých obchodů.
AML část licenční dokumentace EMI tedy není jen o jazyce souladu s předpisy. Je především o důvěryhodnosti.
Proč obecné AML balíčky obvykle selhávají
Častou chybou u projektů EMI je použití obecných AML dokumentů, které by mohly patřit téměř jakékoli finanční instituci.
Takový přístup vytváří dojem připravenosti, ale při skutečném přezkumu zpravidla neobstojí. Obecný dokument může sice zmiňovat kontrolu klienta, sankční prověřování, průběžné sledování a oznamování podezřelých obchodů, a přesto neříkat nic podstatného o skutečném rizikovém profilu žadatele. Pokud regulátor nevidí, jak se AML model váže ke konkrétním produktům EMI, distribučním kanálům, jurisdikcím, typům klientů, transakčnímu chování a vztahům se třetími stranami, začne žádost působit uměle.
Pokyny EBA k povolovacímu řízení nepožadují abstraktní zásady AML. Požadují konkrétní prvky: hodnocení rizik ML/TF u žadatele, postupy pro plnění povinností kontroly klienta, postupy pro zjišťování a oznamování podezřelých obchodů, zajištění školení v oblasti AML, označení osoby odpovědné za AML/CFT, kontrolní mechanismy pro průběžnou aktualizaci postupů, dohled nad zástupci, pobočkami a distributory a AML příručku pro zaměstnance.
Proto nestačí použitelná šablona. Regulátor chce vidět kontrolní systém, který patří této konkrétní EMI, nikoli nějaké smyšlené instituci.
Začněte hodnocením rizik, ne složkou s předpisy
Nejužitečnější způsob, jak vystavět AML systém EMI, je začít mapou rizik.
Ještě před sepisováním postupů by měl být žadatel schopen vysvětlit, odkud riziko přichází. EMI může být vystavena zvýšenému riziku proto, že obsluhuje rizikovější segmenty klientů, podporuje rychlé on-line transakce, spoléhá na vzdálené navazování obchodních vztahů, působí ve více jurisdikcích nebo využívá prostředníky, jako jsou zástupci, distributoři nebo programoví partneři. I zdánlivě jednoduchý produkt může vytvářet složitý profil finanční kriminality, jakmile se vážně posoudí zeměpisný rozsah, způsoby financování, logika zpětné výměny a řetězce transakcí.
Pokyny EBA k rizikovým faktorům ML/TF požadují, aby podniky určily a posoudily rizika ML/TF spojená se svými obchodními vztahy i jednorázovými obchody a aby rozsah kontroly klienta přizpůsobily zjištěným rizikům. Očekává se také, že dozorové orgány budou tyto pokyny používat při přezkumu přiměřenosti hodnocení rizik AML/CFT a souvisejících postupů.
Lepší způsob přípravy AML kapitoly tedy není „nejprve napsat předpis a potom do něj doplnit jazyk o rizicích“. Správný postup je opačný. Nejprve vymezit rizikové prostředí. Teprve poté z něj odvodit jednotlivé postupy.
Kontrola klienta musí odpovídat tomu, jak EMI skutečně získává klienty
Kontrola klienta je jednou z nejsnazších oblastí, na níž si regulátor může ověřit, zda je žadatel skutečně připraven, nebo jen dobře upraven navenek.
Pokud bude EMI přijímat klienty digitálně, měla by žádost vysvětlit, jak se zjišťuje totožnost, jaké zdroje údajů se používají, jak instituce pracuje se skutečným majitelem, jak se přiřazuje rizikové skóre, kdy se použije zesílená kontrola a co se děje tehdy, pokud jsou údaje neúplné nebo si odporují. Pokud chce EMI pracovat s podnikatelskými klienty, uživateli s vyššími objemy, přeshraničními vztahy nebo složitými vlastnickými strukturami, nemůže spis popsat jen model přijímání klientů pro běžnou peněženku a zbytek ponechat neurčitý.
Právě proto nelze kontrolu klienta u EMI chápat jako standardní vývojový diagram převzatý z jiné licenční dokumentace. Musí odpovídat skutečnému rozsahu podnikání. Pokyny EBA k povolovacímu řízení výslovně požadují, aby žadatelé o licenci EMI popsali postupy, které mají zavedeny k plnění povinností kontroly klienta.
V praxi dozorové orgány tuto část obvykle čtou s jedinou myšlenkou: dokáže tato instituce vysvětlit, koho bude přijímat, jak ho bude ověřovat a kdy řekne ne?
Sledování transakcí musí působit provozně, ne jen ozdobně
Mnoho žádostí EMI zmiňuje nástroje pro sledování transakcí tak, jako by pouhé uvedení dodavatele řešilo celý problém.
Neřeší. Dozorové orgány se příliš nezajímají o samotnou existenci softwaru, pokud žadatel nedokáže vysvětlit, co má být v daném systému skutečně nastaveno. Chtějí porozumět logice upozornění, nastavení limitů, postupu prověřování, eskalační cestě i vazbě mezi sledováním a konkrétními produkty, které bude EMI nabízet.
Právě proto je důležité i zjištění EBA z roku 2025 pro tento sektor. EBA poukázala na nedostatky v průběžném sledování a na nesprávné nastavení systémů pro sledování a prověřování v sektoru EMI a uvedla, že dozorové orgány provádějí hloubkové přezkumy zaměřené právě na otázky přijímání klientů a sledování transakcí.
Silná pasáž o sledování transakcí u EMI proto působí prakticky. Vysvětluje, co se sleduje, proč jsou určité scénáře důležité, kdo vyhodnocuje upozornění, jak se případy dokumentují a jak se instituce učí z falešných poplachů i z přehlédnutých signálů. Slabá pasáž jen konstatuje, že všechny transakce jsou sledovány v souladu s platnými právními předpisy.
Oznamování podezřelých obchodů potřebuje jasnou cestu, ne jen slib
Je snadné napsat, že podezřelé obchody budou oznamovány. Mnohem těžší je prokázat, že to EMI dokáže skutečně udělat pod časovým tlakem.
Licenční dokumentace by měla jednoznačně popisovat vnitřní oznamovací cestu. Kdo provede první eskalaci? Kdo případ přezkoumá? Kdo rozhoduje o tom, zda existuje podezření? Kdo podává oznámení? Jak se postupuje v naléhavých situacích? Co se stane, když instituce nemůže dokončit kontrolu klienta, ale přesto zachytí podezřelé chování? To jsou provozní otázky, nikoli teoretické úvahy.
To platí tím spíše v českém prostředí. FAÚ uvádí, že povinná osoba musí oznámit podezřelý obchod bez zbytečného odkladu, a pokud to okolnosti vyžadují, neprodleně. Český AML zákon zároveň stanoví obsah i logiku oznamování podezřelých obchodů.
EMI by proto neměla oznamování podezřelých obchodů popisovat jen jako obecnou povinnost. Měla by je popsat jako živý vnitřní proces s jasným určením odpovědnosti, časových lhůt a důkazní stopy.
AML řízení je místem, kde mnoho žadatelů o EMI přestává působit přesvědčivě
I technicky slušně zpracovaný AML systém může působit slabě, pokud je odpovědnost nejasná.
Žádost o licenci EMI by měla jednoznačně ukázat, kdo nese odpovědnost za AML na úrovni vedení a kdo odpovídá za každodenní výkon funkce souladu s předpisy. Taková osoba potřebuje víc než jen název funkce. Potřebuje jasně vymezené pravomoci, přístup k informacím, nastavené vztahy podřízenosti a dostatečné postavení v organizaci, aby mohla v případě potřeby klást odpor obchodním zájmům.
Pokyny EBA k pracovníkům odpovědným za AML/CFT uvádějí, že podniky by měly určit člena vedoucího orgánu, který ponese konečnou odpovědnost za provádění povinností AML/CFT, a zároveň vyjasnit úlohu pracovníka odpovědného za AML/CFT a jeho vztah k vedení. Tyto pokyny rovněž zdůrazňují, že odpovědná osoba musí mít dostatečnou pravomoc a že vedoucí orgán musí dostávat dostatečně úplné a včasné zprávy v oblasti AML/CFT.
Právě v tom spočívá rozdíl mezi skutečným AML řízením a pouhou AML dekorací. Jedno vytváří odpovědnost. Druhé jen přidává jméno do organizačního schématu.
Externí zajištění činností nepřenáší AML odpovědnost
To je jeden z nejdůležitějších bodů pro žadatele o licenci EMI, kteří využívají třetí strany.
Externě zajištěný nástroj pro KYC nezbavuje EMI povinnosti rozumět logice přijímání klientů. Externě zajištěný systém sledování transakcí nezbavuje EMI povinnosti řídit pravidla a postupy pro práci s upozorněními. Partnerský distribuční kanál neodstraňuje potřebu AML dohledu. Regulovaná osoba zůstává odpovědná vždy.
Pokyny EBA k povolovacímu řízení požadují, aby žadatel vysvětlil, jak budou pro účely AML/CFT řízeni pobočky, zástupci a distributoři a jak tato uspořádání nezvýší riziko ML/TF na straně žadatele. Současně vyžadují širší systém řízení a vnitřních kontrol, který je schopen sledovat externě zajišťované funkce a zachovat kvalitu vnitřních kontrol.
Právě zde se mnoho žádostí začíná rozpadat. Žadatel popisuje poskytovatele, ale už ne dohled nad ním. Uvádí název platformy, ale ne osobu odpovědnou uvnitř EMI. Odkazuje na smluvní povinnosti, ale neřeší kontrolní práva, namátkové prověrky, četnost výkaznictví, eskalační postupy ani scénáře ukončení spolupráce. Regulátor si takové mezery všimne velmi rychle.
Čeští žadatelé o licenci EMI by měli stavět AML systém podle skutečného místního rámce
U projektů zaměřených na Českou republiku by AML dokumentace neměla vznikat jako obecný evropský soubor, který se na poslední chvíli pouze místně upraví.
Na stránkách ČNB věnovaných povolování EMI se uvádí, že vzory žádostí a obsah jejich příloh stanoví český právní předpis, a širší licenční stránky ČNB spojují žádosti v oblasti platebních služeb a elektronických peněz s rámcem zákona o platebním styku. České AML povinnosti jsou přitom upraveny především zákonem č. 253/2008 Sb. a oznámení podezřelých obchodů se podávají Finančnímu analytickému úřadu.
To má praktický důsledek: AML část žádosti o licenci EMI by měla být od počátku sladěna s českým právním jazykem, českou praxí oznamování i se skutečnými dohledovými očekáváními, kterým bude žadatel po udělení povolení čelit, nikoli jen s požadavky pro samotné podání žádosti.
Silnější způsob uvažování o AML u EMI
Nejužitečnější výchozí myšlenka je tato: AML není vnější omezení provozního modelu. Je jeho součástí.
Pokud chce EMI růst díky rychlosti, vzdálenému přijímání klientů, přeshraničnímu dosahu nebo infrastruktuře zajišťované externě, musí být AML promítnuto do těchto rozhodnutí od samého počátku. Čím přesněji AML systém odráží skutečný obchodní model, tím přirozeněji pak působí celý licenční spis. Začne dávat smysl systém řízení. Začne dávat smysl sledování transakcí. Začne dávat smysl personální zajištění. Začne dávat smysl dohled nad externě zajišťovanými činnostmi.
Právě proto není plnění AML požadavků pro žadatele o licenci EMI především otázkou sepsání dokumentů. Je to otázka architektury celého uspořádání.
Jak pomáhá AMS Europe
AMS Europe pomáhá žadatelům o licenci EMI vytvářet AML systémy, které vycházejí z rozsahu licence, skutečného transakčního modelu a způsobu, jakým regulátor čte předloženou dokumentaci.
To obvykle zahrnuje přípravu nebo přepracování hodnocení rizik ML/TF, zmapování systému přijímání klientů a sledování transakcí, vymezení AML řízení, nastavení oznamovacích a eskalačních cest, sladění externě zajišťovaných částí s vnitřním dohledem a přípravu AML příloh tak, aby podporovaly celou žádost o povolení, místo aby ji oslabovaly.
U českých projektů to zároveň znamená sladit AML pracovní proud s požadavky ČNB na podání žádosti a s praktickými povinnostmi vyplývajícími z českého AML zákona a pravidel oznamování vůči FAÚ.
Plánujete licenci EMI nebo prověřujete stávající strukturu?
Závěrečná poznámka
Regulátor jen zřídka řekne: „Tento žadatel má příliš propracovanou AML strukturu.“
Mnohem častější je opačný problém. Spis působí obecně. Odpovědnost je nejasná. Sledování je popsáno příliš abstraktně. Externí zajištění činností je nedostatečně vysvětleno. Hodnocení rizik působí jen jako formalita. A žádost začne připomínat podnik, který žádá o povolení dříve, než si vybudoval kontrolní mechanismy, jež by jej opravňovaly takové povolení získat.
Silnější žádost o licenci EMI se nesnaží skrýt, že riziko existuje. Ukazuje, že instituce ví, kde se riziko nachází, a už předem rozhodla, jak je bude řídit.
FAQ
Jaké AML dokumenty by měl žadatel o licenci EMI připravit?
V minimálním rozsahu regulátor očekává hodnocení rizik ML/TF, postupy kontroly klienta, postupy pro oznamování podezřelých obchodů, popis AML řízení, pravidla školení, dohled nad zástupci nebo distributory, pokud jsou relevantní, a AML příručku nebo obdobnou vnitřní dokumentaci. Tyto prvky jsou výslovně požadovány v pokynech EBA k povolovacímu řízení a měly by být přizpůsobeny skutečnému obchodnímu modelu žadatele.
Musí EMI určit odpovědnou osobu pro AML ještě před získáním licence?
Ano. Žádost musí jasně označit osobu odpovědnou za AML/CFT a prokázat její zkušenosti i odbornou způsobilost. Současně by měla vysvětlit její postavení v systému řízení a vztah k vrcholovému vedení v souladu s očekáváními EBA.
Stačí externě zajištěné přijímání klientů ke splnění AML požadavků?
Ne. Externí zajištění může AML systém podpořit, ale nepřenáší regulační odpovědnost z EMI na dodavatele. Žadatel musí prokázat, že nad procesem vykonává kontrolu, včetně dohledu nad poskytovatelem, ověřování kvality a jasných eskalačních mechanismů.
Jak má být vnitřně organizováno oznamování podezřelých obchodů?
Regulátor očekává jasně vymezený vnitřní postup, nikoli pouze obecné prohlášení o úmyslu. Žádost by měla vysvětlit, kdo rozpoznává podezření, kdo případ přezkoumává a rozhoduje, kdo oznámení podává a v jakých lhůtách, včetně jednoznačně určené odpovědnosti a dokumentace.
Kdo přijímá oznámení o podezřelých obchodech v České republice?
V České republice se oznámení o podezřelých obchodech podávají Finančnímu analytickému úřadu (FAÚ). Povinné osoby musí oznamovat bez zbytečného odkladu a tam, kde to okolnosti vyžadují, neprodleně.
Jak podrobné má být hodnocení rizik ML/TF?
Hodnocení rizik by mělo odpovídat skutečnému obchodnímu modelu, včetně produktů, distribučních kanálů, jurisdikcí, typů klientů a transakčního chování. Obecná nebo šablonovitá hodnocení bez konkrétní vazby na podnikání se zpravidla nepovažují za dostačující.
Jakou roli hraje sledování transakcí v žádosti o licenci EMI?
Sledování transakcí by mělo být popsáno jako provozní systém s vymezenými scénáři, nastavenými prahovými hodnotami a strukturovaným postupem zpracování upozornění. Regulátoři se zaměřují na to, jak systém funguje v praxi, nikoli pouze na to, zda nějaký nástroj existuje.
Jsou současné AML pokyny EBA stále relevantní i po vzniku AMLA?
Ano. Stávající pokyny a standardy EBA v oblasti AML/CFT zůstávají použitelné, dokud nebudou formálně nahrazeny předpisy nebo pokyny AMLA. Žadatelé by se proto měli při přípravě svých žádostí i nadále opírat o platné materiály EBA.
