Běžné důvody, proč se žádosti o licenci EMI zpožďují (a jak se vyhnout přepracování)

Většina zpoždění u EMI nevzniká kvůli „pomalým regulátorům“. Vzniká kvůli jedné věci: žádost není v podobě, v jaké byla podána, posouditelná.

PSD2 výslovně stanoví, že příslušný orgán sdělí své rozhodnutí do 3 měsíců od obdržení žádosti — nebo, pokud je žádost neúplná, do 3 měsíců od obdržení všech požadovaných informací. Jinými slovy: čas se prakticky „zastaví“, dokud není podání kompletní.

Peer review EBA k autorizacím podle PSD2 ukázalo, že průměrné end-to-end lhůty se mezi členskými státy výrazně liší (od několika měsíců až po více než rok) a jako klíčový faktor zdůraznilo kvalitu podání a rychlost, s jakou žadatel řeší připomínky a doplnění.

Níže jsou nejčastější příčiny zpoždění a co udělat, abyste se vyhnuli reworku — obzvlášť relevantní pro Česko (ČNB), ale strukturálně platné napříč EU.

„Neúplná“ podání (chybějící přílohy, vágní odpovědi, neaktuální informace)

Co se děje: regulátor vyžádá doplnění, formální posuzovací okno se reálně nerozběhne a dostanete se do smyčky Q&A.

Jak se vyhnout reworku:

• Sestavte master dokumentový index (1 spreadsheet): každý požadavek → název souboru → odkaz na stranu/sekci → odpovědná osoba.
• „Zmrazte“ verzi podání a udělejte pre-submission audit úplnosti.
• Držte se přístupu EBA pro autorizace: informace mají být úplné, přesné, aktuální a předložené tak, aby je orgán mohl posoudit bez domýšlení.
• Regulátoři to říkají i veřejně: posuzovat lze až plně dokončenou žádost a zákonná lhůta běží až od chvíle, kdy je kompletní.

Nejasný rozsah činností a „program činnosti“ (co přesně děláte)

Co se děje: váš produkt vypadá jako tři různé byznysy podle toho, kterou část žádosti hodnotitel čte.

Typické red flags:

• „Wallet“ je na jednom místě popsaný jako e-money, jinde jako platební účet
• Nedefinovaný flow: kdo drží prostředky, kdo co vydává, kdy nastává redeemace (zpětná výměna)
• Chybí mapování služeb na reálné customer journeys

Jak se vyhnout reworku:

• Dodejte matici scope & products (produkt → právní aktivita → zákazníci → geografie → partneři → tok peněz).
• Přidejte end-to-end diagramy (onboarding → funding/dobití → spend/placení → redeemace/refundy → complaints).

Slabý safeguarding balíček (nejčastější oblast „deep dive“)

Co se děje: orgán nedokáže uzavřít, že jsou prostředky klientů chráněny operativně, ne jen „na papíře“.

Nejčastější mezery:

• Chybí logika denní reconciliace a jasný ownership
• Nejasná přístupová práva k safeguarding účtům
• Chybí scénář selhání (co když selže partner nebo se rozbije settlement)

Jak se vyhnout reworku:

• Přiložte safeguarding operating procedure (denní kroky, evidence výstupy, práce s výjimkami).
• Připojte včas dopisy bank/partnerů, strukturu účtů a důkazy o access control.

Kapitál a „source of funds“ nejsou čistě doložené

Co se děje: dohled vyhodnotí financování jako nejisté, podmíněné nebo v rozporu s plánem.

Jak se vyhnout reworku:

• Předložte jednoduchý „capital story“: zdroj → načasování → dokumentární důkaz.
• Slaďte forecasty s kapitálovou potřebou (včetně stress scénářů) a explicitně uveďte předpoklady.

Správa a řízení působí jen nominálně (role jsou pojmenované, ale bez kontrolního modelu)

Co se děje: regulátor se ptá „kdo reálně řídí riziko, compliance, outsourcing a incidenty“ a nevidí funkční systém.

Jak se vyhnout reworku:

• Doručte správa a řízení jako mechaniku rozhodování, ne jako seznam pozic:
  
  • reporting cadence (měsíční risk pack, KRI, incidenty)
  • schvalovací workflow (nové produkty, onboarding dodavatelů, změny limitů)
  • plán interních kontrol (testování + ownership nápravných opatření)
• EBA tlačí na posouditelné řízení a management information, ne na vágní popisy.

Fit-and-proper podklady přichází pozdě (nebo nesedí na odpovědnosti)

Co se děje: spis „čeká“ na jmenování, alokaci času, background dokumenty nebo vyjasnění role.

Jak se vyhnout reworku:

• Uzamkněte držitele klíčových funkcí co nejdřív.
• Dodejte mapu odpovědnosti (role → posuzované oblasti → důkazy).

AML/CTF je generické, není navázané na produkt a distribuční kanály

Co se děje: AML se tváří jako šablona, ale model je rizikový (cross-border, agenti/distributoři, cash-in rails, karty, crypto exposure apod.).

Jak se vyhnout reworku:

• Předložte reálné business risk assessment (zákazníci/geografie/kanály/produkty).
• Ukažte coverage transakčního monitoringu a eskalaci (alerty → šetření → rozhodnutí o SAR/STR).
• Prokažte, že AML umíte řídit i při outsourcingu částí procesu.

Navazující peer review EBA upozorňuje na přetrvávající mezery v řízení společností  a interních kontrolách (včetně AML/CFT), což je přesně oblast, kde hodnotitelé typicky jdou do hloubky.

Outsourcing a ICT kontroly neodpovídají očekáváním (realita éry DORA)

Co se děje: klíčové funkce jsou outsourcované (KYC, monitoring, ledger, card processing, cloud), ale neumíte doložit dohled, odolnost ani exit plány.

Proč je to v roce 2026 horší: DORA se aplikuje od 17. ledna 2025, čímž zvýšila baseline očekávání pro ICT risk, incident handling a dohled nad třetími stranami.

Jak se vyhnout reworku:

• Vést register kritického outsourcingu (služby, kritičnost, auditní práva, subdodavatelé, exit plan).
• Přiložit incident playbooky a důkaz testování (tabletop exercises výrazně pomáhají).

Finanční model nesedí na provozní realitu

Co se děje: hodnotitel vidí agresivní růst objemů, ale žádné posílení týmu, žádné compliance náklady, žádné rezervy na chargeback/fraud, žádné škálování vendor nákladů.

Jak se vyhnout reworku:

• Přidejte „assumptions book“ a ukažte citlivost (base/downside).
• Propojte headcount, kontrolní funkce a vendor náklady s růstem.

Pomalé a chaotické odpovědi na Q&A od regulátora (tichý zabiják času)

Peer review EBA zdůrazňuje, že responsiveness žadatele je zásadní faktor zpoždění.

Jak se vyhnout reworku:

• Řiďte Q&A jako workstream:
  
  • jeden Q&A tracker (otázka → vlastník → termín → evidence soubory → verze)
  • krátké odpovědi + důkazní přílohy (nepřepisujte pokaždé celý spis)
  • striktní version control (co se změnilo a kde)

Formální/technické chyby podání (datová schránka, formát balíčku, „originály“)

Pro Česko (ČNB): v licenčních řízeních se podání i následná formální komunikace vedou přes datovou schránku. Chyby na úrovni kanálu/formátu/balení často vedou k vrácení, žádostem o upřesnění a dalším iteracím, které „neviditelně“ ukusují timeline.

Jak se vyhnout reworku:

• Ověřte workflow datové schránky ještě před „Day 0“: přístupy, oprávnění odesílatele, kdo je řádně oprávněný podepisující/zástupce, a jak budete ukládat potvrzení o doručení/přijetí.
  
• Zabalte podání tak, aby bylo posouditelné bez domýšlení:
  • jasný seznam příloh + konzistentní naming convention + fixní verze (např. „Submission v1.0“).
• Usnadněte navigaci v důkazech:
  • jeden index (spreadsheet) mapující „požadavek → soubor → sekce/strana → vlastník“, aby hodnotitel rychle našel evidence.
• Předcházejte problémům s „originály“:
  • pokud některé materiály existují jen v papírové podobě (originály / ověřené kopie), připravte jejich právně validní elektronickou formu (autorizovaná konverze/ověření), aby to nespadlo na formalitách.
• Respektujte technická omezení:
  • limity velikosti zpráv/příloh, čitelné formáty (PDF), vyhnout se chaotickým skenům, používat jasné číslování a cross-reference napříč balíčkem.

Jednoduchý „no-rework“ toolkit (co implementujeme pro rychlé a posouditelné spisy)

• Document Index + Evidence Map (single source of truth)
• Scope Matrix + Money-Flow Diagramy
• Safeguarding Operating Pack (denní kontroly + evidence výstupy)
• Outsourcing & ICT Pack sladěný s očekáváními DORA
• Q&A Tracker s vlastníky + odkazy na důkazy (rychlý turnaround, čistá auditní stopa)

Jak vám AMS pomáhá vyhnout se přepracování u EMI

Většina zpoždění nevzniká kvůli „pomalému regulátorovi“, ale protože podání není posouditelné už při odeslání.
Připravíme balíček žádosti připravený pro ČNB: kompletní, konzistentní a snadno přezkoumatelný — abyste neztráceli měsíce v režimu „doplnění“.

• Gap check: soulad s rozsahem EMI a očekáváními PSD2

• Index dokumentů, struktura složek a křížové odkazy

• Evidence pack pro governance, AML, safeguarding a outsourcing

• QA před podáním + „nanečisto“ regulatorní Q&A

• Podpora při doplňování (jasné odpovědi bez rozporů)

Co získáte

ZAČÍT EMI PŘEDKONTROLU

FAQ

Proč často trvá EMI licence v EU 6–12+ měsíců, i když „právní“ lhůta je kratší?

V praxi je celková doba tažena méně zákonnou posuzovací lhůtou a více tím, jak rychle žadatel dostane spis do stavu „posouditelné žádosti“. Jakmile jsou v podání mezery, nekonzistence nebo dokumentace nejde složit do uceleného obrazu byznysu, dohled spustí cyklus doplňujících otázek, vyjasnění a nových verzí. Právě tato iterace přidává měsíce. Klíč ke zkrácení času je připravit posouditelný balík dopředu: jeden dokumentový index, evidence mapu, jasné money-flow diagramy a ověřitelné kontrolní postupy. Tím snížíte počet Q&A kol a vyhnete se opakovanému přestavování spisu.

Jak popsat EMI business model tak, aby regulátor jasně pochopil, co děláte a do jaké licence to spadá?

Nejčastější chyba je popisovat produkt marketingově („wallet“, „platforma“, „payments“) bez vysvětlení právní podstaty každé činnosti. Regulátor nepotřebuje slogany; potřebuje provozní jasnost: jaké služby poskytujete, kdy a jak se vydává e-money, kdo drží prostředky zákazníků, kdo provádí platbu a kdy nastává redeemace. Silný přístup je vytvořit „product map“: pro každou customer journey (onboarding → funding → držení → spend → refund/redeemace) ukažte zapojené strany, jejich role, smluvní vztahy a pohyb peněz. Tím odstraníte zásadní red flag — že různé části žádosti působí, jako by si firma sama nebyla jistá, zda je EMI, platební instituce, nebo jen technický poskytovatel.

Které AML/CTF slabiny nejčastěji derailují EMI žádosti a jak prokázat, že compliance není generická?

Typické selhání je dodat politiky, které vypadají formálně správně, ale nejsou navázané na to, jak firma reálně získává klienty a zpracovává transakce. Pokud je model cross-border, používá agenty/distributory, zahrnuje cash-in rails, karty nebo má crypto exposure, AML/CTF framework musí být ušitý na tato konkrétní rizika — ne generická šablona. Pro prokázání vyspělosti ukažte: business risk assessment podle zákazníků/geografií/kanálů/produktů, logiku transakčního monitoringu (jaké scénáře detekujete a proč), jasnou eskalaci (alert → šetření → rozhodnutí → SAR/STR) a jak řídíte AML i při outsourcingu klíčových částí (např. KYC provider). Tím je spis posouditelný a klesne objem dotazů.

Co regulátor typicky očekává v safeguarding části, aby uzavřel, že jsou prostředky chráněné v praxi (ne jen na papíře)?

Safeguarding neprokážete větou „prostředky držíme na segregovaném účtu“. Regulátor chce operativní, evidence-based ochranu: kdo provádí denní reconciliaci, jaké reporty vznikají, co je „výjimka“, kdo schvaluje opravy a jak firma reaguje při selhání partnera, rozbití settlementu nebo zpoždění banky. Silný safeguarding balíček obvykle zahrnuje: krokové denní postupy, šablony reportů a evidence výstupy, důkazy o access control k safeguarding účtům a realistické „what-if“ scénáře (settlement delay, spory, refundy, chybné zaúčtování). Safeguarding je oblast s nejvyšší mírou scrutiny a častý důvod deep-dive — takže kvalita zde často přímo ovlivňuje timeline.

Jak se připravit na outsourcing a ICT očekávání v éře DORA, aby se tech/outsourcing část nestala licensing bottleneckem?

Od roku 2025 se baseline očekávání pro ICT risk management a dohled nad třetími stranami výrazně zvýšila a v roce 2026 je to v hodnoceních jasně vidět. Většina fintech core funkcí závisí na vendorech — cloud, card processing, KYC, monitoring i ledger. Regulátor nechce jen vědět, že „používáte providery“; chce důkazy, že je řídíte: kritický outsourcing register, auditní práva, kontrolu subdodavatelů, jasná SLA/metryky a realistický exit plan. Silný ICT/DORA-aligned balíček také obsahuje incident playbooky, notifikační postupy a důkaz testování (včetně tabletop exercise) spolu s jasnou interní odpovědností. Tím snížíte riziko, že dohled pozastaví věcné posouzení, dokud nebude prokázaná odolnost a oversight.