Co od vás regulátor skutečně očekává
Zakladatelé se často ptají, jak získat licenci platební instituce, jako by odpovědí byl jen seznam formulářů, podpisů a zakladatelských dokumentů. Ve skutečnosti se licence platební instituce neuděluje proto, že společnost pouze předložila balík podkladů. Uděluje se tehdy, když je regulátor přesvědčen, že žadatel dokáže provozovat platební byznys řízeným, zákonným a dlouhodobě udržitelným způsobem. V celé EU licenční rámec stále vychází ze směrnice PSD2, zatímco samotné povolení uděluje příslušný vnitrostátní orgán. V České republice tuto roli plní Česká národní banka a celý proces se opírá o zákon o platebním styku a prováděcí vyhlášky.
Právě v tom je podstatný rozdíl. Regulátor neposuzuje žádost o licenci platební instituce jako příběh začínající firmy. Posuzuje ji jako projekt finanční infrastruktury pod dohledem. Základní otázka proto nezní „jak rychle lze licenci získat?“, ale spíše „dokážeme prokázat, že náš obchodní model, kontrolní mechanismy, financování a systém řízení jsou dostatečně silné pro provoz pod dohledem?“ Pokyny EBA k povolování podle PSD2 to jasně potvrzují: žadatel musí předložit program činnosti, podnikatelský plán, rámec řízení společnosti, bezpečnostní opatření, informace o outsourcingu a důkazy k celému provoznímu modelu.
Nejprve si ujasněte, jakou licenci vlastně potřebujete
Překvapivě mnoho platebních projektů začíná chybným regulatorním předpokladem. Označují se jako peněženka, platforma, finanční aplikace nebo platební řešení, ale tato označení sama o sobě neurčují, jaké povolení je potřeba. Rozhodující je skutečná činnost: kdo přijímá prostředky, kdo řídí tok plateb, zda jsou zapojeny platební účty, zda jsou vydávány platební prostředky, zda jsou prostředky drženy byť jen dočasně a která část řetězce je outsourcována.
Tento bod je zásadní, protože kategorie licence ovlivňuje téměř vše, co následuje: minimální kapitál, způsob ochrany klientských prostředků, nastavení AML, smluvní strukturu, posouzení outsourcingu i přeshraniční strategii. Podle PSD2 závisí požadavek na počáteční kapitál platební instituce na rozsahu poskytovaných služeb a obvykle činí 20 000 EUR, 50 000 EUR nebo 125 000 EUR. Chyba v určení rozsahu činností na začátku proto často vede později k chybám v kapitálu i v souladu s předpisy.
Licence platební instituce není jen o vstupním kapitálu
Mnoho žadatelů se soustředí na jedno číslo a předpokládá, že jakmile složí počáteční kapitál, nejtěžší část je za nimi. Takto se na věc dohledové orgány nedívají. Počáteční kapitál je pouze vstupní práh. Úřad chce zároveň porozumět tomu, zda instituce zůstane finančně zdravá po spuštění provozu, po náboru klientů, po vybudování compliance funkcí, po úhradě dodavatelů i po zvládnutí běžného provozního zatížení.
V české praxi se licenční řízení pro platební instituce opírá o zákon č. 370/2017 Sb. a související vyhlášky o žádostech a podmínkách podnikání. Materiály ČNB pro žadatele navíc přímo odkazují na pokyny EBA k povolování, což znamená, že posouzení se neomezuje jen na formální korporátní dokumenty. Jde o širší obezřetnostní a provozní hodnocení.
Seriózní projekt platební instituce proto potřebuje víc než jen částku minimálního kapitálu uvedenou na papíře. Potřebuje věrohodný příběh financování, realistické finanční projekce, transparentní vlastnickou strukturu a vedení, které dokáže vysvětlit, jak bude instituce po zahájení platebních služeb dostatečně organizovaná a kapitálově vybavená.
Ochrana klientských prostředků je místo, kde se slabé žádosti rychle odhalí
Pokud bude podnik přijímat nebo držet klientské prostředky, ochranu těchto prostředků nelze brát jako právní přílohu doplněnou na konci projektu. Jde o jednu ze základních konstrukčních otázek celé licence.
Regulátoři chtějí přesně vidět, jak budou peníze klientů chráněny, kde budou uloženy, jak rychle budou odděleny, jak budou fungovat rekonciliace, co se stane při provozním nesouladu a které osoby nebo systémy budou řídit přístup. Pokyny EBA k povolování výslovně vyžadují, aby žadatel popsal způsob ochrany klientských prostředků a doložil dokumentaci odpovídající zvolenému modelu.
Právě proto je potřeba budovat bankovní přístup a model ochrany klientských prostředků souběžně. Platební instituce nemůže bezpečně považovat zvláštní účet pro ochranu klientských prostředků za detail, který se vyřeší až po získání povolení. Pokud budoucí provozní model závisí na vztahu s bankou, postupu rekonciliace nebo externím poskytovateli, regulátor bude očekávat, že tato logika bude popsána už v samotné žádosti.
AML musí vycházet z platebního toku, ne z univerzálních šablon
Dalším častým důvodem, proč žádosti o licenci působí slabě, je to, že část věnovaná AML bývá odtržená od samotného produktu. Obsahuje sice správné nadpisy, ale neodráží skutečná rizika vyplývající z poskytované služby.
V České republice platební instituce spadají do rámce AML/CFT vycházejícího ze zákona č. 253/2008 Sb., navazujících pravidel a dohledových očekávání zveřejněných ČNB. To znamená, že AML nastavení musí dělat víc než jen opakovat obecné povinnosti. Musí ukázat, jak se identifikace a kontrola klienta, prověřování sankcí, monitoring transakcí, eskalace, vnitřní oznamování, vedení záznamů a postup při podezřelých obchodech propojují s reálným modelem onboardingu a transakčním modelem žadatele.
Model převodů peněz, model acquiringu pro obchodníky a model plateb založených na účtech nenesou stejný rizikový profil. Totéž platí pro B2B, B2C, rizikové obchodníky, přeshraniční platební koridory i outsourcovaný onboarding. Kvalitní žádosti tyto rozdíly rozpoznávají včas. Slabé žádosti předstírají, že všechno vysvětlí jediná AML směrnice.
Řízení společnosti není formalita, ale test důvěryhodnosti
Regulátoři očekávají, že platební instituce budou řídit lidé, kteří jsou skutečně schopni provozovat podnik pod dohledem. Zní to samozřejmě, ale mnoho spisů stále nepůsobí přesvědčivě, protože struktura řízení je příliš tenká, příliš symbolická nebo příliš závislá na externích dodavatelích.
Pokyny EBA vyžadují podrobné informace o systému řízení, vnitřních kontrolních mechanismech, organizační struktuře a řízení bezpečnostních rizik. V praxi to znamená, že úřad chce vědět, kdo odpovídá za compliance, kdo za rizika, kdo schvaluje outsourcing, jak se eskalují incidenty, jak se řeší střety zájmů a zda má statutární orgán dostatečné znalosti a časové kapacity vzhledem k obchodnímu modelu instituce.
To je jedna z hlavních hranic mezi žádostí, která působí profesionálně, a žádostí, která působí improvizovaně. Dobře zpracovaná prezentační prezentace může zaujmout investory. Nenahradí však soudržnou mapu řízení společnosti.
Technologie a provozní odolnost jsou dnes mnohem blíže středu pozornosti
Jakákoli moderní debata o tom, jak získat licenci platební instituce, musí počítat s tím, že regulátoři už nevnímají technologie jako okrajové téma. U platebních institucí jsou součástí samotné licenční podstaty.
Na úrovni EU se od 17. ledna 2025 použije nařízení DORA a ČNB jej rovněž uvádí mezi předpisy relevantními pro platební sektor. To posouvá řízení ICT, řešení incidentů, kontrolu outsourcingu, správu přístupových práv, kontinuitu podnikání a odolnost mnohem blíže jádru regulatorního posouzení.
Ještě před DORA přitom pokyny EBA k povolování vyžadovaly bezpečnostní politiku a hodnocení rizik pro navrhované platební služby. Jinými slovy, žadatelé už dlouho musí vysvětlovat, jak jsou systémy zabezpečeny, jak se odhalují incidenty, jak se vedou záznamy a jak jsou řízeny závislosti na třetích stranách. DORA pouze ještě více zvýrazňuje to, co už nebylo možné přehlížet.
Pokud tedy instituce spoléhá na externí poskytovatele KYC, zpracovatele plateb, cloudová řešení, dodavatele hlavní účetní knihy nebo compliance platformy, žádost by neměla obsahovat jen jejich názvy. Měla by ukazovat i to, jak instituce tyto závislosti řídí a kontroluje.
V České republice je samotné podání žádosti strukturované a formální
Zvolit Českou republiku jako domovskou jurisdikci znamená jednat s regulátorem, který očekává, že spis bude úplný, soudržný a správně podaný. ČNB uvádí, že žádosti podle zákona o platebním styku se řídí vyhláškou č. 1/2022 Sb. spolu s vyhláškou č. 7/2018 Sb. a podávají se elektronicky. Licenční stránka ČNB zároveň žadatele přímo odkazuje na příslušný právní rámec a na pokyny EBA k povolování.
To činí českou cestu nevhodnou pro strategii „nejdřív podat, později doplnit“. Pokud je balík podkladů rozporný, pokud program činnosti neodpovídá smlouvám, pokud je outsourcing popsán neurčitě nebo pokud AML a ochrana klientských prostředků neodpovídají transakčnímu modelu, je slabé místo snazší odhalit.
Silná žádost o českou licenci platební instituce obvykle funguje proto, že každá její část vypráví stejný příběh. Korporátní struktura, kapitálový plán, model ochrany klientských prostředků, compliance rámec, nastavení řízení i logika IT směřují jedním směrem.
Licence není cílová páska
Jednou z největších chyb při plánování projektu platební instituce je považovat povolení za poslední těžký krok. Ve skutečnosti je licence okamžikem, kdy dohled teprve začíná.
ČNB jasně uvádí, že platební instituce podléhají průběžnému dohledu a oznamovacím povinnostem i po získání licence. To znamená, že provozní model popsaný v žádosti musí fungovat i po udělení povolení, nejen během schvalovací fáze. Kontrolní mechanismy musí být udržovány, incidenty musí být řešeny správně, ochrana klientských prostředků musí skutečně fungovat a vnitřní řízení musí zůstávat účinné v každodenním provozu.
I proto je strategie po získání licence důležitá už ve fázi přípravy žádosti. Pokud podnik plánuje expanzi do dalších států EU, stává se relevantním passporting. Pokud chce přijímat rizikovější segmenty klientů, roste význam AML a provozní kapacity. Pokud chce rychle škálovat, finanční model a kontrolní rámec musí mít prostor pro růst už od samého začátku.
Na co by se zakladatelé měli opravdu ptát před zahájením projektu
Lepší otázka než „jak získáme licenci platební instituce?“ zní takto:
Dokážeme vysvětlit, zdokumentovat a obhájit celou provozní logiku našeho platebního podnikání pod regulatorním dohledem?
Pokud odpověď ještě není jasná, projekt obvykle potřebuje více práce na struktuře než více práce na formulářích.
Životaschopná strategie pro získání licence platební instituce obvykle začíná analýzou rozsahu činností, pokračuje plánováním kapitálu, architekturou ochrany klientských prostředků, návrhem AML, nastavením řízení společnosti, kontrolou IT a outsourcingu a teprve poté vede k finálnímu sestavení balíku podkladů k žádosti. Když se toto pořadí obrátí, týmy často utratí peníze za dokumenty, které je pak nutné přepisovat.
Závěr
Licence platební instituce se neuděluje proto, že firma chce působit v platebních službách. Uděluje se proto, že žadatel prokáže, že se od okamžiku účinnosti povolení umí chovat jako regulovaná platební instituce.
Tento důkaz stojí na skutečné podstatě projektu: jasně vymezeném rozsahu činností, odpovídajícím kapitálu, věrohodné ochraně klientských prostředků, AML kontrolách vycházejících z produktu, skutečném systému řízení, obhajitelném outsourcingu a odolných systémech. V České republice je proces dost formální na to, aby odhalil slabou přípravu, a zároveň dost strukturovaný na to, aby odměnil kvalitně připravený spis.
Pokud tedy řešíte, jak získat licenci platební instituce, praktická odpověď je jednoduchá: nepřistupujte k žádosti jako k administrativě. Berte ji jako právní a provozní plán instituce, které má regulátor důvěřovat.
Spusťte svůj PI projekt
Pomáháme připravit kapitál, dokumentaci a regulatorní logiku PI žádosti v souladu s očekáváními ČNB.
Konzultovat PI projektFAQ
Co je licence platební instituce a co umožňuje?
Licence platební instituce umožňuje společnosti poskytovat regulované platební služby podle PSD2. V závislosti na rozsahu může jít o převody peněz, zpracování plateb, vydávání platebních prostředků nebo iniciaci plateb. Licence se uděluje v jedné zemi EU, ale lze ji passportovat do dalších států Unie.
Jaký kapitál je potřeba pro licenci platební instituce?
Minimální počáteční kapitál obvykle činí 20 000 EUR, 50 000 EUR nebo 125 000 EUR podle druhu služeb. Jde však jen o regulatorní minimum. V praxi závisí potřebný kapitál na obchodním modelu, nákladech a provozních rizicích.
Stačí složit minimální kapitál, aby byla licence udělena?
Ne. Regulátoři posuzují celý projekt, včetně podnikatelského plánu, řízení společnosti, AML, ochrany klientských prostředků a provozního nastavení. Kapitál musí být odůvodněný a odpovídat skutečnému obchodnímu modelu.
Co znamená ochrana klientských prostředků a proč je důležitá?
Ochrana klientských prostředků znamená zajištění bezpečí peněz klientů. Regulátor očekává jasné řešení, kde budou prostředky vedeny, jak budou odděleny a jak budou řešeny nesrovnalosti. Jde o klíčovou část licence, nikoli o formalitu.
Jaké jsou požadavky na AML?
AML musí odrážet skutečná rizika daného podnikání. To zahrnuje identifikaci a kontrolu klienta, monitoring transakcí a rizikové kontroly nastavené podle konkrétního produktu a toku transakcí, nikoli obecné šablony.
Lze outsourcovat klíčové funkce?
Ano, ale odpovědnost zůstává vždy na licencované osobě. Outsourcing musí být správně nastavený, zdokumentovaný a kontrolovaný, s jasnými mechanismy dohledu.
Co se děje po udělení licence?
Udělením licence dohled nekončí, ale začíná. Společnost musí udržovat kapitál, plnit oznamovací povinnosti a zajistit, aby všechny kontrolní mechanismy v praxi skutečně fungovaly.
Jak dlouho trvá získat licenci platební instituce?
Doba se liší případ od případu, ale rozhodující je kvalita přípravy. Dobře strukturované žádosti postupují rychleji, zatímco neúplné nebo rozporné podklady často vedou ke zdržení a k doplňujícím otázkám regulátora.
