Что EMI компания должна выстроить до масштабирования
EMI-компания — это никогда не просто юридическое лицо с лицензией и идеей в сфере платежей. На практике учреждение электронных денег — это регулируемая операционная модель, которая должна одновременно продемонстрировать регулятору две вещи: во-первых, что ее ИТ-среда безопасна, устойчива и поддается управлению; во-вторых, что люди, управляющие бизнесом, компетентны, организованы и способны постоянно контролировать деятельность компании. В рамках законодательства ЕС авторизация EMI строится по логике авторизации PSD2, применяемой к учреждениям электронных денег, а с 17 января 2025 года DORA ввела гармонизированные требования к управлению ИКТ-рисками по всему финансовому сектору, включая учреждения электронных денег.
Именно поэтому тема «ИТ и персонал для EMI-компаний» не является второстепенной. Это часть самой сути лицензирования. Регуляторы не ограничиваются вопросом, работает ли продукт. Они спрашивают, можно ли управлять учреждением надежно и осмотрительно, можно ли локализовать инциденты, задокументированы ли критически важные системы, находится ли аутсорсинг под контролем и действительно ли у руководящей команды есть время, компетенция и структура для надлежащего надзора за учреждением. Авторизационная рамка EBA для платежных учреждений и EMI требует от заявителей предоставлять информацию о корпоративном управлении и системе контроля, механизмах внутреннего контроля, организационной структуре, непрерывности бизнеса, аутсорсинге, а также о личности и пригодности лиц, отвечающих за управление.
Почему ИТ так важно для EMI
Для EMI ИТ — это не просто вспомогательная инфраструктура. Это операционный фундамент онбординга, обработки транзакций, учета кошельков, логики safeguarding, сверок, аутентификации, отчетности, коммуникации с клиентами и реагирования на инциденты. Если ИТ-архитектура слаба, EMI не просто становится менее эффективной. Ею становится сложнее управлять в надзорном смысле, сложнее проводить аудит и опаснее вести бизнес.
Поскольку DORA применяется с 17 января 2025 года, от EMI-компаний ожидается наличие надлежащей системы управления ИКТ-рисками, управление ИКТ-инцидентами, контроль рисков, связанных со сторонними технологическими провайдерами, и структурированное тестирование цифровой операционной устойчивости. EBA также разъяснила в феврале 2025 года, что теперь именно DORA формирует гармонизированную рамку ИКТ-рисков для таких организаций, как платежные учреждения и учреждения электронных денег, в связи с чем прежние ИКТ-рекомендации EBA были соответственно сужены.
На практике это означает, что EMI не должна опираться на расплывчатые формулировки вроде «наш вендор отвечает за безопасность». Само учреждение по-прежнему несет ответственность за понимание своих систем, рисков, зависимостей и контролей. Это включает управление пользовательскими доступами, разделение обязанностей, логирование, резервное копирование, процедуры восстановления, change management, обработку уязвимостей и прозрачность по аутсорсинговым или облачным компонентам. Модель DORA построена не на слепом делегировании. Она построена на подотчетном надзоре.
Какой ИТ-стек ожидает увидеть регулятор
Обычно регулятор не требует использования какого-то одного конкретного программного бренда. Важно, может ли EMI ясно объяснить свою операционную архитектуру и показать, что выбранная конфигурация соответствует лицензируемой деятельности.
В большинстве случаев минимально убедительная технологическая среда EMI включает:
Логику основных транзакций и реестра
EMI должна уметь объяснить, как создаются, обновляются, ограничиваются и сверяются балансы. Если учреждение выпускает электронные деньги, логика реестра не может рассматриваться как черный ящик. Регулятору нужна уверенность в том, что записи полны, прослеживаемые и контролируемы.
Контроли безопасности и управления доступом
Доступ к продуктивным системам, данным клиентов, платежному функционалу и административным правам должен быть ограничен и задокументирован. Общие admin-аккаунты, неформальная работа с учетными данными или неуправляемый привилегированный доступ — это как раз те слабые места, которые быстро подрывают доверие к контрольной среде.
Аудиторские следы и логирование
EMI должна быть способна восстановить, кто, что, когда и в какой системе сделал. Это важно для расследования мошенничества, операционных инцидентов, обработки споров, внутренних расследований и надзорных проверок.
Управление инцидентами и непрерывность бизнеса
Серьезной EMI необходимы маршруты эскалации инцидентов, резервная логика, бэкапы, планы восстановления и четкое внутреннее распределение ответственности. В рамках DORA управление ИКТ-инцидентами и операционная устойчивость — это уже не факультативные улучшения, а часть самой регуляторной конструкции.
Аутсорсинг и контроль третьих сторон
Многие EMI-компании используют внешних провайдеров для core banking technology, облачного хостинга, KYC-инструментов, antifraud-систем, процессинга карт или систем клиентской поддержки. Это не уменьшает ответственность EMI. Напротив, это усиливает необходимость в due diligence поставщиков, договорной определенности, мониторинге, exit planning и понимании риска концентрации. DORA прямо регулирует управление ИКТ-рисками, связанными с третьими сторонами, для финансовых организаций.
Персонал для EMI-компаний: кто действительно должен быть в структуре
Типичная ошибка фаундеров состоит в том, чтобы считать, будто staffing можно наладить уже после получения авторизации. На практике регуляторы оценивают, достаточно ли у EMI людей, компетенций и управленческой емкости еще до того, как учреждению позволят масштабироваться.
Авторизационная рамка EBA требует информацию о лицах, отвечающих за управление учреждением, об их пригодности, а также об организационных механизмах, поддерживающих бизнес. Компетентные органы могут отказать в авторизации, если governance-модель или управленческая структура не обеспечивают надежное и осмотрительное управление.
Рабочая кадровая модель EMI обычно включает следующие роли — полностью внутри компании или частично на аутсорсе при условии надлежащего контроля:
Руководящий орган / исполнительное руководство
Кто-то должен нести ответственность за бизнес-модель, регуляторную стратегию и повседневное управление учреждением. Это не номинальная функция фаундера. Регуляторы оценивают компетенцию, доступность и реальную способность принимать решения.
Комплаенс-функция
EMI необходима комплаенс-функция, способная отслеживать обязательства, поддерживать политики в актуальном состоянии, мониторить регуляторные изменения и поддерживать внутренние контроли. В небольших учреждениях она может быть компактной, но ей все равно необходимы полномочия, доступ и устойчивость.
AML / функция по финансовым преступлениям
С учетом ML/TF-рисков в платежах и электронных деньгах EMI должна быть способна управлять контролями онбординга, мониторингом транзакций, санкционным скринингом, эскалацией и подачей сообщений о подозрительной активности в соответствии с применимым локальным законодательством.
Управление рисками
Даже если учреждение невелико, кто-то должен выявлять и контролировать операционные, комплаенс-, аутсорсинговые, мошеннические, ИКТ- и ликвидностные риски. Лицензия не устраняет необходимость владения рисками. Она только усиливает ее.
Владение ИТ / безопасностью
Не каждой EMI нужна большая внутренняя инженерная команда уже на старте. Но каждой EMI нужен ответственный владелец ИКТ. Если технология передана на аутсорсинг, внутренняя функция надзора становится еще важнее, а не менее важной.
Операции и клиентская поддержка
Платежный бизнес неизбежно порождает исключения: неуспешные транзакции, жалобы клиентов, ограничения по счетам, расхождения в сверках, споры и нестандартные случаи онбординга. Без операционного слоя EMI очень быстро становится хрупкой.
Настоящий вопрос — не численность персонала, а управляемость
Регуляторы не ограничиваются вопросом: «Сколько у вас сотрудников?» Они спрашивают, управляемо ли учреждение. Небольшая EMI с четко определенной governance-моделью, ясными границами аутсорсинга, сильной документацией и компетентными владельцами функций может выглядеть более убедительно, чем более крупная компания с размытым распределением ответственности и фрагментированными системами.
Поэтому хороший staffing для EMI — это не столько про создание огромной команды, сколько про создание защищаемой структуры:
- четкие линии подчиненности;
- определенные контрольные функции;
- задокументированные пути эскалации;
- распределение прав на принятие решений по ключевым вопросам;
- покрытие на случай отсутствия сотрудников и инцидентов;
- отсутствие опасной концентрации знаний у одного фаундера или одного вендора.
Это особенно важно для EMI-бизнесов, где рост может опережать governance. Компания может быстро набирать пользователей, добавлять страны, платежные потоки, карты, партнеров — и внезапно обнаружить, что внутренняя команда уже не может объяснить, как именно учреждение контролируется.
Аутсорсинг не решает проблему слабого кадрового планирования
Многие фаундеры EMI полагают, что аутсорсинг комплаенса, AML, ИТ и поддержки вместе создают compliant-институт. Это не так. Аутсорсинг может быть допустимой операционной моделью, но только если сама EMI сохраняет способность управлять этой аутсорсинговой конструкцией.
Авторизационная рамка и более широкая prudential-логика для EMI не допускают исчезновения ответственности внутри договоров с вендорами. Учреждение все равно должно понимать услуги, контролировать поставщика, управлять риском и предпринимать действия, когда что-то ломается. Аутсорсинговая модель без внутреннего ownership обычно выглядит эффективно в pitch deck, но слабо перед регулятором.
Типичные слабости в ИТ- и кадровых моделях EMI
Одни и те же проблемы повторяются снова и снова:
- Governance, завязанное на одном фаундере. Один человек все утверждает, все понимает и все контролирует. Для стартап-рывка это может работать, но устойчивым governance это не выглядит.
- Неясное владение ИКТ. Компания использует несколько вендоров, но никто внутри не может описать полную архитектуру, права доступа, интеграции и точки отказа.
- Слабый слой комплаенса. Политики существуют, но никто их не обновляет, не мониторит и не проверяет, соответствует ли операционная деятельность тому, что было описано в авторизационном файле.
- Отсутствие реальной готовности к инцидентам. Политика безопасности есть, но нет протестированного процесса эскалации, дерева решений и практической схемы восстановления.
- Аутсорсинг без контроля. Критические сервисы делегированы, но надзор ограничивается утверждением счетов и редкими звонками с вендором.
Как выглядит конфигурация EMI, дружественная к регулятору
Убедительная EMI не обязана быть огромной, но она должна быть целостной. ИТ-часть должна быть задокументирована, контролироваться по доступам, быть устойчивой и находиться под надзором. Кадровая часть должна показывать реальную компетентность, реальную подотчетность и достаточную емкость для текущего и планируемого масштаба учреждения.
Обычно это означает:
- понятную системную архитектуру;
- назначенного ответственного за ИКТ;
- процедуры управления инцидентами и непрерывности;
- надлежащие реестры аутсорсинга и governance по нему;
- руководство, у которого есть время и компетенция для надзора;
- работающий охват функций compliance / AML / risk;
- staffing, соразмерный бизнес-модели, профилю транзакций и плану роста.
Заключение
ИТ и персонал для EMI-компаний — это не «детали после лицензии». Это часть того, что вообще делает EMI лицензируемой и устойчивой. В 2026 году наиболее сильными обычно выглядят не те учреждения, у которых самая громкая продуктовая история. Наиболее сильными выглядят те, кто может показать регулятору контролируемую операционную модель: безопасные системы, устойчивую архитектуру, ответственных людей и governance, которое продолжает работать по мере роста бизнеса.
EMI может передать на аутсорсинг многие задачи. Но она не может передать на аутсорсинг ответственность. И именно в этом состоит главный принцип, лежащий в основе как ИТ-, так и кадровых ожиданий в регуляторной рамке ЕС.
EMI компания в Европе
Мы поможем вам правильно получить, оформить EMI лицензию, чтобы он соответствовал требованиям Чешского национального банка (ČNB), а не просто юридическому минимуму.
Заказать консультациюFAQ: ИТ и персонал для EMI-компаний
Нужен ли EMI полный внутренний ИТ-отдел?
Не обязательно. EMI может передавать часть технологического стека на аутсорсинг, но ей все равно нужны внутреннее владение ИКТ и надзор. В рамках DORA финансовые организации сохраняют ответственность за управление ИКТ-рисками, инцидентами, тестированием и технологическими рисками третьих сторон.
Применяется ли DORA к EMI-компаниям?
Да. DORA применяется с 17 января 2025 года и распространяется на финансовые организации, включая учреждения электронных денег. EBA подтвердила в 2025 году, что именно DORA теперь формирует гармонизированную рамку управления ИКТ-рисками для таких организаций.
Какой персонал регуляторы обычно ожидают увидеть у EMI?
Как минимум, регуляторы ожидают убедительный руководящий орган и надлежащую систему корпоративного управления и контроля, а также достаточную емкость для compliance, risk, AML/financial crime, operations и ICT oversight — пропорционально бизнес-модели.
Можно ли отдать compliance и AML на аутсорсинг в EMI?
Некоторые функции в зависимости от юрисдикции и модели могут передаваться на аутсорсинг, но сама EMI по-прежнему остается ответственной за контроль, надзор и регуляторное соответствие. Аутсорсинг снижает внутреннюю операционную нагрузку, но не снимает ответственности.
Какая самая большая ошибка в staffing-модели EMI?
Очень распространенная ошибка — рассматривать ключевые функции как формальные титулы без реальной емкости, полномочий и линий подчиненности. Регуляторы оценивают не то, насколько впечатляюще выглядит оргструктура, а то, можно ли управлять учреждением надежно и осмотрительно.
