Чего регулятор на самом деле ожидает от платёжного учреждения
Основатели часто спрашивают, как получить лицензию PI, как будто ответ — это просто список форм, подписей и учредительных документов. На практике PI лицензия платёжного учреждения выдается не потому, что компания просто собрала пакет бумаг. Она выдается тогда, когда регулятор убеждается, что заявитель способен вести платёжный бизнес управляемым, законным и устойчивым образом. По всему ЕС лицензионная рамка по-прежнему основана на PSD2, а локальную авторизацию осуществляет национальный компетентный орган. В Чехии эту роль выполняет Чешский национальный банк, а сам процесс связан с Законом о платёжной системе и подзаконными актами.
Именно это различие и имеет значение. Регулятор не оценивает заявку на PI-лицензию как историю стартапа. Он рассматривает ее как проект финансовой инфраструктуры, который будет находиться под надзором. Поэтому главный вопрос звучит не так: «как быстро мы можем получить лицензию?», а скорее так: «можем ли мы доказать, что наша бизнес-модель, система контроля, финансирование и корпоративное управление достаточно сильны для работы под надзором?» Руководящие принципы EBA по авторизации в рамках PSD2 прямо об этом говорят, требуя программу деятельности, бизнес-план, систему управления, меры безопасности, сведения об аутсорсинге и подтверждения, охватывающие всю операционную модель.
Сначала нужно четко понять, какая лицензия вам действительно нужна
Удивительно много платёжных проектов стартуют с неправильного регуляторного предположения. Они называют себя кошельком, платформой, финтех-приложением или платёжным решением, но эти ярлыки не определяют лицензионный периметр. Значение имеет реальная деятельность: кто принимает средства, кто контролирует платёжный поток, используются ли платёжные счета, выпускаются ли платёжные инструменты, удерживаются ли средства хотя бы временно и какая часть цепочки передана на аутсорсинг.
Этот момент критически важен, потому что категория лицензии определяет почти всё, что следует дальше: минимальный капитал, способ safeguarding, AML-настройку, договорную структуру, анализ аутсорсинга и стратегию работы в других странах. В соответствии с PSD2 требование к начальному капиталу для платёжного учреждения зависит от оказываемых услуг и обычно составляет 20 000 евро, 50 000 евро или 125 000 евро. Это означает, что ошибка в определении объема деятельности в начале часто позже приводит к ошибкам в капитале и комплаенсе.
PI-лицензия — это не только про стартовый капитал
Многие заявители концентрируются на одной цифре и предполагают, что после внесения начального капитала самое сложное уже позади. Надзорные органы смотрят на это иначе. Начальный капитал — это только стартовый порог. Регулятор также хочет понимать, останется ли учреждение финансово устойчивым после запуска, после подключения клиентов, после выстраивания compliance-функций, после оплаты поставщиков и после прохождения обычной операционной нагрузки.
В чешской практике путь лицензирования платёжных учреждений связан с Законом № 370/2017 Sb. и соответствующими подзаконными актами по заявкам и условиям деятельности. Собственные лицензионные материалы ČNB также отсылают заявителей к руководящим принципам EBA по авторизации, а это значит, что проверка не ограничивается формальными корпоративными документами. Это более широкая пруденциальная и операционная оценка.
Поэтому серьезный PI-проект требует большего, чем просто цифра минимального капитала на бумаге. Нужна убедительная история финансирования, реалистичные финансовые прогнозы, прозрачная структура владения и менеджмент, который способен объяснить, как учреждение будет оставаться должным образом организованным и капитализированным после начала обработки платежей.
Safeguarding — это место, где слабые заявки становятся очевидны
Если бизнес будет получать или удерживать клиентские средства, safeguarding нельзя рассматривать как юридическое приложение, которое добавляют ближе к концу проекта. Это один из ключевых конструктивных вопросов всей лицензии.
Регуляторы хотят видеть в точности, как будут защищены деньги клиентов, где они будут размещаться, как быстро будут отделяться, как будут работать сверки, что произойдет при операционном расхождении и какие люди или системы контролируют доступ. Руководящие принципы EBA по авторизации прямо требуют, чтобы заявители описывали свои механизмы safeguarding и прикладывали документы, относящиеся к выбранной модели.
Именно поэтому банковский доступ и модель safeguarding нужно разрабатывать параллельно. Платёжное учреждение не может безопасно относиться к safeguarding account как к детали, которую можно решить уже после авторизации. Если будущая операционная модель зависит от банковских отношений, процесса сверки или внешнего поставщика, регулятор будет ожидать, что эта логика будет отражена уже в самом пакете документов.
AML должен строиться вокруг платёжного потока, а не копироваться из шаблонов
Еще одна важная причина, по которой заявки на PI-лицензию выглядят слабо, состоит в том, что раздел AML часто оторван от самого продукта. В нем могут быть правильные заголовки, но он не отражает реальные риски, возникающие из фактически предоставляемой услуги.
В Чехии платёжные учреждения входят в AML/CFT-рамку, основанную на Законе № 253/2008 Sb., подзаконных правилах и надзорных ожиданиях, опубликованных ČNB. Это означает, что AML-система должна делать больше, чем просто повторять общие обязанности. Она должна показывать, как customer due diligence, санкционный скрининг, мониторинг транзакций, эскалация, внутренняя отчетность, хранение записей и работа с подозрительными транзакциями связаны с реальной моделью onboarding и транзакционной моделью заявителя.
Модель денежных переводов, merchant acquiring и модель платежей на базе счетов не несут одинаковый риск-профиль. То же самое относится к B2B, B2C, высокорисковым мерчантам, трансграничным коридорам и аутсорсинговому onboarding. Сильные заявки признают эти различия заранее. Слабые делают вид, что один AML-manual может объяснить всё.
Управление — это не формальность, а проверка на доверие
Регуляторы ожидают, что платёжными учреждениями будут руководить люди, которые действительно способны управлять бизнесом под надзором. Это звучит очевидно, но многие досье по-прежнему не убеждают, потому что структура governance слишком тонкая, слишком символическая или слишком зависимая от внешних поставщиков.
Руководящие принципы EBA требуют подробной информации о системе управления, механизмах внутреннего контроля, организационной структуре и управлении рисками безопасности. На практике это означает, что регулятор хочет понимать, кто отвечает за compliance, кто отвечает за риски, кто утверждает аутсорсинг, как эскалируются инциденты, как управляются конфликты интересов и обладает ли руководящий орган достаточными знаниями и временем для бизнес-модели учреждения.
Это одна из главных границ между досье, которое выглядит профессионально, и досье, которое выглядит импровизированным. Хорошо отполированная презентация может впечатлить инвесторов. Но она не заменяет связную карту корпоративного управления.
Технологии и операционная устойчивость теперь находятся гораздо ближе к центру внимания
Любой современный разговор о том, как получить PI-лицензию, должен учитывать, что регуляторы больше не рассматривают технологии как фоновый вопрос. Для платёжных учреждений это часть самой лицензионной сущности.
На уровне ЕС DORA применяется с 17 января 2025 года, и ČNB также относит ее к числу нормативных актов, важных для платёжного сектора. Это делает ICT governance, обработку инцидентов, контроль аутсорсинга, управление доступом, непрерывность бизнеса и устойчивость гораздо более центральными элементами регуляторной оценки.
Еще до DORA руководящие принципы EBA по авторизации уже требовали политику безопасности и оценку рисков для предлагаемых платёжных услуг. Иными словами, заявители давно обязаны объяснять, как защищены системы, как выявляются инциденты, как ведутся журналы и как контролируются зависимости от третьих лиц. DORA лишь делает это ожидание еще более очевидным.
Поэтому если учреждение будет опираться на внешних KYC-поставщиков, процессинговые компании, облачные системы, поставщиков ledger-систем или compliance-платформ, заявка должна содержать не только названия вендоров. Она должна показывать, как эти зависимости управляются.
В Чехии сама подача заявки формализована и структурирована
Выбор Чехии как домашней юрисдикции означает работу с регулятором, который ожидает, что пакет будет полным, последовательным и правильно поданным. ČNB указывает, что заявки по Закону о платёжной системе регулируются Vyhláška No. 1/2022 Sb. вместе с Vyhláška No. 7/2018 Sb., а сами заявления подаются в электронной форме. Лицензионная страница ČNB также напрямую отсылает заявителей к релевантной законодательной базе и руководящим принципам EBA по авторизации.
Это делает чешский маршрут неподходящим для стратегии «сначала подать, потом исправить». Если пакет документов противоречив, если программа деятельности не совпадает с договорами, если аутсорсинг описан размыто или если AML и safeguarding не соответствуют транзакционной модели, слабость выявить гораздо легче.
Сильная заявка на чешскую PI-лицензию обычно работает потому, что каждый раздел рассказывает одну и ту же историю. Корпоративная структура, план капитала, модель safeguarding, система комплаенса, governance и логика IT движутся в одном направлении.
Лицензия — это не финишная черта
Одна из крупнейших ошибок при планировании PI-проекта — считать авторизацию последним сложным этапом. На самом деле лицензия — это точка, в которой надзор только начинается.
ČNB ясно дает понять, что платёжные учреждения остаются под постоянным надзором и подлежат регулярной отчетности. Это означает, что операционная модель, описанная в заявке, должна продолжать работать и после выдачи лицензии, а не только на стадии одобрения. Контрольные механизмы должны поддерживаться, инциденты должны обрабатываться надлежащим образом, safeguarding должен реально функционировать, а внутреннее управление должно оставаться эффективным в ежедневной деятельности.
Именно поэтому стратегия после получения лицензии важна уже на стадии подготовки заявки. Если бизнес планирует выходить на другие рынки ЕС, становится актуальным passporting. Если он собирается обслуживать более рискованные сегменты, возрастает значение AML и операционной мощности. Если он хочет быстро масштабироваться, финансовая модель и система контроля должны быть рассчитаны на рост с самого начала.
Что основателям действительно стоит спросить себя перед стартом
Лучший вопрос, чем «как получить PI-лицензию?», звучит так:
Можем ли мы объяснить, документально подтвердить и защитить всю операционную логику нашего платёжного бизнеса под регуляторной проверкой?
Если ответ пока неясен, проект обычно нуждается не в большем количестве форм, а в большей проработке структуры.
Жизнеспособная стратегия лицензирования PI обычно начинается с анализа объема деятельности, затем переходит к планированию капитала, архитектуре safeguarding, построению AML, настройке governance, контролю IT и аутсорсинга — и только потом к финальной сборке пакета документов. Когда этот порядок переворачивают, команды часто тратят деньги на документы, которые позже приходится переписывать.
Заключение
PI-лицензия выдается не потому, что компания хочет работать в платежах. Она выдается потому, что заявитель доказывает, что способен действовать как регулируемое платёжное учреждение с момента вступления лицензии в силу.
Это доказательство строится на содержательной основе: четком определении объема деятельности, достаточном капитале, убедительном safeguarding, AML-контролях, основанных на продукте, реальном governance, защищаемом аутсорсинге и устойчивых системах. В Чехии процесс достаточно формален, чтобы выявить слабую подготовку, и достаточно структурирован, чтобы вознаградить качественно собранное досье.
Поэтому если вы думаете, как получить лицензию PI, практический ответ прост: не относитесь к заявке как к бумажной формальности. Рассматривайте ее как юридический и операционный чертеж учреждения, которому вы просите регулятора доверять.
Запустите свой PI-проект
Мы помогаем подготовить капитал, документацию и регуляторную логику заявки на PI лицензию в соответствии с ожиданиями ČNB.
Записаться на консультацию по PIFAQ:
Что такое PI-лицензия и что она позволяет делать?
PI-лицензия позволяет компании предоставлять регулируемые платёжные услуги в рамках PSD2. В зависимости от объема она может включать денежные переводы, обработку платежей, выпуск платёжных инструментов или инициирование платежей. Лицензия выдается в одной стране ЕС, но может быть passported в другие страны ЕС.
Какой капитал требуется для PI-лицензии?
Минимальный начальный капитал обычно составляет 20 000 евро, 50 000 евро или 125 000 евро в зависимости от услуг. Однако это только регуляторный порог. На практике необходимый капитал зависит от бизнес-модели, расходов и операционных рисков.
Достаточно ли внести минимальный капитал, чтобы получить лицензию?
Нет. Регуляторы оценивают весь проект — включая бизнес-план, governance, AML, safeguarding и операционную модель. Капитал должен быть обоснован и соответствовать реальной бизнес-модели.
Что такое safeguarding и почему он важен?
Safeguarding означает защиту клиентских средств. Регуляторы ожидают четких механизмов, где хранятся средства, как они отделяются и как устраняются расхождения. Это базовая часть лицензии, а не формальность.
Каковы требования по AML?
AML должен отражать реальные риски бизнеса. Это включает customer due diligence, мониторинг транзакций и риск-контроли, адаптированные под конкретный продукт и потоки операций, а не универсальные шаблоны.
Можно ли отдать ключевые функции на аутсорсинг?
Да, но ответственность всегда остается на лицензированной организации. Аутсорсинг должен быть правильно структурирован, документирован и контролируем, с четкими механизмами надзора.
Что происходит после выдачи лицензии?
Лицензия означает начало постоянного надзора. Компания должна поддерживать капитал, выполнять отчетные обязанности и обеспечивать, чтобы все механизмы контроля — AML, safeguarding и governance — реально работали на практике.
Сколько времени занимает получение PI-лицензии?
Сроки различаются, но ключевой фактор — подготовка. Хорошо структурированные заявки проходят быстрее, а неполные или противоречивые пакеты часто приводят к задержкам и дополнительным вопросам со стороны регулятора.
