Provozovatelé platebních aplikací a jejich právní problémy v Evropě a Asii

Provozujete platební aplikaci a zvažujete expanzi na evropské či asijské trhy? Regulatorní prostředí je složitější než kdy dříve a neznalost může vést k likvidačním pokutám a zákazu činnosti. V tomto článku získáte jasný přehled o klíčových právních nástrahách, od nové evropské směrnice PSD3 až po specifické licenční požadavky v Číně či Japonsku, a zjistíte, jak je efektivně řešit.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Vojtěch Sucharda", expert na dané téma.

Evropská unie: Nová éra sjednocené, ale přísnější regulace

Evropský trh nabízí obrovský potenciál díky možnosti oslovit přes 500 milionů spotřebitelů s jedinou licencí. Tento přístup, známý jako „passporting“, však přichází s cenou v podobě stále přísnějších a komplexnějších regulací. Nadcházející změny, jako je směrnice PSD3 a nařízení DORA, výrazně zvyšují nároky na bezpečnost, odpovědnost a provozní odolnost všech poskytovatelů platebních služeb.

Co přesně znamená přechod z PSD2 na PSD3 a PSR pro vaši aplikaci?

Směrnice PSD2 byla revoluční, ale její implementace trpěla nejednotným přístupem v jednotlivých členských státech. To vytvářelo právní nejistotu a nerovné podmínky na trhu. Evropská komise proto přichází s balíčkem PSD3 a nařízením o platebních službách (PSR), který má tyto nedostatky odstranit. Klíčovou změnou je, že PSR bude přímo použitelný v celé EU, což eliminuje rozdíly v národních legislativách.

Tato harmonizace přináší sice větší právní jistotu, ale zároveň znamená konec flexibilních národních výkladů. Nová pravidla zpřísňují několik klíčových oblastí:

• Silné ověření klienta (SCA): PSD3 vyžaduje sdílení většího množství dat pro posouzení rizika transakce, včetně behaviorálních a environmentálních charakteristik, jako je poloha uživatele, čas transakce, použité zařízení nebo historie nákupů. Odpovědnost za správnou aplikaci SCA nyní explicitně leží na poskytovatelích platebních služeb.
• Rozvoj Open Banking: Nový rámec odstraňuje překážky pro poskytovatele služeb iniciování plateb (PISP) a informování o účtu (AISP). Ti budou moci vytvářet vlastní rozhraní a banky budou muset zveřejňovat statistiky o výkonu svých API a poskytovat uživatelům přehledné panely pro správu souhlasů.
• Rozšíření odpovědnosti za podvody: Toto je jedna z nejvýznamnějších změn. Poskytovatelé budou nově muset ověřovat shodu jména a IBAN příjemce a ponesou širší odpovědnost za podvody typu „spoofing“ (kdy se podvodník vydává za zaměstnance banky) a další formy sociálního inženýrství.

Právníci v ARROWS se specializují na implementaci PSD3 a PSR a mohou pro vaši společnost připravit revizi interních procesů a smluvní dokumentace, aby plně odpovídaly novým požadavkům na SCA a rozšířenou odpovědnost za podvody. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Jak se vyhnout likvidačním pokutám? Klíčové povinnosti pod GDPR, AML a DORA

Kromě PSD3 musí provozovatelé platebních aplikací čelit komplexní síti dalších regulací. Jejich nedodržení může mít fatální následky nejen pro firmu, ale i pro její vedení.

Základním kamenem je Obecné nařízení o ochraně osobních údajů (GDPR), které se vztahuje na jakékoliv zpracování dat evropských občanů. Ukládání údajů z platebních karet pro usnadnění budoucích nákupů například vyžaduje výslovný a kdykoliv odvolatelný souhlas uživatele, protože se nejedná o zpracování nezbytné pro plnění smlouvy.

V oblasti boje proti praní špinavých peněz přináší 6. směrnice proti praní peněz (6AMLD) zásadní zpřísnění. Rozšiřuje seznam trestných činů, jejichž výnosy jsou považovány za nelegální (nově např. kyberkriminalita), a zavádí trestní odpovědnost i pro právnické osoby. Za pochybení tak může být stíhána nejen konkrétní osoba, ale celá společnost, a tresty odnětí svobody se zvyšují na minimálně čtyři roky.

Nevíte si s daným tématem rady?

Novinkou je nařízení o digitální provozní odolnosti (DORA), které reaguje na rostoucí závislost finančního sektoru na informačních technologiích. DORA ukládá přísné povinnosti v oblasti řízení ICT rizik, testování odolnosti a hlášení incidentů. Sankce za nedodržení mohou dosáhnout až 10 % celosvětového ročního obratu.

Náš tým v ARROWS má rozsáhlé zkušenosti s implementací GDPR, AML a DORA ve finančním sektoru. Připravíme pro vás kompletní interní směrnice, provedeme odborná školení pro vaše zaměstnance a zajistíme, že vaše systémy a procesy budou plně v souladu s legislativou, čímž vás ochráníme před drakonickými pokutami. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.

Rizika a sankce	Jak pomáhá ARROWS
Porušení pravidel SCA podle PSD3. Pokuta až 20 mil. Kč, odpovědnost za podvodné transakce.	Příprava interních směrnic pro silné ověření klienta a revize odpovědnostních doložek. Chcete mít jistotu, že vaše procesy jsou v souladu s právem? Napište nám na office@arws.cz.
Nesprávné zpracování osobních údajů podle GDPR. Pokuta až 20 mil. EUR nebo 4 % celosvětového obratu.	Právní audit a nastavení procesů pro zpracování a přenos dat v souladu s GDPR. Potřebujete revizi vašich GDPR postupů? Kontaktujte nás na office@arws.cz.
Zanedbání povinností v oblasti AML/CFT. Pokuta až 130 mil. Kč, zákaz činnosti, trestní odpovědnost vedení.	Vyhotovení kompletní AML/KYC dokumentace a odborné školení pro váš compliance tým. Chcete se vyhnout problémům s Finančním analytickým úřadem? Spojte se s námi na office@arws.cz.
Nedostatečná digitální provozní odolnost (DORA). Pokuta až 10 % ročního obratu, omezení činnosti.	Vypracování interních předpisů pro řízení ICT rizik a zajištění souladu s nařízením DORA. Potřebujete připravit vaši firmu na DORA? Napište na office@arws.cz.

FAQ – Právní tipy k evropské regulaci

• Musím jako provozovatel aplikace ověřovat jméno a IBAN u každé platby?
  Ano, s příchodem PSD3 a PSR se toto stává klíčovou povinností pro poskytovatele platebních služeb s cílem omezit podvody. Zanedbání může vést k vaší odpovědnosti za škodu. Pokud si nejste jisti, jak tento proces správně implementovat, naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.
• Vztahuje se nařízení DORA i na naši firmu, pokud nejsme banka?
  Ano, DORA má velmi široký záběr a vztahuje se na většinu finančních subjektů, včetně platebních institucí a poskytovatelů kryptoaktiv. Je klíčové posoudit, zda spadáte do její působnosti. Pro okamžité posouzení vaší situace nám napište na office@arws.cz.

Potřebujete jednu licenci pro celou EU? Výhody a proces získání EMI licence

Největší strategickou výhodou evropského trhu je mechanismus tzv. „passportingu“. Získáním licence instituce elektronických peněz (EMI) v jednom členském státě, například v České republice, získáte právo poskytovat své služby ve všech 30 zemích Evropského hospodářského prostoru (EHP) bez nutnosti žádat o další povolení.

Česká republika je pro získání této licence atraktivní volbou díky své politické a ekonomické stabilitě a respektovanému regulátorovi, České národní bance (ČNB). Proces získání plné EMI licence je však náročný a vyžaduje splnění přísných podmínek:

• Počáteční kapitál: Musíte prokázat a udržovat počáteční kapitál ve výši minimálně 350 000 EUR a doložit jeho legální původ.
• Důvěryhodnost a odbornost vedení: Všichni členové vedení a klíčoví akcionáři procházejí tzv. „fit and proper“ testem, který hodnotí jejich profesní zkušenosti a bezúhonnost.
• Detailní obchodní plán: Nejdůležitější dokument žádosti. Musí obsahovat realistické finanční projekce na tři roky, popis služeb, analýzu trhu, organizační strukturu a komplexní popis řízení rizik a AML/CFT postupů.
• Fyzická přítomnost: Žadatel musí mít v České republice zřízenou kancelář a prokázat, že část řízení společnosti probíhá z území ČR.

Získání EMI licence je náročný proces, kde je každý detail pod drobnohledem regulátora. V ARROWS jsme tento proces úspěšně provedli pro řadu fintech společností. Zajistíme pro vás kompletní přípravu dokumentace, včetně robustního obchodního plánu, a budeme vás zastupovat v celém licenčním řízení před ČNB. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

Asijské trhy: Svět odlišných pravidel a strategických příležitostí

Na rozdíl od sjednocující se Evropy představuje Asie mozaiku různorodých regulatorních prostředí. Expanze na trhy jako Čína, Singapur, Japonsko nebo Jižní Korea vyžaduje hlubokou znalost lokálních zákonů a praxe místních regulátorů. Přístup „jedna velikost pro všechny“ zde zaručeně selže.

Na koho se můžete obrátit?

Jaké jsou největší právní rozdíly mezi Evropou a Asií?

Zásadní rozdíl spočívá v absenci mechanismu podobného evropskému passportingu. Každá asijská země vyžaduje samostatný licenční proces a dodržování vlastního unikátního souboru pravidel. Pro globální aplikaci to znamená nutnost řídit několik odlišných compliance režimů současně.

Další kritickou oblastí je přeshraniční přenos dat. Zatímco GDPR přísně omezuje předávání osobních údajů občanů EU mimo EHP, některé asijské jurisdikce, jako je Čína, mohou vyžadovat přístup k datům pro státní orgány. 

Tento střet vytváří pro firmy složitý právní hlavolam. Legální přenos dat z EU do Asie vyžaduje implementaci nástrojů, jako jsou standardní smluvní doložky (SCCs), a provedení tzv. posouzení dopadu přenosu (TIA), které zhodnotí, zda je ochrana dat v cílové zemi dostatečná. Díky naší deset let budované síti ARROWS International řešíme problematiku přeshraničního přenosu dat a lokálních regulací prakticky denně. Pomůžeme vám nastavit právně vyhovující mechanismy pro přenos dat mezi Evropou a Asií, které obstojí při kontrole evropských i asijských regulátorů. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Čína: Jak splnit přísné požadavky a získat licenci od PBOC?

Čínský trh je obrovský, ale vstup na něj je podmíněn splněním jedněch z nejpřísnějších regulatorních požadavků na světě. Nová pravidla pro nebankovní platební instituce, platná od 1. května 2024, ještě více zdůrazňují princip „licence především“ – povolení od Čínské lidové banky (PBOC) je nutné získat ještě před samotnou registrací firmy.

Klíčové požadavky zahrnují minimální splacený kapitál ve výši 100 milionů RMB a rozdělení služeb do nových funkčních kategorií: „provozování účtů s uloženou hodnotou“ a „zpracování platebních transakcí“. PBOC je nekompromisní v oblasti AML/KYC, kde jsou požadavky na stejné úrovni jako u bank. Dokazuje to i případ společnosti CNEPAY Co., Ltd., které byla udělena pokuta přesahující 80 milionů RMB za nedodržování pravidel pro identifikaci klientů a vedení účtů.

Vstup na čínský trh vyžaduje precizní znalost místního prostředí a nekompromisní přístup k plnění regulatorních povinností. S podporou našich partnerů v rámci sítě ARROWS International vám pomůžeme projít celým licenčním procesem u PBOC a nastavit vaše AML/KYC procesy tak, aby odpovídaly přísným čínským standardům. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Singapur, Japonsko a Jižní Korea: Co musíte vědět o místních regulátorech?

Tyto tři klíčové asijské trhy nabízejí vyspělou infrastrukturu a technologicky zdatné spotřebitele, ale každý má svá specifická pravidla.

• Singapur: Místní regulátor, Monetary Authority of Singapore (MAS), dohlíží na dodržování komplexního zákona o platebních službách (Payment Services Act). Získání licence (např. Major Payment Institution) vyžaduje splnění podmínek jako minimální kapitál (100 000 až 250 000 SGD) a přítomnost lokálního managementu. MAS je známý svým přísným dohledem, což dokládá i případ z června 2025, kdy pěti platebním institucím udělil souhrnnou pokutu 960 000 SGD za porušení AML pravidel.
• Japonsko: Regulace je zde duální. Provozní aspekty řeší Payment Services Act (PSA), zatímco ochranu dat upravuje Act on the Protection of Personal Information (APPI).Mezi klíčové povinnosti patří opatření na ochranu uživatelů, udržování bezpečnostních depozit a robustní management informační bezpečnosti. Dohledový orgán, Financial Services Agency (FSA), neváhá udělovat vysoké správní pokuty za porušení pravidel.
• Jižní Korea: Primárním předpisem je Electronic Financial Transactions Act (EFTA), který vyžaduje registraci u regulátora Financial Services Commission (FSC). Podmínky zahrnují dostatečný kapitál a zavedení systémů na ochranu spotřebitele a dat. FSC aktivně dohlíží na trh a má pravomoc udělovat citelné sankce za pochybení.

Každý z těchto trhů má svá specifika. Díky naší mezinárodní síti ARROWS International máme lokální experty, kteří znají nejen zákony, ale i praxi místních regulátorů jako MAS, FSA a FSC. Zajistíme pro vás získání potřebných licencí a povolení v každé z těchto jurisdikcí. Potřebujete právní pomoc s expanzí do Asie? Kontaktujte nás na office@arws.cz.

FAQ – Právní tipy pro expanzi do Asie

• Mohu použít svou evropskou EMI licenci pro působení v Singapuru nebo Japonsku?
  Bohužel ne. Asijské trhy neuznávají princip "passportingu". Pro každou zemi, ve které chcete působit, musíte získat samostatnou licenci od místního regulátora. Naši právníci jsou připraveni vám pomoci s licenčním řízením v klíčových asijských jurisdikcích – napište na office@arws.cz.
• Jaké je největší riziko při vstupu na čínský trh?
  Kromě kapitálových a licenčních požadavků je to nekompromisní dohled nad plněním AML/KYC povinností. Čínská centrální banka (PBOC) uděluje za pochybení extrémně vysoké pokuty, jak dokládají nedávné případy. Pro nastavení neprůstřelných compliance procesů se spojte s námi na office@arws.cz.

Mezinárodní expanze a řízení rizik: Jak ARROWS chrání váš byznys

Globální působení v oblasti platebních služeb vyžaduje nejen kapitál a technologie, ale především neprůstřelnou právní strategii. Podcenění lokálních regulatorních specifik může vést k finančním ztrátám, které ohrozí samotnou existenci firmy.

Co hrozí, když podceníte lokální specifika?

Následky nejsou jen teoretické. Jak ukazují reálné případy, sankce jsou tvrdé a okamžité. Může jít o pokuty dosahující až 10 % ročního obratu za porušení DORA v Evropě, 4 % za prohřešky proti GDPR, nebo konkrétní částky jako 960 000 SGD v Singapuru či přes 80 milionů RMB v Číně za nedostatky v AML procesech.

Kromě přímých finančních postihů je zde i riziko reputační. Pro fintech společnost, jejíž podnikání stojí na důvěře, je zpráva o regulatorním selhání často fatální ranou. A v neposlední řadě, moderní legislativa jako 6AMLD přináší i riziko osobní trestní odpovědnosti pro členy vedení, což posouvá řízení compliance na nejvyšší strategickou úroveň.

Rizika a sankce	Jak pomáhá ARROWS
Provoz bez platné licence v cílové asijské zemi. Zákaz činnosti, vysoké pokuty od lokálních regulátorů (MAS, FSA, PBOC), reputační poškození.	Zajištění kompletního licenčního řízení v cílové zemi prostřednictvím sítě ARROWS International. Chcete získat licenci v Asii bez starostí? Napište nám na office@arws.cz.
Nezákonný přenos osobních údajů mezi EU a Asií. Vyšetřování evropskými úřady pro ochranu údajů, pokuty dle GDPR.	Příprava smluvní dokumentace (SCCs) a posouzení dopadu na přenos dat (TIA) pro zajištění legálního toku dat. Potřebujete vyřešit mezinárodní přenos dat? Kontaktujte nás na office@arws.cz.
Rozdílné AML/CFT standardy a reportingové povinnosti. Pokuty v obou regionech, riziko zneužití platformy pro praní peněz.	Vytvoření globálního, ale lokálně přizpůsobeného compliance rámce, který splňuje požadavky EU i klíčových asijských trhů. Chcete sjednotit své compliance procesy? Spojte se s námi na office@arws.cz.
Konflikt mezi požadavky různých regulátorů. Nemožnost splnit protichůdné povinnosti, což vede k nevyhnutelným sankcím v jedné z jurisdikcí.	Právní stanoviska a strategické poradenství pro navigaci v konfliktních právních režimech. Potřebujete strategické právní řešení? Napište nám na office@arws.cz.

Proč je globální právní partner klíčový pro váš růst?

Řídit regulatorní agendu na několika kontinentech je extrémně náročné. Spolupráce s jedním globálním partnerem, který dokáže koordinovat veškeré právní kroky, je proto zásadní konkurenční výhodou. Přesně tuto službu poskytuje naše síť ARROWS International, kterou jsme budovali více než deset let.

Nabízíme vám jediný kontaktní bod pro řešení všech vašich mezinárodních právních potřeb. Naše zkušenosti, podložené prací pro více než 150 akciových společností a 250 společností s ručením omezeným, zaručují rychlost a nejvyšší kvalitu. Nejsme jen právní poradci; jsme strategičtí partneři, kteří propojují klienty a pomáhají jim nacházet nové obchodní příležitosti.

Nevíte si s daným tématem rady?

Od regulace k příležitosti s ARROWS po boku

Navigace v komplexních a odlišných regulatorních prostředích Evropy a Asie je impozantní výzvou, která však není nepřekonatelná. S proaktivním a odborným právním vedením se toto riziko mění v konkurenční výhodu, která umožňuje bezpečný a udržitelný globální růst.

ARROWS není jen poskytovatelem právních služeb; jsme vaším strategickým partnerem pro globální expanzi. Náš tým je připraven vám pomoci přeměnit regulatorní výzvy v obchodní úspěch. Pro komplexní právní podporu vaší platební aplikace nás neváhejte kontaktovat na office@arws.cz.

FAQ – Nejčastější právní dotazy k provozu platebních aplikací

1. Jaký je první krok, který bych měl/a udělat při plánování expanze do nové země?
Prvním a nejdůležitějším krokem je provedení regulatorní analýzy cílového trhu. Musíte přesně vědět, zda vaše služba vyžaduje licenci, jaké jsou kapitálové požadavky a jaké jsou klíčové compliance povinnosti (AML, ochrana dat). Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.

2. Je reálné získat licenci v EU i v Asii současně? Jak dlouho to trvá?
Je to reálné, ale jedná se o dva zcela oddělené a náročné procesy. Získání EMI licence v EU může trvat 9-12 měsíců. V Asii se doba liší podle země, ale počítejte s podobným, ne-li delším časovým rámcem pro každou jurisdikci zvlášť. Pro efektivní koordinaci globálního licenčního procesu se obraťte na naše experty na office@arws.cz.

3. Naše aplikace využívá biometrické přihlašování. Jaké jsou s tím spojené právní nástrahy?
Biometrické údaje jsou podle GDPR považovány za zvláštní kategorii osobních údajů, což vyžaduje přísnější právní základ pro jejich zpracování (obvykle výslovný souhlas). Nová pravidla PSD3 navíc zpřísňují požadavky na SCA, kde biometrie hraje klíčovou roli. Pro zajištění souladu nás kontaktujte na office@arws.cz.

4. Jak vysoké jsou reálně pokuty za porušení AML v Evropě?
Sankce jsou velmi vysoké a mohou být likvidační. 6AMLD zavedla i trestní odpovědnost pro vedení. Pokuty se mohou pohybovat v milionech EUR. Například v ČR může pokuta dosáhnout až 130 milionů Kč. Neriskujte a nechte si své AML procesy zkontrolovat. Napište nám na office@arws.cz.

5. Co je "Transfer Impact Assessment" (TIA) a musím ho dělat?
Ano, pokud předáváte osobní údaje občanů EU do země mimo EU/EHP, která nemá rozhodnutí o odpovídající ochraně (jako např. většina asijských zemí), musíte provést TIA. Jde o posouzení, zda jsou data v cílové zemi dostatečně chráněna. Je to složitý proces, se kterým vám rádi pomůžeme. Obraťte se na nás na office@arws.cz.

6. Naše firma je startup. Vztahují se na nás stejná pravidla jako na velké korporace?
V zásadě ano. Regulace jako PSD3, GDPR nebo AML nerozlišují podle velikosti firmy, ale podle typu poskytované služby. Existují sice určité úlevy (např. licence pro poskytovatele platebních služeb malého rozsahu), ale základní povinnosti v oblasti bezpečnosti, ochrany dat a AML platí pro všechny. Pro konzultaci ohledně vašeho konkrétního modelu nás kontaktujte na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.