Zákon o platebním styku a PSD2:

Co musí splnit FinTech startup před žádostí

22.9.2025

Máte vizi revoluční FinTech aplikace? Cesta k její realizaci vede přes komplexní svět finanční regulace. Tento článek vás provede klíčovými požadavky Zákona o platebním styku a směrnice PSD2, abyste přeměnili svůj nápad v bezpečný a důvěryhodný byznys. Pomůžeme vám pochopit, co musíte splnit, než zažádáte o licenci u České národní banky, a ukážeme, jak se vyhnout fatálním rizikům, která mohou ohrozit vaše podnikání.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cznebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Marek Hučík", expert na dané téma.

FinTech revoluce a její architekti: Proč PSD2 a Zákon o platebním styku mění pravidla hry

Historie FinTechu se dá rozdělit na „před“ a „po“ směrnici PSD2 (Payment Services Directive 2). Tato evropská legislativa, která byla do českého práva transponována Zákonem o platebním styku (ZPS), vnesla do tradičního světa financí nevídanou revoluci. Jejím hlavním cílem bylo vytvořit jednotný, efektivnější a bezpečnější evropský trh platebních služeb, a to zejména tím, že umožnila novým hráčům vstoupit na hřiště, které dříve patřilo výhradně bankám.

Tato legislativa stojí na dvou klíčových pilířích, které musíte dokonale ovládat:

  • Open Banking (API Access): PSD2 donutila banky otevřít svá digitální rozhraní (tzv. API) licencovaným třetím stranám. To pro vás znamená, že nemusíte stavět složitou platební infrastrukturu od nuly. Vaše aplikace může s povolením klienta přistupovat k jeho bankovnímu účtu a provádět operace, což otevírá dveře pro obrovské množství nových služeb, od sofistikovaných správců rodinných financí až po elegantní platební řešení pro e-shopy.
  • Silné ověření klienta (SCA): Proti rostoucím online podvodům zavedla PSD2 povinnost silného ověření klienta (SCA). To znamená, že transakce nemůže být autorizována jen jedním prvkem (např. heslem), ale musí být ověřena pomocí alespoň dvou nezávislých faktorů. Tyto faktory spadají do tří kategorií:
    • Znalost: něco, co znáte (např. PIN nebo heslo).
    • Držení: něco, co máte (např. mobilní telefon nebo hardware token).
    • Inherence: něco, čím jste (např. otisk prstu nebo obličej).

PSD2 vytvořila dvě nové kategorie regulovaných finančních služeb, které jsou pro startupy zásadní:

  1. Payment Initiation Service Providers (PISP): Poskytovatel platební služby, který zprostředkovává platbu přímo z účtu klienta a obchází tak tradiční karetní sítě.
  2. Account Information Service Providers (AISP): Poskytovatel informací o účtu, který sdružuje data z více bankovních účtů do jedné přehledné aplikace. Tím klientům dává celistvý pohled na jejich finance.

PSD2 je ale spíše začátek, než konec. Otevření trhu pro nové hráče vedlo k rychlému nárůstu nových typů podvodů, jako jsou například podvody s autorizovanými platbami (tzv. authorised push payment frauds). Tyto podvody zneužívají důvěru klienta, aby ho manipulovaly k provedení platby na podvodný účet. To vytváří neustálý cyklus: regulace podporuje inovace, inovace vytvářejí nová rizika, a tato rizika si vyžadují další, ještě přísnější regulaci (například připravované revize PSD2, nařízení DORA pro digitální provozní odolnost nebo AI Act pro umělou inteligenci).

Tento nekončící proces znamená, že strategie compliance nemůže být jednorázovým projektem, ale musí se stát trvalou součástí vašeho podnikání. Právě proto je klíčové mít po boku partnera, který neřeší jen jednorázovou licenci, ale dokáže vám pomoci s dlouhodobým navigačním plánem.

Od vize k ověřenému statusu: Cesta ke správné licenci u ČNB

Váš první a nejdůležitější úkol je určit, jaký typ licence potřebujete. Zákon o platebním styku nabízí dva hlavní typy povolení, z nichž každý odpovídá jiné fázi vašeho podnikání.

  • Poskytovatel platebních služeb malého rozsahu (PPSMR): Toto je ideální startovní bod pro malé a agilní startupy. Hlavní výhoda? Nemusíte dokládat žádný minimální počáteční kapitál. Ale pozor, přichází s přísným omezením: objem platebních transakcí nesmí za posledních 12 měsíců překročit 3 miliony EUR. Jakmile se váš startup rozjede a začne se blížit k tomuto limitu, musíte zahájit proces přechodu na plnou licenci platební instituce.
  • Platební instituce (PI): Pokud máte velké ambice a realistický obchodní plán pro rychlý růst, je plná licence Platební instituce cestou pro vás. I když se proces zdá složitější, skýtá výhodu neomezeného růstu a výrazně vyšší důvěryhodnosti na trhu. Hlavní podmínkou pro získání této licence je doložení počátečního kapitálu v minimální výši 20 milionů Kč. Musíte také prokázat, že jste schopni udržet dostatečnou kapitálovou přiměřenost po celou dobu své činnosti.

Správná volba licence je strategickým rozhodnutím. Je třeba ji učinit s rozmyslem, na základě realistických finančních projekcí. I když se možnost PPSMR zdá na začátku lákavá, může se rychle stát brzdou, pokud se váš produkt ujme a transakce začnou rychle narůstat.

Pozor, nášlapné miny: Rizika, která vás mohou pohřbít

Představte si startup, který měl skvělý nápad a dokonalou technologii. Jejich zakladatelé považovali regulaci za pouhou formalitu, která jen zpomaluje jejich rychlý nástup na trh. Rozhodli se, že se do procesu pustí sami, bez pomoci expertů. Jaký byl výsledek? Ztráta veškerého kapitálu, odebrání licence a zničená reputace. Nechtěli byste se takovému osudu vyhnout?

Příběh tohoto startupu ukazuje, že rizika plynoucí z podcenění regulace mohou být fatální:

  • Provozování bez oprávnění: To je nejzávažnější prohřešek. Společnost, která překročí limit pro PPSMR a nepožádá včas o plnou licenci, se dopouští přestupku. Zatímco pokuta za překročení limitu PPSMR může být „pouhých“ 100 000 Kč, za neoprávněné poskytování platebních služeb bez jakéhokoli povolení hrozí sankce až do výše 20 milionů Kč.
  • Nedostatečné zabezpečení: Startup implementoval SCA tak, že bylo pro uživatele nepohodlné. Netušili, že ani velcí hráči nejsou imunní vůči sankcím, jak ukazuje pokuta ve výši 1 milionu Kč pro jednu z českých bank za neplnění pravidel SCA. Navíc, jak ukazují data, stále se objevují nové typy podvodů, jako jsou manipulativní techniky, které klienta přesvědčí, aby platbu autorizoval, což stírá rozdíl mezi autorizovanou a neautorizovanou transakcí.
  • Nedodržení AML/KYC: Startup zanedbal detailní ověřování identity klientů a monitorování transakcí. Z výzkumu vyplývá, že až 60 % FinTech společností platilo v roce 2022 pokutu ve výši alespoň 250 000 USD za selhání v oblasti compliance. Rizika AML (Anti Money Laundering) a KYC (Know your customer) jsou pro regulátory klíčová.
Nevíte si s daným tématem rady?

FAQ

1. Co je to SCA?

Silné ověření klienta (SCA) je vícefaktorové ověřování transakcí, které vyžaduje minimálně dva nezávislé prvky (např. heslo + otisk prstu).

2. Co je API?

Application Programming Interface je soubor softwarových rozhraní, které umožňují vzájemnou komunikaci mezi různými aplikacemi a systémy.

3. Jaký je limit pro PPSMR?

Objem platebních transakcí do 3 milionů EUR za posledních 12 měsíců.

4. Jak dlouho trvá získání licence od ČNB?

Česká národní banka má na vydání rozhodnutí 3 měsíce od zahájení správního řízení. Lhůta se však prodlužuje v případě nedostatků v žádosti.

5. Musí mít s.r.o. dozorčí radu?

Ano, společnost s ručením omezeným, která žádá o licenci, musí mít zřízenu dozorčí radu s pravomocemi obdobnými dozorčí radě akciové společnosti.

Jak se vyhnout existenční hrozbě: Tabulka rizik a dopadů

Regulační prostředí se neustále zpřísňuje a sankce stoupají. Nové evropské předpisy, jako je MiCA pro kryptoaktiva, umožňují regulátorům udělovat pokuty až do výše 20 milionů EUR nebo 5 % ročního obratu firmy, což je srovnatelné se sankcemi podle GDPR. To znamená, že pokuta, která by dříve byla jen nákladem, může dnes zlikvidovat celou firmu. Proaktivní compliance už není volitelným bonusem, ale nezbytnou investicí do budoucnosti vašeho podnikání.

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS

Neoprávněné poskytování služeb (překročení limitu pro PPSMR), za což hrozí pokuta od 100 000 Kč až do 20 milionů Kč.

Příprava dokumentace pro žádost o licenci a zastupování před ČNB. Potřebujete připravit podklady? Kontaktujte nás na office@arws.cz.

Nedostatečná kybernetická bezpečnost (selhání SCA, slabé systémy), což může vést k pokutě až 1 milion Kč, ztrátě klientů a důvěry, a finančním ztrátám kvůli podvodům.

Příprava interních směrnic a pravidel pro silné ověření klienta (SCA) a kybernetickou bezpečnost. Chcete vědět, jaké jsou vaše právní možnosti? Napište na office@arws.cz.

Nedodržení AML/KYC, které hrozí pokutou až 20 milionů EUR, trestní odpovědností a ztrátou reputace.

Vyhotovení interních směrnic a dokumentace pro AML a KYC. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Selhání provozní odolnosti (DORA), které může mít za následek pokutu až do 10 % ročního obratu a omezení činnosti firmy.

Vypracování interních předpisů a zavedení postupů pro řízení rizik a digitální provozní odolnosti (DORA). Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

Na koho se můžete obrátit? 

Vaše žádost krok za krokem: Co od vás bude chtít Česká národní banka

Podání žádosti o licenci je komplexní proces, který se pro nezasvěceného může zdát jako nečitelný hlavolam. ČNB nezkoumá jen papíry, ale prověřuje základy, na kterých váš byznys stojí.

Zde je přehled klíčových požadavků, které musíte splnit, abyste měli šanci na úspěch:

  • Právní forma a sídlo: Žadatelem o licenci může být pouze kapitálová obchodní společnost (akciová společnost, společnost s ručením omezeným), jejíž sídlo i skutečné sídlo musí být na území České republiky.
  • Důvěryhodnost a odborná způsobilost: Všichni klíčoví lidé ve společnosti, od zakladatelů po členy statutárních orgánů, musí prokázat svou důvěryhodnost (bez záznamu v rejstříku trestů) a odbornou způsobilost. Důvěryhodnost se vztahuje i na ovládající osoby. Požadavky se liší podle regulace, ale obecně zahrnují bezúhonnost a kvalifikaci.
  • Obchodní plán a finanční projekce: Váš obchodní plán musí být realistický a podložený ekonomickými propočty na nejbližší tři roky. Měl by obsahovat detailní předpoklady nárůstu služeb, vývoje počtu zaměstnanců a klientů. Důležité upozornění: Váš plán by neměl počítat s výnosy z poplatků nebo sankcí za nesplácení úvěrů.
  • Původ počátečního kapitálu: Toto je často nejpodceňovanější a nejnáročnější bod. Musíte nejen doložit výši kapitálu, ale také prokázat historický původ všech finančních prostředků, které byly použity k jeho financování. Jde o to, aby ČNB měla jistotu, že vaše podnikání není financováno z pochybných zdrojů.
  • Řídicí a kontrolní systém: Musíte předložit podrobný popis vnitřních procesů, které zajistí řádné a bezpečné poskytování služeb. Patří sem organizační uspořádání, systém řízení rizik, vnitřní kontrolní systém, a detailní postupy pro prevenci praní špinavých peněz (AML/CFT).

Protože se právní prostředí neustále vyvíjí, je důležité myslet i na rizika spojená s novou legislativou a pokračujícími operacemi.

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS

Zanedbání průběžné aktualizace AML/KYC předpisů, což vede k pokutám a trestní odpovědnosti. 

Právní konzultace a pravidelné revize interních AML/KYC postupů, abyste předcházeli sankcím a nejasnostem. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Selhání při adaptaci na nové regulace (např. MiCA, AI Act), hrozí pokuty až 20 milionů EUR.

Právní poradenství při získávání potřebných povolení a licencí podle nových evropských předpisů. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Neschopnost zajistit digitální provozní odolnost (DORA) po získání licence, což může mít za následek pokuty až do 10 % ročního obratu.

Příprava dokumentace a odborná školení pro vedení i zaměstnance, které chrání před kontrolami a sankcemi a zajišťují soulad s novými pravidly. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Ztráta reputace a důvěry klientů v důsledku bezpečnostních incidentů nebo selhání compliance.

Nastavení komplexní strategie compliance a právní poradenství, které buduje důvěru a chrání vaše podnikání. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

Problematická žádost o licenci (chyby v dokumentaci, nedostatečné doložení původu kapitálu) vedoucí k průtahům či zamítnutí.

Příprava podkladů stanovených zákonem a právní konzultace, které chrání před zbytečnými chybami a komplikacemi v řízení. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.

Nevíte si s daným tématem rady?

Nenechte nic náhodě

Cesta od skvělého nápadu ke stabilní a důvěryhodné finanční službě je náročná, ale stojí za to. Regulatorní prostředí v čele se Zákonem o platebním styku a směrnicí PSD2 sice představuje výzvy, ale zároveň otevírá dveře k inovacím a buduje důvěru, která je v oboru FinTech to nejdůležitější. Nové regulace jako MiCA a DORA navíc jasně ukazují, že trend zpřísňování bude pokračovat.

Nenechte se na této cestě vyčerpat zbytečným bojem s byrokracií a s riziky, které mohou váš podnik pohřbít. Svěřte svou budoucnost do rukou odborníků, kteří regulaci vnímají jako příležitost pro váš růst.

Kontaktujte nás ještě dnes na office@arws.cz a proměňte svou vizi v bezpečnou a prosperující realitu.

Nejčastější dotazy (FAQ): Od teorie k praxi

1. Co je hlavním cílem směrnice PSD2 a Zákona o platebním styku?

Hlavním cílem PSD2 a ZPS je vytvoření jednotného a bezpečnějšího evropského trhu platebních služeb, podpora inovací a konkurence, a zvýšení ochrany spotřebitelů.

2. Co je to Open Banking a jak funguje?

Open banking je rámec, který vyžaduje, aby banky umožnily licencovaným poskytovatelům třetích stran (TPP) bezpečný přístup k datům a službám klientských účtů, a to s výslovným souhlasem klienta. Propojení probíhá pomocí speciálně navržených API.

3. Jaké jsou hlavní typy nových služeb, které PSD2 zavedla?

PSD2 zavedla dvě hlavní služby: PISP (Payment Initiation Service Provider), která umožňuje iniciovat platby, a AISP (Account Information Service Provider), která poskytuje konsolidovaný přehled o bankovních účtech uživatele.

4. Jak vysoké jsou pokuty za porušení regulace?

Výše pokut se liší podle závažnosti, ale může se pohybovat od statisíců až po miliony korun. V případě závažného a opakovaného porušení mohou sankce podle nové regulace MiCA dosáhnout až 20 milionů EUR nebo 5 % celkového ročního obratu firmy.

5. Jaký je rozdíl mezi licencí PPSMR a Platební instituce?

PPSMR je pro malé poskytovatele s omezeným objemem transakcí do 3 milionů EUR za 12 měsíců a bez nutnosti dokládat počáteční kapitál. Plná licence Platební instituce nemá transakční limit, ale vyžaduje počáteční kapitál ve výši 20 milionů Kč.

Přehled klíčových dokumentů pro žádost o licenci

Žádost o licenci je formální proces, který vyžaduje pečlivou přípravu a shromáždění obsáhlé dokumentace.

  • Zakladatelské dokumenty: žádost o povolení, úplné znění společenské smlouvy/zakladatelské listiny, originál výpisu z veřejného rejstříku
  • Finanční dokumentace: doklady o původu počátečního kapitálu, finanční výkazy za poslední 3 roky, obchodní plán a finanční projekce na 3 roky
  • Řídící systémy: popis řídícího a kontrolního systému, vnitřní předpisy (např. AML/KYC), modelové výpočty kapitálové přiměřenosti
  • Osobní dokumentace: životopisy a dotazníky vedoucích osob, seznam osob s kvalifikovanou účastí a úzkým propojením 

Proč ARROWS? Od vize k ověřenému partnerství

Na této náročné cestě se vám nechce bojovat s byrokracií a riskovat, že vaše vize skončí v propadlišti dějin. To je přesně ten moment, kdy je čas přizvat na pomoc strategického partnera. Advokátní kancelář ARROWS je první volbou pro startupy, které chtějí jít na trh s jistotou. Náš tým odborníků s více než 15 lety zkušeností a více než 60 poradci se specializuje na právní i daňové služby a pomůže vám s celým procesem od A do Z.

Nejsme jen "papírový servis". Pomůžeme vám nejen s přípravou všech dokumentů, ale také s nastavením vnitřních procesů, aby byly v souladu s regulací od prvního dne. Naše práce je založena na lidském přístupu a hlubokém porozumění vašemu podnikání. Jsme hrdí na to, že jsme Advokátní kancelář roku 2024.

Pro globálně smýšlející startupy je naše mezinárodní působnost klíčovou výhodou. Advokátní kancelář ARROWS je součástí mezinárodní právní sítě, která dokáže řešit vaše právní problémy ve více než 70 zemích světa. Díky tomu můžeme nabídnout bezproblémová řešení pro vaše přeshraniční operace a zajistit, že váš FinTech bude bezpečně fungovat po celém světě. Svěřte svou budoucnost do rukou odborníků, kteří regulaci vnímají jako příležitost pro váš růst.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.