Svět financí prochází pod vlivem FinTech (Financial Technology) společností revoluční transformací. Tyto inovace, které zahrnují vše od mobilních plateb a agregátorů účtů až po kryptoaktiva a automatizované poradenství, přinášejí zákazníkům bezprecedentní pohodlí, rychlost a efektivitu. Zároveň však představují významnou výzvu pro tradiční bankovní právo a dohled, který musí najít rovnováhu mezi podporou inovací a zajištěním finanční stability, ochrany spotřebitele a prevence finanční kriminality.
Tento článek podrobně rozebírá klíčové aspekty regulace nebankovních FinTech služeb a inovací v platbách, s důrazem na evropský a český právní rámec.
I. Základní pojmy a Fenomén FinTech
FinTech je souhrnné označení pro technologiemi umožněné inovace ve finančních službách. Tyto inovace mohou vést ke vzniku nových obchodních modelů, aplikací, procesů či produktů. FinTech společnosti jsou často nebankovními poskytovateli služeb, kteří využívají moderní technologie (např. umělou inteligenci, cloud computing, blockchain) k zefektivnění tradičních finančních procesů nebo k vytvoření zcela nových služeb.
Kromě obecného pojmu FinTech vznikají i specializované termíny:
- InsurTech: Inovace v pojišťovnictví.
- RegTech: Technologie pro efektivní plnění regulatorních požadavků a dodržování předpisů.
- SupTech: Technologie využívané dohledovými orgány (supervizory) ke zvýšení efektivity dohledu.
Z pohledu regulace je klíčové, že i přes dynamický rozvoj formy služeb (aplikace, platformy) zůstává obsah finančních produktů často stejný (vklad je vklad, úvěr je úvěr). Proto je jedním ze základních regulatorních principů technologická neutralita, což znamená, že stejná pravidla by měla platit pro stejný typ rizika, bez ohledu na technologii.
II. Regulace platebních služeb: PSD2 a Open Banking
Nejvýznamnější a nejrozsáhlejší regulace v oblasti FinTech se soustředí na platební styk, a to zejména prostřednictvím evropské směrnice PSD2 (Payment Services Directive 2), která byla v České republice transponována do Zákona o platebním styku (ZoPS).
PSD2: Otevřené bankovnictví a Silné ověření klienta
Cílem PSD2 bylo vytvořit jednotný a bezpečný evropský trh platebních služeb, podpořit inovaci, konkurenci a zvýšit ochranu spotřebitele. Stojí na dvou klíčových pilířích:
1. Open Banking (Otevřené bankovnictví)
PSD2 donutíla banky (poskytovatele platebních účtů) otevřít svá digitální rozhraní (tzv. API – Application Programming Interface) licencovaným třetím stranám (FinTech společnostem), a to s výslovným souhlasem klienta. Tím vznikly dvě nové kategorie nebankovních poskytovatelů platebních služeb:
- PISP (Payment Initiation Service Provider – Poskytovatel služeb iniciování platby): Umožňuje klientovi iniciovat platbu přímo ze svého bankovního účtu prostřednictvím PISP aplikace, aniž by musel jít do prostředí banky. Tím se zkracuje platební řetězec a zrychluje e-commerce.
- AISP (Account Information Service Provider – Poskytovatel informací o platebním účtu): Umožňuje klientovi získat konsolidovaný přehled o všech svých účtech u různých bank v jediné aplikaci.
Otevřené bankovnictví zásadně mění dynamiku trhu, protože data o klientech a možnost iniciovat platbu již nejsou výhradním vlastnictvím bank.
2. SCA (Strong Customer Authentication – Silné ověření klienta)
Aby byla zajištěna bezpečnost, zavedla PSD2 povinnost SCA pro většinu elektronických platebních transakcí. SCA vyžaduje, aby byla transakce ověřena alespoň dvěma nezávislými faktory z následujících kategorií:
- Znalost: něco, co znáte (heslo, PIN).
- Držení: něco, co máte (mobilní telefon, token).
- Inherence: něco, čím jste (otisk prstu, rozpoznání obličeje).
Tím se výrazně zvýšila bezpečnost online transakcí, i když to pro uživatele znamenalo mírné zvýšení složitosti ověřování.
Výzvy a Budoucnost: PSD3 a PSR
Přestože PSD2 přinesla revoluci, praxe ukázala potřebu dalšího zpřesnění, zejména v oblasti přístupu nebankovních poskytovatelů k bankovním systémům a v boji proti novým typům podvodů. Evropská komise proto navrhla legislativní balíček, který zahrnuje:
- PSD3 (Payment Services Directive 3): Nahradí PSD2, zpřesní licenční režimy.
- PSR (Payment Services Regulation – Nařízení o platebních službách): Na rozdíl od směrnice bude přímo aplikovatelné ve všech členských státech, čímž sjednotí pravidla pro platební styk. PSR klade důraz na posílení práv nebankovních poskytovatelů (PI a EMI) na přístup k platebním systémům a na zpřísnění odpovědnosti za podvody.
III. Regulace kryptoaktiv a digitálního financování
S nástupem kryptoaktiv (kryptoměny, tokeny) a decentralizovaných financí (DeFi) musela evropská regulace reagovat na zcela nové obchodní modely, které se vymykaly tradičnímu bankovnímu a kapitálovému právu.
MiCA (Markets in Crypto-Assets Regulation)
Klíčovým regulačním rámcem pro kryptoaktiva v EU je nařízení MiCA. Jde o historicky první komplexní právní úpravu, která:
- Definuje a kategorizuje kryptoaktiva: Rozlišuje např. mezi asset-referenced tokens (stabilní tokeny kryté aktivy), e-money tokens (tokeny elektronických peněz) a ostatními kryptoaktivy.
- Stanovuje pravidla pro emitenty: Upravuje transparentnost informování klientů, pravidla pro nabídku veřejnosti a nutnost publikace white paperu.
- Reguluje poskytovatele služeb kryptoaktiv (CASP – Crypto-Asset Service Providers): Zavádí licenční režim, pravidla pro řízení střetů zájmů, správu aktiv (custody) a technologickou spolehlivost.
MiCA tak poskytuje právní jistotu a má za cíl ochránit spotřebitele a integritu trhu, aniž by dusila inovace.
IV. Řízení rizik v digitálním prostředí
S rostoucí závislostí finančního sektoru na informačních a komunikačních technologiích (ICT) se do popředí dostává otázka kybernetické bezpečnosti a digitální operační odolnosti.
DORA (Digital Operational Resilience Act)
Nařízení DORA představuje sjednocující rámec pro řízení ICT rizik. Na rozdíl od předchozích roztříštěných pravidel DORA zavádí jednotná pravidla pro finanční subjekty (včetně bank, FinTechů a pojišťoven) a kritické ICT poskytovatele třetích stran (např. cloudové služby).
Klíčové oblasti DORA zahrnují:
- Řízení ICT rizik: Identifikace kritických systémů, testování odolnosti.
- Hlášení ICT incidentů: Sjednocení pravidel pro oznamování závažných kybernetických incidentů dohledovým orgánům.
- Testování digitální operační odolnosti: Pravidelné testování, včetně pokročilého testování penetrací (Threat-Led Penetration Testing).
- Řízení rizika třetích stran: Detailní pravidla pro outsourcing ICT služeb a dohled nad klíčovými ICT dodavateli.
DORA zvyšuje laťku digitální odolnosti napříč celým finančním trhem a nutí i menší FinTech subjekty k přijetí robustních standardů, které se často přibližují těm bankovním.
V. Role dohledových orgánů a podpora inovací v ČR
V České republice vykonává dohled nad finančním trhem, včetně nebankovních FinTech společností, Česká národní banka (ČNB). Její role je dvojí: dohledová a podpůrná.
Dozor a Licencování
ČNB je zodpovědná za licenční řízení pro nebankovní poskytovatele platebních služeb (Platební instituce, Instituce elektronických peněz) a za průběžný dohled nad dodržováním ZoPS, AML/CFT předpisů (proti praní špinavých peněz a financování terorismu) a dalších regulatorních norem.
FinTech společnosti v licenčním řízení musí prokázat dostatečný kapitál, kvalifikovaný management, robustní vnitřní kontrolní systémy a odolné ICT systémy. Zásada přiměřenosti sice hraje roli, ale ČNB klade velký důraz na to, aby i menší subjekty splňovaly základní bezpečnostní standardy.
Regulatorní Sandbox a Kontaktní místo FinTech
Pro podporu inovací zřídila ČNB Kontaktní místo pro finanční inovace (FinTech kontaktní místo). To slouží k objasnění regulatorních a licenčních otázek novým inovativním subjektům a k vedení dialogu o nových obchodních modelech.
Některé jurisdikce navíc využívají Regulatorní Sandboxy, což jsou kontrolovaná prostředí, kde mohou FinTech společnosti testovat své inovativní produkty v reálném provozu s omezenou mírou regulace pod dohledem, než získají plnou licenci. V ČR byl podobný koncept diskutován, s cílem poskytnout cílené poradenství a podporu novým hráčům na trhu.
Inovace v právním kabátu
Vztah mezi FinTech a bankovním právem je dynamický a neustále se vyvíjející dialog. FinTech společnosti jsou hybnou silou inovací v platbách a financích, posouvají hranice možného a zvyšují konkurenci na trhu. Právní regulace, zejména evropské iniciativy jako PSD2/PSD3, MiCA a DORA, na to reaguje snahou o technologicky neutrální, bezpečný a transparentní rámec.
Cílem je umožnit růst nebankovních služeb a inovativních platebních řešení (např. instantní platby, Open Banking produkty), a to při zachování vysoké úrovně ochrany spotřebitele a finanční stability. Úspěch transformace finančního sektoru závisí na efektivní spolupráci a komunikaci mezi regulátory (ČNB), tradičními bankami a agilními FinTech hráči.