Mała Instytucja Płatnicza (MIP)
Najszybsza ścieżka do legalnych usług płatniczych.
- Rejestracja MIP w KNF od A do Z
- Dokumentacja i procedury operacyjne
- Monitoring limitu 1,5 mln EUR
- Plan konwersji MIP → KIP
Nawigujemy FinTech przez ocean regulacji. Bezpiecznie.
Prowadzisz fintech albo planujesz start? Pomagamy ogarnąć wszystkie regulacje naraz — PSD2, MiCA, AML, DORA i tak dalej. Jednocześnie rozumiemy biznes.
marki fintech, z którymi pracowaliśmy
w czym się specjalizujemy?
FinTech, LendTech, PayTech, Krypto. Niezależnie w którym obszarze działasz - pomożemy Ci.
Krajowa Instytucja Płatnicza (KIP)
Pełna licencja płatnicza bez limitów wolumenu.
- Strategia licencyjna i wniosek do KNF
- Kapitał, zabezpieczenie środków, raportowanie
- Bieżący compliance po uzyskaniu zezwolenia
- Ekspansja i skalowanie modelu
MiCA — kryptoaktywa
Od klasyfikacji aktywa po licencję CASP i zgodność post-licencyjną.
- Klasyfikacja tokenów i usług kryptoaktywowych
- Wniosek o autoryzację CASP
- Dokumentacja white paper i integracja AML
- Połączenie z wymogami PSD2 i DORA
Pożyczki / BNPL
Gotowość na CCD2 i nadzór KNF w modelu kredytowym.
- Kwalifikacja modelu BNPL / pożyczkowego
- Dokumentacja przedumowna i umowna
- Ochrona przed sankcją kredytu darmowego (SKD)
- Wpis do rejestru działalności kredytowej
AML — przeciwdziałanie praniu pieniędzy
Procedury AML dopasowane do skali i profilu ryzyka fintechu.
- Procedury CDD/EDD i monitoring transakcji
- Screening sankcyjny i zgłoszenia STR
- Audyty AML i gotowość na kontrole AMLA
- Szkolenia AML dla zespołów
DORA — odporność cyfrowa
Wdrożenie odporności IT wymagane od podmiotów finansowych.
- Zarządzanie ryzykiem ICT
- Procedury raportowania incydentów
- Testy odporności cyfrowej
- Nadzór nad dostawcami technologicznymi
cztery filary regulacji fintech — i jak je ogarnąć razem
Każdy fintech musi zmierzyć się z czterema obszarami regulacji. Pomagamy ocenić, co jest pilne teraz, a co zaplanować na kolejne etapy.
PSD2 / UUP — płatności
Jeśli przyjmujesz płatności lub udostępniasz konta — musisz wiedzieć, jaki typ licencji Ci odpowiada (MIP czy KIP), jak zabezpieczyć transakcje (SCA) i co się dzieje, gdy klient zgłosi nieautoryzowaną operację.
MiCA — kryptoaktywa
Jeśli masz do czynienia z tokenami lub kryptowalutami — musisz ustalić, jak sklasyfikować swoje aktywa, czy potrzebujesz licencji CASP (dostawca usług krypto) i jakie dokumenty przygotować.
AML — przeciwdziałanie praniu pieniędzy
Weryfikacja klientów (KYC/CDD), sprawdzanie list sankcyjnych, monitoring podejrzanych transakcji i zgłaszanie ich do GIIF — to obowiązki każdej instytucji finansowej, w tym fintechów.
DORA — odporność cyfrowa
Jak zarządzasz ryzykiem IT? Jak reagujesz na awarie? Czy kontrolujesz swoich dostawców technologicznych? DORA wymaga, żebyś miał na to konkretne odpowiedzi i procedury.
Najważniejsze progi i obowiązki operacyjne
- KIP (krajowa instytucja płatnicza): minimalny kapitał 20 000–125 000 EUR, zależnie od modelu usług.
- MIP (mała instytucja płatnicza): limit 1 500 000 EUR średniomiesięcznego wolumenu oraz monitoring limitu środków klienta powyżej 2 000 EUR.
- AML: weryfikacja klienta przy relacjach i transakcjach wysokiego ryzyka; kluczowy próg transakcyjny to powyżej 10 000 EUR.
- MiCA: poprawna klasyfikacja aktywa i usługi przesądza o ścieżce obowiązków dla dostawcy usług krypto.
- DORA: incydenty IT i ryzyko dostawców muszą być zarządzane na bieżąco, nie jednorazowo.
- Niespójne wdrożenie PSD2 + AML + DORA + MiCA to najczęstsze źródło kosztownych poprawek po audycie.
dlaczego legal geek w fintech
0
years of Tomasz Klecor experience in FinTech
>
0
supervised institutions served by us
>
0
%
of all small payment institutions registered with our support
0
days
record time of MIP registration by our team
Stan prawny/materiał: 22 lutego 2026 r. (uzupełnienie MiCA/AML/DORA: 21 lutego 2026 r.).
najczęstsze błędy w fintechu — i jak ich uniknąć
Trzy przekonania, które regularnie kosztują fintechy czas i pieniądze. Sprawdź, czy któreś z nich dotyczy Ciebie.
Mit: „Mamy AML, więc DORA nas nie dotyczy”
Konsekwencja: organizacja ma dobre kontrole finansowe, ale nie domyka zarządzania ryzykiem IT, testów odporności i nadzoru nad dostawcami technologicznymi.
Co zrobić: połączyć kontrole finansowe z zarządzaniem ryzykiem IT w jednym modelu — żeby nie odkrywać luk dopiero na audycie.
Mit: „MIP wystarczy na każdy etap wzrostu”
Konsekwencja: przekroczenie limitów skali pod presją biznesową i ryzyko awaryjnej konwersji do pełnej licencji (KIP).
Co zrobić: zaplanować przejście z MIP na KIP (pełną licencję) na 6–12 miesięcy przed osiągnięciem limitów wolumenu.
Mit: „Model crypto i płatności można wdrażać osobno”
Konsekwencja: podwójna weryfikacja klientów, niespójne procedury reklamacyjne i konflikt ról między regulacjami płatniczymi a krypto.
Co zrobić: stworzyć jedną mapę usług i obowiązków, która obejmuje płatności, krypto i AML naraz.
Czym się różnią MIP, KIP i CASP?
- MIP (mała instytucja płatnicza): szybszy start i niższy próg wejścia, ale limity skali i brak pełnego paszportowania.
- KIP (krajowa instytucja płatnicza): pełna licencja dla szerszego modelu płatniczego, większe wymagania dotyczące zarządzania i kapitału.
- CASP (dostawca usług krypto, MiCA): reżim usług na kryptoaktywach; często wymaga integracji z AML i elementami modelu płatniczego.
Najczęstsze luki wykrywane w audytach
- brak jednej listy odpowiedzialnych za procesy między compliance, operacjami, bezpieczeństwem i IT,
- rozjazd między regulaminami klienta a realną ścieżką klienta w produkcie,
- niewystarczające dowody wykonania kontroli przy raportowaniu i przeglądach.
plan wdrożenia: 11 kroków do zgodności
Tak wygląda droga od etapu „muszę to ogarnąć” do etapu „mam to pod kontrolą”. Każdy krok ma konkretny cel i wymierny rezultat.
Etap 0 — diagnoza: które regulacje Cię dotyczą
RezultatCel: ustalić, które reżimy dotyczą Twojej działalności (PSD2, MiCA, AML, DORA).
Co robimy: sprawdzamy, jakie usługi oferujesz, jak przepływają pieniądze i w jakich krajach działasz.
Raport kwalifikacyjny: które regulacje dotyczą Twojego modelu i dlaczego
Etap 1 — mapa usług i obowiązków
RezultatCel: powiązać Twoją ofertę z konkretnymi obowiązkami prawnymi i operacyjnymi.
Co robimy: rozkładamy ofertę na części i sprawdzamy, jakie obowiązki wiążą się z każdą usługą i każdym krokiem klienta.
Mapa usług z przypisanymi obowiązkami regulacyjnymi
Etap 2 — licencja i autoryzacja
RezultatCel: zaprojektować właściwą ścieżkę licencyjną (MIP, KIP lub CASP).
Co robimy: analizujemy wymogi kapitałowe, przygotowujemy harmonogram postępowań i kompletujemy dokumenty.
Plan licencyjny i analiza wymogów kapitałowych
Etap 3 — kto za co odpowiada
RezultatCel: przypisać odpowiedzialność za zgodność w całej organizacji.
Co robimy: ustalamy, kto odpowiada za zgodność, kto podejmuje decyzje i jak wygląda obieg informacji — od zarządu po IT.
Matryca odpowiedzialności i schemat decyzyjny
Etap 4 — weryfikacja klientów i AML
RezultatCel: zbudować proces weryfikacji klientów zgodny z wymogami AML.
Co robimy: projektujemy weryfikację klientów od rejestracji, przez ocenę ryzyka, po sprawdzanie list sankcyjnych.
Procedury weryfikacji klientów (KYC/CDD) i przeciwdziałania praniu pieniędzy
Etap 5 — bezpieczeństwo IT i ciągłość działania
RezultatCel: zapewnić ciągłość działania i zgodność z wymaganiami DORA.
Co robimy: budujemy model zarządzania ryzykiem IT: jak klasyfikować incydenty, jak testować odporność systemów i co robić, gdy coś padnie.
Ramy odporności IT zgodne z DORA
Etap 6 — raportowanie i incydenty
RezultatCel: wdrożyć spójny model zgłoszeń i raportów do właściwych organów.
Co robimy: łączymy ścieżki raportowania AML, DORA i alerty płatnicze w jedną procedurę z jasnymi progami eskalacji.
Procedura reagowania na incydenty i raportowania do organów
Etap 7 — dokumentacja i informacje dla klientów
RezultatCel: zapewnić spójność dokumentów klientowskich, umów i informacji regulacyjnych.
Co robimy: aktualizujemy regulaminy, umowy i obowiązkowe informacje dla klientów, żeby były spójne ze wszystkimi regulacjami.
Pakiet dokumentacji klientowskiej i regulacyjnej
Etap 8 — testy i szkolenia
RezultatCel: upewnić się, że procesy działają w praktyce, a zespół zna swoje obowiązki.
Co robimy: testujemy procesy w praktyce, przeprowadzamy ćwiczenia symulacyjne i szkolimy zespół z jego konkretnych obowiązków.
Plan szkoleń i dokumentacja z testów
Etap 9 — gotowość do kontroli
RezultatCel: zminimalizować ryzyko kontroli i skrócić czas odpowiedzi na zapytania regulatora.
Co robimy: sprawdzamy, czy wszystko się spina: przegląd luk, test dowodów, plan naprawczy i osoby odpowiedzialne.
Raport gotowości do audytu
Etap 10 — utrzymanie zgodności na bieżąco
RezultatCel: utrzymać zgodność przy skalowaniu biznesu i zmianach regulacyjnych.
Co robimy: monitorujemy zmiany w prawie, robimy kwartalne przeglądy i aktualizujemy procesy — żeby zgodność nie była jednorazowym projektem.
Plan ciągłego utrzymania zgodności
integracja regulacyjna: jedna mapa procesów
Największa przewaga operacyjna wynika z jednej matrycy procesów. Ten sam onboarding, monitoring i zarządzanie może jednocześnie spełniać PSD2/UUP, MiCA, AML i DORA.
Onboarding i tożsamość
Łączymy silne uwierzytelnianie (SCA), weryfikację klienta (CDD/EDD) i reguły ryzyka tak, aby nie dublować kroków i zachować płynność procesu rejestracji.
Monitoring i incydenty
Budujemy wspólną logikę alertów dla oszustw, AML i incydentów ICT/IT, z jasnymi progami eskalacji i odpowiedzialności.
Dostawcy i outsourcing
Spójny model oceny dostawców (bezpieczeństwo, ciągłość, zgodność) wspiera jednocześnie DORA, AML i obowiązki usług płatniczych.
| Proces | PSD2/UUP | MiCA | AML/AMLR/TFR | DORA | RODO/NIS2 |
|---|---|---|---|---|---|
| Onboarding klienta | SCA, obowiązki informacyjne | Kwalifikacja usługi CASP | Weryfikacja klienta (CDD/EDD) | Kontrole dostępowe | Minimalizacja danych |
| Transaction monitoring | Oszustwa i reklamacje D+1 | Monitoring aktywów i transferów | Scenariusze AML i zgłoszenia STR | Monitoring zdarzeń ICT/IT | Bezpieczeństwo od projektu |
| Incydenty i raportowanie | Rejestr zdarzeń płatniczych | Obowiązki emitenta/CASP | Raporty do GIIF i eskalacja | Raportowanie incydentów (DORA) | Naruszenia danych i cyber |
| Zarządzanie dostawcami | Outsourcing krytycznych funkcji | Wsparcie usług tokenizacyjnych | Screening partnerów | Ryzyko dostawców IT | Bezpieczeństwo łańcucha dostaw (NIS2) |
| Zarządzanie i szkolenia | Odpowiedzialni za procesy płatnicze | Role CASP/emitenta | Compliance Officer i matryca AML | Rola bezpieczeństwa i ryzyka | Świadomość ochrony danych i cyber |
Efekt dla biznesu
- Jedna mapa kontroli zamiast kilku niezależnych list zadań do wdrożenia.
- Mniej duplikacji procesów i niższy koszt utrzymania zgodności.
- Szybsze przygotowanie organizacji do audytu i zapytań organów.
pakiety wsparcia fintech
Pakiety pomagają przejść od wiedzy do wdrożenia. Każdy ma jasno określony rezultat i zakres.
FinTech Readiness Scan
Dla kogo: zarządów i założycieli planujących wejście lub zmianę modelu biznesowego.
Co dostajesz: mapę regulacji, listę kluczowych ryzyk i plan działania na pierwsze 90 dni.
Licencja KIP/MIP
Dla kogo: organizacji budujących lub zmieniających model licencyjny.
Co dostajesz: prowadzenie projektu licencyjnego, dokumentację i wsparcie regulacyjne.
SCA & RTS Gap Analysis
Dla kogo: podmiotów chcących ograniczyć ryzyko sporów i strat wynikających z oszustw.
Co dostajesz: przegląd ścieżek uwierzytelniania, wyłączeń RTS i modelu dowodowego.
Open Banking/API Compliance
Dla kogo: banków i instytucji udostępniających API dla firm trzecich.
Co dostajesz: ramy zgodności API, zarządzanie zgodami klientów i plan naprawczy.
PSD2 + AML + DORA Integration
Dla kogo: firm z równoległymi projektami zgodności i ograniczonymi zasobami.
Co dostajesz: jedną macierz procesów, zintegrowane polityki i spójny model raportowania.
FinTech Compliance as a Service
Dla kogo: organizacji potrzebujących stałego wsparcia po uruchomieniu działalności.
Co dostajesz: monitoring zmian prawa, aktualizację dokumentów i kwartalne przeglądy zgodności.
ekspert prowadzący obszar fintech
Projekt prowadzimy w modelu biznesowo-regulacyjnym: najpierw decyzje wpływające na produkt i ryzyko, potem dokumentacja i wdrożenie operacyjne.
Wsparcie od pierwszej decyzji
- Kwalifikacja modelu i wybór ścieżki licencyjnej.
- Etapowanie wdrożenia i priorytety zarządcze.
- Praca z biznesem, compliance i IT w jednym rytmie.
Atuty zespołu Legal Geek
- Doświadczenie we wdrożeniach MIP/KIP oraz projektach łączących kilka regulacji.
- Łączenie PSD2 z AML, DORA i MiCA bez duplikacji procesów.
- Wsparcie w audytach i komunikacji z organami nadzoru.
Kontakt w sprawie FinTech
Tomasz Klecor
Managing Partner
FinTech navigator. Lawyer.
For over fourteen years he has advised the financial sector, including KNF-supervised entities. He specializes in payment institutions, AML, and FinTech projects.
LinkedIn
FAQ FinTech
Pytania, które najczęściej padają przy łączeniu PSD2, MiCA, AML i DORA jednocześnie.
Punkt startu to kwalifikacja usługi i przepływu środków — analizujemy, jak pieniądze trafiają od klienta do Ciebie i co się z nimi dzieje. To określa, czy wchodzisz w model MIP (mała instytucja płatnicza), KIP (krajowa instytucja płatnicza), czy inny reżim.
MIP (mała instytucja płatnicza) sprawdza się na etapie wejścia i walidacji modelu — szybszy start, niższe wymagania. KIP (krajowa instytucja płatnicza) jest właściwy, gdy chcesz skalować zakres usług i wolumen. Kluczowe to zaplanować przejście z wyprzedzeniem, nie pod presją limitu.
Potrzebna jest jasna procedura reagowania na incydenty: szybki zwrot środków w terminie D+1 (następny dzień roboczy) i równoległa ścieżka analizy AML z jasnym modelem eskalacji. Jedno nie może blokować drugiego — dlatego budujemy to razem od początku.
Gdy działasz jako podmiot finansowy lub pełnisz krytyczne funkcje IT w łańcuchu instytucji finansowej. DORA wymaga zarządzania ryzykiem IT, raportowania incydentów i kontroli nad dostawcami technologicznymi — niezależnie od tego, czy jesteś bankiem, czy fintechem.
Decydują rodzaj kryptoaktywa, katalog usług i sposób obsługi klienta. Poprawna klasyfikacja aktywa (czy to token użytkowy, stablecoin, czy inny typ) jest punktem startowym — od niej zależy cała ścieżka obowiązków.
W praktyce tak — i warto. Wspólne wdrożenie zmniejsza duplikacje procesów (np. ten sam onboarding obsługuje PSD2 i AML), ułatwia audyt i obniża koszt utrzymania zgodności. Robienie tego osobno oznacza płacenie za to samo kilka razy.
AIS (dostęp do informacji o koncie) i PIS (inicjowanie płatności) to odrębne usługi z własnymi obowiązkami. Krytyczne jest poprawne przypisanie ról, zarządzanie interfejsami API i jasny model reklamacyjny — bo odpowiedzialność rozkłada się inaczej niż w klasycznych płatnościach.
Zaczynamy od wspólnej mapy procesów i osób odpowiedzialnych, potem budujemy jedną matrycę dowodów kontrolnych dla PSD2, MiCA, AML i DORA. Efekt: zamiast czterech osobnych projektów masz jeden spójny system.
Bezpośrednio dotyczy transferów krypto, ale wpływa też na fintechy łączące produkty płatnicze i crypto. Travel Rule zmienia zakres danych, które musisz zbierać i przekazywać — więc jeśli planujesz łączyć oba światy, warto to uwzględnić od początku.
skontaktuj się w sprawie projektu fintech
Napisz lub zadzwoń — w pierwszej rozmowie ustalimy, na jakim etapie jesteś i czego potrzebujesz.