Mała Instytucja Płatnicza (MIP)
Najszybsza ścieżka do legalnych usług płatniczych.
- Rejestracja MIP w KNF od A do Z
- Dokumentacja i procedury operacyjne
- Monitoring limitu 1,5 mln EUR
- Plan konwersji MIP → KIP
Nawigujemy FinTech przez ocean regulacji. Bezpiecznie.
Prowadzisz fintech albo planujesz start? Pomagamy ogarnąć wszystkie regulacje naraz — PSD2, MiCA, AML, DORA i tak dalej. Jednocześnie rozumiemy biznes.
marki fintech, z którymi pracowaliśmy
w czym się specjalizujemy?
FinTech, LendTech, PayTech, Krypto. Niezależnie w którym obszarze działasz - pomożemy Ci.
Krajowa Instytucja Płatnicza (KIP)
Pełna licencja płatnicza bez limitów wolumenu.
- Strategia licencyjna i wniosek do KNF
- Kapitał, zabezpieczenie środków, raportowanie
- Bieżący compliance po uzyskaniu zezwolenia
- Ekspansja i skalowanie modelu
MiCA — kryptoaktywa
Od klasyfikacji aktywa po licencję CASP i zgodność post-licencyjną.
- Klasyfikacja tokenów i usług kryptoaktywowych
- Wniosek o autoryzację CASP
- Dokumentacja white paper i integracja AML
- Połączenie z wymogami PSD2 i DORA
Pożyczki / BNPL
Gotowość na CCD2 i nadzór KNF w modelu kredytowym.
- Kwalifikacja modelu BNPL / pożyczkowego
- Dokumentacja przedumowna i umowna
- Ochrona przed sankcją kredytu darmowego (SKD)
- Wpis do rejestru działalności kredytowej
AML — przeciwdziałanie praniu pieniędzy
Procedury AML dopasowane do skali i profilu ryzyka fintechu.
- Procedury CDD/EDD i monitoring transakcji
- Screening sankcyjny i zgłoszenia STR
- Audyty AML i gotowość na kontrole AMLA
- Szkolenia AML dla zespołów
DORA — odporność cyfrowa
Wdrożenie odporności IT wymagane od podmiotów finansowych.
- Zarządzanie ryzykiem ICT
- Procedury raportowania incydentów
- Testy odporności cyfrowej
- Nadzór nad dostawcami technologicznymi
cztery filary regulacji fintech — i jak je ogarnąć razem
Każdy fintech musi zmierzyć się z czterema obszarami regulacji. Pomagamy ocenić, co jest pilne teraz, a co zaplanować na kolejne etapy.
PSD2 / UUP — płatności
Jeśli przyjmujesz płatności lub udostępniasz konta — musisz wiedzieć, jaki typ licencji Ci odpowiada (MIP czy KIP), jak zabezpieczyć transakcje (SCA) i co się dzieje, gdy klient zgłosi nieautoryzowaną operację.
MiCA — kryptoaktywa
Jeśli masz do czynienia z tokenami lub kryptowalutami — musisz ustalić, jak sklasyfikować swoje aktywa, czy potrzebujesz licencji CASP (dostawca usług krypto) i jakie dokumenty przygotować.
AML — przeciwdziałanie praniu pieniędzy
Weryfikacja klientów (KYC/CDD), sprawdzanie list sankcyjnych, monitoring podejrzanych transakcji i zgłaszanie ich do GIIF — to obowiązki każdej instytucji finansowej, w tym fintechów.
DORA — odporność cyfrowa
Jak zarządzasz ryzykiem IT? Jak reagujesz na awarie? Czy kontrolujesz swoich dostawców technologicznych? DORA wymaga, żebyś miał na to konkretne odpowiedzi i procedury.
Najważniejsze progi i obowiązki operacyjne
- KIP (krajowa instytucja płatnicza): minimalny kapitał 20 000–125 000 EUR, zależnie od modelu usług.
- MIP (mała instytucja płatnicza): limit 1 500 000 EUR średniomiesięcznego wolumenu oraz monitoring limitu środków klienta powyżej 2 000 EUR.
- AML: weryfikacja klienta przy relacjach i transakcjach wysokiego ryzyka; kluczowy próg transakcyjny to powyżej 10 000 EUR.
- MiCA: poprawna klasyfikacja aktywa i usługi przesądza o ścieżce obowiązków dla dostawcy usług krypto.
- DORA: incydenty IT i ryzyko dostawców muszą być zarządzane na bieżąco, nie jednorazowo.
- Niespójne wdrożenie PSD2 + AML + DORA + MiCA to najczęstsze źródło kosztownych poprawek po audycie.
dlaczego legal geek w fintech
0
anos de experiencia de Tomasz Klecor en FinTech
>
0
instituciones supervisadas atendidas por nosotros
>
0
%
de todas las pequenas instituciones de pago registradas con nuestro apoyo
0
dias
tiempo record de registro MIP por nuestro equipo
Stan prawny/materiał: 22 lutego 2026 r. (uzupełnienie MiCA/AML/DORA: 21 lutego 2026 r.).
najczęstsze błędy w fintechu — i jak ich uniknąć
Trzy przekonania, które regularnie kosztują fintechy czas i pieniądze. Sprawdź, czy któreś z nich dotyczy Ciebie.
Mit: „Mamy AML, więc DORA nas nie dotyczy”
Konsekwencja: organizacja ma dobre kontrole finansowe, ale nie domyka zarządzania ryzykiem IT, testów odporności i nadzoru nad dostawcami technologicznymi.
Co zrobić: połączyć kontrole finansowe z zarządzaniem ryzykiem IT w jednym modelu — żeby nie odkrywać luk dopiero na audycie.
Mit: „MIP wystarczy na każdy etap wzrostu”
Konsekwencja: przekroczenie limitów skali pod presją biznesową i ryzyko awaryjnej konwersji do pełnej licencji (KIP).
Co zrobić: zaplanować przejście z MIP na KIP (pełną licencję) na 6–12 miesięcy przed osiągnięciem limitów wolumenu.
Mit: „Model crypto i płatności można wdrażać osobno”
Konsekwencja: podwójna weryfikacja klientów, niespójne procedury reklamacyjne i konflikt ról między regulacjami płatniczymi a krypto.
Co zrobić: stworzyć jedną mapę usług i obowiązków, która obejmuje płatności, krypto i AML naraz.
Czym się różnią MIP, KIP i CASP?
- MIP (mała instytucja płatnicza): szybszy start i niższy próg wejścia, ale limity skali i brak pełnego paszportowania.
- KIP (krajowa instytucja płatnicza): pełna licencja dla szerszego modelu płatniczego, większe wymagania dotyczące zarządzania i kapitału.
- CASP (dostawca usług krypto, MiCA): reżim usług na kryptoaktywach; często wymaga integracji z AML i elementami modelu płatniczego.
Najczęstsze luki wykrywane w audytach
- brak jednej listy odpowiedzialnych za procesy między compliance, operacjami, bezpieczeństwem i IT,
- rozjazd między regulaminami klienta a realną ścieżką klienta w produkcie,
- niewystarczające dowody wykonania kontroli przy raportowaniu i przeglądach.
plan wdrożenia: 11 kroków do zgodności
Tak wygląda droga od etapu „muszę to ogarnąć” do etapu „mam to pod kontrolą”. Każdy krok ma konkretny cel i wymierny rezultat.
Etap 0 — diagnoza: które regulacje Cię dotyczą
RezultatCel: ustalić, które reżimy dotyczą Twojej działalności (PSD2, MiCA, AML, DORA).
Co robimy: sprawdzamy, jakie usługi oferujesz, jak przepływają pieniądze i w jakich krajach działasz.
Raport kwalifikacyjny: które regulacje dotyczą Twojego modelu i dlaczego
Etap 1 — mapa usług i obowiązków
RezultatCel: powiązać Twoją ofertę z konkretnymi obowiązkami prawnymi i operacyjnymi.
Co robimy: rozkładamy ofertę na części i sprawdzamy, jakie obowiązki wiążą się z każdą usługą i każdym krokiem klienta.
Mapa usług z przypisanymi obowiązkami regulacyjnymi
Etap 2 — licencja i autoryzacja
RezultatCel: zaprojektować właściwą ścieżkę licencyjną (MIP, KIP lub CASP).
Co robimy: analizujemy wymogi kapitałowe, przygotowujemy harmonogram postępowań i kompletujemy dokumenty.
Plan licencyjny i analiza wymogów kapitałowych
Etap 3 — kto za co odpowiada
RezultatCel: przypisać odpowiedzialność za zgodność w całej organizacji.
Co robimy: ustalamy, kto odpowiada za zgodność, kto podejmuje decyzje i jak wygląda obieg informacji — od zarządu po IT.
Matryca odpowiedzialności i schemat decyzyjny
Etap 4 — weryfikacja klientów i AML
RezultatCel: zbudować proces weryfikacji klientów zgodny z wymogami AML.
Co robimy: projektujemy weryfikację klientów od rejestracji, przez ocenę ryzyka, po sprawdzanie list sankcyjnych.
Procedury weryfikacji klientów (KYC/CDD) i przeciwdziałania praniu pieniędzy
Etap 5 — bezpieczeństwo IT i ciągłość działania
RezultatCel: zapewnić ciągłość działania i zgodność z wymaganiami DORA.
Co robimy: budujemy model zarządzania ryzykiem IT: jak klasyfikować incydenty, jak testować odporność systemów i co robić, gdy coś padnie.
Ramy odporności IT zgodne z DORA
Etap 6 — raportowanie i incydenty
RezultatCel: wdrożyć spójny model zgłoszeń i raportów do właściwych organów.
Co robimy: łączymy ścieżki raportowania AML, DORA i alerty płatnicze w jedną procedurę z jasnymi progami eskalacji.
Procedura reagowania na incydenty i raportowania do organów
Etap 7 — dokumentacja i informacje dla klientów
RezultatCel: zapewnić spójność dokumentów klientowskich, umów i informacji regulacyjnych.
Co robimy: aktualizujemy regulaminy, umowy i obowiązkowe informacje dla klientów, żeby były spójne ze wszystkimi regulacjami.
Pakiet dokumentacji klientowskiej i regulacyjnej
Etap 8 — testy i szkolenia
RezultatCel: upewnić się, że procesy działają w praktyce, a zespół zna swoje obowiązki.
Co robimy: testujemy procesy w praktyce, przeprowadzamy ćwiczenia symulacyjne i szkolimy zespół z jego konkretnych obowiązków.
Plan szkoleń i dokumentacja z testów
Etap 9 — gotowość do kontroli
RezultatCel: zminimalizować ryzyko kontroli i skrócić czas odpowiedzi na zapytania regulatora.
Co robimy: sprawdzamy, czy wszystko się spina: przegląd luk, test dowodów, plan naprawczy i osoby odpowiedzialne.
Raport gotowości do audytu
Etap 10 — utrzymanie zgodności na bieżąco
RezultatCel: utrzymać zgodność przy skalowaniu biznesu i zmianach regulacyjnych.
Co robimy: monitorujemy zmiany w prawie, robimy kwartalne przeglądy i aktualizujemy procesy — żeby zgodność nie była jednorazowym projektem.
Plan ciągłego utrzymania zgodności
integracja regulacyjna: jedna mapa procesów
Największa przewaga operacyjna wynika z jednej matrycy procesów. Ten sam onboarding, monitoring i zarządzanie może jednocześnie spełniać PSD2/UUP, MiCA, AML i DORA.
Onboarding i tożsamość
Łączymy silne uwierzytelnianie (SCA), weryfikację klienta (CDD/EDD) i reguły ryzyka tak, aby nie dublować kroków i zachować płynność procesu rejestracji.
Monitoring i incydenty
Budujemy wspólną logikę alertów dla oszustw, AML i incydentów ICT/IT, z jasnymi progami eskalacji i odpowiedzialności.
Dostawcy i outsourcing
Spójny model oceny dostawców (bezpieczeństwo, ciągłość, zgodność) wspiera jednocześnie DORA, AML i obowiązki usług płatniczych.
| Proces | PSD2/UUP | MiCA | AML/AMLR/TFR | DORA | RODO/NIS2 |
|---|---|---|---|---|---|
| Onboarding klienta | SCA, obowiązki informacyjne | Kwalifikacja usługi CASP | Weryfikacja klienta (CDD/EDD) | Kontrole dostępowe | Minimalizacja danych |
| Monitoreo de transacciones | Oszustwa i reklamacje D+1 | Monitoring aktywów i transferów | Scenariusze AML i zgłoszenia STR | Monitoring zdarzeń ICT/IT | Bezpieczeństwo od projektu |
| Incydenty i raportowanie | Rejestr zdarzeń płatniczych | Obowiązki emitenta/CASP | Raporty do GIIF i eskalacja | Raportowanie incydentów (DORA) | Naruszenia danych i cyber |
| Zarządzanie dostawcami | Outsourcing krytycznych funkcji | Wsparcie usług tokenizacyjnych | Screening partnerów | Ryzyko dostawców IT | Bezpieczeństwo łańcucha dostaw (NIS2) |
| Zarządzanie i szkolenia | Odpowiedzialni za procesy płatnicze | Role CASP/emitenta | Compliance Officer i matryca AML | Rola bezpieczeństwa i ryzyka | Świadomość ochrony danych i cyber |
Efekt dla biznesu
- Jedna mapa kontroli zamiast kilku niezależnych list zadań do wdrożenia.
- Mniej duplikacji procesów i niższy koszt utrzymania zgodności.
- Szybsze przygotowanie organizacji do audytu i zapytań organów.
pakiety wsparcia fintech
Pakiety pomagają przejść od wiedzy do wdrożenia. Każdy ma jasno określony rezultat i zakres.
FinTech Readiness Scan
Dla kogo: zarządów i założycieli planujących wejście lub zmianę modelu biznesowego.
Co dostajesz: mapę regulacji, listę kluczowych ryzyk i plan działania na pierwsze 90 dni.
Licencja KIP/MIP
Dla kogo: organizacji budujących lub zmieniających model licencyjny.
Co dostajesz: prowadzenie projektu licencyjnego, dokumentację i wsparcie regulacyjne.
SCA & RTS Gap Analysis
Dla kogo: podmiotów chcących ograniczyć ryzyko sporów i strat wynikających z oszustw.
Co dostajesz: przegląd ścieżek uwierzytelniania, wyłączeń RTS i modelu dowodowego.
Open Banking/API Compliance
Dla kogo: banków i instytucji udostępniających API dla firm trzecich.
Co dostajesz: ramy zgodności API, zarządzanie zgodami klientów i plan naprawczy.
PSD2 + AML + DORA Integration
Dla kogo: firm z równoległymi projektami zgodności i ograniczonymi zasobami.
Co dostajesz: jedną macierz procesów, zintegrowane polityki i spójny model raportowania.
FinTech Compliance as a Service
Dla kogo: organizacji potrzebujących stałego wsparcia po uruchomieniu działalności.
Co dostajesz: monitoring zmian prawa, aktualizację dokumentów i kwartalne przeglądy zgodności.
ekspert prowadzący obszar fintech
Projekt prowadzimy w modelu biznesowo-regulacyjnym: najpierw decyzje wpływające na produkt i ryzyko, potem dokumentacja i wdrożenie operacyjne.
Wsparcie od pierwszej decyzji
- Kwalifikacja modelu i wybór ścieżki licencyjnej.
- Etapowanie wdrożenia i priorytety zarządcze.
- Praca z biznesem, compliance i IT w jednym rytmie.
Atuty zespołu Legal Geek
- Doświadczenie we wdrożeniach MIP/KIP oraz projektach łączących kilka regulacji.
- Łączenie PSD2 z AML, DORA i MiCA bez duplikacji procesów.
- Wsparcie w audytach i komunikacji z organami nadzoru.
Kontakt w sprawie FinTech
Tomasz Klecor
Socio Director
Navegador FinTech. Abogado.
Desde hace mas de catorce anos asesora al sector financiero, incluidas entidades supervisadas por la KNF. Se especializa en instituciones de pago, AML y proyectos FinTech.
LinkedIn
FAQ FinTech
Pytania, które najczęściej padają przy łączeniu PSD2, MiCA, AML i DORA jednocześnie.
Punkt startu to kwalifikacja usługi i przepływu środków — analizujemy, jak pieniądze trafiają od klienta do Ciebie i co się z nimi dzieje. To określa, czy wchodzisz w model MIP (mała instytucja płatnicza), KIP (krajowa instytucja płatnicza), czy inny reżim.
MIP (mała instytucja płatnicza) sprawdza się na etapie wejścia i walidacji modelu — szybszy start, niższe wymagania. KIP (krajowa instytucja płatnicza) jest właściwy, gdy chcesz skalować zakres usług i wolumen. Kluczowe to zaplanować przejście z wyprzedzeniem, nie pod presją limitu.
Potrzebna jest jasna procedura reagowania na incydenty: szybki zwrot środków w terminie D+1 (następny dzień roboczy) i równoległa ścieżka analizy AML z jasnym modelem eskalacji. Jedno nie może blokować drugiego — dlatego budujemy to razem od początku.
Gdy działasz jako podmiot finansowy lub pełnisz krytyczne funkcje IT w łańcuchu instytucji finansowej. DORA wymaga zarządzania ryzykiem IT, raportowania incydentów i kontroli nad dostawcami technologicznymi — niezależnie od tego, czy jesteś bankiem, czy fintechem.
Decydują rodzaj kryptoaktywa, katalog usług i sposób obsługi klienta. Poprawna klasyfikacja aktywa (czy to token użytkowy, stablecoin, czy inny typ) jest punktem startowym — od niej zależy cała ścieżka obowiązków.
W praktyce tak — i warto. Wspólne wdrożenie zmniejsza duplikacje procesów (np. ten sam onboarding obsługuje PSD2 i AML), ułatwia audyt i obniża koszt utrzymania zgodności. Robienie tego osobno oznacza płacenie za to samo kilka razy.
AIS (dostęp do informacji o koncie) i PIS (inicjowanie płatności) to odrębne usługi z własnymi obowiązkami. Krytyczne jest poprawne przypisanie ról, zarządzanie interfejsami API i jasny model reklamacyjny — bo odpowiedzialność rozkłada się inaczej niż w klasycznych płatnościach.
Zaczynamy od wspólnej mapy procesów i osób odpowiedzialnych, potem budujemy jedną matrycę dowodów kontrolnych dla PSD2, MiCA, AML i DORA. Efekt: zamiast czterech osobnych projektów masz jeden spójny system.
Bezpośrednio dotyczy transferów krypto, ale wpływa też na fintechy łączące produkty płatnicze i crypto. Travel Rule zmienia zakres danych, które musisz zbierać i przekazywać — więc jeśli planujesz łączyć oba światy, warto to uwzględnić od początku.
skontaktuj się w sprawie projektu fintech
Napisz lub zadzwoń — w pierwszej rozmowie ustalimy, na jakim etapie jesteś i czego potrzebujesz.