欧洲支付機構牌照Payment Instuition PI
背景与法律框架
支付服务指令的演变:
- 2023年6月,欧盟委员会提出PSD3草案,预计2025-2026年逐步实施。
- PSD3将进一步整合PI和电子货币机构(EMI)的监管框架,简化牌照分类,并加强对非银行支付机构的监管。
- 2015年发布,2018年1月13日起实施,取代PSD1。
- 引入了开放银行(Open Banking)概念,要求银行通过API向第三方支付机构开放客户账户数据(经客户同意)。
- 新增了支付发起服务(PIS)和账户信息服务(AIS),并强化了强客户认证(SCA, Strong Customer Authentication)要求。
- 提高了反洗钱(AML)和数据保护(GDPR)标准,增加了支付安全措施(如双因素认证)。
- 2007年颁布,首次统一了欧盟支付市场的监管框架,引入了支付机构(PI)的概念,允许非银行机构提供支付服务。
- 目标是打破银行对支付服务的垄断,促进竞争,降低消费者成本。
- PSD1(2007/64/EC):
- PSD2(2015/2366/EU):
- 未来趋势:PSD3:
单一护照机制(Passporting):
- PI牌照持有人可在EEA的31个国家(欧盟27国+冰岛、列支敦士登、挪威)提供服务,无需在每个国家单独申请牌照。
- 申请流程:向主监管机构(Home State Regulator)提交“护照”申请,通知目标国家(Host State)的监管机构。
- 脱欧后,英国的PI牌照不再适用于EEA,需在欧盟成员国重新申请。
与其他法规的互动:
- GDPR(General Data Protection Regulation):PI持牌机构需遵守严格的数据隐私要求,保护客户支付数据。
- AML/CTF(反洗钱与反恐怖融资):需实施客户尽职调查(KYC)、交易监控和可疑活动报告。
- MiFID II(金融工具市场指令):若涉及投资相关支付服务,可能需额外遵守MiFID II。
- EBA指南:欧洲银行管理局(EBA)定期发布技术标准(如RTS on SCA),指导PI合规。
监管机构概览:
- 卢森堡:CSSF(金融监管委员会),以严格但高效著称。
- 立陶宛:立陶宛银行,审批速度快,成本低,吸引大量金融科技公司。
- 马耳他:MFSA,监管灵活,税收优惠。
- 荷兰:DNB(荷兰中央银行),适合大型支付机构。
- 德国:BaFin,监管严格,适合追求高信誉的企业。
- 每个国家的主管机构负责牌照颁发和监督。例如:
PI牌照的服务范围
- 根据PSD2,PI牌照允许提供以下八类支付服务,具体细节如下:限制:
- PI牌照不允许发行电子货币(如数字货币、预付卡余额),需申请EMI牌照。
- PI机构不能持有客户资金超过一定期限(通常为支付处理所需时间)。
- 部分国家允许PI提供附加服务,如外汇兑换(需额外许可)。
- 为商户处理支付交易,包括:
- 需与Visa、Mastercard等支付网络合作。
- 在线支付网关(如Stripe、Adyen)。
- POS终端(如Square)。
- 整合客户多个银行账户的数据,提供财务概览。
- 需客户授权访问银行账户信息。
- 应用场景:个人理财APP(如Mint、Yolt)。
- 代表客户从其银行账户发起支付。
- 需通过银行API访问账户(基于PSD2开放银行)。
- 应用场景:电商平台直接从客户银行账户扣款。
- 无需支付账户,直接转移资金。
- 应用场景:跨境汇款(如西联汇款模式)、个人对个人转账。
- 发行和管理支付工具,如:
- 应用场景:企业发行品牌预付卡、虚拟卡。
- 物理卡(如预付卡、借记卡)。
- 数字钱包(如移动支付APP)。
- 处理基于支付账户的交易,包括:
- 应用场景:电商支付、P2P转账。
- 直接借记(Direct Debit):如定期扣款(房租、订阅)。
- 银行转账(Credit Transfer):如SEPA转账。
- 卡支付:借记卡、信用卡交易。
- 允许客户在支付账户上存款或取款。
- 应用场景:ATM服务、银行柜台存取款、零售点现金服务。
现金存取服务:
支付交易执行:
支付工具发行:
汇款服务:
支付发起服务(PIS):
账户信息服务(AIS):
商人收单服务:
其他服务(视国家而定):
申请PI牌照的详细要求与流程
申请PI牌照需满足多方面要求,以下是逐项拆解:
公司设立:
- 在EEA国家注册法人实体,通常为有限责任公司(LLC)。
- 需在注册国家设有实际办公室(非虚拟地址),并雇佣本地员工。
- 部分国家(如立陶宛)允许远程管理,但需至少一名本地高管。
最低资本要求:
- 汇款服务:2万欧元。
- 支付工具发行或交易执行:5万欧元。
- 收单服务或综合支付服务:12.5万欧元。
- 根据服务类型,资本要求如下:
- 资本需存入指定银行账户,并提交证明。
- 监管机构可能要求额外资本以覆盖运营风险。
商业计划:
- 业务模式:目标市场、服务类型、收入来源。
- 市场分析:竞争对手、客户群体、市场规模。
- 财务预测:3-5年的收入、支出、利润预测。
- 风险管理:识别市场、运营、技术风险及应对措施。
- 提交详细的商业计划书,包括:
治理与合规:
- 建立风险管理、内部审计、数据保护机制。
- 提交组织架构图,明确职责分工。
- 制定详细的反洗钱和反恐怖融资流程,包括KYC、交易监控、报告机制。
- 需任命合规官(MLRO, Money Laundering Reporting Officer)。
- 所有高管和持股10%以上的股东需通过“适当性与诚信”审查。
- 提交个人简历、无犯罪记录证明、财务状况证明。
- 高管与股东审查:
- AML/CTF政策:
- 内部控制:
技术与安全要求:
- PCI-DSS:确保支付卡数据安全。
- ISO 27001(可选):信息安全管理认证。
- SCA:实施强客户认证(如双因素认证)。
- 支付系统需符合以下标准:
- 提交IT系统架构图、灾难恢复计划、网络安全措施。
- 对于PIS/AIS服务,需证明与银行API的对接能力。
申请流程:
- 步骤5:牌照颁发:
- 审核通过后,颁发PI牌照,机构可开始运营。
- 通过“单一护照”机制,通知其他EEA国家监管机构,扩展服务范围。
- 监管机构审查申请材料,可能要求补充文件或面试高管。
- 审核时间:3-12个月(立陶宛6-9个月,卢森堡9-12个月)。
- 准备文件,包括商业计划、合规政策、财务报表、股东信息等。
- 提交至监管机构,通常通过在线平台或纸质文件。
- 与监管机构进行初步沟通,确认申请资格。
- 部分国家(如立陶宛)提供预申请咨询服务。
- 步骤1:预申请:
- 步骤2:提交申请:
- 步骤3:审核:
- 步骤4:牌Hotels.com(类似Tripadvisor)提供旅游建议和信息:
申请成本:
- 办公室租赁、员工薪资、系统开发。
- 持续合规成本(审计、报告、IT维护)。
- 申请费:5000-2万欧元(因国家而异)。
- 法律咨询费:5万-20万欧元(视复杂程度)。
- 最低资本:2万-12.5万欧元。
- 直接成本:
- 间接成本:
PI牌照的监管与持续合规
持续监管要求:
- 遵守GDPR,确保客户数据安全,防止泄露。
- 客户资金需存放在隔离账户(Safeguarded Account),不得挪用。
- 每年接受 接受外部审计,检查财务、合规和技术系统。
- 定期提交财务报表、AML/CTF报告、风险管理报告。
- 重大事件(如高管变更、系统故障)需及时报告。
- 报告义务:
- 审计:
- 客户资金保护:
- 数据保护:
处罚与吊销:
- 违反监管要求可能导致罚款、限制运营或牌照吊销。
- 常见违规:AML/CTF失败、未报告可疑交易、数据泄露。