Mała Instytucja Płatnicza (MIP)
Najszybsza ścieżka do legalnych usług płatniczych.
- Rejestracja MIP w KNF od A do Z
- Dokumentacja i procedury operacyjne
- Monitoring limitu 1,5 mln EUR
- Plan konwersji MIP → KIP
Nawigujemy FinTech przez ocean regulacji. Bezpiecznie.
Prowadzisz fintech albo planujesz start? Pomagamy ogarnąć wszystkie regulacje naraz — PSD2, MiCA, AML, DORA i tak dalej. Jednocześnie rozumiemy biznes.
marki fintech, z którymi pracowaliśmy
w czym się specjalizujemy?
FinTech, LendTech, PayTech, Krypto. Niezależnie w którym obszarze działasz - pomożemy Ci.
Krajowa Instytucja Płatnicza (KIP)
Pełna licencja płatnicza bez limitów wolumenu.
- Strategia licencyjna i wniosek do KNF
- Kapitał, zabezpieczenie środków, raportowanie
- Bieżący compliance po uzyskaniu zezwolenia
- Ekspansja i skalowanie modelu
MiCA — kryptoaktywa
Od klasyfikacji aktywa po licencję CASP i zgodność post-licencyjną.
- Klasyfikacja tokenów i usług kryptoaktywowych
- Wniosek o autoryzację CASP
- Dokumentacja white paper i integracja AML
- Połączenie z wymogami PSD2 i DORA
Pożyczki / BNPL
Gotowość na CCD2 i nadzór KNF w modelu kredytowym.
- Kwalifikacja modelu BNPL / pożyczkowego
- Dokumentacja przedumowna i umowna
- Ochrona przed sankcją kredytu darmowego (SKD)
- Wpis do rejestru działalności kredytowej
AML — przeciwdziałanie praniu pieniędzy
Procedury AML dopasowane do skali i profilu ryzyka fintechu.
- Procedury CDD/EDD i monitoring transakcji
- Screening sankcyjny i zgłoszenia STR
- Audyty AML i gotowość na kontrole AMLA
- Szkolenia AML dla zespołów
DORA — odporność cyfrowa
Wdrożenie odporności IT wymagane od podmiotów finansowych.
- Zarządzanie ryzykiem ICT
- Procedury raportowania incydentów
- Testy odporności cyfrowej
- Nadzór nad dostawcami technologicznymi
cztery filary regulacji fintech — i jak je ogarnąć razem
Każdy fintech musi zmierzyć się z czterema obszarami regulacji. Pomagamy ocenić, co jest pilne teraz, a co zaplanować na kolejne etapy.
PSD2 / UUP — płatności
Jeśli przyjmujesz płatności lub udostępniasz konta — musisz wiedzieć, jaki typ licencji Ci odpowiada (MIP czy KIP), jak zabezpieczyć transakcje (SCA) i co się dzieje, gdy klient zgłosi nieautoryzowaną operację.
MiCA — kryptoaktywa
Jeśli masz do czynienia z tokenami lub kryptowalutami — musisz ustalić, jak sklasyfikować swoje aktywa, czy potrzebujesz licencji CASP (dostawca usług krypto) i jakie dokumenty przygotować.
AML — przeciwdziałanie praniu pieniędzy
Weryfikacja klientów (KYC/CDD), sprawdzanie list sankcyjnych, monitoring podejrzanych transakcji i zgłaszanie ich do GIIF — to obowiązki każdej instytucji finansowej, w tym fintechów.
DORA — odporność cyfrowa
Jak zarządzasz ryzykiem IT? Jak reagujesz na awarie? Czy kontrolujesz swoich dostawców technologicznych? DORA wymaga, żebyś miał na to konkretne odpowiedzi i procedury.
Najważniejsze progi i obowiązki operacyjne
- KIP (krajowa instytucja płatnicza): minimalny kapitał 20 000–125 000 EUR, zależnie od modelu usług.
- MIP (mała instytucja płatnicza): limit 1 500 000 EUR średniomiesięcznego wolumenu oraz monitoring limitu środków klienta powyżej 2 000 EUR.
- AML: weryfikacja klienta przy relacjach i transakcjach wysokiego ryzyka; kluczowy próg transakcyjny to powyżej 10 000 EUR.
- MiCA: poprawna klasyfikacja aktywa i usługi przesądza o ścieżce obowiązków dla dostawcy usług krypto.
- DORA: incydenty IT i ryzyko dostawców muszą być zarządzane na bieżąco, nie jednorazowo.
- Niespójne wdrożenie PSD2 + AML + DORA + MiCA to najczęstsze źródło kosztownych poprawek po audycie.
dlaczego legal geek w fintech
0
lat doświadczenia Tomasza Klecora w FinTech
>
0
instytucji nadzorowanych przez KNF obsługiwanych przez nas
>
0
%
wszystkich MIP zarejestrowanych przy naszym udziale
0
dni
rekordowy czas rejestracji MIP przez nas
Stan prawny/materiał: 22 lutego 2026 r. (uzupełnienie MiCA/AML/DORA: 21 lutego 2026 r.).
najczęstsze błędy w fintechu — i jak ich uniknąć
Trzy przekonania, które regularnie kosztują fintechy czas i pieniądze. Sprawdź, czy któreś z nich dotyczy Ciebie.
Mit: „Mamy AML, więc DORA nas nie dotyczy”
Konsekwencja: organizacja ma dobre kontrole finansowe, ale nie domyka zarządzania ryzykiem IT, testów odporności i nadzoru nad dostawcami technologicznymi.
Co zrobić: połączyć kontrole finansowe z zarządzaniem ryzykiem IT w jednym modelu — żeby nie odkrywać luk dopiero na audycie.
Mit: „MIP wystarczy na każdy etap wzrostu”
Konsekwencja: przekroczenie limitów skali pod presją biznesową i ryzyko awaryjnej konwersji do pełnej licencji (KIP).
Co zrobić: zaplanować przejście z MIP na KIP (pełną licencję) na 6–12 miesięcy przed osiągnięciem limitów wolumenu.
Mit: „Model crypto i płatności można wdrażać osobno”
Konsekwencja: podwójna weryfikacja klientów, niespójne procedury reklamacyjne i konflikt ról między regulacjami płatniczymi a krypto.
Co zrobić: stworzyć jedną mapę usług i obowiązków, która obejmuje płatności, krypto i AML naraz.
Czym się różnią MIP, KIP i CASP?
- MIP (mała instytucja płatnicza): szybszy start i niższy próg wejścia, ale limity skali i brak pełnego paszportowania.
- KIP (krajowa instytucja płatnicza): pełna licencja dla szerszego modelu płatniczego, większe wymagania dotyczące zarządzania i kapitału.
- CASP (dostawca usług krypto, MiCA): reżim usług na kryptoaktywach; często wymaga integracji z AML i elementami modelu płatniczego.
Najczęstsze luki wykrywane w audytach
- brak jednej listy odpowiedzialnych za procesy między compliance, operacjami, bezpieczeństwem i IT,
- rozjazd między regulaminami klienta a realną ścieżką klienta w produkcie,
- niewystarczające dowody wykonania kontroli przy raportowaniu i przeglądach.
wytyczne ITSec DORA/NIS2 dla fintechu
Pobierz gotowy materiał operacyjny dla zespołów compliance, bezpieczeństwa i IT. W jednym miejscu dostajesz checklisty i rekomendacje do wdrożenia.
- Ponad 1250 wytycznych uporządkowanych w 26 kategoriach.
- Jedna logika dla DORA i NIS2, bez dublowania procesów.
- Praktyczny format: od governance po incydenty i łańcuch dostaw.
- Materiał do pracy dla zespołu i do rozmowy z outsourcerami ICT.
plan wdrożenia: 11 kroków do zgodności
Tak wygląda droga od etapu „muszę to ogarnąć” do etapu „mam to pod kontrolą”. Każdy krok kończy się czymś konkretnym, co zostaje w organizacji.
Etap 0 — diagnoza: które regulacje Cię dotyczą
Ustalamy, które reżimy regulacyjne dotyczą Twojej działalności (PSD2, MiCA, AML, DORA) — sprawdzamy, jakie usługi oferujesz, jak przepływają pieniądze i w jakich krajach działasz.
Powstaje raport kwalifikacyjny: które regulacje dotyczą Twojego modelu i dlaczego.
Etap 1 — mapa usług i obowiązków
Wiążemy Twoją ofertę z konkretnymi obowiązkami prawnymi i operacyjnymi — rozkładamy ofertę na części i sprawdzamy, jakie obowiązki dotyczą każdej usługi i każdego kroku klienta.
Powstaje mapa usług z przypisanymi obowiązkami regulacyjnymi.
Etap 2 — licencja i autoryzacja
Projektujemy właściwą ścieżkę licencyjną (MIP, KIP lub CASP) — analizujemy wymogi kapitałowe, przygotowujemy harmonogram postępowań i kompletujemy dokumenty.
Powstają plan licencyjny i analiza wymogów kapitałowych.
Etap 3 — kto za co odpowiada
Przypisujemy odpowiedzialność za zgodność w całej organizacji — ustalamy, kto za co odpowiada, kto podejmuje decyzje i jak wygląda obieg informacji od zarządu po IT.
Powstają matryca odpowiedzialności i schemat decyzyjny.
Etap 4 — weryfikacja klientów i AML
Budujemy proces weryfikacji klientów zgodny z wymogami AML — projektujemy ścieżkę od rejestracji, przez ocenę ryzyka, po sprawdzanie list sankcyjnych.
Powstają procedury weryfikacji klientów (KYC/CDD) i przeciwdziałania praniu pieniędzy.
Etap 5 — bezpieczeństwo IT i ciągłość działania
Zapewniamy ciągłość działania i zgodność z wymaganiami DORA — budujemy model zarządzania ryzykiem IT: jak klasyfikować incydenty, jak testować odporność systemów i co robić, gdy coś padnie.
Powstają ramy odporności IT zgodne z DORA.
Etap 6 — raportowanie i incydenty
Wdrażamy spójny model zgłoszeń i raportów do właściwych organów — łączymy ścieżki raportowania AML, DORA i alerty płatnicze w jedną procedurę z jasnymi progami eskalacji.
Powstaje procedura reagowania na incydenty i raportowania do organów.
Etap 7 — dokumentacja i informacje dla klientów
Zapewniamy spójność dokumentów klientowskich, umów i informacji regulacyjnych — aktualizujemy regulaminy, umowy i obowiązkowe informacje dla klientów, żeby pasowały do wszystkich regulacji.
Powstaje pakiet dokumentacji klientowskiej i regulacyjnej.
Etap 8 — testy i szkolenia
Sprawdzamy, czy procesy działają w praktyce, a zespół zna swoje obowiązki — testujemy procesy, przeprowadzamy ćwiczenia symulacyjne i szkolimy zespół z jego konkretnych obowiązków.
Powstają plan szkoleń i dokumentacja z testów.
Etap 9 — gotowość do kontroli
Skracamy czas odpowiedzi na zapytania regulatora i ograniczamy ryzyko kontroli — robimy przegląd luk, test dowodów, plan naprawczy i przypisujemy osoby odpowiedzialne.
Powstaje raport gotowości do audytu.
Etap 10 — utrzymanie zgodności na bieżąco
Utrzymujemy zgodność przy skalowaniu biznesu i zmianach regulacyjnych — monitorujemy zmiany w prawie, robimy kwartalne przeglądy i aktualizujemy procesy, żeby zgodność nie była jednorazowym projektem.
Powstaje plan ciągłego utrzymania zgodności.
integracja regulacyjna: jedna mapa procesów
Największa przewaga operacyjna wynika z jednej matrycy procesów. Ten sam onboarding, monitoring i zarządzanie może jednocześnie spełniać PSD2/UUP, MiCA, AML i DORA.
Onboarding i tożsamość
Łączymy silne uwierzytelnianie (SCA), weryfikację klienta (CDD/EDD) i reguły ryzyka tak, aby nie dublować kroków i zachować płynność procesu rejestracji.
Monitoring i incydenty
Budujemy wspólną logikę alertów dla oszustw, AML i incydentów ICT/IT, z jasnymi progami eskalacji i odpowiedzialności.
Dostawcy i outsourcing
Spójny model oceny dostawców (bezpieczeństwo, ciągłość, zgodność) wspiera jednocześnie DORA, AML i obowiązki usług płatniczych.
| Proces | PSD2/UUP | MiCA | AML/AMLR/TFR | DORA | RODO/NIS2 |
|---|---|---|---|---|---|
| Onboarding klienta | SCA, obowiązki informacyjne | Kwalifikacja usługi CASP | Weryfikacja klienta (CDD/EDD) | Kontrole dostępowe | Minimalizacja danych |
| Monitoring transakcji | Oszustwa i reklamacje D+1 | Monitoring aktywów i transferów | Scenariusze AML i zgłoszenia STR | Monitoring zdarzeń ICT/IT | Bezpieczeństwo od projektu |
| Incydenty i raportowanie | Rejestr zdarzeń płatniczych | Obowiązki emitenta/CASP | Raporty do GIIF i eskalacja | Raportowanie incydentów (DORA) | Naruszenia danych i cyber |
| Zarządzanie dostawcami | Outsourcing krytycznych funkcji | Wsparcie usług tokenizacyjnych | Screening partnerów | Ryzyko dostawców IT | Bezpieczeństwo łańcucha dostaw (NIS2) |
| Zarządzanie i szkolenia | Odpowiedzialni za procesy płatnicze | Role CASP/emitenta | Compliance Officer i matryca AML | Rola bezpieczeństwa i ryzyka | Świadomość ochrony danych i cyber |
Efekt dla biznesu
- Jedna mapa kontroli zamiast kilku niezależnych list zadań do wdrożenia.
- Mniej duplikacji procesów i niższy koszt utrzymania zgodności.
- Szybsze przygotowanie organizacji do audytu i zapytań organów.
pakiety wsparcia fintech
Pakiety pomagają przejść od wiedzy do wdrożenia. Każdy ma jasno określony rezultat i zakres.
FinTech Readiness Scan
Dla zarządów i założycieli planujących wejście lub zmianę modelu działania. Dostajesz mapę regulacji, listę kluczowych ryzyk i plan działania na pierwsze 90 dni.
Licencja KIP/MIP
Dla organizacji budujących lub zmieniających model licencyjny. Prowadzimy projekt licencyjny od strony merytorycznej, przygotowujemy dokumentację i wspieramy w komunikacji z nadzorem.
SCA & RTS Gap Analysis
Dla podmiotów chcących ograniczyć ryzyko sporów i strat z tytułu oszustw. Przeglądamy ścieżki uwierzytelniania, wyłączenia RTS i model dowodowy.
Open Banking/API Compliance
Dla banków i instytucji udostępniających API firmom trzecim. Porządkujemy ramy zgodności API, zarządzanie zgodami klientów i plan naprawczy.
PSD2 + AML + DORA Integration
Dla firm prowadzących równoległe projekty zgodności przy ograniczonych zasobach. Łączymy je w jedną macierz procesów, zintegrowane polityki i spójny model raportowania.
FinTech Compliance as a Service
Dla organizacji potrzebujących stałego wsparcia po uruchomieniu działalności — monitoring zmian prawa, aktualizacja dokumentów i kwartalne przeglądy zgodności.
ekspert prowadzący obszar fintech
Projekt prowadzimy w modelu biznesowo-regulacyjnym: najpierw decyzje wpływające na produkt i ryzyko, potem dokumentacja i wdrożenie operacyjne.
Wsparcie od pierwszej decyzji
- Kwalifikacja modelu i wybór ścieżki licencyjnej.
- Etapowanie wdrożenia i priorytety zarządcze.
- Praca z biznesem, compliance i IT w jednym rytmie.
Atuty zespołu Legal Geek
- Doświadczenie we wdrożeniach MIP/KIP oraz projektach łączących kilka regulacji.
- Łączenie PSD2 z AML, DORA i MiCA bez duplikacji procesów.
- Wsparcie w audytach i komunikacji z organami nadzoru.
Kontakt w sprawie FinTech
Tomasz Klecor
Partner Zarządzający
Nawigator FinTechu. Prawnik.
Od 15 lat pomaga największym polskim i międzynarodowym fintechom rosnąć bezpiecznie i globalnie. Zaczynał jako prawnik - dziś łączy prawo, strategię i technologię, wspierając founderów i zarządy w podejmowaniu kluczowych decyzji: jak skalować biznes w zgodzie z regulacjami, jak prawidłowo wdrożyć DORA, MiCA czy AML oraz przygotować się na PSD3/PSR, i jak unikać regulatory killera, który potrafi zatrzymać rozwój.
LinkedIn
FAQ FinTech
Pytania, które najczęściej padają przy łączeniu PSD2, MiCA, AML i DORA jednocześnie.
Punkt startu to kwalifikacja usługi i przepływu środków — analizujemy, jak pieniądze trafiają od klienta do Ciebie i co się z nimi dzieje. To określa, czy wchodzisz w model MIP (mała instytucja płatnicza), KIP (krajowa instytucja płatnicza), czy inny reżim.
MIP (mała instytucja płatnicza) sprawdza się na etapie wejścia i walidacji modelu — szybszy start, niższe wymagania. KIP (krajowa instytucja płatnicza) jest właściwy, gdy chcesz skalować zakres usług i wolumen. Kluczowe to zaplanować przejście z wyprzedzeniem, nie pod presją limitu.
Potrzebna jest jasna procedura reagowania na incydenty: szybki zwrot środków w terminie D+1 (następny dzień roboczy) i równoległa ścieżka analizy AML z jasnym modelem eskalacji. Jedno nie może blokować drugiego — dlatego budujemy to razem od początku.
Gdy działasz jako podmiot finansowy lub pełnisz krytyczne funkcje IT w łańcuchu instytucji finansowej. DORA wymaga zarządzania ryzykiem IT, raportowania incydentów i kontroli nad dostawcami technologicznymi — niezależnie od tego, czy jesteś bankiem, czy fintechem.
Decydują rodzaj kryptoaktywa, katalog usług i sposób obsługi klienta. Poprawna klasyfikacja aktywa (czy to token użytkowy, stablecoin, czy inny typ) jest punktem startowym — od niej zależy cała ścieżka obowiązków.
W praktyce tak — i warto. Wspólne wdrożenie zmniejsza duplikacje procesów (np. ten sam onboarding obsługuje PSD2 i AML), ułatwia audyt i obniża koszt utrzymania zgodności. Robienie tego osobno oznacza płacenie za to samo kilka razy.
AIS (dostęp do informacji o koncie) i PIS (inicjowanie płatności) to odrębne usługi z własnymi obowiązkami. Krytyczne jest poprawne przypisanie ról, zarządzanie interfejsami API i jasny model reklamacyjny — bo odpowiedzialność rozkłada się inaczej niż w klasycznych płatnościach.
Zaczynamy od wspólnej mapy procesów i osób odpowiedzialnych, potem budujemy jedną matrycę dowodów kontrolnych dla PSD2, MiCA, AML i DORA. Efekt: zamiast czterech osobnych projektów masz jeden spójny system.
Bezpośrednio dotyczy transferów krypto, ale wpływa też na fintechy łączące produkty płatnicze i crypto. Travel Rule zmienia zakres danych, które musisz zbierać i przekazywać — więc jeśli planujesz łączyć oba światy, warto to uwzględnić od początku.
skontaktuj się w sprawie projektu fintech
Napisz lub zadzwoń — w pierwszej rozmowie ustalimy, na jakim etapie jesteś i czego potrzebujesz.