Закон о розничных платежных операциях (Retail Payment Activities Act, RPAA) представляет собой федеральный нормативный механизм, принятый канадским парламентом в июне 2021 года с целью создания единой системы надзора за платёжными сервис-провайдерами (PSP). До введения RPAA платёжный сектор Канады функционировал без специализированного регуляторного надзора, что создавало операционные риски для конечных пользователей и снижало прозрачность рынка финтех-услуг.
Главная задача RPAA — укрепление доверия к канадской платёжной системе путём введения обязательных стандартов управления рисками и защиты средств конечных пользователей. Банк Канады получил полномочия контролировать, чтобы провайдеры надлежащим образом изолировали клиентские средства, отчитывались о своей деятельности и реагировали на инциденты без задержек. Важно понимать, что регистрация PSP — это не лицензия, а подтверждение соответствия базовым операционным стандартам.
Закон не распространяется на банки, кредитные союзы и страховые компании, которые уже находятся под пруденциальным регулированием федеральных и провинциальных органов. Такой подход позволяет устранить пробелы в надзоре, не создавая избыточных требований для традиционных финансовых институтов.
Под юрисдикцию RPAA попадают лица и компании, выполняющие платёжные функции, связанные с электронными денежными переводами в канадской или иностранной валюте. Обязанность регистрироваться возникает при одновременном выполнении четырёх условий: выполнение платёжных функций как основной деятельности, обработка электронных переводов средств, наличие представительства в Канаде либо направленность услуг на канадских пользователей, а также отсутствие в перечне исключений.
К регистрируемым функциям относятся открытие и обслуживание платёжных счетов клиентов, хранение средств пользователей до момента вывода или перевода, авторизация переводов, получение или обработка инструкций для транзакций, а также выполнение функций клиринга. Иностранные провайдеры без физического присутствия в стране обязаны зарегистрироваться, если предоставляют услуги канадским клиентам и целенаправленно работают с канадским рынком.
Регистрация PSP открылась с 1 по 15 ноября 2024 года для действующих провайдеров. Те, кто подал заявку в указанное окно, могли продолжать операции во время переходного периода, длившегося до 7 сентября 2025 года. Уже с 8 сентября 2025 года вступили в силу полные требования RPAA по управлению рисками, защите средств клиентов и обязательной отчётности.
Банк Канады начал публиковать списки зарегистрированных провайдеров и отказов 8 сентября 2025 года. Заявители, чьи документы не были полностью обработаны к этой дате, обязаны соблюдать те же регуляторные требования, что и зарегистрированные, но получают отсрочку по некоторым отчётным обязательствам до завершения рассмотрения.
Для бизнеса, планирующего войти на рынок после 8 сентября 2025 года, регистрация должна быть подана как минимум за 60 дней до начала платежной деятельности. Работа без заявки после ключевой даты рассматривается как серьёзное нарушение и может повлечь административные штрафы и запрет на операции.
Зарегистрированные провайдеры обязаны ежегодно представлять Банку Канады детализированную отчётность, включающую описание изменений в фреймворке управления рисками, объёмы и суммы розничных платежей, сведения о третьих лицах-подрядчиках и планы по поддержанию системы защиты средств. Эта отчётность позволяет регулятору отслеживать уровень взаимосвязанности провайдеров и выявлять тренды или угрозы в платёжной экосистеме. Компании должны регулярно актуализировать данные в системе PSP Connect и платить ежегодный оценочный сбор.
Процесс регистрации платёжных провайдеров централизован через веб-портал PSP Connect, разработанный Банком Канады. Этот инструмент служит единой точкой доступа для подачи заявки, обновления информации и оплаты регистрационных сборов.
Перед созданием аккаунта в PSP Connect компаниям необходимо собрать полный пакет документов. В заявку входят: полное юридическое наименование на английском или французском языке, контактная информация, корпоративная структура с указанием владельцев и ключевого персонала, описание платежных функций и процессов, данные о третьих сторонах-подрядчиках и агентах, финансовая информация, а также сведения о методе защиты средств пользователей (траст-счёт, страхование или гарантия).
Один адрес электронной почты регистрируется только для одной заявки. Создатель аккаунта автоматически становится администратором организации. Заявление требует уплаты единовременного невозвратного регистрационного сбора в размере 2500 канадских долларов. Банк начинает рассмотрение заявки только после получения оплаты. Для иностранных провайдеров обязательно указание агентов или представителей в Канаде, которые будут получать все уведомления и предписания.
Специалисты MapleBiz помогают платёжным провайдерам корректно подготовить регистрационный пакет, проверить соответствие критериям RPAA и сопровождают клиентов на всех этапах взаимодействия с Банком Канады, минимизируя риск отказов и задержек.
После признания заявки полной Банк Канады направляет её в Министерство финансов для проверки по линии национальной безопасности. Этот этап может существенно продлить сроки рассмотрения. Министерство вправе потребовать дополнительную информацию, наложить условия на регистрацию или отказать в ней, если выявлены риски, связанные с принадлежностью к государственным предприятиям отдельных юрисдикций, хранением данных в определённых странах или иными факторами безопасности.
Провайдер получает письменное уведомление о решении. В случае отказа или отзыва регистрации у заявителя есть 30 дней на подачу запроса о пересмотре решения Министром финансов. Работа без одобрения после отказа запрещена и влечёт административные санкции.
С 8 сентября 2025 года все зарегистрированные провайдеры обязаны внедрить и поддерживать письменный фреймворк управления рисками и реагирования на инциденты. Этот документ должен охватывать весь жизненный цикл операционных рисков: идентификацию, оценку, мониторинг, контроль и восстановление после сбоев.
Фреймворк управления рисками включает детализацию ролей и ответственности, процедуры выявления и классификации рисков, планы реагирования на инциденты с указанием сроков восстановления, а также регулярное тестирование систем. Провайдеры должны ежегодно пересматривать и утверждать этот документ на уровне старшего руководства, а совет директоров — раз в год независимо от изменений. При существенных изменениях в системах PSP обязан провести повторный анализ рисков.
Если провайдер обнаруживает инцидент, оказывающий существенное влияние на конечного пользователя, другого PSP или клиринговую палату, он обязан незамедлительно уведомить пострадавшие стороны и Банк Канады. Под инцидентами понимаются события, отклоняющиеся от стандартных операций: сбои в транзакциях, утечки данных, ошибки маршрутизации платежей. Задержка в обнаружении и уведомлении классифицируется как нарушение.
Провайдеры, выполняющие функцию хранения средств от имени пользователей, обязаны обеспечить защиту этих средств путём их сегрегации. RPAA предлагает два механизма: хранение в траст-счёте либо размещение на сегрегированном счету с покрытием страховкой или гарантией. Счета для защиты средств должны быть открыты в пруденциально регулируемых финансовых учреждениях — банках, кредитных союзах, трастовых компаниях.
Средства клиентов должны поступить на защитный счёт не позднее конца рабочего дня после их получения. Провайдер обязан вести точный реестр средств каждого пользователя с указанием имени, контактной информации и суммы. При использовании страхования или гарантии сумма покрытия должна всегда быть не ниже объёма хранимых средств. Провайдеры разрабатывают методологию учёта колебаний объёма средств и обеспечения адекватности покрытия.
Независимая проверка соответствия требованиям по защите средств проводится каждые три года. Косвенные договорённости, когда провайдер держит средства через другого PSP-посредника, не признаются соответствующими RPAA из-за сложности возврата средств пользователям в случае банкротства и неясности юрисдикции.
Банк Канады получил широкие полномочия по применению административных мер к нарушителям. Система санкций градуирована по степени серьёзности нарушений.
Нарушения классифицируются на серьёзные и особо серьёзные. К серьёзным относятся непредоставление обязательной информации, нарушения сроков отчётности и процедурные недочёты. За серьёзные нарушения предусмотрены штрафы до 1 миллиона канадских долларов за каждое нарушение. Для нарушений, продолжающихся не более 30 дней, применяются штрафы по 500 долларов за каждый день, а свыше 30 дней — диапазон от 15 000 до 1 миллиона долларов.
Особо серьёзными считаются нарушения, затрагивающие ключевые требования RPAA: работа без регистрации, отказ от внедрения фреймворка управления рисками, невыполнение обязательного тестирования и аудита, неправильная защита средств пользователей. За такие нарушения штрафы достигают 10 миллионов канадских долларов за каждое нарушение. Эти санкции намного строже, чем предусмотренные законодательством о противодействии отмыванию денег, где максимальный штраф составляет 500 000 долларов.
Помимо денежных штрафов, Банк Канады вправе приостановить или отозвать регистрацию провайдера, заключить с ним соглашение о соответствии требованиям с обязательными мероприятиями по исправлению нарушений либо выдать предписание о прекращении деятельности. Невыполнение условий соглашения о комплаенсе влечёт выдачу уведомления о дефолте и дополнительные санкции.
Банк публикует на своём сайте список лиц, получивших отказ в регистрации или отзыв, с указанием причин. Такая публичная огласка наносит репутационный ущерб и затрудняет возвращение на рынок. Для бизнеса это означает потерю клиентов, партнёрских отношений и доступа к банковским услугам.
Обратившись в MapleBiz, компании получают комплексную поддержку в области соблюдения требований RPAA, начиная от оценки рисков и заканчивая разработкой фреймворков и подготовкой к проверкам регулятора.
Важно понимать, что регистрация PSP по RPAA и регистрация бизнеса по оказанию денежных услуг (Money Services Business, MSB) в FINTRAC — это два отдельных режима с различными целями и требованиями.
MSB-регистрация в FINTRAC обязательна для компаний, предоставляющих услуги обмена валют, денежных переводов, операций с виртуальными валютами, выпуска денежных ордеров и аналогичных инструментов. Эта регистрация направлена исключительно на противодействие отмыванию денег и финансированию терроризма. FINTRAC требует от MSB внедрения программы соответствия AML/CFT, подачи отчётов о подозрительных транзакциях, крупных денежных операциях, международных электронных переводах и соблюдения правил идентификации клиентов.
RPAA же нацелен на надзор за операционными рисками и защитой средств пользователей. Регистрация PSP в Банке Канады означает выполнение требований по управлению рисками, защите средств, отчётности о платёжных метриках и уведомлении об инцидентах. Многие провайдеры обязаны зарегистрироваться в обеих системах: как MSB в FINTRAC и как PSP в Банке Канады. Регистрация в одной системе не отменяет и не заменяет регистрацию в другой.
Существуют исключения: физические пункты обмена валют, некастодиальные криптовалютные биржи, банкоматы (включая крипто-АТМ), компании по обналичиванию чеков могут не попадать под RPAA, если не выполняют функции хранения средств или электронных переводов. Но даже для них MSB-регистрация остаётся обязательной.
Двойная регуляторная нагрузка требует от провайдеров создания раздельных программ соответствия, регулярной отчётности в обе инстанции, разработки внутренних политик и процедур для каждого режима. Ошибки в оценке применимости требований или неполное выполнение обязательств приводят к санкциям, публичному порицанию и потере банковских счетов.
Профессиональная юридическая поддержка помогает корректно квалифицировать деятельность, подготовить документы для регистрации, выстроить эффективную систему внутреннего контроля и своевременно реагировать на запросы регуляторов. Специалисты по финансовому регулированию проводят аудит бизнес-модели, разрабатывают фреймворки управления рисками и защиты средств, обеспечивают соответствие как RPAA, так и требованиям FINTRAC.
