Для провайдерів платіжних послуг у Канаді 31 березня 2026 року — це не просто чергова дата в календарі, а момент істини, який виявить готовність компаній до нової ери регулювання. Цей дедлайн розділить учасників ринку на два табори: тих, хто вибудував системи комплаєнсу завчасно, і тих, хто зіткнеться з серйозними наслідками непередбачливості.
Відповідно до розділу 18 Retail Payment Activities Regulations, 31 березня 2026 року є кінцевим терміном подання першого річного звіту всіма зареєстрованими PSP. Звіт має охоплювати дані за 2025 календарний рік, за винятком фінансових метрик, які подаються на основі останнього фінансового року компанії. Це розрізнення створює першу критичну точку: багато PSP плутають календарний і фінансовий рік, що призводить до неправильного підготовлення документів.
Механіка річної звітності побудована через портал PSP Connect, де реєстраційна форма стає доступною на початку 2026 року. Банк Канади застосовує risk-based approach — підхід на основі оцінки ризиків, за якого аналізуються операційні масштаби провайдера, його interconnectedness (взаємопов’язаність з іншими учасниками ринку) та ubiquity (поширеність послуг). Ці критерії визначають, наскільки детальний контроль застосовуватиметься до конкретної компанії.
Банк Канади має широкий спектр інструментів примусу до виконання, від попереджень до адміністративних штрафів до 10 мільйонів доларів і анулювання реєстрації. Неподання річного звіту до 31 березня кваліфікується як порушення статті 61 RPAA, що забороняє надання неправдивої або такої, що вводить в оману, інформації, при цьому відсутність інформації прирівнюється до її приховування.
Другий рівень наслідків — репутаційний. Після 8 вересня 2025 року Банк публікує реєстр зареєстрованих PSP і список компаній, чию реєстрацію анульовано. Пропуск дедлайну запускає процес розслідування, який може завершитися публічним зазначенням про недотримання вимог. Для компаній, що працюють з інституційними клієнтами або прагнуть залучити інвестиції, така позначка стає токсичним активом.
Форма річного звіту вимагає деталізованих метрик діяльності: кількість і обсяг електронних грошових переказів, число кінцевих користувачів, яких обслуговують, кількість інших PSP, яким надаються послуги. Для PSP без фізичної присутності в Канаді враховуються лише операції з кінцевими користувачами, які фактично перебувають на території Канади, що створює складнощі у визначенні юрисдикції клієнтів.
Фінансові показники включають актуальні дані на дату завершення фінансового року компанії — тут виникає trade-off між своєчасністю інформації та її узгодженістю. Компанії з фінансовим роком, що закінчується в грудні, нададуть свіжі дані, тоді як PSP із фінансовим роком, що закривається влітку, звітуватимуть за застарілими показниками. Банк Канади свідомо прийняв це припущення, надаючи пріоритет єдності процесу над актуальністю всіх даних.
Розділ 20 RPAA встановлює два способи захисту коштів кінцевих користувачів: зберігання на трастовому рахунку або на сегрегованому рахунку зі страхуванням чи гарантією на повну суму. Річний звіт має документувати обраний механізм, включно з деталями про фінансову установу-зберігача та страховика.
Критична вимога — документація процедур повернення коштів у разі банкрутства PSP. Це включає механізм повідомлення страховика про настання інсольвентної події та протокол повернення коштів кожному кінцевому користувачеві. Фахівці MapleBiz регулярно стикаються із ситуаціями, коли компанії формально відповідають вимогам щодо наявності страхування, але не опрацювали операційну механіку повернення, що створює серйозні ризики під час перевірок.
Звіт включає питання щодо відповідності operational risk management та incident response framework. PSP мають описати зміни у своїх фреймворках за звітний період, тестування їхньої ефективності та будь-які інциденти, що сталися протягом року, включно не лише з матеріальними інцидентами, які потребують повідомлення у 48-годинний строк, а й усі події, що впливають на цілісність платіжних активностей.
Особлива увага приділяється використанню third-party service providers — сторонніх постачальників послуг. Необхідно описати зміни у відносинах із ними, проведені щорічні оцінки ризиків і задокументований розподіл відповідальності. Цей аспект часто недооцінюється: навіть якщо PSP передає функції на аутсорсинг, регуляторна відповідальність залишається на провайдері.
Матеріальним вважається інцидент, який призводить або може призвести до значного впливу на кінцевих користувачів, операційну діяльність або репутацію PSP. Operational Risk and Incident Response Guideline визначає кілька категорій матеріальності: безповоротну втрату коштів кінцевого користувача в будь-якому обсязі, недоступність платіжних послуг, порушення конфіденційності даних, компрометацію систем.
Типова помилка — оцінка матеріальності за масштабом, а не за характером впливу. Втрата навіть невеликої суми коштів користувача кваліфікується як матеріальний інцидент, тоді як короткочасний технічний збій, що не зачепив користувачів, може не вимагати негайного повідомлення. Ця нюансованість вимагає від компаній розроблених процедур класифікації інцидентів, бажано за участю юридичних фахівців.
Паралельна система повідомлень створює операційну складність: PSP зобов’язаний повідомити всіх кінцевих користувачів, яких матеріально зачепив інцидент, інших провайдерів і клірингові палати не пізніше ніж через 48 годин після визначення матеріальності інциденту. Одночасно необхідно подати повідомлення до Банку Канади через портал PSP Connect у той самий строк.
Послідовність дій має значення: спочатку ідентифікація інциденту, потім оцінка матеріальності, після чого запуск паралельних повідомлень. Банк очікує не повного розслідування за 48 годин, а своєчасного початкового повідомлення з подальшими interim updates (проміжними оновленнями) у міру з’ясування обставин. Фінальне повідомлення подається після повного врегулювання інциденту з деталізацією першопричин і вжитих заходів.
Перша поширена помилка — очікування завершення повного розслідування перед повідомленням. Це порушує 48-годинне правило і створює враження приховування інформації. Друга — надмірна обережність, коли будь-який технічний збій трактується як матеріальний інцидент, створюючи інформаційний шум і розмиваючи увагу регулятора.
Третя помилка — недостатня документація процесу ухвалення рішення щодо матеріальності. Банк Канади під час перевірок аналізує не лише факт повідомлення, а й логіку, за якою компанія класифікувала події. Відсутність записів про те, чому конкретний інцидент не був визнаний матеріальним, створює регуляторний ризик.
Проактивний збір даних починається не в січні 2026 року, а з моменту реєстрації. Необхідно вести облік усіх метрик, потрібних у звіті: щомісячні снепшоти кількості кінцевих користувачів, логи транзакцій із деталізацією за типами операцій, записи всіх тестувань risk management framework.
Критичним є облік інцидентів — навіть тих, що не кваліфікуються як матеріальні. Це демонструє зрілість процесів управління ризиками та надає контекст під час аналізу тренду. Документація взаємодій зі сторонніми постачальниками, включно з результатами щорічних оцінок, контрактними змінами та інцидентними звітами від контрагентів, має акумулюватися систематично.
Фінансові дані потребують синхронізації між фінансовим та операційним обліком. Якщо фінансовий рік компанії не збігається з календарним, необхідно забезпечити можливість отримання показників на будь-яку дату. Багато компаній недооцінюють обсяг попередньої роботи, необхідної для підготовки першого звіту. MapleBiz рекомендує провести пробний збір даних у середині 2025 року, щоб виявити прогалини в інформаційних системах і скоригувати процеси до критичного терміну.
PSP Connect — централізована платформа для всіх взаємодій із Банком Канади: реєстрації, оновлення інформації, подання повідомлень про інциденти та річної звітності. Форма річного звіту стає доступною на початку 2026 року, що дає кілька тижнів на заповнення до 31 березня.
Портал вимагає авторизації уповноважених представників компанії. Необхідно завчасно визначити, хто матиме доступ до системи, і забезпечити їхню технічну підготовку. Форма заповнення складається з багатьох розділів із умовною логікою — відповіді на одні запитання відкривають додаткові поля. Спроба заповнити весь звіт в останній момент часто призводить до виявлення вимог щодо даних, які не збиралися протягом року.
Технічна інфраструктура порталу передбачає завантаження документів у форматах PDF і JPG. Якщо компанія готує підтверджувальну документацію, необхідно заздалегідь конвертувати файли у потрібний формат і видалити ідентифікаційну інформацію про сторони, яких зачепили інциденти, у повідомленнях про інциденти.
Навігація в новому регуляторному ландшафті RPAA вимагає не лише розуміння букви закону, а й здатності інтерпретувати його стосовно унікальної бізнес-моделі кожної компанії. MapleBiz спеціалізується на юридичному супроводі фінтех-компаній і провайдерів платіжних послуг, надаючи комплексну підтримку на всіх етапах комплаєнсу з вимогами Retail Payment Activities Act.
Наші юридичні послуги охоплюють підготовку та перевірку operational risk management frameworks, експертизу механізмів safeguarding коштів кінцевих користувачів, аудит процесів класифікації інцидентів і побудову процедур повідомлення. Ми допомагаємо компаніям не просто формально відповідати вимогам, а й вибудовувати ефективні системи, які мінімізують регуляторні ризики та операційні витрати.
Під час підготовки річного звіту наші фахівці проводять gap analysis — аналіз розбіжностей між поточним станом документації та вимогами Банку Канади, допомагають структурувати дані та забезпечують юридичну перевірку поданої інформації. Для компаній, що надають послуги Money Service Business, ми пропонуємо інтегроване рішення, яке враховує як вимоги RPAA, так і зобов’язання перед FINTRAC.
Критична перевага роботи з MapleBiz — розуміння контексту канадського фінансового регулювання. Ми допомагаємо компаніям визначити оптимальну стратегію взаємодії з регулятором, підготувати процедури реагування на запити додаткової інформації та вибудувати довгострокову систему комплаєнсу, яка масштабується разом із бізнесом. Звернення до наших фахівців на ранніх етапах дає змогу уникнути дорогих помилок і вибудувати довірчі відносини з Банком Канади від самого початку.
Контрольний список дій до 31 березня 2026:
Дотримання дедлайну 31 березня 2026 року — це не лише регуляторний обов’язок, а й можливість продемонструвати зрілість операційних процесів і серйозне ставлення до наглядових вимог. Компанії, які сприймають перший річний звіт як стратегічне завдання, а не адміністративну формальність, закладають фундамент для успішних довгострокових відносин із регулятором і зміцнення довіри клієнтів.
