Закон про роздрібні платіжні операції (Retail Payment Activities Act, RPAA) є федеральним нормативним механізмом, ухваленим канадським парламентом у червні 2021 року з метою створення єдиної системи нагляду за платіжними сервіс-провайдерами (PSP). До запровадження RPAA платіжний сектор Канади функціонував без спеціалізованого регуляторного нагляду, що створювало операційні ризики для кінцевих користувачів і знижувало прозорість ринку фінтех-послуг.
Головне завдання RPAA — зміцнення довіри до канадської платіжної системи шляхом запровадження обов’язкових стандартів управління ризиками та захисту коштів кінцевих користувачів. Банк Канади отримав повноваження контролювати, щоб провайдери належним чином ізолювали клієнтські кошти, звітували про свою діяльність і реагували на інциденти без затримок. Важливо розуміти, що реєстрація PSP — це не ліцензія, а підтвердження відповідності базовим операційним стандартам.
Закон не поширюється на банки, кредитні спілки та страхові компанії, які вже перебувають під пруденційним регулюванням федеральних і провінційних органів. Такий підхід дає змогу усунути прогалини в нагляді, не створюючи надмірних вимог для традиційних фінансових інститутів.
Під юрисдикцію RPAA підпадають особи та компанії, що виконують платіжні функції, пов’язані з електронними грошовими переказами в канадській або іноземній валюті. Обов’язок реєструватися виникає за одночасного виконання чотирьох умов: виконання платіжних функцій як основної діяльності, обробка електронних переказів коштів, наявність представництва в Канаді або спрямованість послуг на канадських користувачів, а також відсутність у переліку винятків.
До функцій, що підлягають реєстрації, належать відкриття та обслуговування платіжних рахунків клієнтів, зберігання коштів користувачів до моменту виведення або переказу, авторизація переказів, отримання або обробка інструкцій для транзакцій, а також виконання функцій клірингу. Іноземні провайдери без фізичної присутності в країні зобов’язані зареєструватися, якщо надають послуги канадським клієнтам і цілеспрямовано працюють із канадським ринком.
Реєстрацію PSP відкрили з 1 по 15 листопада 2024 року для чинних провайдерів. Ті, хто подав заявку в зазначене вікно, могли продовжувати операції під час перехідного періоду, що тривав до 7 вересня 2025 року. Уже з 8 вересня 2025 року набули чинності повні вимоги RPAA щодо управління ризиками, захисту коштів клієнтів і обов’язкової звітності.
Банк Канади почав публікувати списки зареєстрованих провайдерів і відмов 8 вересня 2025 року. Заявники, чиї документи не були повністю опрацьовані до цієї дати, зобов’язані дотримуватися тих самих регуляторних вимог, що й зареєстровані, але отримують відстрочку щодо деяких звітних зобов’язань до завершення розгляду.
Для бізнесу, що планує вийти на ринок після 8 вересня 2025 року, реєстрацію потрібно подати щонайменше за 60 днів до початку платіжної діяльності. Робота без заявки після ключової дати розглядається як серйозне порушення і може спричинити адміністративні штрафи та заборону на операції.
Зареєстровані провайдери зобов’язані щороку подавати Банку Канади детальну звітність, що включає опис змін у фреймворку управління ризиками, обсяги та суми роздрібних платежів, відомості про третіх осіб-підрядників і плани щодо підтримання системи захисту коштів. Ця звітність дає змогу регулятору відстежувати рівень взаємопов’язаності провайдерів і виявляти тренди або загрози в платіжній екосистемі. Компанії повинні регулярно актуалізувати дані в системі PSP Connect і сплачувати щорічний оціночний збір.
Процес реєстрації платіжних провайдерів централізовано через вебпортал PSP Connect, розроблений Банком Канади. Цей інструмент слугує єдиною точкою доступу для подання заявки, оновлення інформації та оплати реєстраційних зборів.
Перед створенням акаунта в PSP Connect компаніям необхідно зібрати повний пакет документів. До заявки входять: повне юридичне найменування англійською або французькою мовою, контактна інформація, корпоративна структура із зазначенням власників і ключового персоналу, опис платіжних функцій і процесів, дані про третіх сторін-підрядників та агентів, фінансова інформація, а також відомості про метод захисту коштів користувачів (траст-рахунок, страхування або гарантія).
Одна адреса електронної пошти реєструється лише для однієї заявки. Створювач акаунта автоматично стає адміністратором організації. Заява вимагає сплати одноразового невідшкодовуваного реєстраційного збору в розмірі 2500 канадських доларів. Банк починає розгляд заявки лише після отримання оплати. Для іноземних провайдерів обов’язково зазначення агентів або представників у Канаді, які отримуватимуть усі повідомлення та приписи.
Фахівці MapleBiz допомагають платіжним провайдерам коректно підготувати реєстраційний пакет, перевірити відповідність критеріям RPAA та супроводжують клієнтів на всіх етапах взаємодії з Банком Канади, мінімізуючи ризик відмов і затримок.
Після визнання заявки повною Банк Канади надсилає її до Міністерства фінансів для перевірки з погляду національної безпеки. Цей етап може суттєво подовжити строки розгляду. Міністерство має право вимагати додаткову інформацію, накласти умови на реєстрацію або відмовити в ній, якщо виявлено ризики, пов’язані з належністю до державних підприємств окремих юрисдикцій, зберіганням даних у певних країнах або іншими факторами безпеки.
Провайдер отримує письмове повідомлення про рішення. У разі відмови або відкликання реєстрації заявник має 30 днів на подання запиту про перегляд рішення Міністром фінансів. Робота без схвалення після відмови заборонена і тягне за собою адміністративні санкції.
З 8 вересня 2025 року всі зареєстровані провайдери зобов’язані впровадити та підтримувати письмовий фреймворк управління ризиками і реагування на інциденти. Цей документ має охоплювати весь життєвий цикл операційних ризиків: ідентифікацію, оцінку, моніторинг, контроль і відновлення після збоїв.
Фреймворк управління ризиками включає деталізацію ролей і відповідальності, процедури виявлення та класифікації ризиків, плани реагування на інциденти із зазначенням строків відновлення, а також регулярне тестування систем. Провайдери повинні щороку переглядати й затверджувати цей документ на рівні старшого керівництва, а рада директорів — раз на рік незалежно від змін. За суттєвих змін у системах PSP зобов’язаний провести повторний аналіз ризиків.
Якщо провайдер виявляє інцидент, що має суттєвий вплив на кінцевого користувача, іншого PSP або клірингову палату, він зобов’язаний негайно повідомити постраждалі сторони та Банк Канади. Під інцидентами розуміються події, що відхиляються від стандартних операцій: збої в транзакціях, витоки даних, помилки маршрутизації платежів. Затримка у виявленні та повідомленні класифікується як порушення.
Провайдери, які виконують функцію зберігання коштів від імені користувачів, зобов’язані забезпечити захист цих коштів шляхом їх сегрегації. RPAA пропонує два механізми: зберігання в траст-рахунку або розміщення на сегрегованому рахунку з покриттям страховкою чи гарантією. Рахунки для захисту коштів мають бути відкриті в пруденційно регульованих фінансових установах — банках, кредитних спілках, трастових компаніях.
Кошти клієнтів мають надійти на захисний рахунок не пізніше кінця робочого дня після їх отримання. Провайдер зобов’язаний вести точний реєстр коштів кожного користувача із зазначенням імені, контактної інформації та суми. За використання страхування або гарантії сума покриття має завжди бути не нижчою за обсяг коштів, що зберігаються. Провайдери розробляють методологію обліку коливань обсягу коштів і забезпечення адекватності покриття.
Незалежна перевірка відповідності вимогам щодо захисту коштів проводиться кожні три роки. Опосередковані домовленості, коли провайдер тримає кошти через іншого PSP-посередника, не визнаються такими, що відповідають RPAA, через складність повернення коштів користувачам у разі банкрутства та нечіткість юрисдикції.
Банк Канади отримав широкі повноваження щодо застосування адміністративних заходів до порушників. Система санкцій градуйована за ступенем серйозності порушень.
Порушення класифікуються на серйозні та особливо серйозні. До серйозних належать ненадання обов’язкової інформації, порушення строків звітності та процедурні недоліки. За серйозні порушення передбачено штрафи до 1 мільйона канадських доларів за кожне порушення. Для порушень, що тривають не більш як 30 днів, застосовуються штрафи по 500 доларів за кожен день, а понад 30 днів — діапазон від 15 000 до 1 мільйона доларів.
Особливо серйозними вважаються порушення, що зачіпають ключові вимоги RPAA: робота без реєстрації, відмова від впровадження фреймворку управління ризиками, невиконання обов’язкового тестування та аудиту, неправильний захист коштів користувачів. За такі порушення штрафи сягають 10 мільйонів канадських доларів за кожне порушення. Ці санкції значно суворіші, ніж передбачені законодавством про протидію відмиванню грошей, де максимальний штраф становить 500 000 доларів.
Окрім грошових штрафів, Банк Канади має право призупинити або відкликати реєстрацію провайдера, укласти з ним угоду про відповідність вимогам з обов’язковими заходами щодо виправлення порушень або видати припис про припинення діяльності. Невиконання умов угоди про комплаєнс тягне за собою видачу повідомлення про дефолт і додаткові санкції.
Банк публікує на своєму сайті список осіб, яким відмовлено в реєстрації або чию реєстрацію відкликано, із зазначенням причин. Така публічна огласка завдає репутаційної шкоди й ускладнює повернення на ринок. Для бізнесу це означає втрату клієнтів, партнерських відносин і доступу до банківських послуг.
Звернувшись до MapleBiz, компанії отримують комплексну підтримку у сфері дотримання вимог RPAA, починаючи від оцінки ризиків і закінчуючи розробкою фреймворків та підготовкою до перевірок регулятора.
Важливо розуміти, що реєстрація PSP за RPAA та реєстрація бізнесу з надання грошових послуг (Money Services Business, MSB) у FINTRAC — це два окремі режими з різними цілями та вимогами.
MSB-реєстрація в FINTRAC є обов’язковою для компаній, що надають послуги обміну валют, грошових переказів, операцій із віртуальними валютами, випуску грошових ордерів та аналогічних інструментів. Ця реєстрація спрямована виключно на протидію відмиванню грошей і фінансуванню тероризму. FINTRAC вимагає від MSB впровадження програми відповідності AML/CFT, подання звітів про підозрілі транзакції, великі грошові операції, міжнародні електронні перекази та дотримання правил ідентифікації клієнтів.
RPAA ж націлений на нагляд за операційними ризиками та захистом коштів користувачів. Реєстрація PSP у Банку Канади означає виконання вимог щодо управління ризиками, захисту коштів, звітності про платіжні метрики та повідомлення про інциденти. Багато провайдерів зобов’язані зареєструватися в обох системах: як MSB у FINTRAC і як PSP у Банку Канади. Реєстрація в одній системі не скасовує і не замінює реєстрацію в іншій.
Існують винятки: фізичні пункти обміну валют, некастодіальні криптовалютні біржі, банкомати (включно з крипто-АТМ), компанії з обготівковування чеків можуть не підпадати під RPAA, якщо не виконують функції зберігання коштів або електронних переказів. Але навіть для них MSB-реєстрація залишається обов’язковою.
Подвійне регуляторне навантаження вимагає від провайдерів створення окремих програм відповідності, регулярної звітності до обох інстанцій, розробки внутрішніх політик і процедур для кожного режиму. Помилки в оцінці застосовності вимог або неповне виконання зобов’язань призводять до санкцій, публічного осуду та втрати банківських рахунків.
Професійна юридична підтримка допомагає коректно кваліфікувати діяльність, підготувати документи для реєстрації, вибудувати ефективну систему внутрішнього контролю та своєчасно реагувати на запити регуляторів. Фахівці з фінансового регулювання проводять аудит бізнес-моделі, розробляють фреймворки управління ризиками та захисту коштів, забезпечують відповідність як RPAA, так і вимогам FINTRAC.
