Провайдери платіжних послуг (Payment Service Providers, PSP) — це організації, які виконують платіжні функції, пов’язані з електронними грошовими переказами. Відповідно до канадського законодавства, PSP може вести рахунки кінцевих користувачів, зберігати кошти від їхнього імені, ініціювати перекази, авторизувати транзакції або надавати клірингові послуги. Із запровадженням Retail Payment Activities Act (RPAA) у 2024 році компанії, що здійснюють подібні операції, зобов’язані реєструватися в Банку Канади та відповідати суворим стандартам безпеки.
PSP виконує кілька ключових функцій: управління платіжними рахунками користувачів, тимчасове зберігання коштів до моменту їхнього виведення або переказу отримувачу, обробка платіжних інструкцій та забезпечення клірингу. Ці операції супроводжуються значними ризиками — від кіберзагроз і операційних збоїв до фінансових втрат кінцевих користувачів. Саме тому RPAA вимагає від PSP створення комплексних фреймворків управління ризиками, які включають процедури ідентифікації загроз, реагування на інциденти та забезпечення безперервності бізнесу.
Ризик-менеджмент для PSP — це не просто формальне дотримання норм. Відсутність надійних механізмів захисту може призвести до втрати довіри клієнтів, фінансових санкцій від регулятора та втрати доступу до банківських послуг. Адміністративні штрафи можуть сягати 10 мільйонів канадських доларів за особливо серйозні порушення.
Багато компаній плутають вимоги FINTRAC для Money Services Business (MSB) та зобов’язання за RPAA. MSB-реєстрація в FINTRAC фокусується на протидії відмиванню грошей і фінансуванню тероризму: верифікація клієнтів, моніторинг підозрілих транзакцій, звітність про великі операції. RPAA ж концентрується на операційній надійності, захисті коштів користувачів і управлінні ризиками. Для більшості платіжних провайдерів необхідна реєстрація в обох системах — FINTRAC і Банку Канади.
Ключова відмінність: MSB-реєстрація не замінює зобов’язань RPAA. Компанія може дотримуватися AML/CTF-норм, але при цьому не мати адекватних механізмів захисту коштів або реагування на інциденти. Розуміння різниці між двома режимами критично важливе для коректного структурування комплаєнс-процесів. Фахівці MapleBiz допомагають розібратися в подвійній природі регулювання та підготувати документацію для обох реєстрацій.
Відповідно до RPAA, кожен PSP зобов’язаний розробити, впровадити та підтримувати фреймворк управління операційними ризиками і реагування на інциденти. Цей фреймворк має ідентифікувати всі можливі загрози: технологічні збої, кібератаки, людські помилки, проблеми з третіми сторонами. Регулятор очікує, що документи включатимуть політики, процедури, контрольні механізми, систему моніторингу та процес періодичного перегляду.
Фреймворк затверджується старшою посадовою особою щонайменше раз на рік і після будь-яких суттєвих змін. Компанії меншого масштабу можуть використовувати спрощені версії, але вимоги до ефективності залишаються однаковими. Важливо розуміти, що формальна наявність документа не гарантує відповідності: Банк Канади перевіряє реальне впровадження заходів і результати тестування.
Основні компоненти фреймворку включають: ідентифікацію та оцінку ризиків (включно з імовірністю та потенційною шкодою), заходи зі зменшення загроз (технічні засоби захисту, процедури контролю доступу, резервування систем), плани реагування на інциденти (чіткі ролі, алгоритми дій, комунікаційні протоколи) і програму тестування (симуляції атак, аудит вразливостей, щорічні перевірки незалежними експертами).
RPAA вимагає від PSP негайного повідомлення кінцевих користувачів, інших PSP або клірингових домів у разі виникнення інцидентів, які суттєво їх зачіпають. Регулятора необхідно повідомляти про будь-які серйозні порушення безпеки, відмови систем або витоки даних. Початкова версія регламентів вимагала повного відновлення перед відновленням операцій, але підсумкова редакція пом’якшила цю умову: PSP може продовжувати роботу, паралельно усуваючи наслідки інциденту.
План безперервності бізнесу (Business Continuity Plan, BCP) має охоплювати сценарії стихійних лих, кіберінцидентів, банкрутства ключових постачальників послуг. Стратегія відновлення включає резервні центри обробки даних, альтернативні канали зв’язку, процедури перемикання на резервні системи. Регулятор особливо уважно перевіряє, як PSP управляє ризиками, пов’язаними зі сторонніми сервіс-провайдерами: хмарні платформи, процесингові центри, аутсорсингові call-центри.
Один із центральних елементів RPAA — вимога забезпечити захист коштів кінцевих користувачів (safeguarding of end-user funds). PSP, які утримують кошти клієнтів до моменту виведення або переказу, зобов’язані використовувати один із двох механізмів: трастові рахунки або страхування/гарантії. Трастова модель передбачає створення чинної трастової структури за канадським правом, де PSP виступає довірчим управителем. Кошти зберігаються на окремому рахунку (safeguarding account), що не використовується для інших цілей, у визнаній фінансовій установі (банку, кредитній спілці, трастовій компанії).
Сегрегація коштів відбувається одразу після отримання: якщо технічні обмеження не дозволяють зробити це негайно, кошти мають потрапити на охоронний рахунок не пізніше наступного робочого дня. Банк Канади очікує, що PSP отримає юридичний висновок щодо коректності трастової структури, а також проведе незалежну перевірку відповідності вимогам. Критично важливо, що трастова модель захищає кошти користувачів від банкрутства PSP: у разі неплатоспроможності провайдера клієнтські фонди не входять до ліквідаційної маси.
Непрямі угоди (indirect arrangements), коли PSP використовує іншого PSP як посередника для доступу до фінансової установи, Банк Канади розглядає критично. Регулятор не забороняє таку модель категорично, але вимагає, щоб усі учасники ланцюга довели дотримання вимог RPAA та надали юридичне обґрунтування. На практиці більшості компаній рекомендується відкривати прямі відносини з банком.
Замість трастового рахунку PSP може використовувати сегрегований рахунок, забезпечений страховкою або банківською гарантією на суму не менше залишку коштів клієнтів. Важливо розуміти, що страхування вкладів (наприклад, CDIC — Canada Deposit Insurance Corporation) не підходить: воно захищає від банкрутства банку, а не самого PSP. Необхідний спеціалізований поліс або гарантія, які забезпечують виплату кінцевим користувачам у разі неплатоспроможності провайдера.
Вимоги до страхових механізмів включають: покриття має бути рівним або перевищувати обсяг коштів, що зберігаються, виплати мають здійснюватися якомога швидше після інциденту, поліс не повинен містити застережень, що перешкоджають виплаті при банкрутстві PSP, кошти не повинні входити до ліквідаційної маси компанії. Банк Канади не надає готових шаблонів страхових продуктів, делегуючи PSP завдання пошуку відповідного рішення спільно з юристами та страховиками.
Компроміс між трастовою моделлю та страхуванням очевидний: трасти забезпечують більш пряму захищеність і визнаються простіше, але потребують юридичної експертизи та дотримання трастового законодавства (яке відрізняється між провінціями common law і Квебеком). Страхування може бути гнучкішим з точки зору управління ліквідністю, але пошук страховика, готового запропонувати відповідні умови, залишається складним. MapleBiz надає юридичну підтримку у виборі оптимального механізму захисту коштів і підготовці необхідної документації.
Зареєстровані PSP зобов’язані щороку, не пізніше 31 березня, подавати детальний звіт до Банку Канади. Форма звіту доступна через портал PSP Connect і охоплює інформацію за попередній календарний рік: дані про фреймворк управління ризиками, практики захисту коштів, метрики транзакцій, зміни в діяльності, управління третіми сторонами, практики ведення записів. Перший звіт має бути поданий до 31 березня 2026 року.
Окрім річного звіту, PSP зобов’язані повідомляти регулятора про «значні зміни» до їхнього впровадження. Зміна вважається значною, якщо вона може суттєво вплинути на операційні ризики або спосіб захисту коштів клієнтів: зміна корпоративної структури (злиття, поглинання), зміна контролю (придбання держпідприємством), запуск нових платіжних функцій, зміни у способах зберігання коштів, переміщення даних за межі Канади.
Регулятор проводить регулярні перевірки та може запросити додаткові документи в будь-який час. Несвоєчасна або недостовірна звітність тягне за собою адміністративні санкції. Хибна інформація у звітах є порушенням закону і може спричинити серйозні наслідки, аж до відкликання реєстрації.
PSP зобов’язані інформувати Банк Канади про всі інциденти, що суттєво впливають на кінцевих користувачів, інших провайдерів або клірингові системи. Інциденти включають кібератаки, витоки даних, системні збої, які переривають платіжні послуги. Початкове повідомлення подається негайно, потім PSP надає детальний звіт про причини, наслідки та заходи з усунення.
Банк Канади використовує ризик-орієнтований підхід до нагляду: компанії з великими обсягами транзакцій, складними моделями або історією порушень підлягають частішим і глибшим перевіркам. Інспекції можуть включати запит документів, інтерв’ю з працівниками, тестування систем, виїзні аудити. Регулятор також вимагає проведення незалежних перевірок фреймворку захисту коштів кожні три роки.
Важливий аспект: PSP несуть відповідальність за комплаєнс навіть при використанні третіх сторін. Якщо хмарний провайдер, аутсорсингова компанія або процесинговий партнер допустить порушення, PSP відповідає перед регулятором. Це створює необхідність детального аудиту контрагентів і включення до договорів положень про дотримання стандартів RPAA.
Навігація в подвійній системі регулювання — FINTRAC для MSB і Банк Канади для PSP — потребує глибокої експертизи та розуміння нюансів канадського законодавства. MapleBiz спеціалізується на юридичній підтримці фінансових і платіжних компаній, надаючи повний спектр послуг для реєстрації та дотримання вимог RPAA.
Ми допомагаємо розробити комплексний фреймворк управління операційними ризиками та реагування на інциденти, адаптований до масштабу й специфіки вашої діяльності. Наші юристи готують юридичні висновки щодо коректності трастових структур, аналізують доступні варіанти страхування та гарантій, обирають оптимальний механізм захисту клієнтських коштів. Ми структуруємо реєстраційні документи для Банку Канади, забезпечуємо відповідність процедур зберігання коштів вимогам сегрегації та ліквідності.
MapleBiz консультує з питань звітності: підготовка щорічних звітів, процедури повідомлення про значні зміни, протоколи інцидент-менеджменту. Ми проводимо комплаєнс-аудит третіх сторін, яких PSP залучає для виконання критичних функцій, і розробляємо договірні механізми, що забезпечують відповідність партнерів нормам RPAA. Під час перевірок з боку регулятора наша команда представляє інтереси клієнтів, готує необхідні пояснення та забезпечує взаємодію з Банком Канади.
Для компаній, які лише планують вихід на канадський платіжний ринок, ми пропонуємо повний юридичний супровід: від реєстрації корпоративної структури до отримання статусу PSP і MSB. Зверніться до MapleBiz за консультацією — ми допоможемо структурувати ваш бізнес таким чином, щоб мінімізувати регуляторні ризики та забезпечити стале дотримання вимог канадського законодавства про платіжні послуги.
