Due diligence w branży fintech — kompletny przewodnik dla kupującego

Fintech8 min czytania·2026-06-23

Zakup firmy fintech to jedna z najbardziej złożonych transakcji M&A — licencje KNF, compliance PCI DSS, długi technologiczny i ryzyko regulacyjne potrafią wywrócić wycenę do góry nogami. Sprawdź, co dokładnie zbadać przed podpisaniem umowy.

Dlaczego due diligence w fintech jest bardziej złożone niż w klasycznym biznesie

Due diligence przy zakupie firmy fintech to proces, który wykracza daleko poza standardowy audyt finansowy i prawny. Kupujący, który traktuje spółkę płatniczą, pożyczkową lub insurtech tak jak zwykłe przedsiębiorstwo usługowe, naraża się na ryzyko pominięcia krytycznych kwestii regulacyjnych, technologicznych i compliance'owych — a te potrafią zrujnować całą inwestycję już po zamknięciu transakcji.

Polski rynek fintech dojrzewa: obserwujemy zarówno konsolidację segmentu pożyczkowego i płatniczego, jak i pierwsze przejęcia krajowych startupów przez inwestorów zagranicznych. Jeśli rozważasz zakup firmy z sektora fintech, ten przewodnik pomoże Ci zorganizować badanie prawdziwie kompleksowo — od warstwy regulacyjnej przez technologię aż po kulturę organizacyjną. Najważniejsza zasada brzmi: w fintechu kolejność badań ma znaczenie, bo jeden problem regulacyjny potrafi unieważnić całą wycenę zbudowaną na pozostałych warstwach.


Warstwa regulacyjna — fundament całego procesu

Fintech to jeden z niewielu sektorów, gdzie brak właściwej licencji lub jej utrata oznaczają natychmiastową utratę zdolności do prowadzenia działalności. Dlatego audyt regulacyjny powinien poprzedzać wszystkie inne badania — nie ma sensu wyceniać EBITDA spółki, która może stracić zezwolenie w ciągu kwartału.

Jakie licencje i zezwolenia sprawdzić

  • Licencja KIP / MIP (krajowa instytucja płatnicza / mała instytucja płatnicza) — weryfikuj status w rejestrze KNF, daty ważności i ewentualne warunkowe zezwolenia
  • Zezwolenie na wydawanie pieniądza elektronicznego (EMI) — dotyczy e-portfeli i kart prepaid
  • Wpis do rejestru instytucji pożyczkowych KNF — weryfikuj kompletność i aktualność danych
  • Licencja biura usług płatniczych (BUP) — niższy próg wejścia, ale też niższe limity obrotu
  • Rejestracja jako agent ubezpieczeniowy lub broker — w przypadku insurtech i bancassurance
  • Passporting do UE — sprawdź, czy spółka korzysta z licencji wystawionej przez inny regulator (np. litewski, maltański) i jaki jest status tych zezwoleń po ewentualnych zmianach prawa

Zadbaj o uzyskanie oficjalnych wypisów z rejestrów KNF, a nie jedynie oświadczeń sprzedającego. Każda licencja niesie ze sobą konkretne obowiązki kapitałowe — sprawdź, czy spółka spełnia wymogi dotyczące funduszy własnych na dzień transakcji, a także czy nie istnieje ryzyko ich naruszenia tuż po zamknięciu (np. wskutek wypłaty dywidendy przez sprzedającego).

Historia relacji z KNF i innymi regulatorami

Poproś o:

  • Pełną korespondencję z KNF z ostatnich kilku lat
  • Protokoły z inspekcji i wyniki postępowań nadzorczych
  • Decyzje administracyjne, zalecenia, upomnienia
  • Informacje o wszelkich toczących się postępowaniach (również UODO, UOKiK, GIIF)

Czerwona flaga: wielokrotne zalecenia pokontrolne bez dowodów na ich realizację — to sygnał systemowych problemów compliance'owych, a nie pojedynczych incydentów. Drugą poważną flagą jest sytuacja, w której spółka działa „na granicy" definicji licencji (np. świadczy usługi płatnicze, opierając się na wyłączeniu z ustawy, które łatwo zakwestionować).


Audyt technologiczny — gdzie kryje się ukryty dług

W fintechach infrastruktura technologiczna jest produktem. Jej stan bezpośrednio determinuje wartość spółki, przyszłe koszty utrzymania oraz zdolność do skalowania.

Architektura i dług technologiczny

  • Oceń stosunek kodu własnego do rozwiązań open source i zewnętrznych dostawców (white-label)
  • Sprawdź pokrycie testami automatycznymi — niskie pokrycie w aplikacji finansowej to poważne ryzyko regresji
  • Zbadaj wiek kluczowych komponentów — systemy napisane w przestarzałych technologiach generują wielokrotnie wyższe koszty serwisu i utrudniają rekrutację
  • Poproś o dostęp do repozytorium kodu (lub jego audytu przez niezależnego audytora technicznego) — szukaj antywzorców: zahardcodowanych kluczy API, brakującej walidacji danych wejściowych, nieaktualizowanych zależności

Bezpieczeństwo i certyfikacje

  • PCI DSS — jeśli spółka przetwarza dane kart płatniczych, sprawdź poziom certyfikacji (SAQ vs. pełny ROC), datę ostatniego audytu i nazwy QSA
  • ISO 27001 — dobrowolna, ale coraz częściej wymagana przez partnerów i banki; weryfikuj aktualność certyfikatu i jego zakres (Statement of Applicability)
  • Raport z ostatnich testów penetracyjnych (pentest) — sensowne minimum to regularny, coroczny test przez niezależny podmiot
  • Historię incydentów bezpieczeństwa i naruszeń danych osobowych zgłoszonych do UODO

Zależności od zewnętrznych dostawców

Zidentyfikuj pojedyncze punkty awarii (ang. single points of failure):

  • Czy działalność operacyjna zależy od jednego procesora płatności? Jakie są warunki umowy i klauzule wypowiedzenia?
  • Dostawcy infrastruktury chmurowej — uptime SLA, lokalizacja danych (RODO!), procedury backup/DR
  • Integracje z systemami bankowymi (API Banking, Open Banking PSD2) — sprawdź aktualność certyfikatów eIDAS oraz plan dostosowania do nadchodzących wymogów PSD3

Due diligence prawne i kontraktowe

Umowy kluczowe do przeglądu

  1. Umowy z partnerami bankowymi i sponsorami licencji (szczególnie ważne dla modeli BaaS)
  2. Umowy z głównymi klientami korporacyjnymi — klauzule change of control (CoC), okresy wypowiedzenia
  3. Umowy z dostawcami technologii — sublicencje, klauzule wyłączności, prawa do kodu
  4. Umowy z agentami płatniczymi i pośrednikami
  5. Umowy pracownicze kluczowych osób — non-compete, własność IP

Klauzule change of control zasługują na szczególną uwagę: wiele umów B2B w fintech zawiera prawo do wypowiedzenia lub renegocjacji warunków w przypadku zmiany właściciela. Jeśli takie klauzule dotyczą znaczącej części przychodów (orientacyjnie 20–30%), mówimy o ryzyku materialnym, które powinno wpłynąć na strukturę transakcji albo na cenę.

Własność intelektualna

  • Zweryfikuj, kto jest właścicielem kodu: spółka, podwykonawcy czy pracownicy? Sprawdź umowy cesji IP z developerami zewnętrznymi
  • Znaki towarowe, domeny, patenty — stan rejestracji i ewentualne spory
  • Licencje open source — naruszenia licencji typu GPL/AGPL mogą w skrajnym przypadku wymusić ujawnienie kodu komercyjnego

Zobowiązania AML/CFT

Prawo o przeciwdziałaniu praniu pieniędzy nakłada na instytucje finansowe szczególne obowiązki. Zweryfikuj:

  • Procedury KYC/AML, ich aktualność i zgodność z aktualnymi dyrektywami AML UE
  • Rejestr transakcji podejrzanych i historię raportowania do GIIF
  • Status w GIIF — czy spółka widnieje jako instytucja obowiązana i czy wywiązuje się z obowiązków sprawozdawczych

Zastrzeżenie: kwestie prawne i compliance opisane w tym artykule mają charakter informacyjny i nie stanowią porady prawnej. Każdą transakcję należy konsultować z kancelarią wyspecjalizowaną w prawie finansowym.


Audyt finansowy — specyfika sektora fintech

Standardowy audyt finansowy wymaga w fintech kilku istotnych uzupełnień.

Na co zwrócić szczególną uwagę

  • Jakość portfela kredytowego (w przypadku pożyczek): wskaźnik NPL, rezerwy celowe, metodologia scoringowa, analizy vintage
  • Przychody z prowizji vs. przychody odsetkowe — proporcja determinuje odporność na cykle koniunkturalne
  • Marża interchange — wrażliwa na regulacje; sprawdź historię zmian i wpływ na EBITDA
  • Koszty pozyskania klienta (CAC) vs. wartość życiowa klienta (LTV) — w fintech często ukryta jest masywna subwencja onboardingu
  • Fundusze klientów — czy środki klientów są wydzielone (safeguarding) zgodnie z wymogami prawa o usługach płatniczych? Sprawdź osobne konta bankowe i sposób ich uzgadniania

Czerwone flagi finansowe

  • Agresywna kapitalizacja kosztów IT zawyżająca EBITDA
  • Gwałtowny wzrost przychodów bez proporcjonalnego wzrostu kosztów compliance — sygnał nieuznawania rezerw
  • Duże różnice między raportowaną EBITDA a przepływami operacyjnymi (cash conversion)
  • Koncentracja przychodów u jednego lub kilku klientów powyżej 40–50% całości

Dane, RODO i etyka AI

Compliance danych osobowych

Przetwarzanie danych finansowych klientów jest objęte zarówno RODO, jak i regulacjami sektorowymi. Sprawdź:

  • Rejestr czynności przetwarzania (RCP) — kompletność i aktualność
  • Historię naruszeń danych osobowych i postępowań UODO
  • Umowy powierzenia przetwarzania danych z dostawcami IT
  • Procedury realizacji praw podmiotów danych

Algorytmy scoringowe i modele AI

Coraz więcej fintechów wykorzystuje własne modele uczenia maszynowego do scoringu, AML i wykrywania nadużyć (fraud detection). W każdym z tych przypadków zbadaj:

  • Dokumentację modeli — czy spełniają wymogi wyjaśnialności (XAI) i czy istnieje rejestr wersji?
  • Zgodność z rozporządzeniem AI Act (kategorie ryzyka, obowiązki dostawcy i podmiotu wdrażającego)
  • Historię błędnych predykcji i szkód wyrządzonych klientom — potencjalne roszczenia i ryzyko reputacyjne

Ocena zespołu i zasobów ludzkich

Kluczowe osoby i ryzyko retencji

W fintechach wartość często koncentruje się w kilku kluczowych pracownikach: CTO, Chief Compliance Officer, Head of Risk. Zbadaj:

  • Umowy zatrudnienia — klauzule zakazu konkurencji, okresy wypowiedzenia, prawa do wynagrodzeń odroczonych
  • Plany motywacyjne ESOP/phantom shares — czy zamknięcie transakcji wyzwala przyspieszony vesting?
  • Kulturę techniczną — wysoka rotacja developerów (orientacyjnie powyżej 25–30% rocznie) to sygnał alarmowy

Zezwolenia dla osób zarządzających

KNF weryfikuje reputację i kompetencje osób zarządzających instytucjami płatniczymi. Upewnij się, że nowi zarządzający po przejęciu przejdą procedurę fit & proper — i że ten proces nie opóźni zamknięcia transakcji ani nie spowoduje luki w obsadzie kluczowych funkcji.


Checklista due diligence — wersja skondensowana

Dokumenty do pozyskania przed LOI / po podpisaniu NDA

  • [ ] Aktualny odpis KRS + statut + uchwały zarządu (kilka ostatnich lat)
  • [ ] Licencje i zezwolenia KNF z datami ważności
  • [ ] Raporty finansowe (audytowane) za ostatnie 3 lata
  • [ ] Zestawienie wszystkich umów z klauzulami CoC
  • [ ] Rejestr czynności przetwarzania RODO
  • [ ] Raport z ostatniego pentestu i certyfikat PCI DSS (jeśli dotyczy)
  • [ ] Polityka AML/KYC + historia raportów GIIF
  • [ ] Kluczowe umowy pracownicze i ewentualne ESOP
  • [ ] Historia incydentów bezpieczeństwa (kilka ostatnich lat)
  • [ ] Dokumentacja modeli AI/ML (jeśli używane)

Rozmowy / wywiady obowiązkowe

  • [ ] CEO + CTO — roadmapa technologiczna, planowane inwestycje
  • [ ] CCO / Compliance Manager — historia inspekcji KNF, otwarte kwestie
  • [ ] Head of Risk — jakość portfela, metodologia rezerw
  • [ ] 2–3 kluczowych klientów (referencyjnych) — plany na współpracę po transakcji

Typowe czerwone flagi w fintechach — podsumowanie sygnałów ostrzegawczych

| Obszar | Sygnał ostrzegawczy | |---|---| | Regulacje | Wielokrotne zalecenia KNF bez wdrożenia | | Technologia | Brak testów, stare zależności, zahardcodowane klucze | | Finanse | Duże rozbieżności EBITDA vs. cash flow | | Dane | Brak RCP, przeterminowane umowy powierzenia | | Ludzie | Wysoka rotacja developerów i compliance | | Klienci | Koncentracja przychodów powyżej 40% u jednego klienta |


Podsumowanie — jak przystąpić do zakupu fintech z głową

Przejęcie firmy fintech to transakcja wysokiego ryzyka, która przy właściwym przygotowaniu może przynieść wyjątkowe zwroty. Kluczem jest sekwencjonowanie: zanim zaczniesz audyt finansowy, upewnij się, że licencje są w porządku — bo bez nich wycena traci fundament. Drugim filarem jest dyscyplina dokumentacyjna: każda istotna informacja powinna pochodzić z oficjalnego źródła (rejestr, audyt, certyfikat), a nie z prezentacji sprzedającego.

Przeglądaj aktualne ogłoszenia sprzedaży firm na Biznes Atlas, by śledzić dostępne aktywa fintech na polskim rynku, a w przypadku wątpliwości dotyczących metodologii wyceny lub struktury transakcji — sięgnij po nasze poradniki dla kupujących. Każda transakcja w sektorze regulowanym wymaga jednak indywidualnej porady prawnej i podatkowej od specjalistów znających realia tego rynku.

Jeśli szukasz konkretnych aktywów do nabycia, przeglądaj oferty z kategorii fintech — rynek konsoliduje się, a okna okazji bywają krótkie.

Najczęstsze pytania

Jak długo trwa due diligence w fintech?

Przy transakcjach średniej wielkości (spółka pożyczkowa lub płatnicza z kilkudziesięcioma pracownikami) realny czas to zwykle kilka–kilkanaście tygodni. Złożoność regulacyjna i konieczność weryfikacji certyfikatów bezpieczeństwa wydłużają proces w porównaniu do klasycznych transakcji M&A. Nie warto skracać tego etapu — błędy ujawnione po zamknięciu transakcji są zazwyczaj wielokrotnie droższe w naprawie.

Czy można kupić firmę fintech bez licencji KNF i uzyskać ją samodzielnie?

Tak, ale wiąże się to z wielomiesięcznym procesem uzyskiwania zezwolenia oraz wymogami kapitałowymi, których wysokość zależy od rodzaju licencji. Zakup podmiotu z istniejącą licencją jest zazwyczaj szybszy — pod warunkiem że KNF zatwierdzi nowych właścicieli i zarząd w procedurze fit & proper. Zawsze należy zweryfikować aktualne progi i wymogi z doradcą prawnym.

Jakie są największe ryzyka prawne przy przejęciu fintech?

Trzy najważniejsze to: (1) utajnione zobowiązania AML/CFT i niezgłoszone do GIIF transakcje podejrzane — mogą skutkować karami administracyjnymi już po transakcji; (2) klauzule change of control w umowach z bankami lub procesorami płatności, powodujące wypowiedzenie kluczowych relacji; (3) nieuregulowana własność intelektualna kodu — szczególnie przy outsourcingu developmentu. Artykuł ma charakter informacyjny i nie jest poradą prawną — konieczna jest konsultacja z wyspecjalizowaną kancelarią.

Jak ocenić, czy technologia fintech jest warta ceny?

Kluczowe metryki to: koszt odtworzenia systemu od zera, stosunek przychodu do kosztów utrzymania infrastruktury, pokrycie testami oraz czas wdrożenia nowych funkcji (lead time). Warto zlecić niezależny audyt techniczny firmie specjalizującej się w due diligence IT — jego koszt jest zwykle uzasadniony przy transakcjach o większej wartości, bo pozwala uniknąć przepłacenia za dług technologiczny.

Czy modele scoringowe AI muszą być zgodne z AI Act?

Systemy AI klasyfikowane jako wysokiego ryzyka (w tym wiele rozwiązań do scoringu kredytowego) podlegają zaostrzonym wymogom AI Act UE, w tym obowiązkom dokumentacyjnym i nadzorczym, które wchodzą w życie etapami. Nabywca przejmuje te obowiązki wraz ze spółką, dlatego ocena dojrzałości compliance'owej modeli ML powinna być stałym elementem due diligence w fintech. Szczegółowy zakres i terminy warto potwierdzić z doradcą prawnym.

Szukasz konkretnej oferty?

Przeglądaj aktualne ogłoszenia sprzedaży firm na Biznes Atlas.

Powiązane poradniki