Dlaczego due diligence w fintech jest bardziej złożone niż w klasycznym biznesie
Due diligence przy zakupie firmy fintech to proces, który wykracza daleko poza standardowy audyt finansowy i prawny. Kupujący, który traktuje spółkę płatniczą, pożyczkową lub insurtech tak jak zwykłe przedsiębiorstwo usługowe, naraża się na ryzyko pominięcia krytycznych kwestii regulacyjnych, technologicznych i compliance'owych — a te potrafią zrujnować całą inwestycję już po zamknięciu transakcji.
Polski rynek fintech dojrzewa: obserwujemy zarówno konsolidację segmentu pożyczkowego i płatniczego, jak i pierwsze przejęcia krajowych startupów przez inwestorów zagranicznych. Jeśli rozważasz zakup firmy z sektora fintech, ten przewodnik pomoże Ci zorganizować badanie prawdziwie kompleksowo — od warstwy regulacyjnej przez technologię aż po kulturę organizacyjną. Najważniejsza zasada brzmi: w fintechu kolejność badań ma znaczenie, bo jeden problem regulacyjny potrafi unieważnić całą wycenę zbudowaną na pozostałych warstwach.
Warstwa regulacyjna — fundament całego procesu
Fintech to jeden z niewielu sektorów, gdzie brak właściwej licencji lub jej utrata oznaczają natychmiastową utratę zdolności do prowadzenia działalności. Dlatego audyt regulacyjny powinien poprzedzać wszystkie inne badania — nie ma sensu wyceniać EBITDA spółki, która może stracić zezwolenie w ciągu kwartału.
Jakie licencje i zezwolenia sprawdzić
- Licencja KIP / MIP (krajowa instytucja płatnicza / mała instytucja płatnicza) — weryfikuj status w rejestrze KNF, daty ważności i ewentualne warunkowe zezwolenia
- Zezwolenie na wydawanie pieniądza elektronicznego (EMI) — dotyczy e-portfeli i kart prepaid
- Wpis do rejestru instytucji pożyczkowych KNF — weryfikuj kompletność i aktualność danych
- Licencja biura usług płatniczych (BUP) — niższy próg wejścia, ale też niższe limity obrotu
- Rejestracja jako agent ubezpieczeniowy lub broker — w przypadku insurtech i bancassurance
- Passporting do UE — sprawdź, czy spółka korzysta z licencji wystawionej przez inny regulator (np. litewski, maltański) i jaki jest status tych zezwoleń po ewentualnych zmianach prawa
Zadbaj o uzyskanie oficjalnych wypisów z rejestrów KNF, a nie jedynie oświadczeń sprzedającego. Każda licencja niesie ze sobą konkretne obowiązki kapitałowe — sprawdź, czy spółka spełnia wymogi dotyczące funduszy własnych na dzień transakcji, a także czy nie istnieje ryzyko ich naruszenia tuż po zamknięciu (np. wskutek wypłaty dywidendy przez sprzedającego).
Historia relacji z KNF i innymi regulatorami
Poproś o:
- Pełną korespondencję z KNF z ostatnich kilku lat
- Protokoły z inspekcji i wyniki postępowań nadzorczych
- Decyzje administracyjne, zalecenia, upomnienia
- Informacje o wszelkich toczących się postępowaniach (również UODO, UOKiK, GIIF)
Czerwona flaga: wielokrotne zalecenia pokontrolne bez dowodów na ich realizację — to sygnał systemowych problemów compliance'owych, a nie pojedynczych incydentów. Drugą poważną flagą jest sytuacja, w której spółka działa „na granicy" definicji licencji (np. świadczy usługi płatnicze, opierając się na wyłączeniu z ustawy, które łatwo zakwestionować).
Audyt technologiczny — gdzie kryje się ukryty dług
W fintechach infrastruktura technologiczna jest produktem. Jej stan bezpośrednio determinuje wartość spółki, przyszłe koszty utrzymania oraz zdolność do skalowania.
Architektura i dług technologiczny
- Oceń stosunek kodu własnego do rozwiązań open source i zewnętrznych dostawców (white-label)
- Sprawdź pokrycie testami automatycznymi — niskie pokrycie w aplikacji finansowej to poważne ryzyko regresji
- Zbadaj wiek kluczowych komponentów — systemy napisane w przestarzałych technologiach generują wielokrotnie wyższe koszty serwisu i utrudniają rekrutację
- Poproś o dostęp do repozytorium kodu (lub jego audytu przez niezależnego audytora technicznego) — szukaj antywzorców: zahardcodowanych kluczy API, brakującej walidacji danych wejściowych, nieaktualizowanych zależności
Bezpieczeństwo i certyfikacje
- PCI DSS — jeśli spółka przetwarza dane kart płatniczych, sprawdź poziom certyfikacji (SAQ vs. pełny ROC), datę ostatniego audytu i nazwy QSA
- ISO 27001 — dobrowolna, ale coraz częściej wymagana przez partnerów i banki; weryfikuj aktualność certyfikatu i jego zakres (Statement of Applicability)
- Raport z ostatnich testów penetracyjnych (pentest) — sensowne minimum to regularny, coroczny test przez niezależny podmiot
- Historię incydentów bezpieczeństwa i naruszeń danych osobowych zgłoszonych do UODO
Zależności od zewnętrznych dostawców
Zidentyfikuj pojedyncze punkty awarii (ang. single points of failure):
- Czy działalność operacyjna zależy od jednego procesora płatności? Jakie są warunki umowy i klauzule wypowiedzenia?
- Dostawcy infrastruktury chmurowej — uptime SLA, lokalizacja danych (RODO!), procedury backup/DR
- Integracje z systemami bankowymi (API Banking, Open Banking PSD2) — sprawdź aktualność certyfikatów eIDAS oraz plan dostosowania do nadchodzących wymogów PSD3
Due diligence prawne i kontraktowe
Umowy kluczowe do przeglądu
- Umowy z partnerami bankowymi i sponsorami licencji (szczególnie ważne dla modeli BaaS)
- Umowy z głównymi klientami korporacyjnymi — klauzule change of control (CoC), okresy wypowiedzenia
- Umowy z dostawcami technologii — sublicencje, klauzule wyłączności, prawa do kodu
- Umowy z agentami płatniczymi i pośrednikami
- Umowy pracownicze kluczowych osób — non-compete, własność IP
Klauzule change of control zasługują na szczególną uwagę: wiele umów B2B w fintech zawiera prawo do wypowiedzenia lub renegocjacji warunków w przypadku zmiany właściciela. Jeśli takie klauzule dotyczą znaczącej części przychodów (orientacyjnie 20–30%), mówimy o ryzyku materialnym, które powinno wpłynąć na strukturę transakcji albo na cenę.
Własność intelektualna
- Zweryfikuj, kto jest właścicielem kodu: spółka, podwykonawcy czy pracownicy? Sprawdź umowy cesji IP z developerami zewnętrznymi
- Znaki towarowe, domeny, patenty — stan rejestracji i ewentualne spory
- Licencje open source — naruszenia licencji typu GPL/AGPL mogą w skrajnym przypadku wymusić ujawnienie kodu komercyjnego
Zobowiązania AML/CFT
Prawo o przeciwdziałaniu praniu pieniędzy nakłada na instytucje finansowe szczególne obowiązki. Zweryfikuj:
- Procedury KYC/AML, ich aktualność i zgodność z aktualnymi dyrektywami AML UE
- Rejestr transakcji podejrzanych i historię raportowania do GIIF
- Status w GIIF — czy spółka widnieje jako instytucja obowiązana i czy wywiązuje się z obowiązków sprawozdawczych
Zastrzeżenie: kwestie prawne i compliance opisane w tym artykule mają charakter informacyjny i nie stanowią porady prawnej. Każdą transakcję należy konsultować z kancelarią wyspecjalizowaną w prawie finansowym.
Audyt finansowy — specyfika sektora fintech
Standardowy audyt finansowy wymaga w fintech kilku istotnych uzupełnień.
Na co zwrócić szczególną uwagę
- Jakość portfela kredytowego (w przypadku pożyczek): wskaźnik NPL, rezerwy celowe, metodologia scoringowa, analizy vintage
- Przychody z prowizji vs. przychody odsetkowe — proporcja determinuje odporność na cykle koniunkturalne
- Marża interchange — wrażliwa na regulacje; sprawdź historię zmian i wpływ na EBITDA
- Koszty pozyskania klienta (CAC) vs. wartość życiowa klienta (LTV) — w fintech często ukryta jest masywna subwencja onboardingu
- Fundusze klientów — czy środki klientów są wydzielone (safeguarding) zgodnie z wymogami prawa o usługach płatniczych? Sprawdź osobne konta bankowe i sposób ich uzgadniania
Czerwone flagi finansowe
- Agresywna kapitalizacja kosztów IT zawyżająca EBITDA
- Gwałtowny wzrost przychodów bez proporcjonalnego wzrostu kosztów compliance — sygnał nieuznawania rezerw
- Duże różnice między raportowaną EBITDA a przepływami operacyjnymi (cash conversion)
- Koncentracja przychodów u jednego lub kilku klientów powyżej 40–50% całości
Dane, RODO i etyka AI
Compliance danych osobowych
Przetwarzanie danych finansowych klientów jest objęte zarówno RODO, jak i regulacjami sektorowymi. Sprawdź:
- Rejestr czynności przetwarzania (RCP) — kompletność i aktualność
- Historię naruszeń danych osobowych i postępowań UODO
- Umowy powierzenia przetwarzania danych z dostawcami IT
- Procedury realizacji praw podmiotów danych
Algorytmy scoringowe i modele AI
Coraz więcej fintechów wykorzystuje własne modele uczenia maszynowego do scoringu, AML i wykrywania nadużyć (fraud detection). W każdym z tych przypadków zbadaj:
- Dokumentację modeli — czy spełniają wymogi wyjaśnialności (XAI) i czy istnieje rejestr wersji?
- Zgodność z rozporządzeniem AI Act (kategorie ryzyka, obowiązki dostawcy i podmiotu wdrażającego)
- Historię błędnych predykcji i szkód wyrządzonych klientom — potencjalne roszczenia i ryzyko reputacyjne
Ocena zespołu i zasobów ludzkich
Kluczowe osoby i ryzyko retencji
W fintechach wartość często koncentruje się w kilku kluczowych pracownikach: CTO, Chief Compliance Officer, Head of Risk. Zbadaj:
- Umowy zatrudnienia — klauzule zakazu konkurencji, okresy wypowiedzenia, prawa do wynagrodzeń odroczonych
- Plany motywacyjne ESOP/phantom shares — czy zamknięcie transakcji wyzwala przyspieszony vesting?
- Kulturę techniczną — wysoka rotacja developerów (orientacyjnie powyżej 25–30% rocznie) to sygnał alarmowy
Zezwolenia dla osób zarządzających
KNF weryfikuje reputację i kompetencje osób zarządzających instytucjami płatniczymi. Upewnij się, że nowi zarządzający po przejęciu przejdą procedurę fit & proper — i że ten proces nie opóźni zamknięcia transakcji ani nie spowoduje luki w obsadzie kluczowych funkcji.
Checklista due diligence — wersja skondensowana
Dokumenty do pozyskania przed LOI / po podpisaniu NDA
- [ ] Aktualny odpis KRS + statut + uchwały zarządu (kilka ostatnich lat)
- [ ] Licencje i zezwolenia KNF z datami ważności
- [ ] Raporty finansowe (audytowane) za ostatnie 3 lata
- [ ] Zestawienie wszystkich umów z klauzulami CoC
- [ ] Rejestr czynności przetwarzania RODO
- [ ] Raport z ostatniego pentestu i certyfikat PCI DSS (jeśli dotyczy)
- [ ] Polityka AML/KYC + historia raportów GIIF
- [ ] Kluczowe umowy pracownicze i ewentualne ESOP
- [ ] Historia incydentów bezpieczeństwa (kilka ostatnich lat)
- [ ] Dokumentacja modeli AI/ML (jeśli używane)
Rozmowy / wywiady obowiązkowe
- [ ] CEO + CTO — roadmapa technologiczna, planowane inwestycje
- [ ] CCO / Compliance Manager — historia inspekcji KNF, otwarte kwestie
- [ ] Head of Risk — jakość portfela, metodologia rezerw
- [ ] 2–3 kluczowych klientów (referencyjnych) — plany na współpracę po transakcji
Typowe czerwone flagi w fintechach — podsumowanie sygnałów ostrzegawczych
| Obszar | Sygnał ostrzegawczy | |---|---| | Regulacje | Wielokrotne zalecenia KNF bez wdrożenia | | Technologia | Brak testów, stare zależności, zahardcodowane klucze | | Finanse | Duże rozbieżności EBITDA vs. cash flow | | Dane | Brak RCP, przeterminowane umowy powierzenia | | Ludzie | Wysoka rotacja developerów i compliance | | Klienci | Koncentracja przychodów powyżej 40% u jednego klienta |
Podsumowanie — jak przystąpić do zakupu fintech z głową
Przejęcie firmy fintech to transakcja wysokiego ryzyka, która przy właściwym przygotowaniu może przynieść wyjątkowe zwroty. Kluczem jest sekwencjonowanie: zanim zaczniesz audyt finansowy, upewnij się, że licencje są w porządku — bo bez nich wycena traci fundament. Drugim filarem jest dyscyplina dokumentacyjna: każda istotna informacja powinna pochodzić z oficjalnego źródła (rejestr, audyt, certyfikat), a nie z prezentacji sprzedającego.
Przeglądaj aktualne ogłoszenia sprzedaży firm na Biznes Atlas, by śledzić dostępne aktywa fintech na polskim rynku, a w przypadku wątpliwości dotyczących metodologii wyceny lub struktury transakcji — sięgnij po nasze poradniki dla kupujących. Każda transakcja w sektorze regulowanym wymaga jednak indywidualnej porady prawnej i podatkowej od specjalistów znających realia tego rynku.
Jeśli szukasz konkretnych aktywów do nabycia, przeglądaj oferty z kategorii fintech — rynek konsoliduje się, a okna okazji bywają krótkie.



