FiduFine — Licence Institution de Paiement • Dossier complet • Structuration • Représentation • GFSC
🇬🇮 Gibraltar • Payment Institution / PSP • safeguarding • AML/CFT • IT/Outsourcing • Gouvernance • Audit-grade
Pourquoi Gibraltar pour une Institution de Paiement ?
Gibraltar attire les acteurs paiement qui veulent un cadre lisible et une approche “substance” : une autorité qui supervise ce que vous faites (contrôles, preuves, gouvernance) plutôt que ce que vous promettez. En clair : si votre modèle est solide, la juridiction sait l’évaluer… et vos partenaires aussi (banques, schemes, PSP rails).
Cadre Payment Services 2020
capital, own funds, safeguarding, agents, outsourcing, plaintes, reporting : le texte est “contrôlable”, donc on construit pour être contrôlé.
Large spectre de services
du remittance à l’acquiring, en passant par comptes, cartes, virements et initiation : votre classe dépend de ce que vous opérez réellement.
Crédibilité partenaires
une PI “clean” = meilleur onboarding bancaire, meilleures discussions KYC/KYB, et une trajectoire de scaling plus fluide (parce que tout est prouvé).
Classes, services & capital — choisir sans se piéger
La GFSC structure l’autorisation en classes selon les services. Vous ne choisissez pas une classe “au feeling” : on la déduit de votre produit, de vos flux, de vos contrats et de votre capacité de contrôle (notamment safeguarding et AML).
Class A — 20 000 €
Money remittance : transferts de fonds / remises. Simple sur le papier, exigeant en AML/CFT et en preuves (monitoring, investigations).
Class B — 50 000 €
Payment initiation (et cadrages associés selon la GFSC). Focus : sécurité, API, authentification, gestion incident, PII (si applicable).
Class C — 125 000 €
Services “lourds” (1 à 5) : comptes, dépôts/retraits cash, exécution transactions, cartes, acquiring, virements, prélèvements, standing orders.
Point premium (très concret) : si vous opérez plusieurs services, la GFSC attend en pratique la classe la plus haute requise. On évite les “angles morts” avant la soumission.
Exigences clés — ce que le régulateur veut pouvoir vérifier
Une Institution de Paiement “premium” n’est pas celle qui promet la conformité : c’est celle qui l’exécute. On structure votre dossier pour que chaque exigence ait : un owner, un contrôle, une fréquence, une preuve.
1) Gouvernance & Board
structure claire, lignes de responsabilité, comités (risque/audit si pertinent), politique conflits, reporting au board, “fit & proper” des dirigeants.
2) Safeguarding (fonds clients)
séparation des fonds, compte désigné, placements sûrs (si applicable) OU assurance/garantie. + reconciliations quotidiennes, exceptions, reporting, preuves.
3) AML/CFT opérationnel
KYC/EDD, sanctions/PEP, monitoring, investigations, escalade, STR (selon règles), registres, formation, QA — alignés aux flux réels.
4) IT, sécurité & résilience
IAM, logs, changements, vulnérabilités, incident response, BCP/DRP, tests. Objectif : prouver le contrôle, pas seulement acheter un outil.
5) Outsourcing gouverné
contrats, SLA, audit rights, oversight, cartographie dépendances, contrôle des changements, exit plan. (Le prestataire doit être “supervisable” via vous.)
6) Comptabilité, finance & reporting
budget prévisionnel (3 ans), stress tests, plan de trésorerie, compta de contrôle, reporting prudentiel/own funds, et “audit trail” end-to-end.
Pack Licence Institution de Paiement Gibraltar — “GFSC-ready” par FiduFine
Chez FiduFine, on ne “rédige” pas un dossier : on livre un système. Structure + contrôles + preuves + pilotage. Résultat : une PI crédible auprès de la GFSC, et surtout viable auprès des banques partenaires et des rails de paiement.
1) Pré-qualification & choix de classe
- cartographie services (A/B/C), pays, flux, volumes, partenaires
- analyse risques : produit ↔ AML ↔ IT ↔ safeguarding
- plan capital & own funds + hypothèses justifiées
- roadmap & gouvernance documentaire
2) Structuration & gouvernance
- organigramme, responsabilités, comités, délégations
- fonctions clés (compliance/MLRO, risk, contrôle interne)
- politiques : conflits, reporting, change control
- kit “fit & proper” cohérent avec les rôles
3) Dossier complet “audit-grade”
- business plan + forecast 3 ans (P&L / BS / cash / stress tests)
- politiques & procédures : safeguarding, AML, IT, incidents, outsourcing
- registre de preuves + versioning + QA inter-documents
- pack de soumission structuré (zéro contradiction)
4) Safeguarding & reconciliations
- schémas de flux, compte(s) dédiés, règles et contrôles
- reconciliations, exceptions, reporting, preuves
- coordination banque(s) & partenaires
- audit trail “proof-first”
5) AML/CFT opérable
- KYC/EDD, sanctions/PEP, acceptation, scoring
- monitoring : scénarios, alertes, investigations, escalade
- registres, formation, QA, audit trail
- cohérence AML ↔ produit ↔ risques ↔ IT
6) IT/Sécurité/Outsourcing & Résilience
- IAM, logs, vulnérabilités, change management
- incident response + playbooks + exercices
- BCP/DRP : RTO/RPO, tests, preuves
- outsourcing governance : audit rights, oversight, exit plan
7) Représentation & conduite de procédure
- pré-application, échanges, réunions, cadrage
- réponses itératives (versioning & contrôle d’impact)
- coordination actionnaires, dirigeants, prestataires
- pilotage “autorisation → go-live” sans improvisation
Clin d’œil premium : la PI la plus rentable est celle qui n’a pas besoin d’expliquer sa conformité… parce qu’elle peut la montrer.
Témoignages (cas anonymisés)
“Leur approche ‘proof-first’ a accéléré les échanges : chaque question = une preuve versionnée.”
— CEO, PSP B2B
“Safeguarding et reconciliations : enfin un système exploitable, pas un document décoratif.”
— COO, payments platform
“Outsourcing governance : audit rights, oversight, exit plan… nos partenaires ont validé sans frictions.”
— Head of Compliance
FAQ — Institution de Paiement Gibraltar
Le capital minimum suffit-il pour être “OK” ?
Non. Le capital initial est l’entrée. Ensuite, vous devez maintenir des own funds adéquats
(≥ max(capital initial, requirement calculé)). On dimensionne le modèle financier pour que la conformité soit soutenable.
Safeguarding : qu’est-ce qui est attendu concrètement ?
Un mécanisme + des preuves : ségrégation, compte désigné, règles, reconciliations, exceptions, reporting, audit trail.
C’est un système, pas une phrase dans un PDF.
Peut-on utiliser des agents et/ou outsourcer ?
Oui, sous gouvernance : due diligence, registres, contrôles AML, droits d’audit, supervision effective et exit plan.
L’outsourcing doit rester “supervisable”.
Pourquoi FiduFine plutôt qu’un “dossier standard” ?
Parce qu’une PI standard finit souvent en “compliance debt”.
FiduFine construit une PI exploitable : contrôles + owners + preuves + pilotage. Le régulateur comprend, les partenaires valident, et vous scalez.
Hot take (polie) : le paiement est simple… jusqu’à ce qu’on vous demande de prouver que vous le maîtrisez. Nous, on adore ces moments.
Démarrer (direct, sécurisé, premium)
On commence par une pré-qualification : services (classe A/B/C), capital, safeguarding, AML/CFT, IT/outsourcing, timeline, livrables. Ensuite : structuration + dossier complet + QA + représentation GFSC.
Aucun formulaire • Aucun contact affiché • Canaux directs uniquement.
Sources publiques (repères) :
Disclaimer : contenu informatif et commercial, ne constitue pas un avis juridique formel.
Les exigences applicables dépendent du modèle, des flux, des volumes et de l’appréciation de l’autorité compétente.