מה זה בעצם Regulatory Sandbox ולמה זה קיים?
רגולטור בפיננסים עומד בפני פרדוקס: הוא צריך להגן על הציבור מפני מוצרים פיננסיים לא בטוחים, אבל אם הוא מחיל את כל הדרישות על סטארטאפ בשלב ניסוי — הסטארטאפ לא יכול להתקיים. הפתרון שאומץ בעולם: סנדבוקס. אתם עובדים בסביבה מבוקרת עם לקוחות אמיתיים, הרגולטור עוקב מקרוב, ושניכם לומדים מה עובד.
זה לא פטור מרגולציה — זה ניסוי בפיקוח. ההבדל הזה קריטי: כל מה שתעשו בסנדבוקס נלמד על ידי הרגולטור. המידע שאתם חושפים לרשות — כולל מודל עסקי, פגיעויות טכנולוגיות, ונתוני לקוחות — לא "נעלם" כשהסנדבוקס נסגר.
בישראל: מי מפעיל סנדבוקס ועבור מי?
בנק ישראל — פינטק
בנק ישראל מפעיל מסלול סנדבוקס לחברות פינטק שמפתחות שירותי תשלום, הלוואות דיגיטליות, בנקאות פתוחה (Open Banking), ועוד. הבקשה כוללת תיאור מפורט של המודל העסקי, ניתוח סיכונים לצרכנים, ותוכנית לניהול כשל. הרשות שומרת לעצמה את הזכות לסגור את הניסוי בכל שלב אם מזהה סיכון.
רשות ניירות ערך
רשות ניירות ערך מפעילה מסלול דומה לחברות שעוסקות בניהול השקעות דיגיטלי, מסחר אלגוריתמי, טוקניזציה של נכסים, ו-RegTech. דרישת הסף: להוכיח שהמוצר שלכם אכן "חדשני" — לא רק אפליקציה יפה על גבי שירות קיים.
דרישות כניסה — מה רגולטורים באמת רוצים לראות
הניסיון מלמד שבקשות שנדחות נופלות בדרך כלל על אחד משלושה דברים:
הוכחת חדשנות: לא מספיק להגיד "אנחנו עושים X בצורה טובה יותר." צריך להראות שהמוצר שלכם עוסק בבעיה שהרגולציה הקיימת לא יודעת לתת לה מענה — ורק בגלל זאת אתם "תקועים" מבחינה רגולטורית.
הגנת צרכנים: הרשות תשאל: מה קורה אם הניסוי נכשל? מה קורה ללקוחות שהשתמשו במוצר? חברה שלא מגיעה עם תשובה ברורה — נדחית.
יכולת קיום: סנדבוקס הוא לא מנגנון הצלה לסטארטאפ שנגמר לו הכסף. הרשות רוצה לראות שיש לכם יכולת לפעול ולהגיב, ושיש מי שאחראי.
מה קורה בתוך הסנדבוקס
בדרך כלל תקופת הניסוי עומדת על 6–18 חודשים, עם מגבלות על מספר משתמשים (בדרך כלל עד 10,000), נפח עסקאות, וסוגי לקוחות. אתם מחויבים לדיווח שוטף לרשות — בדרך כלל אחת לחודש או אחת לרבעון — ולשקיפות מלאה על כשלים.
חשוב להבין: מגבלות הסנדבוקס אינן "ריצפה" שממנה אתם מתפתחים בחופשיות — הן גבולות ממשיים. אם גדלתם מעבר למגבלה — הפרתם את תנאי הסנדבוקס.
שאלת מיליון הדולר: מה קורה כשהסנדבוקס נגמר?
זו הנקודה שחברות רבות לא מתכננות כראוי, ואז מוצאות עצמן "תקועות לאחר ההצלחה." בתום הניסוי, אתם נדרשים לעמוד בכל הדרישות הרגולטוריות הסטנדרטיות — לעיתים תוך 3–6 חודשים.
לכן, מהיום הראשון בסנדבוקס, צריך לעבוד במקביל על שלושה מסלולים: קבלת רישיון מלא (מה נדרש, כמה זמן זה לוקח, כמה עולה), תשתית ציות (מי אחראי על compliance, מה המערכות שדרושות), ותכנית גיבוי אם הרישיון לא יינתן בזמן.
חברה שלא עשתה את זה מגלה ש"הניסוי הצליח" — אבל אין לה רישיון ואין לה זמן לקבל אחד. לקוחות נפגעים, משקיעים מתאכזבים.
IP ומידע רגיש — מה לשמור על עצמכם לפני שנכנסים
לפני הגשת בקשה לסנדבוקס, ארגנו את ההגנה על הקניין הרוחני. הרגולטור לומד מה שאתם מגלים לו — ולמרות שיש חובות סודיות, הידע שנרכש מניסוי אחד מזין את הסנדבוקס הבא. פטנט, סוד מסחרי מתועד, NDA ספציפי עם הרשות — בחרו את הכלי המתאים לפי אופי החדשנות שלכם.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: נהלו משא ומתן על "grandfather clause" — סעיף שקובע שהחוקים הקיימים ביום הכניסה לסנדבוקס יחולו עליכם גם לאחר יציאתכם. הרגולטור לא תמיד מציע זאת אוטומטית, אך פתוח לדיון.
- פסיקה רלבנטית: קיימת פסיקה של בתי משפט מחוזיים בנוגע לחברות שיצאו מסנדבוקס ועמדו בפני דרישות רגולטוריות שהשתנו בתקופת הניסוי — תכנון מסלול ה"grandfather" הוא קריטי.
- טעות נפוצה: כניסה לסנדבוקס ללא ייעוץ בעניין IP — הרגולטור לומד מה שאתם מגלים לו. ודאו שהמידע הרגיש שמועבר מוגן חוזית לפני ההגשה.
- נקודה טקטית: תכנון מסלול הרישיון המלא צריך להתחיל לא יאוחר מהחודש השלישי לסנדבוקס — לא בחודש לפני הסיום.