Firma handlowa z Mazowsza przez trzy lata prowadziła sprzedaż hurtową bez formalnej procedury KYC. Kontrola Generalnego Inspektora Informacji Finansowej (GIIF) ujawniła brak oceny ryzyka, nieaktualne rejestry klientów i niewyznaczonego oficera AML. Kara administracyjna zamknęła jeden kwartał zysku. Sprawa trafiła do rejestru naruszeń – co zablokuje dostęp do przetargów publicznych na kilka lat.
Ustawa z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML) nakłada na instytucje obowiązane szereg konkretnych wymogów: identyfikację i weryfikację klientów, ocenę ryzyka, wewnętrzne procedury oraz obowiązek zgłaszania transakcji podejrzanych do GIIF. Przepisy dotyczą nie tylko banków – obejmują biura rachunkowe, doradców podatkowych, notariuszy, firmy leasingowe i szereg innych podmiotów. Niedopełnienie obowiązków grozi karą pieniężną do 5 000 000 EUR lub do 10% rocznego obrotu, a odpowiedzialność może objąć osoby zarządzające.
Ten przewodnik prowadzi krok po kroku przez cały cykl wdrożenia programu AML: od identyfikacji, czy Twoja firma jest instytucją obowiązaną, przez budowę procedur i szkolenie personelu, aż po obsługę kontroli GIIF. Każdy etap zawiera konkretny termin, koszt lub próg, który pozwala ocenić stan własnej organizacji.
Kto jest instytucją obowiązaną i co z tego wynika?
Zakres podmiotowy ustawy AML jest znacznie szerszy niż większość przedsiębiorców zakłada. Instytucją obowiązaną jest każdy podmiot, który ustawa wskazuje wprost – niezależnie od wielkości czy formy prawnej. Decyduje charakter prowadzonej działalności, nie skala obrotów. Pominięcie tego etapu to najczęstszy błąd polskich firm, który GIIF wykrywa już na wstępnym etapie kontroli.
Katalog instytucji obowiązanych obejmuje m.in.: banki i SKOK-i, biura rachunkowe i doradców podatkowych, notariuszy i adwokatów (w zakresie określonych czynności), firmy leasingowe i faktoringowe, pośredników w obrocie nieruchomościami, operatorów platform walut wirtualnych (VASP), a od 2021 roku – fundatorów i zarządzających funduszami inwestycyjnymi. Wpis do CRBR (Centralnego Rejestru Beneficjentów Rzeczywistych) nie zastępuje wewnętrznych obowiązków AML – to dwa odrębne reżimy.
Trzy pytania pozwalają wstępnie ocenić status firmy. Po pierwsze: czy działalność mieści się w katalogu ustawy? Po drugie: czy transakcje gotówkowe przekraczają 10 000 EUR (próg dla przedsiębiorców przyjmujących płatności gotówkowe)? Po trzecie: czy firma świadczy usługi na rzecz spółek lub trustów? Odpowiedź twierdząca na choćby jedno pytanie wymaga pogłębionej analizy.
Dla zagranicznych inwestorów wchodzących na rynek polski sytuacja jest złożona. Spółka zależna zarejestrowana w KRS podlega polskiej ustawie AML bez wyjątku. Oddziały podmiotów zagranicznych stosują przepisy polskie w zakresie działalności prowadzonej w Polsce. W praktyce – wiele grup kapitałowych zakłada, że grupowy program AML spółki matki wystarczy. Nie wystarczy: polska ustawa wymaga lokalnego oficera AML, lokalnej procedury i lokalnych szkoleń w języku polskim.
Jak zbudować program AML krok po kroku?
Budowa programu AML to nie jednorazowy projekt, lecz ciągły proces. Ustawa AML wymaga udokumentowania każdego etapu: od oceny ryzyka, przez procedury wewnętrzne, po szkolenia i audyty. GIIF podczas kontroli weryfikuje dokumenty – brak papierowego śladu traktuje jak brak działania. Termin na wdrożenie kompletnego programu po stwierdzeniu statusu instytucji obowiązanej wynosi 30 dni od rozpoczęcia działalności objętej ustawą.
Etap 1 – Ocena ryzyka instytucji. Firma musi przeprowadzić i udokumentować ocenę ryzyka prania pieniędzy właściwego dla jej działalności. Ocena uwzględnia: typ klientów, kraje ich pochodzenia, rodzaje produktów i kanały dystrybucji. Dokument aktualizuje się nie rzadziej niż co 2 lata lub po istotnej zmianie profilu działalności.
Etap 2 – Procedura wewnętrzna AML. Na podstawie oceny ryzyka opracowuje się procedurę obejmującą: zasady identyfikacji klientów (KYC), środki należytej staranności (standardowe, wzmożone i uproszczone), zasady zgłaszania transakcji podejrzanych do GIIF, tryb przechowywania dokumentacji przez 5 lat od zakończenia relacji z klientem.
Etap 3 – Wyznaczenie oficera AML. Ustawa wymaga wyznaczenia osoby odpowiedzialnej za wdrożenie procedur – w spółkach kapitałowych może to być członek zarządu. Oficer AML musi posiadać odpowiednie umocowanie i dostęp do informacji niezbędnych do wykonywania obowiązków. Brak formalnego wyznaczenia to jeden z najczęściej stwierdzanych braków podczas kontroli GIIF.
Etap 4 – Szkolenia personelu. Wszyscy pracownicy mający kontakt z klientami lub transakcjami muszą odbyć szkolenie AML. Szkolenie dokumentuje się imiennie, z datą i zakresem. Minimalna częstotliwość to raz na 2 lata, ale przy zmianie przepisów – bez zwłoki.
Etap 5 – Audyt wewnętrzny. Program AML wymaga cyklicznego przeglądu skuteczności. Wyniki audytu trafiają do zarządu w formie pisemnego raportu. Koszt zewnętrznego audytu AML dla średniej firmy wynosi od 8 000 do 25 000 PLN, zależnie od złożoności działalności.
Uważamy, że bezpieczniejszym rozwiązaniem jest zlecenie pierwszego audytu zewnętrznemu doradcy – pozwala to uniknąć efektu „audytu własnej pracy" i dostarcza niezależną ocenę, którą można przedstawić GIIF jako dowód dobrej wiary.
Lista kontrolna – minimalne elementy programu AML:
- Udokumentowana ocena ryzyka instytucji (aktualizowana co 2 lata)
- Procedura wewnętrzna AML zatwierdzona przez zarząd
- Wyznaczony oficer AML z formalnym aktem powołania
- Imienne szkolenia personelu z potwierdzeniem odbycia
- Rejestr transakcji i dokumentacja KYC przechowywana przez 5 lat
Trzy scenariusze biznesowe pokazują, jak różnie wygląda wdrożenie. Firma produkcyjna z Małopolski, sprzedająca towary za gotówkę powyżej 10 000 EUR, staje się instytucją obowiązaną wyłącznie z tego tytułu – program AML może być stosunkowo prosty, ale musi istnieć. Spółka IT z Warszawy obsługująca klientów z krajów wysokiego ryzyka (np. z listy FATF) musi stosować wzmożone środki należytej staranności dla każdej takiej relacji. Zagraniczny inwestor z Luksemburga otwierający spółkę zależną w Polsce musi wdrożyć lokalny program AML niezależnie od grupowej polityki – pomocne może być doświadczenie z projektowania programów compliance dla spółek zależnych z Luksemburga w Polsce.
Konkretna sytuacja Państwa firmy może wymagać innego podejścia. Nierozpoznanie statusu instytucji obowiązanej zamyka drogę do skutecznej obrony przed karą – GIIF nie akceptuje argumentu „nie wiedzieliśmy". Jeśli Państwa spółka nie przeprowadziła jeszcze oceny ryzyka AML, przeprowadzimy diagnozę statusu, analizę luk i projekt procedury: info@kordeckipartners.com.
Jakie sankcje grożą za naruszenie obowiązków AML?
Sankcje za naruszenie ustawy AML są wielowarstwowe. GIIF może nałożyć karę administracyjną, opublikować decyzję w rejestrze naruszeń i zawiadomić organy ścigania. Kara pieniężna dla instytucji obowiązanej wynosi do 5 000 000 EUR lub do 10% całkowitego rocznego obrotu – w zależności od tego, która wartość jest wyższa. To nie jest górna granica teoretyczna: GIIF korzysta z tych uprawnień coraz częściej.
Odpowiedzialność osobista zarządzających to oddzielny wymiar ryzyka. Osoby pełniące funkcje kierownicze mogą zostać ukarane karą do 1 000 000 PLN indywidualnie. Warunkiem jest stwierdzenie, że naruszenie nastąpiło wskutek rażącego niedbalstwa lub umyślnego działania osoby zarządzającej. W praktyce – brak wyznaczonego oficera AML i brak szkoleń są traktowane jako przesłanki rażącego niedbalstwa.
Mikroprzedsiębiorstwo z Podkarpacia, które w lecie 2024 roku pominęło obowiązek rejestracji transakcji gotówkowych powyżej progu, otrzymało karę 120 000 PLN – mimo że sama transakcja była legalna. GIIF podkreślił, że sankcja dotyczy braku procedury, nie charakteru transakcji.
Rejestr naruszeń to dodatkowe ryzyko. Decyzja o nałożeniu kary jest publikowana przez GIIF przez okres do 5 lat. Wpis w rejestrze skutecznie blokuje dostęp do zamówień publicznych, utrudnia pozyskanie finansowania bankowego i niszczy reputację w relacjach z partnerami zagranicznymi. Tego skutku nie da się cofnąć – stąd profilaktyka jest znacznie tańsza niż naprawa.
Warto też pamiętać o powiązaniu z regulacjami sygnalistów. Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów, która weszła w życie 25 września 2024 roku, nakłada na pracodawców z co najmniej 50 pracownikami obowiązek ustanowienia wewnętrznego kanału zgłoszeń (art. 8 ustawy o sygnalistach). Kanał ten powinien obejmować możliwość anonimowego zgłaszania naruszeń AML – co tworzy synergię między programem compliance a ochroną sygnalistów.
Jak przebiega kontrola GIIF i jak się do niej przygotować?
Kontrola GIIF może być zapowiedziana lub niezapowiedziana. Inspektorzy mają prawo żądać dokumentów w ciągu 7 dni roboczych od doręczenia żądania. Brak odpowiedzi w terminie jest traktowany jako utrudnianie kontroli i stanowi odrębną podstawę do nałożenia kary. Instytucja obowiązana powinna mieć wyznaczoną osobę odpowiedzialną za kontakt z GIIF – najczęściej jest to oficer AML lub pełnomocnik prawny.
Czego szukają inspektorzy? Przede wszystkim dokumentów. Weryfikują: aktualność oceny ryzyka, istnienie i treść procedury wewnętrznej, listę przeszkolonych pracowników, rejestry transakcji i dokumentację KYC. Brak któregokolwiek z tych elementów jest odnotowywany w protokole. Protokół kontroli stanowi podstawę decyzji administracyjnej.
Na papierze procedura kontrolna wygląda prosto. W praktyce – wiele firm odkrywa w trakcie kontroli, że dokumenty istnieją, ale są nieaktualne lub niekompletne. Ocena ryzyka sprzed 4 lat, szkolenia bez imiennych list obecności, procedura niezatwierdzona przez zarząd – to wystarczy do stwierdzenia naruszenia.
Przygotowanie do kontroli powinno obejmować wewnętrzny przegląd zgodności co najmniej raz na rok. Firmy działające w sektorach wysokiego ryzyka (np. obsługa klientów z krajów trzecich, obrót walutami wirtualnymi) powinny przeprowadzać przegląd co 6 miesięcy. Dla podmiotów z sektora finansowego, które podlegają też regulacjom DORA w zakresie ryzyka ICT, przydatna jest analiza kto i kiedy musi spełnić wymogi DORA – obie regulacje często dotyczą tych samych działów compliance.
Spółka z branży nieruchomości z Trójmiasta, skontrolowana wiosną 2025 roku, uniknęła kary dzięki temu, że przedstawiła aktualny raport z audytu wewnętrznego i protokół ze szkolenia przeprowadzonego 3 miesiące wcześniej. GIIF uznał, że firma wykazała „należytą staranność" i ograniczył postępowanie do zaleceń pokontrolnych.
Trzy działania, które warto podjąć przed kontrolą:
- Przegląd aktualności oceny ryzyka i procedury wewnętrznej
- Weryfikacja kompletności dokumentacji KYC dla aktywnych klientów
- Sprawdzenie, czy szkolenia są udokumentowane imiennie i datowane
Jak AML łączy się z ESG, CSRD i whistleblowingiem?
Compliance AML przestał być izolowanym obowiązkiem. Duże firmy obserwują konwergencję trzech reżimów: AML, ESG/CSRD i ochrony sygnalistów. Dla compliance lawyera w Warszawie oznacza to jedno: program compliance musi być zintegrowany, nie składać się z oddzielnych dokumentów tworzonych przez różne działy bez wzajemnej koordynacji.
CSRD (Dyrektywa UE 2022/2464), wdrożona do polskiego prawa nowelizacją ustawy o rachunkowości podpisaną 12 grudnia 2024 roku, nakłada na duże podmioty obowiązek raportowania ESG obejmującego m.in. ryzyka związane z praniem pieniędzy i korupcją. Dla podmiotów spełniających progi Fali 2 (aktywa powyżej 110 mln PLN lub przychody powyżej 220 mln PLN lub powyżej 250 pracowników) – raportowanie ESG i raportowanie AML zaczną się nakładać w praktyce operacyjnej.
Obowiązek whistleblowingowy wzmacnia system AML od wewnątrz. Art. 8 ustawy o sygnalistach wymaga kanału zgłoszeń dla pracodawców z co najmniej 50 pracownikami. Kanał powinien umożliwiać anonimowe zgłaszanie podejrzanych transakcji i naruszeń procedur AML. Firmy, które połączyły oba systemy w jeden zintegrowany mechanizm, ograniczają koszty wdrożenia i upraszczają szkolenia personelu.
Dla firm czeskich inwestujących w Polsce schemat jest analogiczny – lokalne obowiązki AML nakładają się na grupowe polityki ESG. Szczegółową analizę tego zagadnienia zawiera materiał o projektowaniu programów compliance dla spółek zależnych z Czech w Polsce. Compliance to proces, nie dokument – i dotyczy to każdej jurysdykcji.
Dla sektora finansowego dodatkową warstwą jest obowiązek zgłaszania incydentów ICT wynikający z DORA, który wszedł w życie 17 stycznia 2025 roku. Departamenty compliance banków i firm inwestycyjnych muszą zarządzać jednocześnie: kontrolą AML, raportowaniem CSRD, kanałem sygnalistów i wymogami DORA wobec KNF. To cztery odrębne reżimy z czterema różnymi terminami i czterema różnymi organami nadzoru.
Konkretna sytuacja Państwa firmy wymaga oceny wszystkich nakładających się obowiązków. Pominięcie choćby jednego z nich tworzy nieodwracalne luki w programie compliance, które GIIF, KNF lub PUODO mogą wykryć niezależnie od siebie. Jeśli Państwa spółka zatrudnia powyżej 50 pracowników i działa w sektorze objętym ustawą AML – przeprowadzimy audyt luk compliance, zaprojektujemy zintegrowany program i przygotujemy dokumentację na kontrolę: info@kordeckipartners.com.
Często zadawane pytania
P: Czy biuro rachunkowe zatrudniające 3 osoby musi wdrożyć pełny program AML?
O: Tak – biura rachunkowe są instytucjami obowiązanymi niezależnie od liczby pracowników. Ustawa AML nie przewiduje wyłączenia dla mikroprzedsiębiorców w tym sektorze. Obowiązkowe są: ocena ryzyka, procedura wewnętrzna, wyznaczenie osoby odpowiedzialnej i szkolenia. Brak programu naraża właściciela na karę osobistą do 1 000 000 PLN.
P: Ile kosztuje wdrożenie programu AML i jak długo trwa?
O: Koszt wdrożenia zależy od złożoności działalności. Dla małej firmy usługowej wdrożenie z pomocą zewnętrznego doradcy kosztuje od 5 000 do 15 000 PLN i trwa 4–8 tygodni. Dla średniej firmy z wieloma kategoriami klientów – od 20 000 do 50 000 PLN i 3–4 miesiące. Coroczny audyt utrzymujący zgodność to koszt od 8 000 PLN wzwyż. Porównanie z karą do 5 000 000 EUR sprawia, że inwestycja w compliance jest oczywista.
P: Czy grupowa polityka AML spółki matki z UE zastępuje lokalny program w Polsce?
O: Nie zastępuje. Polska ustawa AML wymaga lokalnej procedury wewnętrznej, lokalnego oficera AML i szkoleń przeprowadzonych w języku polskim. Grupowa polityka może być punktem wyjścia i może być inkorporowana do lokalnego dokumentu przez odniesienie, ale musi istnieć odrębny dokument zatwierdzony przez zarząd polskiej spółki. GIIF podczas kontroli żąda właśnie tego lokalnego dokumentu – brak go traktuje jako brak procedury.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance AML, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.