Firma z Warszawy dowiaduje się o kontroli Generalnego Inspektora Informacji Finansowej dopiero po tym, jak analityk bankowy zgłasza podejrzaną transakcję. Procedury AML leżą w szufladzie od trzech lat. Oficer compliance nie istnieje. Kara – do 1 000 000 PLN – staje się realna w ciągu tygodnia.

Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na instytucje obowiązane szeroki katalog obowiązków: identyfikację klienta, ocenę ryzyka, szkolenia pracowników i rejestrację w CRBR. Sankcje finansowe sięgają 1 000 000 PLN dla osób fizycznych i równowartości 5 000 000 EUR dla podmiotów. Obowiązki obowiązują niezależnie od tego, czy firma przeprowadziła transakcję podejrzaną – wystarczy sam brak procedur.

Poniżej omawiamy trzy obszary: co się zmieniło w otoczeniu regulacyjnym, kogo dotyczą obowiązki i jakie działania należy podjąć natychmiast.

Co zmieniło się w przepisach AML i dlaczego firmy nie nadążają?

Polska ustawa AML była nowelizowana kilkakrotnie po 2018 roku. Każda zmiana rozszerzała katalog instytucji obowiązanych lub zaostrzała wymogi proceduralne. Aktualnie obowiązki AML obejmują nie tylko banki i domy maklerskie, ale też pośredników nieruchomości, biura rachunkowe, doradców podatkowych, notariuszy i – co zaskakuje wielu przedsiębiorców – podmioty świadczące usługi wirtualnych walut.

Równolegle działa CRBR – Centralny Rejestr Beneficjentów Rzeczywistych. Wpis do rejestru jest obowiązkowy, a dane muszą być aktualizowane w ciągu 7 dni od każdej zmiany. GIIF weryfikuje spójność danych CRBR z dokumentacją klienta przy każdej kontroli. Rozbieżność to gotowy zarzut proceduralny.

Nowym elementem jest nakładanie się AML z wymogami dyrektywy CSRD (Dyrektywa UE 2022/2464). Duże podmioty objęte raportowaniem ESG muszą ujawniać polityki przeciwdziałania praniu pieniędzy jako część ładu korporacyjnego. Brak spójności między raportem ESG a wewnętrznymi procedurami AML – to sygnał ostrzegawczy dla audytorów i regulatorów. Compliance lawyer Warsaw coraz częściej doradza klientom, by traktować AML i ESG jako jeden system, nie dwa osobne projekty.

W praktyce – wiele firm o tym zapomina – GIIF może wszcząć postępowanie z własnej inicjatywy, bez skargi zewnętrznej. Wystarczy analiza transakcji w systemie STIR lub informacja od jednostki analityki finansowej innego państwa UE.

Kogo dotyczą obowiązki i jakie progi są decydujące?

Katalog instytucji obowiązanych z art. 2 ust. 1 ustawy AML obejmuje ponad 20 kategorii podmiotów. Próg kwotowy dla transakcji gotówkowych, powyżej którego powstaje obowiązek rejestracji, wynosi 10 000 EUR (lub równowartość). Dla transakcji okazjonalnych w sektorze nieruchomości próg ten wynosi 10 000 EUR, a dla kasyn – już 2 000 EUR.

Trzy grupy podmiotów szczególnie narażone na przeoczenie obowiązków:

  • Biura rachunkowe i doradcy podatkowi – objęci od 2018 roku, ale procedury często nie były aktualizowane po nowelizacjach.
  • Pośrednicy w obrocie nieruchomościami – obowiązek stosowania środków bezpieczeństwa finansowego przy każdej transakcji powyżej progu.
  • Podmioty obsługujące wirtualne waluty (VASP) – rejestracja w rejestrze prowadzonym przez KNF jest warunkiem legalnego działania.

Ustawa o sygnalistach z 14 czerwca 2024 roku, która weszła w życie 25 września 2024 roku, dodaje kolejną warstwę. Zgodnie z art. 8 ustawy o sygnalistach każdy pracodawca zatrudniający co najmniej 50 pracowników musi wdrożyć wewnętrzny kanał zgłoszeń. Kanał ten powinien obejmować zgłoszenia naruszeń AML. Brak kanału to naruszenie odrębne od naruszeń ustawy AML – dwa ryzyka zamiast jednego.

Spółki joint venture działające w Polsce muszą dodatkowo ustalić, który podmiot pełni rolę instytucji obowiązanej. Więcej o strukturach joint venture w kontekście polskiego prawa korporacyjnego opisujemy w analizie joint venture framework under Polish corporate law.

Jakie działania podjąć natychmiast – lista kontrolna?

Brak procedur AML nie jest stanem neutralnym. GIIF może nałożyć karę administracyjną w ciągu 30 dni od zakończenia kontroli. Odwołanie do WSA nie wstrzymuje wykonania decyzji – kara jest płatna natychmiast, chyba że sąd udzieli zabezpieczenia. To nieodwracalna strata finansowa, zanim sprawa trafi do merytorycznego rozpoznania.

Działania, które należy podjąć w ciągu najbliższych 30 dni:

  • Zweryfikować, czy firma figuruje w katalogu instytucji obowiązanych z art. 2 ust. 1 ustawy AML.
  • Sprawdzić aktualność wpisu w CRBR – dane muszą być zgodne ze stanem faktycznym, aktualizacja w ciągu 7 dni od zmiany.
  • Przeprowadzić wewnętrzną ocenę ryzyka prania pieniędzy i udokumentować jej wyniki.
  • Wdrożyć lub zaktualizować wewnętrzny kanał zgłoszeń zgodny z art. 8 ustawy o sygnalistach.
  • Przeszkolić pracowników odpowiedzialnych za kontakt z klientem – szkolenie musi być udokumentowane.

Spółki z udziałem kapitału zagranicznego – w tym spółki zależne grup luksemburskich i włoskich działające w Polsce – mają dodatkowe obowiązki wynikające z polityk grupy. Szczegółowe omówienie programów compliance dla podmiotów zagranicznych znajdą Państwo w artykułach: compliance programme design for Luxembourg subsidiaries in Poland oraz compliance programme design for Italy subsidiaries in Poland.

Spółka z Trójmiasta – wiosna 2025 roku – zleca audyt AML dopiero po tym, jak bank odmawia obsługi rachunku firmowego z powodu braku dokumentacji KYC. Koszt naprawy: trzykrotność tego, co kosztowałoby wdrożenie procedur rok wcześniej. To typowy scenariusz utraconej szansy, który można było uniknąć.

Konkretna sytuacja Państwa firmy może oznaczać, że obowiązki AML są już wymagalne – a ich brak tworzy nieodwracalne ryzyko kary i utraty reputacji u kontrahentów i instytucji finansowych.

Jeśli Państwa spółka należy do katalogu instytucji obowiązanych lub zatrudnia ponad 50 pracowników bez wdrożonego kanału zgłoszeń – przeprowadzimy audyt procedur AML, ocenę ryzyka i wdrożenie dokumentacji w terminie 30 dni: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe biuro rachunkowe z trzema pracownikami podlega ustawie AML?

O: Tak. Ustawa AML nie przewiduje progu zatrudnienia dla biur rachunkowych – obowiązki powstają z chwilą prowadzenia działalności objętej katalogiem z artykułu 2 ustęp 1. Biuro musi posiadać wewnętrzną procedurę, przeprowadzać ocenę ryzyka i szkolić pracowników, nawet jeśli zatrudnia jedną osobę. Brak procedur jest naruszeniem niezależnym od liczby transakcji.

P: Ile czasu mam na aktualizację danych w CRBR po zmianie struktury właścicielskiej?

O: Ustawa o CRBR nakłada obowiązek aktualizacji w ciągu 7 dni od zaistnienia zmiany. Termin liczy się od dnia zdarzenia, nie od dnia wpisu do KRS. Opóźnienie może skutkować karą do 1 000 000 PLN. Uważamy, że bezpieczniejszym rozwiązaniem jest aktualizacja CRBR równolegle ze złożeniem wniosku do KRS.

P: Czy raport ESG zastępuje dokumentację AML?

O: Nie. Raport ESG zgodny z dyrektywą CSRD (Dyrektywa UE 2022/2464) ujawnia polityki AML jako element ładu korporacyjnego, ale nie zastępuje dokumentacji wymaganej ustawą AML. Audytor ESG i GIIF weryfikują dwa odrębne zestawy dokumentów. Spójność między nimi jest wymagana – rozbieżność naraża firmę na zarzuty w obu postępowaniach.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i AML. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.