Firma usługowa z Mazowsza – ponad 80 pracowników, klientela mieszana, w tym podmioty zagraniczne – przez lata działała bez formalnego programu AML. Zarząd traktował obowiązki przeciwdziałania praniu pieniędzy jako domenę banków i kantorów. Pewnego dnia przyszło pismo z Generalnego Inspektora Informacji Finansowej (GIIF). Zaczął się wyścig z czasem.
Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na tzw. instytucje obowiązane szeroki katalog wymogów: ocenę ryzyka, procedury wewnętrzne, weryfikację klientów (KYC), szkolenia i – od 25 września 2024 roku – kanał zgłoszeń sygnalistów zgodny z ustawą o ochronie sygnalistów. Brak wdrożenia grozi karą administracyjną do 5 000 000 EUR lub do 10% obrotu. Sprawa, którą opisujemy, zakończyła się pomyślnie – ale tylko dlatego, że interwencja nastąpiła przed wydaniem decyzji.
Poniżej przedstawiamy anonimizowane studium przypadku. Opisujemy tło sprawy, przyjętą strategię, przebieg procesu naprawczego oraz wnioski, które można wprost zastosować w każdej firmie podlegającej ustawie AML.
Tło sprawy – jak doszło do luki compliance?
Spółka świadczyła usługi doradcze i pośrednictwa w obrocie nieruchomościami. Oba rodzaje działalności figurują w katalogu instytucji obowiązanych. Zarząd wiedział o istnieniu ustawy AML, jednak uznał, że wystarczy ogólna polityka „know your customer" stosowana nieformalnie przez dział sprzedaży.
Brak formalnej oceny ryzyka to pierwsza i najpoważniejsza luka. Ustawa wymaga udokumentowanej analizy – pisemnej, zaakceptowanej przez zarząd, aktualizowanej nie rzadziej niż co dwa lata. Spółka nie miała żadnego dokumentu spełniającego te wymogi. Co więcej, nie prowadziła rejestru transakcji podejrzanych ani nie wyznaczyła oficjalnie osoby odpowiedzialnej za AML na poziomie zarządu.
Dodatkowym problemem okazał się CRBR – Centralny Rejestr Beneficjentów Rzeczywistych. Spółka zgłosiła beneficjenta rzeczywistego przy rejestracji, ale po zmianie struktury właścicielskiej (nowy wspólnik z Niemiec) nie zaktualizowała wpisu w terminie 14 dni. To oddzielna podstawa odpowiedzialności. W praktyce – wiele firm o tym zapomina – CRBR nie wysyła przypomnień. Obowiązek leży po stronie spółki.
Pismo z GIIF dotyczyło kontroli planowej, nie konkretnego podejrzenia. Mimo to ryzyko nałożenia kary było realne. Spółka miała 30 dni na złożenie wyjaśnień i dokumentacji.
Jaką strategię przyjęto w odpowiedzi na kontrolę GIIF?
Pierwszą decyzją było natychmiastowe zaangażowanie zewnętrznego doradcy compliance. Nie dlatego, że zarząd nie rozumiał problemu – lecz dlatego, że odpowiedź na kontrolę GIIF musi być spójna, udokumentowana i złożona w terminie. Każda niekonsekwencja w wyjaśnieniach mogła pogłębić problem.
Strategia opierała się na trzech filarach. Po pierwsze – szybkie przygotowanie dokumentacji zastępczej, pokazującej, że spółka rozumie swoje obowiązki i podjęła działania naprawcze przed wydaniem decyzji. Po drugie – transparentna komunikacja z GIIF: nie kwestionowanie zakresu kontroli, lecz aktywna współpraca. Po trzecie – równoległe wdrożenie pełnego programu AML, tak aby w momencie składania wyjaśnień móc przedstawić konkretne dowody zmian.
Uważamy, że bezpieczniejszym rozwiązaniem jest zawsze proaktywne wdrożenie programu AML – zanim pojawi się kontrola. Koszty prewencji są wielokrotnie niższe niż koszty postępowania. Tutaj okno możliwości było już wąskie, ale wciąż otwarte.
W ciągu pierwszych 14 dni opracowano ocenę ryzyka instytucji obowiązanej, wyznaczono oficjalnie osobę odpowiedzialną za AML (członek zarządu), przygotowano procedury wewnętrzne i zaktualizowano wpis w CRBR. Równolegle uruchomiono program compliance obejmujący szkolenie wszystkich pracowników mających kontakt z klientami.
Jak przebiegał proces naprawczy i co go różniło od standardowego wdrożenia?
Standardowe wdrożenie programu AML trwa od 6 do 12 tygodni. Tutaj mieliśmy 30 dni – i to na wdrożenie, dokumentację oraz przygotowanie odpowiedzi do GIIF jednocześnie. Priorytetyzacja była bezwzględna.
Pierwszym krokiem była identyfikacja wszystkich relacji z klientami wymagających weryfikacji KYC. Spółka miała około 140 aktywnych klientów. Dla każdego z nich oceniono poziom ryzyka: standardowy, podwyższony lub wysoki. Klientów z krajów trzecich (spoza UE) zakwalifikowano automatycznie do kategorii podwyższonego ryzyka – zgodnie z wymogami ustawy.
Następnie wdrożono kanał zgłoszeń wewnętrznych zgodny z art. 8 ustawy o sygnalistach. Obowiązek ten dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników – spółka spełniała ten próg. Kanał musiał być niezależny, poufny i dostępny dla wszystkich pracowników. Jego brak stanowiłby dodatkową podstawę odpowiedzialności, niezależną od AML.
Proces ujawnił też zagadnienie raportowania ESG. Spółka zbliżała się do progu CSRD – Dyrektywy UE 2022/2464 – pod względem liczby pracowników i przychodów. Obowiązki sprawozdawcze ESG i AML mają wspólny mianownik: oba wymagają udokumentowanej oceny ryzyka, procedur wewnętrznych i szkoleń. Zintegrowanie obu obszarów pozwoliło zaoszczędzić czas i zasoby. Więcej o perspektywie łańcucha dostaw opisujemy w materiale o ESG due diligence w łańcuchach dostaw.
Odpowiedź do GIIF złożono w terminie. Zawierała pełną dokumentację: ocenę ryzyka, procedury, dowody szkoleń, zaktualizowany wpis CRBR i nową strukturę odpowiedzialności. GIIF nie wydał decyzji nakładającej karę. Postępowanie zakończono zaleceniami.
Jakie wnioski można przenieść na inne firmy?
Najważniejszy wniosek jest prosty: katalog instytucji obowiązanych jest szerszy, niż większość zarządów zakłada. Obejmuje nie tylko banki i kantory, ale też pośredników nieruchomości, doradców podatkowych, prawników, księgowych, faktoring, leasing i wiele innych branż. Jeśli Państwa firma świadczy choćby jedną z tych usług – podlega ustawie AML.
Drugi wniosek dotyczy CRBR. Aktualizacja wpisu po każdej zmianie struktury właścicielskiej to obowiązek, który spada na spółkę – nie na KRS, nie na notariusza. Termin wynosi 14 dni. Jego przekroczenie to samodzielna podstawa kary do 1 000 000 PLN.
Trzeci wniosek: compliance to proces, nie dokument. Jednorazowe wdrożenie procedur bez cyklicznych szkoleń, przeglądów i aktualizacji oceny ryzyka nie spełnia wymogów ustawy. GIIF podczas kontroli pyta nie tylko o to, czy procedura istnieje – ale kiedy była ostatnio aktualizowana i kto za nią odpowiada.
Checklist minimalny dla instytucji obowiązanej:
- Pisemna ocena ryzyka AML, aktualizowana co dwa lata
- Wyznaczona osoba odpowiedzialna za AML na poziomie zarządu
- Procedury KYC z podziałem na poziomy ryzyka klienta
- Kanał zgłoszeń sygnalistów (przy 50+ pracownikach) zgodny z art. 8 ustawy o sygnalistach
- Aktualny wpis beneficjenta rzeczywistego w CRBR
Sprawa z Mazowsza pokazuje też, że czas reakcji ma znaczenie. Spółka, która w ciągu 14 dni potrafiła zmobilizować zasoby i wdrożyć program, uniknęła kary. Spółka, która czekałaby na decyzję – zapłaciłaby. Więcej o tym, jak polskie sądy oceniają dowody w sprawach regulacyjnych, piszemy w materiale o biegłych sądowych w postępowaniach przed polskimi sądami.
Konkretna sytuacja Państwa firmy wymaga oceny, czy podlega ona ustawie AML i w jakim zakresie. Brak programu compliance w momencie kontroli GIIF może prowadzić do kary, której nie da się cofnąć po wydaniu decyzji – skutek jest nieodwracalny.
Jeśli Państwa spółka działa w sektorze objętym ustawą AML lub zbliża się do progu CSRD – przeprowadzimy audyt compliance, opracujemy ocenę ryzyka i wdrożymy procedury dostosowane do Państwa struktury: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każda spółka z o.o. jest instytucją obowiązaną w rozumieniu ustawy AML?
O: Nie – status instytucji obowiązanej zależy od rodzaju prowadzonej działalności, nie od formy prawnej. Ustawa wymienia konkretne kategorie: pośredników nieruchomości, doradców podatkowych, prawników, księgowych, podmioty świadczące usługi faktoringowe i leasingowe, kantory, instytucje finansowe i inne. Spółka z o.o. prowadząca np. usługi IT nie podlega ustawie AML – ale ta sama spółka, jeśli zaczyna świadczyć usługi doradztwa podatkowego, już tak. Ocenę należy przeprowadzić pod kątem rzeczywiście wykonywanej działalności, nie PKD.
P: Ile kosztuje wdrożenie programu AML i jak długo trwa?
O: Standardowe wdrożenie dla małej lub średniej firmy trwa od 6 do 10 tygodni i obejmuje ocenę ryzyka, procedury KYC, szkolenia i dokumentację. Koszt zewnętrznego wsparcia prawnego zależy od skali działalności i liczby klientów wymagających weryfikacji. W każdym przypadku jest wielokrotnie niższy niż minimalna kara administracyjna, która zaczyna się od kilkudziesięciu tysięcy złotych. Firmy powyżej 50 pracowników muszą dodatkowo wdrożyć kanał sygnalistów – co warto połączyć z programem AML w jednym projekcie.
P: Czy obowiązki AML i obowiązki wynikające z CSRD można wdrożyć łącznie?
O: Tak – i jest to rozwiązanie, które rekomendujemy firmom zbliżającym się do progów dyrektywy CSRD (Dyrektywa Unii Europejskiej 2022/2464). Oba systemy wymagają udokumentowanej oceny ryzyka, procedur wewnętrznych i szkoleń. Zintegrowane wdrożenie pozwala uniknąć dublowania pracy i tworzy spójną strukturę compliance. Warto jednak pamiętać, że harmonogramy raportowania CSRD i terminy AML są niezależne – każdy z nich ma własne sankcje za naruszenie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i przeciwdziałania praniu pieniędzy. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.