Firma usługowa z Mazowsza otrzymuje pismo od Generalnego Inspektora Informacji Finansowej. Pytanie dotyczy procedur weryfikacji klienta z poprzedniego roku. Okazuje się, że spółka – choć formalnie objęta ustawą AML – nigdy nie wdrożyła wewnętrznej procedury przeciwdziałania praniu pieniędzy. Kara administracyjna i reputacyjne konsekwencje stają się realne w ciągu kilku tygodni.

Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na instytucje obowiązane szereg wymogów compliance – od identyfikacji beneficjenta rzeczywistego w CRBR, przez ocenę ryzyka, po szkolenia pracowników i wewnętrzne kanały zgłoszeń zgodne z ustawą o sygnalistach. Katalog instytucji obowiązanych jest szeroki: obejmuje nie tylko banki i firmy inwestycyjne, ale też biura rachunkowe, doradców podatkowych, notariuszy, pośredników nieruchomości i wiele innych podmiotów. Kary za naruszenia sięgają równowartości 1 000 000 EUR lub dwukrotności korzyści z naruszenia.

Ten przewodnik prowadzi przez cały cykl wdrożenia AML krok po kroku. Omawia kolejność działań, realistyczne koszty, trzy scenariusze biznesowe – producenta, firmę IT i inwestora zagranicznego – oraz najczęstsze błędy, które kończą się postępowaniem nadzorczym.

Kto jest instytucją obowiązaną i jakie wymogi nakłada ustawa AML?

Ustawa AML wymaga, by każda instytucja obowiązana wdrożyła cztery filary systemu: ocenę ryzyka, procedury wewnętrzne, środki należytej staranności wobec klientów (Customer Due Diligence, CDD) oraz mechanizm raportowania podejrzanych transakcji do GIIF. Obowiązek obejmuje podmioty wymienione w art. 2 ust. 1 ustawy. Katalog jest długi – liczy ponad 25 kategorii. Wśród nich są instytucje finansowe nadzorowane przez KNF, ale też podmioty z sektora niefinansowego: biura rachunkowe, doradcy podatkowi, radcowie prawni i adwokaci w zakresie obsługi transakcji, pośrednicy w obrocie nieruchomościami, a od nowelizacji z 2021 r. – kantory walutowe działające online i dostawcy usług w zakresie kryptoaktywów.

Podstawowy obowiązek to sporządzenie oceny ryzyka instytucji. Dokument musi uwzględniać charakter działalności, obszary geograficzne, kanały dystrybucji i typy klientów. GIIF i KNF podczas kontroli sprawdzają nie tylko istnienie dokumentu, ale jego aktualność – ocenę należy przeglądać co najmniej raz w roku. Brak aktualnej oceny ryzyka to jeden z najczęstszych powodów wszczęcia postępowania administracyjnego.

Równolegle działa obowiązek rejestracji beneficjenta rzeczywistego w CRBR – Centralnym Rejestrze Beneficjentów Rzeczywistych. Spółki z o.o., spółki akcyjne i spółki komandytowe mają 7 dni na zgłoszenie lub aktualizację danych od momentu wpisu do KRS albo zmiany danych. Opóźnienie skutkuje karą do 1 000 000 PLN nakładaną przez sąd rejestrowy. W praktyce – wiele firm o tym zapomina – termin liczy się od daty wpisu w KRS, nie od daty uprawomocnienia się orzeczenia.

Instytucja obowiązana musi też wyznaczyć kadrę kierowniczą wyższego szczebla odpowiedzialną za compliance AML oraz oficera ds. zgodności (AML Officer). Dla spółek zatrudniających powyżej 50 pracowników obowiązek ten łączy się z wymogiem wdrożenia wewnętrznego kanału zgłoszeń wynikającym z art. 8 ustawy o sygnalistach, która weszła w życie 25 września 2024 r. Oba systemy – AML i ochrony sygnalistów – muszą ze sobą współpracować.

Jak wdrożyć procedury AML krok po kroku – od oceny ryzyka do szkoleń?

Wdrożenie systemu AML to proces, który realistycznie zajmuje od 6 do 14 tygodni, zależnie od złożoności działalności. Poniżej przedstawiamy sekwencję kroków, którą stosujemy przy wdrożeniach dla klientów kancelarii. Każdy etap ma własny termin i produkt końcowy – bez tego trudno kontrolować postęp projektu.

Etap 1 – Identyfikacja statusu (tydzień 1–2): Ustalenie, czy podmiot jest instytucją obowiązaną, w jakim zakresie i pod nadzór którego organu podlega. KNF nadzoruje instytucje finansowe, GIIF – pozostałe. Wynik: notatka prawna z mapą obowiązków.

Etap 2 – Ocena ryzyka instytucji (tydzień 2–5): Analiza portfela klientów, produktów i usług, kanałów dystrybucji i geografii działalności. Ocena powinna odwoływać się do krajowej i ponadnarodowej oceny ryzyka (Komisja Europejska publikuje ją co dwa lata). Wynik: dokument oceny ryzyka zatwierdzony przez zarząd.

Etap 3 – Procedury wewnętrzne (tydzień 4–8): Opracowanie i wdrożenie procedury AML obejmującej CDD, wzmocnione środki należytej staranności (EDD) dla klientów wysokiego ryzyka, zasady monitorowania transakcji i raportowania do GIIF. Wynik: regulamin AML zaakceptowany uchwałą zarządu.

Etap 4 – Szkolenia (tydzień 8–12): Przeszkolenie wszystkich pracowników mających kontakt z klientami. Ustawa wymaga szkoleń cyklicznych – co najmniej raz w roku. Koszty zewnętrznego szkolenia dla grupy 20 osób wynoszą zazwyczaj od 3 000 do 8 000 PLN. Wynik: imienne listy obecności i dokumentacja szkoleniowa.

Etap 5 – Audyt wdrożenia (tydzień 12–14): Przegląd dokumentacji przez niezależną osobę lub zewnętrznego doradcę. Sprawdzenie spójności procedur z aktualnym brzmieniem ustawy i wytycznymi GIIF. Wynik: raport z audytu i lista działań naprawczych.

Łączny koszt wdrożenia dla średniej firmy usługowej (10–50 pracowników) zamyka się zazwyczaj między 15 000 a 40 000 PLN – przy założeniu wsparcia zewnętrznego doradcy prawnego i zakupu dedykowanego oprogramowania do monitorowania transakcji.

Konkretna sytuacja Państwa firmy – jej skala działalności, profil klientów i dotychczasowy stan dokumentacji – wymaga indywidualnej oceny. Pominięcie choćby jednego etapu może zamknąć drogę do skutecznej obrony przed zarzutami GIIF i prowadzić do nieodwracalnych konsekwencji reputacyjnych.

Jeśli Państwa spółka nie posiada aktualnej oceny ryzyka AML lub wewnętrznej procedury zgodnej z ustawą z 2018 r. – przeprowadzimy audyt luk, opracujemy dokumentację i przeszkolimy zespół: info@kordeckipartners.com.

Trzy scenariusze biznesowe – producent, firma IT, inwestor zagraniczny

Obowiązki AML wyglądają inaczej w zależności od modelu biznesowego. Poniżej trzy scenariusze, które ilustrują zakres wdrożenia i typowe pułapki.

Scenariusz 1 – Producent z Wielkopolski. Firma produkcyjna sprzedaje maszyny przemysłowe, w tym do kontrahentów z państw trzecich. Nie świadczy usług finansowych, więc zarząd zakłada brak obowiązków AML. Błąd. Jeśli wartość transakcji gotówkowych przekracza 10 000 EUR (lub równowartość), podmiot staje się instytucją obowiązaną w zakresie tych transakcji. Obowiązek rejestracji w CRBR obowiązuje niezależnie od branży. Dla producenta kluczowe jest też sprawdzenie, czy żaden z kontrahentów nie figuruje na listach sankcyjnych – brak weryfikacji to ryzyko naruszenia rozporządzeń UE dotyczących sankcji, z karami do 20 000 000 EUR.

Scenariusz 2 – Firma IT z Krakowa. Spółka technologiczna świadcząca usługi doradcze i wdrożeniowe dla sektora finansowego. Jej klienci są instytucjami obowiązanymi – ale czy sama firma IT też nimi jest? Odpowiedź zależy od zakresu usług. Jeśli firma uczestniczy w projektowaniu systemów do zarządzania środkami finansowymi klientów lub przetwarza transakcje płatnicze, obowiązki AML mogą ją dotyczyć bezpośrednio. Firma powinna też wdrożyć procedury AML jako element szerszego systemu compliance – spójnego z wymogami ESG raportowania i CSRD, jeśli spełnia progi dyrektywy. Wdrożenie systemu zgłoszeń wewnętrznych (sygnaliści) jest obowiązkowe od 25 września 2024 r. dla podmiotów zatrudniających powyżej 50 pracowników.

Scenariusz 3 – Inwestor zagraniczny wchodzący na rynek polski. Dla inwestora z Niemiec lub Ukrainy zakładającego spółkę z o.o. w Polsce, obowiązek zgłoszenia beneficjenta rzeczywistego do CRBR powstaje w ciągu 7 dni od wpisu do KRS. Inwestor musi wskazać osoby fizyczne sprawujące kontrolę – często w strukturach holdingowych jest to kilka poziomów własności. Brak zgłoszenia lub podanie niepełnych danych to kara do 1 000 000 PLN. Dodatkowo, jeśli spółka planuje działalność regulowaną (np. usługi płatnicze, pośrednictwo finansowe), konieczna jest wcześniejsza analiza, czy wymogi licencyjne KNF obejmują wymogi AML już na etapie aplikacji.

Jakie są najczęstsze błędy w compliance AML i jak ich unikać?

Kontrole GIIF i KNF ujawniają powtarzające się wzorce naruszeń. Znajomość tych błędów pozwala na ich eliminację zanim organ nadzorczy zapuka do drzwi. Oto najczęściej stwierdzane uchybienia.

  • Brak aktualnej oceny ryzyka – dokument istnieje, ale pochodzi sprzed 3 lat i nie uwzględnia nowych produktów ani klientów. Ustawa wymaga corocznego przeglądu.
  • Formalna procedura bez realnego wdrożenia – regulamin AML leży w szufladzie, pracownicy nie wiedzą o jego istnieniu. Organy nadzorcze oceniają efektywność systemu, nie tylko jego formalną obecność.
  • Nieprawidłowe dane w CRBR – zmiana struktury udziałowej lub zarządu nie została zgłoszona w 7-dniowym terminie. To jeden z najłatwiej wykrywalnych błędów – dane KRS i CRBR są porównywane automatycznie.
  • Brak dokumentacji CDD – firma weryfikuje klientów, ale nie archiwizuje dokumentów weryfikacyjnych przez wymagane 5 lat.
  • Niespójność AML z systemem sygnalistów – wewnętrzny kanał zgłoszeń nie obejmuje naruszeń AML, choć ustawa o sygnalistach wymaga jego objęcia szerokim katalogiem obszarów compliance.

Biuro rachunkowe z Łodzi (lato 2024 r.) przeprowadziło formalny audyt i odkryło, że przez dwa lata nie aktualizowało oceny ryzyka po rozszerzeniu usług o obsługę klientów z sektora kryptoaktywów. Konieczna była gruntowna przebudowa dokumentacji i retroaktywne przeszkolenie zespołu – łączny koszt naprawczy wyniósł ponad 25 000 PLN.

Kancelaria prawna z Warszawy (jesień 2024 r.) stwierdziła podczas przeglądu wewnętrznego, że procedura AML nie obejmowała wzmocnionych środków należytej staranności dla klientów z państw wysokiego ryzyka wskazanych przez FATF. Luka wymagała pilnej aktualizacji regulaminu i ponownej weryfikacji kilkudziesięciu akt klientów.

Uważamy, że bezpieczniejszym rozwiązaniem jest proaktywny audyt roczny niż reaktywne działanie po wszczęciu postępowania. Koszty prewencji są zawsze niższe niż koszty obrony – i nie niosą ryzyka nieodwracalnej utraty reputacji.

Konkretna sytuacja Państwa firmy – profil klientów, historia weryfikacji i stan dokumentacji AML – wymaga oceny pod kątem aktualnych wytycznych GIIF i rekomendacji FATF. Pominięcie tej oceny zamyka drogę do skutecznej obrony w razie kontroli.

Jeśli Państwa spółka działa w sektorze regulowanym lub rozszerzyła działalność o nowe usługi w ostatnich 12 miesiącach – przeprowadzimy przegląd dokumentacji AML, zaktualizujemy ocenę ryzyka i zapewnimy szkolenie dla zespołu: info@kordeckipartners.com.

Jak powiązać AML z CSRD, ESG raportowaniem i ochroną sygnalistów?

Compliance AML nie funkcjonuje w oderwaniu od innych obowiązków regulacyjnych. W 2024 i 2025 r. polskie firmy stanęły przed nałożeniem się trzech fal regulacyjnych: AML, CSRD i ochrony sygnalistów. Integracja tych systemów to nie tylko wygoda – to wymóg efektywności i spójności zarządzania ryzykiem.

CSRD – Dyrektywa UE 2022/2464, implementowana do polskiej ustawy o rachunkowości nowelizacją podpisaną 12 grudnia 2024 r. – nakłada obowiązek raportowania niefinansowego na duże podmioty. Dla firm spełniających progi (250 pracowników, 110 mln PLN aktywów lub 220 mln PLN przychodów), raportowanie ESG obejmuje zarządzanie ryzykiem, w tym ryzykiem compliance i AML. Oznacza to, że system AML musi być opisany i oceniony w raporcie zrównoważonego rozwoju.

Ustawa o sygnalistach z 14 czerwca 2024 r. – w życie weszła 25 września 2024 r. – nakłada na pracodawców zatrudniających powyżej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń na podstawie art. 8 ustawy o sygnalistach. Kanał musi obejmować naruszenia prawa, w tym przepisów AML. Brak kanału lub jego niewłaściwe działanie grozi karą do 1 080 000 PLN oraz odpowiedzialnością karną za działania odwetowe wobec sygnalisty – do 3 lat pozbawienia wolności zgodnie z art. 54 ustawy o sygnalistach.

Spójne wdrożenie wszystkich trzech systemów – AML, CSRD i sygnalistów – pozwala na stworzenie jednej architektury compliance zamiast trzech równoległych, niepowiązanych procedur. Więcej o aspektach proceduralnych, które wpływają na koszty dochodzenia roszczeń compliance, można przeczytać w naszym materiale o zasadach zwrotu kosztów w polskim postępowaniu cywilnym.

Firmy, które wdrożyły zintegrowany system, raportują o 30–40% niższych kosztach obsługi audytów zewnętrznych. Nie wynika to z magii – lecz z tego, że jedna mapa ryzyk i jeden kanał zgłoszeń obsługują potrzeby trzech regulatorów jednocześnie. Szczegółowe omówienie procedur AML znajdą Państwo również w naszym wcześniejszym materiale: AML – obowiązki compliance w polskich firmach.

Często zadawane pytania

P: Czy biuro rachunkowe zatrudniające 5 osób musi wdrożyć pełną procedurę AML?

O: Tak – biura rachunkowe są instytucjami obowiązanymi niezależnie od wielkości zatrudnienia. Ustawa z 2018 roku nie przewiduje progu zatrudnienia ani przychodowego zwalniającego z obowiązków AML. Biuro musi sporządzić ocenę ryzyka, wdrożyć procedury wewnętrzne, stosować środki należytej staranności wobec klientów i rejestrować transakcje podejrzane. Zakres obowiązku jest proporcjonalny do skali działalności, ale nie można go pominąć. Brak procedury to ryzyko kary administracyjnej do równowartości 1 000 000 EUR.

P: Ile kosztuje wdrożenie systemu AML i ile czasu to zajmuje?

O: Dla małej firmy usługowej (do 20 pracowników) realistyczny czas wdrożenia to 6–10 tygodni, a koszt – od 8 000 do 20 000 PLN przy wsparciu zewnętrznego doradcy. Dla średniego podmiotu (20–100 pracowników) czas wydłuża się do 10–14 tygodni, a koszt rośnie do 20 000–50 000 PLN w zależności od złożoności portfela klientów i konieczności wdrożenia oprogramowania. Coroczny audyt aktualizacyjny to zazwyczaj 3 000–8 000 PLN. Koszty te są istotnie niższe niż minimalna kara za naruszenie przepisów.

P: Czy zgłoszenie do CRBR zwalnia z obowiązku weryfikacji beneficjenta rzeczywistego w procedurze CDD?

O: Nie – to częste nieporozumienie. CRBR jest rejestrem publicznym służącym przejrzystości, ale ustawa AML nakłada na instytucje obowiązane samodzielny obowiązek identyfikacji i weryfikacji beneficjenta rzeczywistego w ramach procedury należytej staranności wobec klienta. Dane z CRBR można wykorzystać jako jedno ze źródeł weryfikacji, ale nie zastępują one własnych działań sprawdzających instytucji obowiązanej. Rozbieżność między danymi w CRBR a wynikami własnej weryfikacji musi być odnotowana i wyjaśniona w dokumentacji klienta.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, AML, ESG raportowania i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.