Firma produkcyjna z Wielkopolski otrzymała w lutym 2025 r. zawiadomienie o kontroli z Generalnego Inspektora Informacji Finansowej. Okazało się, że spółka – mimo że formalnie podlega ustawie AML – nie wdrożyła procedury wewnętrznej, nie przeprowadziła oceny ryzyka i nie zgłosiła do CRBR rzeczywistego beneficjenta po zmianie udziałowca. Kara administracyjna i koszty naprawcze przekroczyły 200 000 PLN. Tego można było uniknąć.

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na instytucje obowiązane szereg konkretnych obowiązków: ocenę ryzyka, procedury wewnętrzne, weryfikację klientów (KYC), szkolenia pracowników oraz rejestrację w CRBR. Naruszenie tych obowiązków grozi karami administracyjnymi do 5 000 000 EUR lub 10% obrotu. Kary obowiązują bez okresu przejściowego – każdy dzień bez wdrożonej procedury to realne ryzyko odpowiedzialności.

Ten przewodnik prowadzi krok po kroku przez cały proces wdrożenia compliance AML w polskiej firmie. Omawia katalog instytucji obowiązanych, kluczowe elementy procedury, typowe błędy i trzy scenariusze biznesowe. Na końcu znajdą Państwo FAQ i listę kontrolną gotowości.

Kto podlega ustawie AML – czy Twoja firma jest instytucją obowiązaną?

Pierwszym krokiem jest ustalenie, czy firma w ogóle podlega przepisom ustawy AML. Katalog instytucji obowiązanych jest szeroki i obejmuje podmioty, które na co dzień nie kojarzą się z sektorem finansowym. Ustawa wymienia m.in. biura rachunkowe, doradców podatkowych, notariuszy, pośredników nieruchomości, podmioty prowadzące obrót towarami luksusowymi (transakcje gotówkowe powyżej 10 000 EUR) oraz – co istotne – adwokatów i radców prawnych przy określonych czynnościach. Warto sprawdzić ten katalog uważnie.

Generalny Inspektor Informacji Finansowej (GIIF) jest organem nadzoru dla większości instytucji obowiązanych spoza sektora finansowego. KNF nadzoruje instytucje finansowe. Oba organy mają prawo przeprowadzać kontrole, żądać dokumentacji i nakładać kary administracyjne. Brak rejestracji w odpowiednim rejestrze – lub błędna ocena, że firma nie jest instytucją obowiązaną – nie zwalnia z odpowiedzialności.

Trzy scenariusze, które często zaskakują przedsiębiorców:

  • Firma IT świadcząca usługi płatnicze lub prowadząca portfel kryptowalutowy – podlega ustawie AML jako dostawca usług walut wirtualnych (VASP).
  • Deweloper sprzedający nieruchomości za gotówkę powyżej 10 000 EUR – jest instytucją obowiązaną w zakresie tych transakcji.
  • Spółka holdingowa zarządzająca aktywami rodzinnymi – może podlegać, jeśli prowadzi działalność zbliżoną do trustów lub zarządzania majątkiem.

Obowiązek rejestracji w CRBR – Centralnym Rejestrze Beneficjentów Rzeczywistych – dotyczy praktycznie wszystkich spółek prawa handlowego, fundacji i stowarzyszeń prowadzących działalność gospodarczą. Dane muszą być aktualne w ciągu 14 dni od każdej zmiany. Niespełnienie tego wymogu to kara do 1 000 000 PLN.

Jak zbudować procedurę AML krok po kroku?

Procedura wewnętrzna AML to dokument obowiązkowy – ale przede wszystkim narzędzie operacyjne. Powinna opisywać konkretne działania pracowników, a nie tylko ogólne zasady. Ustawa wymaga, aby procedura obejmowała: ocenę ryzyka instytucji, zasady identyfikacji i weryfikacji klientów (KYC/CDD), zasady rozszerzonej analizy należytej staranności (EDD) dla klientów wysokiego ryzyka, zasady raportowania transakcji podejrzanych do GIIF oraz program szkoleń. Termin na wdrożenie procedury po wejściu w katalog instytucji obowiązanych wynosi 6 miesięcy.

Ocena ryzyka instytucji to fundament całego systemu. Firma musi przeanalizować własną działalność pod kątem ryzyka prania pieniędzy – biorąc pod uwagę geografię klientów, kanały dystrybucji, rodzaje transakcji i formy płatności. Wynik oceny powinien być udokumentowany i aktualizowany co najmniej raz na 2 lata lub po istotnej zmianie modelu biznesowego.

Weryfikacja klientów (Customer Due Diligence) obejmuje:

  • Identyfikację klienta i beneficjenta rzeczywistego – imię, nazwisko, PESEL lub NIP, adres.
  • Weryfikację na listach sankcyjnych (UE, ONZ, OFAC) przed nawiązaniem relacji.
  • Ustalenie, czy klient jest osobą zajmującą eksponowane stanowisko polityczne (PEP).
  • Ocenę celu i charakteru planowanej relacji biznesowej.
  • Monitorowanie bieżącej relacji i aktualizację danych co najmniej raz na 12 miesięcy dla klientów wysokiego ryzyka.

Spółka z branży nieruchomości z Mazowsza wdrożyła w jesieni 2024 r. uproszczone KYC oparte na jednym formularzu. GIIF podczas kontroli zakwestionował brak dokumentacji beneficjenta rzeczywistego dla transakcji powyżej 15 000 EUR. Korekta procedury zajęła 3 miesiące i wymagała ponownego zebrania danych od ponad 80 klientów. Koszt operacyjny przekroczył 50 000 PLN.

Jakie błędy najczęściej wykrywa GIIF podczas kontroli?

Kontrole GIIF ujawniają powtarzające się wzorce błędów. Znajomość tych wzorców pozwala uniknąć najkosztowniejszych wpadek. Najczęstszy błąd to procedura „z szuflady" – dokument formalnie istnieje, ale pracownicy go nie znają i nie stosują. GIIF ocenia nie tylko treść dokumentu, ale przede wszystkim dowody jego wdrożenia: listy obecności ze szkoleń, rejestry weryfikacji klientów, protokoły oceny ryzyka. Brak tych dowodów traktuje się jak brak procedury.

Drugi częsty błąd to niekompletna identyfikacja beneficjenta rzeczywistego. Firmy weryfikują tożsamość klienta – spółki lub osoby fizycznej – ale pomijają ustalenie, kto faktycznie kontroluje tę spółkę. Tymczasem ustawa AML wymaga dotarcia do osoby fizycznej sprawującej kontrolę nad klientem. W strukturach holdingowych może to oznaczać konieczność analizy kilku warstw właścicielskich.

Trzeci błąd to brak aktualizacji procedury po zmianach regulacyjnych. Ustawa AML była nowelizowana kilkakrotnie – ostatnie istotne zmiany weszły w życie w 2023 r. Procedura napisana w 2019 r. i nieaktualizowana jest niezgodna z obowiązującym prawem. GIIF traktuje to jako naruszenie systemowe, a kara może wynieść od 10 000 PLN do 5 000 000 EUR.

Czwarty błąd – często pomijany – to niedostosowanie systemu AML do wymogów ochrony sygnalistów. Zgodnie z art. 8 ustawy o sygnalistach, pracodawcy zatrudniający co najmniej 50 pracowników muszą wdrożyć wewnętrzny kanał zgłoszeń. Kanał ten powinien umożliwiać anonimowe raportowanie podejrzanych transakcji – co idealnie uzupełnia system AML. Firmy, które rozdzielają oba systemy, często dublują koszty i tworzą luki proceduralne.

Ile kosztuje wdrożenie AML i jakie są terminy?

Koszty wdrożenia zależą od skali działalności i złożoności struktury klientów. Dla małej firmy – np. biura rachunkowego zatrudniającego 10 osób – koszt opracowania procedury i pierwszego szkolenia wynosi od 5 000 do 15 000 PLN netto. Dla średniego przedsiębiorstwa z rozbudowaną bazą klientów i relacjami transgranicznymi – od 30 000 do 80 000 PLN, wliczając wdrożenie systemu do weryfikacji list sankcyjnych. Duże instytucje obowiązane (np. instytucje płatnicze nadzorowane przez KNF) ponoszą koszty rzędu 200 000–500 000 PLN rocznie na utrzymanie systemu.

Harmonogram wdrożenia dla typowej spółki handlowej wygląda następująco. Miesiąc 1–2: audyt obecnego stanu, identyfikacja luk, opracowanie oceny ryzyka instytucji. Miesiąc 3–4: opracowanie procedury wewnętrznej, formularzy KYC i rejestru transakcji. Miesiąc 5: szkolenie pracowników, wyznaczenie osoby odpowiedzialnej za AML (compliance officer). Miesiąc 6: wdrożenie systemu monitorowania i aktualizacja danych w CRBR. Łącznie – 6 miesięcy to minimum realistyczne dla firm, które zaczynają od zera.

Firma technologiczna z Krakowa – dostawca oprogramowania dla sektora fintech – wdrożyła system AML w lecie 2024 r. Kluczowym wyzwaniem było dostosowanie procedury KYC do klientów z 12 krajów. Zastosowanie automatycznej weryfikacji API z zewnętrzną bazą list sankcyjnych skróciło czas onboardingu klientów z 5 dni do 4 godzin. Inwestycja w system wyniosła 45 000 PLN, a oszczędność operacyjna w pierwszym roku – około 30 000 PLN.

Warto pamiętać, że koszty braku wdrożenia są nieporównywalnie wyższe. Kara administracyjna nakładana przez GIIF może wynieść do 5 000 000 EUR lub 10% rocznego obrotu. Dodatkowo – cofnięcie zezwolenia na działalność, wpis do publicznego rejestru naruszeń i odpowiedzialność karna członków zarządu. Te konsekwencje są nieodwracalne.

Konkretna sytuacja Państwa firmy wymaga oceny, czy wdrożone procedury są wystarczające i aktualne. Brak udokumentowanego systemu AML zamyka drogę do obrony przed karą administracyjną – nawet jeśli firma nigdy nie miała do czynienia z podejrzaną transakcją.

Jeśli Państwa spółka podlega ustawie AML i nie ma wdrożonej aktualnej procedury – przeprowadzimy audyt luk, opracujemy dokumentację i przeszkolimy zespół: info@kordeckipartners.com.

Lista kontrolna gotowości AML

Przed każdą kontrolą GIIF warto przeprowadzić wewnętrzny przegląd. Poniższa lista obejmuje elementy, których brak najczęściej skutkuje karą:

  • Aktualna ocena ryzyka instytucji (nie starsza niż 2 lata) z podpisem zarządu.
  • Procedura wewnętrzna AML zgodna z aktualnym brzmieniem ustawy (po nowelizacjach z 2023 r.).
  • Kompletne rejestry weryfikacji klientów (KYC) z dokumentacją beneficjentów rzeczywistych.
  • Listy obecności i materiały ze szkoleń AML przeprowadzonych w ciągu ostatnich 12 miesięcy.
  • Aktualne dane w CRBR – zaktualizowane w ciągu 14 dni od ostatniej zmiany w strukturze właścicielskiej.

Sprawdzenie tej listy zajmuje compliance officerowi około 2–3 godzin. Wykrycie luki na tym etapie jest znacznie tańsze niż jej wykrycie przez GIIF. W praktyce – wiele firm o tym zapomina – lista kontrolna powinna być weryfikowana co kwartał, a nie tylko przed spodziewaną kontrolą.

Zgodność z AML wpisuje się też w szerszy kontekst ESG raportowania. Firmy objęte dyrektywą CSRD (Dyrektywa UE 2022/2464) muszą ujawniać informacje o systemach zarządzania ryzykiem, w tym ryzykiem korupcji i prania pieniędzy. Brak systemu AML może więc wpłynąć negatywnie nie tylko na ocenę regulacyjną, ale też na ocenę ratingów ESG i relacje z inwestorami.

Często zadawane pytania

P: Czy mała spółka z o.o. prowadząca handel hurtowy musi wdrożyć procedurę AML?

O: To zależy od charakteru transakcji. Jeśli spółka przyjmuje lub dokonuje płatności gotówkowych na kwotę 10 000 EUR lub więcej w ramach jednej lub powiązanych transakcji, staje się instytucją obowiązaną w rozumieniu ustawy AML. Wówczas obowiązek opracowania procedury wewnętrznej, oceny ryzyka i weryfikacji klientów powstaje z mocy prawa – niezależnie od wielkości firmy. Termin na wdrożenie wynosi 6 miesięcy od nabycia statusu instytucji obowiązanej.

P: Czy procedura AML i polityka ochrony sygnalistów to dwa odrębne dokumenty?

O: Formalnie – tak, to dwa odrębne akty wewnętrzne regulowane różnymi ustawami. Jednak artykuł 8 ustawy o sygnalistach nakłada obowiązek stworzenia kanału zgłoszeń, który powinien obejmować możliwość anonimowego raportowania naruszeń prawa – w tym podejrzanych transakcji finansowych. W praktyce wiele firm integruje oba systemy w jedną platformę zgłoszeniową, co obniża koszty i eliminuje luki. Oddzielne prowadzenie obu systemów jest dopuszczalne, ale wymaga starannej koordynacji.

P: Ile kosztuje roczne utrzymanie systemu AML dla firmy średniej wielkości?

O: Dla firmy zatrudniającej 50–200 pracowników, działającej w jednej jurysdykcji, roczne koszty utrzymania systemu AML wynoszą zazwyczaj od 15 000 do 40 000 PLN. Obejmuje to aktualizację procedur, szkolenia, subskrypcję narzędzi do weryfikacji list sankcyjnych i obsługę prawną zmian regulacyjnych. Firmy z klientami transgranicznymi lub działające w sektorach podwyższonego ryzyka (nieruchomości, kryptowaluty, usługi finansowe) powinny szacować budżet na poziomie 50 000–100 000 PLN rocznie.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – szczególnie gdy struktura klientów jest zróżnicowana geograficznie lub gdy spółka przeszła ostatnio zmiany właścicielskie. Brak aktualnej dokumentacji AML jest nieodwracalną luką w momencie wszczęcia kontroli przez GIIF.

Jeśli Państwa spółka nie ma pewności co do kompletności systemu AML lub planuje wdrożenie od podstaw – przeprowadzimy audyt zgodności, opracujemy procedury i zapewnimy szkolenie dla zarządu i pracowników: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i AML. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.