Firma doradcza z Mazowsza – zatrudniająca ponad 60 pracowników, obsługująca klientów z kilku krajów UE – przez lata działała bez formalnej procedury AML. Zarząd uznawał, że obowiązki dotyczą głównie banków i kantorów. Kontrola Generalnego Inspektora Informacji Finansowej (GIIF) w trzecim kwartale 2024 r. pokazała, że to założenie było błędne i kosztowne.
Obowiązki AML w Polsce wynikają z ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Obejmują szeroki krąg instytucji obowiązanych – w tym biura rachunkowe, doradców podatkowych, prawników i pośredników. Brak procedury wewnętrznej grozi karą administracyjną do 5 000 000 EUR lub do 10% przychodu rocznego.
Poniższe studium przypadku rekonstruuje – w zanonimizowanej formie – przebieg kontroli, strategię naprawczą i wnioski, które można zastosować w każdej polskiej firmie podlegającej przepisom AML. Omówimy tło sprawy, decyzje strategiczne, przebieg procesu wdrożenia oraz lekcje dla zarządów i działów compliance.
Tło sprawy: jak firma weszła w obszar ryzyka AML?
Spółka świadczyła usługi doradcze dla podmiotów z Polski, Niemiec i Ukrainy. Jej przychód roczny przekraczał próg, który czyni ją instytucją obowiązaną w rozumieniu ustawy AML. Zarząd o tym nie wiedział – lub nie chciał wiedzieć. W praktyce wiele firm o tym zapomina – szczególnie tych, które rozrosły się organicznie i nigdy nie przechodziły formalnego audytu compliance.
Pierwszym sygnałem był wniosek o wpis do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR). Spółka złożyła go z opóźnieniem – co automatycznie trafiło do rejestru nieprawidłowości GIIF. Kolejnym sygnałem był brak wyznaczonego pracownika odpowiedzialnego za AML. Ustawa wymaga wskazania osoby z kadry kierowniczej odpowiedzialnej za wykonywanie obowiązków instytucji obowiązanej.
Kontrola GIIF trwała sześć tygodni. Inspektorzy żądali dokumentacji z ostatnich pięciu lat: umów z klientami, ocen ryzyka, rejestrów transakcji gotówkowych powyżej 10 000 EUR oraz dowodów szkoleń pracowników. Spółka nie posiadała żadnego z tych dokumentów w wymaganej formie. Zarząd stanął przed realną groźbą kary i – co istotniejsze – utratą reputacji wobec klientów zagranicznych.
Dodatkowym czynnikiem ryzyka była struktura właścicielska. Jeden ze wspólników posiadał udziały przez podmiot zarejestrowany poza UE. GIIF zakwestionował prawidłowość wpisu w CRBR i nakazał jego korektę w terminie 14 dni. To uruchomiło lawinę działań naprawczych.
Jaką strategię naprawczą przyjął zarząd?
Zarząd zdecydował się na pełne wdrożenie procedury AML – nie tylko korektę formalną. Decyzja wynikała z trzech przesłanek: skali potencjalnej kary, planowanego wejścia na rynek skandynawski oraz wymogów due diligence nowego inwestora branżowego. Compliance przestał być kosztem administracyjnym, a stał się warunkiem rozwoju.
Pierwszym krokiem była ocena ryzyka instytucji obowiązanej. Ustawa wymaga jej przeprowadzenia i dokumentowania. Spółka zidentyfikowała trzy grupy klientów o podwyższonym ryzyku: podmioty z jurysdykcji wysokiego ryzyka, transakcje gotówkowe powyżej progu oraz klientów korzystających z rozbudowanych struktur holdingowych. Każda z grup otrzymała odrębny profil ryzyka i procedurę należytej staranności.
Równolegle wdrożono wewnętrzny kanał zgłoszeń. Był to wymóg niezależny od AML – wynikający z art. 8 ustawy o sygnalistach, który obowiązuje pracodawców zatrudniających ponad 50 pracowników od 25 września 2024 r. Spółka połączyła oba projekty, oszczędzając czas i zasoby. Uważamy, że takie podejście – integracja AML z wymogami sygnalistów i CSRD – jest bezpieczniejszym rozwiązaniem niż wdrażanie każdego obowiązku osobno.
Wyznaczono oficera AML z kadry kierowniczej wyższego szczebla. Przeprowadzono szkolenie dla wszystkich pracowników mających kontakt z klientami – łącznie 38 osób w ciągu dwóch tygodni. Dokumentację szkoleniową złożono do akt jako dowód działań naprawczych.
Jak przebiegał proces wdrożenia i co poszło nie tak?
Wdrożenie trwało dziesięć tygodni – od pierwszego spotkania z GIIF do złożenia kompletnej dokumentacji naprawczej. Harmonogram był napięty. Trzy etapy przebiegły sprawnie: ocena ryzyka, wyznaczenie oficera AML i korekta wpisu CRBR. Dwa etapy napotkały opóźnienia.
Pierwszym problemem była weryfikacja beneficjentów rzeczywistych klientów. Spółka musiała zidentyfikować beneficjentów rzeczywistych wszystkich aktywnych klientów – zgodnie z wymogami ustawy AML. Część klientów nie odpowiadała na wezwania. Dla pięciu podmiotów zastosowano podwyższone środki należytej staranności i zawieszono świadczenie usług do czasu uzyskania dokumentacji.
Drugim problemem była integracja systemu IT. Rejestr transakcji gotówkowych prowadzono w arkuszach Excel – bez automatycznych alertów dla transakcji przekraczających 10 000 EUR. Wdrożenie dedykowanego modułu w systemie ERP zajęło cztery tygodnie i kosztowało około 28 000 PLN. To był koszt, którego zarząd wcześniej nie uwzględniał w budżecie compliance.
- Ocena ryzyka instytucji obowiązanej – dokument pisemny, aktualizowany corocznie
- Wyznaczony oficer AML z kadry kierowniczej
- Rejestr transakcji gotówkowych powyżej 10 000 EUR z alertami systemowymi
- Udokumentowane szkolenia pracowników (co najmniej raz w roku)
- Korekta i bieżące aktualizacje wpisu w CRBR
GIIF ostatecznie wydał decyzję z upomnieniem – bez kary finansowej. Warunkiem było złożenie planu naprawczego i jego realizacja w terminie 90 dni. Spółka wypełniła oba warunki. Nieodwracalną konsekwencją pozostaje jednak wpis w rejestrze naruszeń GIIF – widoczny dla partnerów biznesowych i instytucji finansowych przez okres pięciu lat.
Jakie wnioski wyciągnąć z tej sprawy?
Najważniejsza lekcja jest prosta: AML nie dotyczy tylko banków. Katalog instytucji obowiązanych w Polsce jest szeroki i obejmuje podmioty, które same siebie za takie nie uważają. Weryfikacja statusu instytucji obowiązanej powinna być pierwszym krokiem każdego przeglądu compliance – przed wdrożeniem jakichkolwiek procedur.
Druga lekcja dotyczy CRBR. Opóźnienie w rejestracji beneficjentów rzeczywistych to nie tylko naruszenie przepisów o rejestrze. To automatyczny sygnał dla GIIF. Spółki z rozbudowaną strukturą właścicielską – zwłaszcza z elementem zagranicznym – powinny weryfikować prawidłowość wpisów co najmniej raz na kwartał. Zmiana udziałów nawet o 1% może zmienić krąg beneficjentów rzeczywistych.
Trzecia lekcja dotyczy integracji obowiązków. ESG raportowanie, sygnaliści, AML – to trzy różne reżimy prawne, ale w praktyce nakładają się na siebie organizacyjnie. Firmy, które traktują je jako odrębne projekty, ponoszą wyższe koszty wdrożenia i większe ryzyko luk. Integracja kanału zgłoszeń wymaganego przez art. 8 ustawy o sygnalistach z procedurą AML pozwoliła spółce zaoszczędzić około sześciu tygodni pracy i obniżyć koszt wdrożenia o szacowane 30%.
Z perspektywy compliance – to proces, nie dokument. Procedura AML złożona w szufladzie nie chroni przed karą. Chroni tylko procedura stosowana, aktualizowana i udokumentowana.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny statusu instytucji obowiązanej i zakresu obowiązków AML. Brak takiej oceny zamyka drogę do skutecznej obrony w razie kontroli GIIF – a wpis w rejestrze naruszeń jest nieodwracalny przez pięć lat.
Jeśli Państwa spółka zatrudnia ponad 50 pracowników lub świadczy usługi doradcze, finansowe albo pośrednictwa – przeprowadzimy weryfikację statusu AML, ocenę ryzyka i wdrożenie procedur: info@kordeckipartners.com.
Często zadawane pytania
P: Czy moja firma na pewno jest instytucją obowiązaną w rozumieniu przepisów AML?
O: Katalog instytucji obowiązanych w Polsce jest szeroki i obejmuje nie tylko banki. Dotyczy między innymi biur rachunkowych, doradców podatkowych, prawników świadczących określone usługi, pośredników w obrocie nieruchomościami oraz przedsiębiorców przyjmujących płatności gotówkowe powyżej 10 000 EUR. Weryfikacja statusu powinna opierać się na analizie faktycznie świadczonych usług – nie na nazwie firmy ani jej wielkości. Warto przeprowadzić tę ocenę przed kontrolą, a nie w jej trakcie.
P: Ile kosztuje wdrożenie procedury AML i jak długo trwa?
O: Koszt i czas zależą od skali działalności i istniejących systemów IT. W omawianej sprawie pełne wdrożenie – obejmujące ocenę ryzyka, wyznaczenie oficera, szkolenia i integrację systemu – zajęło dziesięć tygodni i kosztowało łącznie około 45 000 PLN. Dla mniejszych podmiotów bez potrzeby integracji systemowej koszt może być znacznie niższy. Kara za brak procedury może wynieść do 5 000 000 EUR – ekonomia tej decyzji jest jednoznaczna.
P: Czy obowiązek prowadzenia kanału zgłoszeń dla sygnalistów zastępuje procedurę AML?
O: Nie – to dwa odrębne reżimy prawne z różnymi podstawami prawnymi i zakresem zastosowania. Artykuł 8 ustawy o sygnalistach reguluje wewnętrzny kanał zgłoszeń nieprawidłowości i dotyczy pracodawców z co najmniej 50 pracownikami. Procedura AML wynika z odrębnej ustawy i obejmuje instytucje obowiązane niezależnie od liczby zatrudnionych. Oba obowiązki można jednak wdrożyć łącznie – co obniża koszty i redukuje ryzyko luk organizacyjnych.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i AML. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.