Firma handlowa z Mazowsza otrzymuje od banku pismo z prośbą o wyjaśnienie źródeł finansowania transakcji. Okazuje się, że brak wewnętrznych procedur AML sprawił, że żadna z kilkudziesięciu transakcji nie była monitorowana. Konsekwencja? Ryzyko kary administracyjnej i zablokowania rachunku firmowego.

Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na tzw. instytucje obowiązane szereg konkretnych obowiązków compliance. Obejmują one wdrożenie wewnętrznej procedury AML, identyfikację beneficjentów rzeczywistych w CRBR, szkolenia pracowników oraz ocenę ryzyka. Kary za naruszenia sięgają nawet 5 000 000 EUR lub 10% rocznego obrotu.

Ten przewodnik opisuje krok po kroku, co powinna zrobić polska firma, aby spełnić wymagania AML. Omawia harmonogram wdrożenia, typowe błędy, trzy scenariusze biznesowe oraz najczęstsze pytania klientów. Adresujemy go przede wszystkim do właścicieli firm, dyrektorów finansowych i osób odpowiedzialnych za compliance.

Kim jest instytucja obowiązana i jakie firmy muszą wdrożyć AML?

Ustawa AML nie dotyczy wszystkich przedsiębiorców. Dotyczy wyłącznie instytucji obowiązanych – czyli podmiotów wymienionych w art. 2 ust. 1 ustawy. Katalog jest szeroki i obejmuje nie tylko banki czy kantory, ale też doradców podatkowych, notariuszy, pośredników nieruchomości, biura rachunkowe i prawników świadczących określone usługi. Jeśli Państwa firma mieści się w tym katalogu, obowiązki AML są bezwzględnie wiążące.

Praktyczny test: czy firma przyjmuje lub przetwarza płatności gotówkowe powyżej 10 000 EUR? Czy pośredniczy w transakcjach między klientami? Czy doradza przy zakładaniu spółek lub zarządzaniu aktywami? Pozytywna odpowiedź na choćby jedno z tych pytań powinna skłonić do weryfikacji statusu instytucji obowiązanej. W praktyce – wiele firm o tym zapomina – zaliczenie do tej kategorii następuje z mocy prawa, bez żadnego zgłoszenia.

Instytucje obowiązane mają obowiązek zgłoszenia beneficjenta rzeczywistego do CRBR (Centralny Rejestr Beneficjentów Rzeczywistych). Termin na wpis to 7 dni od rejestracji spółki w KRS. Opóźnienie naraża na karę do 1 000 000 PLN. Generalny Inspektor Informacji Finansowej (GIIF) sprawuje nadzór nad wypełnianiem obowiązków AML i może nakładać dotkliwe sankcje administracyjne.

Warto też pamiętać, że obowiązki AML uzupełniają się z wymaganiami dotyczącymi sygnalistów. Zgodnie z art. 8 ustawy o sygnalistach, pracodawcy zatrudniający co najmniej 50 pracowników muszą wdrożyć wewnętrzny kanał zgłoszeń. Brak takiego kanału, przy jednoczesnym braku procedur AML, tworzy podwójne ryzyko regulacyjne. Compliance to proces, nie dokument.

Jak krok po kroku wdrożyć procedury AML w firmie?

Wdrożenie AML składa się z pięciu etapów. Każdy ma określony horyzont czasowy i konkretne produkty do wytworzenia. Pominięcie któregokolwiek etapu nie zwalnia z odpowiedzialności – GIIF ocenia całość systemu, nie tylko wybrane elementy.

Etap 1 – Ocena ryzyka (2–4 tygodnie). Firma musi sporządzić pisemną ocenę ryzyka prania pieniędzy i finansowania terroryzmu. Ocena uwzględnia profil klientów, obszar geograficzny działalności, kanały dystrybucji i rodzaj produktów lub usług. Wynik oceny determinuje intensywność stosowanych środków bezpieczeństwa finansowego.

Etap 2 – Procedura wewnętrzna AML (1–2 tygodnie). Na podstawie oceny ryzyka firma opracowuje pisemną procedurę. Dokument ten określa m.in.: zasady identyfikacji klienta, tryb stosowania środków bezpieczeństwa finansowego, zasady przechowywania dokumentów (5 lat) i sposób raportowania transakcji podejrzanych do GIIF.

Etap 3 – Weryfikacja beneficjentów w CRBR (1 tydzień). Instytucja obowiązana weryfikuje, czy jej kontrahenci figurują w CRBR. Transakcja z podmiotem bez wpisu do rejestru powinna uruchomić wzmożone środki bezpieczeństwa.

Etap 4 – Szkolenia pracowników (2–3 tygodnie). Wszyscy pracownicy wykonujący czynności objęte ustawą muszą przejść szkolenie AML. Szkolenie powinno być udokumentowane. Ustawa nie określa minimalnej liczby godzin, ale GIIF oczekuje, że pracownicy potrafią rozpoznać transakcję podejrzaną.

Etap 5 – Wyznaczenie osoby odpowiedzialnej. Firma wyznacza pracownika wyższego szczebla odpowiedzialnego za wykonywanie obowiązków AML. W małych podmiotach może to być właściciel. Dane tej osoby nie są publicznie ujawniane, ale muszą być dostępne na żądanie GIIF.

Łączny czas wdrożenia od zera: 6–10 tygodni przy zaangażowaniu doświadczonego doradcy. Koszt zewnętrznego wsparcia prawnego waha się zwykle między 8 000 a 25 000 PLN, zależnie od skali działalności i stopnia skomplikowania struktury klientów.

Jakie błędy najczęściej popełniają polskie firmy przy wdrożeniu AML?

Trzy scenariusze biznesowe pokazują, gdzie compliance AML najczęściej zawodzi. Każdy z nich dotyczy innego profilu ryzyka.

Scenariusz 1 – firma produkcyjna z Wielkopolski. Spółka produkująca komponenty metalowe sprzedaje je wyłącznie innym firmom B2B. Zarząd uznał, że AML dotyczy tylko kantorów i banków. Tymczasem spółka przyjmuje płatności gotówkowe od zagranicznych odbiorców powyżej 10 000 EUR. Brak procedury AML wyszedł na jaw podczas audytu bankowego jesienią 2024 roku. Bank zawiesił obsługę rachunku do czasu dostarczenia dokumentacji compliance.

Scenariusz 2 – kancelaria rachunkowa z Krakowa. Biuro rachunkowe świadczy usługi prowadzenia ksiąg dla ponad 80 klientów. Jako instytucja obowiązana z mocy prawa powinno posiadać procedurę AML od 2018 roku. Procedura istniała, ale nie była aktualizowana od czterech lat. GIIF nałożył karę administracyjną w wysokości 50 000 PLN za brak aktualnej oceny ryzyka.

Scenariusz 3 – startup IT z Warszawy. Spółka technologiczna obsługuje klientów z kilku krajów UE i spoza UE. Nie zidentyfikowała, że świadczy usługi tworzenia spółek dla zagranicznych inwestorów – co kwalifikuje ją jako instytucję obowiązaną. Ryzyko AML dotyczy tu szczególnie klientów z krajów wysokiego ryzyka wskazanych przez FATF.

Najczęstsze błędy wspólne dla tych scenariuszy:

  • Brak aktualnej oceny ryzyka (aktualizacja wymagana co najmniej raz w roku lub przy istotnej zmianie profilu działalności).
  • Niezweryfikowanie statusu instytucji obowiązanej mimo faktycznego profilu usług.
  • Procedura AML jako dokument „na półce" – bez szkoleń i faktycznego stosowania.
  • Pominięcie weryfikacji beneficjenta rzeczywistego w CRBR przy nawiązywaniu relacji z kontrahentem.
  • Brak dokumentacji szkoleń i historii transakcji przez wymagane 5 lat.

Compliance to proces, nie dokument – i to zdanie dobrze oddaje, gdzie tkwi sedno większości problemów. Firmy inwestują w stworzenie procedury, a potem zapominają o jej utrzymaniu.

Warto też pamiętać, że regulacje AML wzajemnie przenikają się z wymogami ESG. Firmy objęte CSRD (Dyrektywa UE 2022/2464) muszą raportować ryzyka związane z praniem pieniędzy jako element ładu korporacyjnego. Więcej o podejściu do podwójnej istotności w kontekście ESG raportowania znajdą Państwo w naszym przewodniku o CSRD i podwójnej istotności.

Osobną kategorię ryzyka tworzy sytuacja, gdy firma wchodzi w postępowanie restrukturyzacyjne lub upadłościowe. Obowiązki AML nie wygasają wraz z otwarciem postępowania – zarządca lub syndyk przejmuje je w całości. Szczegółowe zasady reprezentacji wierzycieli w tym procesie opisujemy w artykule o prawach rady wierzycieli w polskim postępowaniu upadłościowym.

Konkretna sytuacja Państwa firmy może wymagać natychmiastowej weryfikacji statusu instytucji obowiązanej. Brak procedury AML przy jednoczesnym prowadzeniu działalności w katalogu ustawy to ryzyko nieodwracalnych sankcji administracyjnych – od kary finansowej po zakaz prowadzenia działalności.

Jeśli Państwa spółka dotąd nie wdrożyła procedury AML lub jej ostatnia aktualizacja miała miejsce ponad rok temu – przeprowadzimy audyt zgodności, ocenę ryzyka i wdrożenie dokumentacji w ciągu 6 tygodni: info@kordeckipartners.com.

Co firma powinna przygotować – lista kontrolna AML?

Gotowość AML można ocenić za pomocą prostej listy kontrolnej. Każdy punkt to odrębny obowiązek ustawowy. Brak któregokolwiek z nich stanowi lukę compliance wykrywalną podczas kontroli GIIF lub audytu bankowego.

  • Pisemna ocena ryzyka – sporządzona i aktualizowana co najmniej raz w roku, podpisana przez osobę odpowiedzialną.
  • Procedura wewnętrzna AML – obejmująca identyfikację klienta, środki bezpieczeństwa finansowego, raportowanie i przechowywanie dokumentów.
  • Wpis do CRBR – aktualny, zgodny ze stanem faktycznym struktury właścicielskiej; zmiana beneficjenta rzeczywistego wymaga aktualizacji w ciągu 7 dni.
  • Udokumentowane szkolenia pracowników – lista uczestników, data, zakres tematyczny; zalecane co 12 miesięcy.
  • Wyznaczona osoba odpowiedzialna za AML – decyzja zarządu lub właściciela w formie pisemnej.

Ta lista to minimum. Firmy o rozbudowanej strukturze klientów lub działające transgranicznie powinny rozważyć dodatkowe elementy: procedurę wzmożonych środków bezpieczeństwa dla klientów wysokiego ryzyka, politykę sankcyjną i mechanizm monitorowania transakcji. Compliance to proces, nie dokument – i lista kontrolna jest tylko punktem startowym.

Dla firm objętych jednocześnie wymogami ESG raportowania i AML, warto zintegrować obie procedury w jednym systemie zarządzania ryzykiem. Uniknie się w ten sposób powielania dokumentacji i niespójności między różnymi obszarami compliance. Sygnaliści odgrywają tu istotną rolę – zgłoszenia naruszeń AML mogą wpływać na ocenę ryzyka ESG i odwrotnie.

Często zadawane pytania

P: Czy każda spółka z o.o. musi mieć procedurę AML?

O: Nie – obowiązek dotyczy wyłącznie instytucji obowiązanych w rozumieniu ustawy AML z 2018 roku. Katalog jest jednak szeroki i obejmuje m.in. biura rachunkowe, doradców podatkowych, pośredników nieruchomości, prawników świadczących usługi korporacyjne oraz podmioty przyjmujące płatności gotówkowe powyżej 10 000 EUR. Wiele spółek z o.o. nieświadomie mieści się w tym katalogu. Przed podjęciem decyzji o braku wdrożenia warto przeprowadzić formalną weryfikację statusu.

P: Ile kosztuje wdrożenie procedury AML i jak długo to trwa?

O: Przy wsparciu zewnętrznego doradcy prawnego koszt wdrożenia wynosi zazwyczaj od 8 000 do 25 000 PLN, zależnie od skali działalności i złożoności struktury klientów. Czas realizacji to 6–10 tygodni od momentu zebrania niezbędnych informacji o profilu działalności. Firmy, które posiadają już częściową dokumentację, mogą zaktualizować compliance w krótszym czasie – zwykle 3–4 tygodnie. Koszt braku procedury jest nieporównywalnie wyższy: kary GIIF sięgają 5 000 000 EUR.

P: Czy procedura AML musi być aktualizowana co roku?

O: Ustawa AML nie określa sztywnej częstotliwości aktualizacji, ale wymaga, by ocena ryzyka odzwierciedlała aktualny profil działalności. W praktyce GIIF oczekuje przeglądu co najmniej raz w roku oraz każdorazowo przy istotnej zmianie – nowym rynku, nowej grupie klientów lub zmianie struktury właścicielskiej. Dokument sporządzony w 2020 roku i nieprzeglądany od tamtej pory był już przyczyną kar administracyjnych nałożonych na polskie biura rachunkowe.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance AML, ESG i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Konkretna sytuacja Państwa firmy wymaga oceny, która uwzględnia aktualny profil działalności, strukturę klientów i historię transakcji. Brak aktualnej procedury AML to ryzyko nieodwracalnych konsekwencji – od blokady rachunku bankowego po zakaz prowadzenia działalności regulowanej.

Jeśli Państwa spółka nie posiada aktualnej dokumentacji AML lub nie jest pewna swojego statusu jako instytucji obowiązanej – przeprowadzimy audyt zgodności, przygotujemy ocenę ryzyka i wdrożymy procedury w ciągu 6 tygodni: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.