Firma usługowa z Mazowsza – kilkudziesięciu pracowników, kilkanaście milionów przychodu rocznie – otrzymała pismo z Generalnego Inspektoratu Informacji Finansowej. GIIF pytał o procedury AML, rejestr transakcji i identyfikację beneficjentów rzeczywistych. Zarząd był przekonany, że spółka „robi co trzeba". W praktyce brakowało niemal wszystkiego.

Obowiązki AML w Polsce wynikają z ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Instytucje obowiązane – w tym biura rachunkowe, doradcy podatkowi, notariusze, agenci nieruchomości i wiele firm usługowych – muszą wdrożyć wewnętrzne procedury, przeprowadzać ocenę ryzyka i zgłaszać transakcje podejrzane do GIIF. Kary za naruszenia sięgają 1 000 000 EUR lub dwukrotności korzyści z naruszenia.

Poniżej opisujemy, jak wyglądała ta sprawa krok po kroku – od diagnozy luk, przez budowę systemu compliance, po lekcje, które można przenieść na grunt każdej polskiej firmy z sektora instytucji obowiązanych.

Tło sprawy – jak firma wpadła w lukę AML?

Spółka świadczyła usługi doradcze dla klientów z kilku branż. Część transakcji przekraczała próg 10 000 EUR. Mimo to nikt w firmie nie prowadził rejestru transakcji ponadprogowych. Nie było też wyznaczonego oficera AML ani pisemnej procedury identyfikacji klienta.

Zarząd mylił dwie rzeczy. Po pierwsze – sądził, że obowiązki AML dotyczą wyłącznie banków i instytucji finansowych. Po drugie – zakładał, że wpis do CRBR (Centralnego Rejestru Beneficjentów Rzeczywistych) zastępuje obowiązek weryfikacji beneficjentów po stronie samej spółki. Oba założenia były błędne. CRBR to rejestr publiczny prowadzony przez Ministerstwo Finansów – obowiązek jego aktualizacji spoczywa na spółce, ale nie zwalnia z własnej weryfikacji klientów.

Pismo GIIF było sygnałem ostrzegawczym, nie decyzją o karze. Firma miała 30 dni na udzielenie wyjaśnień i przedstawienie dokumentacji. Bez zewnętrznego wsparcia prawnego termin ten byłby trudny do dotrzymania.

Jakie luki zidentyfikowała analiza compliance?

Audyt wewnętrzny – przeprowadzony w ciągu dwóch tygodni – ujawnił cztery obszary krytyczne. Każdy z nich mógł samodzielnie uzasadnić nałożenie kary administracyjnej przez GIIF.

  • Brak pisemnej oceny ryzyka prania pieniędzy dostosowanej do profilu działalności spółki.
  • Brak rejestru transakcji ponadprogowych (powyżej równowartości 10 000 EUR).
  • Brak procedury identyfikacji i weryfikacji tożsamości klientów oraz beneficjentów rzeczywistych.
  • Brak wewnętrznego kanału zgłoszeń – wymaganego osobno przez art. 8 ustawy o sygnalistach dla firm powyżej 50 pracowników.

Ten ostatni punkt był dla zarządu zaskoczeniem. Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. Firmy powyżej 50 pracowników musiały wdrożyć kanał zgłoszeń do tego dnia. Spółka z Mazowsza tego nie zrobiła – narażając się na karę do 1 080 000 PLN i do 3 lat pozbawienia wolności dla osób odpowiedzialnych za zaniechanie.

Audyt objął też obszar ESG raportowania. Spółka nie podlegała jeszcze CSRD (Dyrektywa UE 2022/2464) – ale jej główny kontrahent, duża spółka giełdowa, zaczął wymagać od dostawców danych ESG w ramach łańcucha wartości. Brak odpowiedzi na ankietę ESG oznaczał ryzyko utraty kontraktu – to był realny koszt braku compliance.

Warto tu wspomnieć o szerszym kontekście. Dla firm śledzących zmiany regulacyjne przydatny jest przegląd zmian w CSRD i procedurze Omnibus, który pokazuje, jak ewoluują obowiązki raportowania ESG w Polsce i UE.

Jak zbudowano system AML w 6 tygodni?

Praca zaczęła się od oceny ryzyka. Zgodnie z ustawą AML każda instytucja obowiązana musi przeprowadzić i udokumentować ocenę ryzyka prania pieniędzy – uwzględniając profil klientów, geografię transakcji i kanały dystrybucji usług. Ocenę trzeba aktualizować co najmniej raz na dwa lata.

W przypadku tej spółki ocena wykazała ryzyko na poziomie średnim. Klienci krajowi, transakcje w PLN i EUR, brak powiązań z jurysdykcjami wysokiego ryzyka. To pozwoliło zastosować uproszczone środki należytej staranności wobec większości klientów – i skupić zasoby na kilku relacjach o podwyższonym ryzyku.

Następnie wdrożono procedurę KYC (Know Your Customer). Każdy nowy klient przechodzi teraz identyfikację tożsamości, weryfikację w CRBR i ocenę ryzyka. Dane są przechowywane przez 5 lat od zakończenia relacji biznesowej – zgodnie z wymogami ustawy AML. Wyznaczono oficera AML z imiennym zakresem obowiązków. Przeprowadzono szkolenie dla całego zespołu – 3 godziny, z testem wiedzy i potwierdzeniem uczestnictwa.

Równolegle uruchomiono kanał zgłoszeń dla sygnalistów. Firma skorzystała z rozwiązania zewnętrznego – platformy elektronicznej obsługiwanej przez podmiot zewnętrzny. Koszt: około 3 000 PLN rocznie. Alternatywą byłby wewnętrzny kanał mailowy lub skrzynka pocztowa – tańsze, ale wymagające więcej zasobów organizacyjnych.

Kwestie podatkowe związane z dokumentacją transakcji i kosztami wdrożenia compliance omówiono z doradcą podatkowym. Szczegółowe informacje o podejściu kancelarii do spraw podatkowych znajdują się na stronie praktyki podatkowej KORDECKI & Partners.

Jakie lekcje wynikają z tej sprawy dla polskich firm?

Pierwsza lekcja: bycie instytucją obowiązaną w rozumieniu ustawy AML nie zależy od wielkości firmy ani od tego, czy spółka uważa się za „finansową". Biura rachunkowe, kancelarie prawne, agenci nieruchomości, doradcy podatkowi i wiele firm usługowych podlega pełnym obowiązkom AML. Warto sprawdzić katalog z art. 2 ust. 1 ustawy AML – lista jest długa.

Druga lekcja: CRBR to nie compliance. Wpis beneficjenta rzeczywistego do rejestru to obowiązek rejestracyjny spółki – nie zastępuje własnej weryfikacji klientów. Firma musi samodzielnie zidentyfikować i zweryfikować beneficjentów rzeczywistych swoich kontrahentów. To dwa różne obowiązki, wynikające z dwóch różnych podstaw prawnych.

Trzecia lekcja: compliance to system, nie dokument. Samo posiadanie procedury AML w szufladzie nie chroni przed karą. GIIF ocenia, czy procedury są stosowane w praktyce – czy są szkolenia, rejestry, dowody weryfikacji. Papierowe compliance nie przejdzie kontroli.

Czwarta lekcja: sygnaliści i AML to dziś jeden pakiet. Firmy powyżej 50 pracowników muszą mieć kanał zgłoszeń. Firmy będące instytucjami obowiązanymi muszą mieć procedury AML. Wdrożenie obu naraz – przy okazji jednego projektu – jest tańsze i bardziej spójne niż dwa osobne projekty w różnym czasie.

Firma z Mazowsza zakończyła sprawę pozytywnie. GIIF przyjął wyjaśnienia i dokumentację. Nie nałożono kary. Ale koszt naprawczy – zewnętrzne doradztwo, wdrożenie systemu, szkolenia – wyniósł kilkanaście tysięcy złotych. Zbudowanie systemu od razu kosztowałoby trzy razy mniej.

Konkretna sytuacja Państwa firmy wymaga oceny, czy podlegacie obowiązkom instytucji obowiązanej i czy obecne procedury są wystarczające. Brak systemu AML lub niekompletna dokumentacja to ryzyko kary do 1 000 000 EUR – i nieodwracalnych konsekwencji reputacyjnych przy ewentualnej kontroli GIIF.

Jeśli Państwa spółka prowadzi działalność w sektorach objętych ustawą AML i nie ma pewności co do kompletności wdrożenia – przeprowadzimy audyt luk, ocenę ryzyka i wdrożenie procedur: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda firma w Polsce musi wdrożyć procedury AML?

O: Nie każda – ale katalog instytucji obowiązanych jest szerszy, niż większość zarządów zakłada. Obejmuje biura rachunkowe, doradców podatkowych, agentów nieruchomości, kancelarie prawne, operatorów kryptowalut i wiele innych podmiotów. Pełna lista znajduje się w artykule 2 ustęp 1 ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy. Jeśli firma nie jest pewna swojego statusu – warto to sprawdzić zanim zrobi to GIIF.

P: Ile kosztuje wdrożenie systemu AML w małej firmie?

O: Koszt zależy od skali działalności i stopnia złożoności relacji z klientami. W przypadku małych firm usługowych podstawowe wdrożenie – ocena ryzyka, procedura KYC, szkolenie, kanał sygnalistów – mieści się zazwyczaj w przedziale 5 000–15 000 PLN przy wsparciu zewnętrznym. Koszt naprawczy po kontroli GIIF jest zwykle dwu- lub trzykrotnie wyższy. Kara administracyjna może sięgnąć równowartości 1 000 000 EUR.

P: Czy wpis do CRBR zastępuje obowiązek weryfikacji beneficjentów rzeczywistych?

O: To jeden z najczęstszych błędów. CRBR to rejestr publiczny – firma ma obowiązek do niego raportować, ale nie zwalnia ją to z własnej weryfikacji beneficjentów rzeczywistych swoich klientów. Są to dwa odrębne obowiązki. Instytucja obowiązana musi samodzielnie identyfikować i weryfikować beneficjentów w ramach procedury należytej staranności wobec klienta.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i AML. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.