Firma technologiczna z Mazowsza wdrożyła nowy system płatności. Kilka miesięcy później kontrola Generalnego Inspektora Informacji Finansowej ujawniła brak procedury AML, brak oceny ryzyka klienta i niezgłoszonych transakcji podejrzanych. Konsekwencja: kara administracyjna i wpis do rejestru publicznego. Cały problem można było rozwiązać w ciągu 30 dni roboczych przy odpowiednim przygotowaniu.
Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML) nakłada na instytucje obowiązane szeroki katalog obowiązków compliance. Obejmują one ocenę ryzyka, stosowanie środków bezpieczeństwa finansowego, rejestrację transakcji powyżej 10 000 EUR oraz zgłaszanie podejrzanych operacji do GIIF. Niedopełnienie tych obowiązków grozi karą pieniężną do 5 000 000 EUR lub do 10% rocznego obrotu.
Ten przewodnik prowadzi krok po kroku przez cały cykl compliance AML: od ustalenia, czy Państwa firma należy do instytucji obowiązanych, przez budowę wewnętrznych procedur, aż po rejestrację w CRBR i obowiązki sygnalistów. Omówimy trzy scenariusze biznesowe – producenta, spółkę IT i inwestora zagranicznego – oraz najczęstsze błędy, które kończą się kontrolą GIIF.
Kto jest instytucją obowiązaną i co to oznacza w praktyce?
Ustawa AML definiuje instytucję obowiązaną jako podmiot, który z racji prowadzonej działalności jest szczególnie narażony na ryzyko prania pieniędzy. Katalog jest szeroki: banki, biura rachunkowe, kancelarie prawne, notariusze, pośrednicy nieruchomości, kantory walut, operatorzy lotteryni i – co często pomijane – przedsiębiorcy handlujący towarami za gotówkę powyżej 10 000 EUR w jednej transakcji. Przynależność do tego katalogu uruchamia cały system obowiązków.
Wiele firm nie zdaje sobie sprawy ze swojego statusu. W praktyce – i to jest częsty błąd – spółka holdingowa lub joint venture zakłada, że obowiązki spoczywają wyłącznie na podmiocie operacyjnym. Tymczasem, jeśli holding samodzielnie świadczy usługi finansowe lub zarządza aktywami na własny rachunek, może samodzielnie wypełniać definicję z ustawy. Warto to skonfrontować z art. 2 ust. 1 ustawy AML przed pierwszą transakcją.
Pierwszym krokiem jest więc formalna weryfikacja statusu. Należy przeanalizować PKD, faktycznie świadczone usługi oraz strukturę przepływów pieniężnych. Spółki tworzące joint venture w polskim prawie korporacyjnym powinny ten krok wykonać już na etapie negocjowania umowy, bo błędna klasyfikacja generuje odpowiedzialność od dnia rozpoczęcia działalności.
Instytucja obowiązana musi wyznaczyć pracownika wyższego szczebla odpowiedzialnego za AML (tzw. oficer AML) oraz osobę wykonującą bieżące obowiązki. W spółkach z o.o. funkcję tę może pełnić członek zarządu. KNF i GIIF w swoich wytycznych podkreślają, że formalne wyznaczenie musi być udokumentowane – samo przekazanie obowiązków ustnie nie wystarczy. Termin na wdrożenie struktury: 30 dni od nabycia statusu instytucji obowiązanej.
Jak zbudować procedurę AML krok po kroku?
Procedura AML to nie pojedynczy dokument, lecz system powiązanych ze sobą procesów. Ustawa wymaga co najmniej: (1) wewnętrznej procedury w zakresie przeciwdziałania praniu pieniędzy, (2) oceny ryzyka instytucji, (3) zasad stosowania środków bezpieczeństwa finansowego, (4) systemu szkoleń pracowników. Każdy z tych elementów musi być udokumentowany i regularnie aktualizowany – nie rzadziej niż co 2 lata lub po każdej istotnej zmianie profilu działalności.
Ocena ryzyka instytucji to punkt wyjścia. Firma identyfikuje czynniki ryzyka właściwe dla swojej branży, geografii klientów i kanałów dystrybucji. Producent z Wielkopolski obsługujący wyłącznie kontrahentów krajowych ma inny profil ryzyka niż firma IT sprzedająca subskrypcje w 15 krajach. Ta różnica musi być odzwierciedlona w dokumentacji – GIIF podczas kontroli porównuje zadeklarowany profil ryzyka z rzeczywistą bazą klientów.
Środki bezpieczeństwa finansowego (ŚBF) dzielą się na trzy poziomy:
- Uproszczone ŚBF – dla klientów o niskim ryzyku (np. spółki notowane na regulowanym rynku w UE)
- Standardowe ŚBF – identyfikacja i weryfikacja tożsamości, ustalenie beneficjenta rzeczywistego, monitorowanie relacji
- Wzmożone ŚBF – dla klientów wysokiego ryzyka, PEP (osoby zajmujące eksponowane stanowiska polityczne) i transakcji z krajami trzecimi wysokiego ryzyka
Weryfikacja beneficjenta rzeczywistego jest obowiązkiem, który łączy się bezpośrednio z CRBR – Centralnym Rejestrem Beneficjentów Rzeczywistych. Instytucja obowiązana sprawdza wpis w CRBR, ale nie może na nim poprzestać. Jeśli dane w rejestrze są niezgodne z dokumentami spółki, instytucja powinna zgłosić rozbieżność do właściwego organu. To obowiązek aktywny, nie pasywny.
Szkolenia pracowników muszą być przeprowadzane cyklicznie. Pracownicy mający bezpośredni kontakt z klientami powinni przejść szkolenie przed objęciem stanowiska, a następnie co 12 miesięcy. Dokumentacja szkoleń – listy obecności, materiały, testy wiedzy – to jeden z pierwszych dokumentów żądanych przez GIIF podczas kontroli.
Jakie transakcje wymagają rejestracji i kiedy zgłaszać podejrzenie do GIIF?
Ustawa AML wprowadza dwa niezależne obowiązki: rejestrację transakcji i zgłaszanie podejrzeń. Mylenie ich to jeden z najczęstszych błędów compliance. Rejestracja ma charakter automatyczny i progowy. Zgłoszenie podejrzenia jest obowiązkiem niezależnym od wartości transakcji – może dotyczyć operacji na 500 PLN.
Obowiązek rejestracji dotyczy przyjęcia lub dokonania gotówkowej transakcji o równowartości co najmniej 10 000 EUR, a także transferów środków pieniężnych powyżej tego progu. Transakcje powiązane – nawet jeśli każda z osobna nie przekracza progu – podlegają sumowaniu. Biuro rachunkowe obsługujące klienta, który regularnie wpłaca gotówkę w transzach po 9 500 EUR, jest zobowiązane potraktować te wpłaty jako jedną transakcję powyżej progu, jeśli wynikają z jednego stosunku prawnego.
Zgłoszenie do GIIF następuje, gdy instytucja obowiązana „wie, podejrzewa lub ma uzasadnione podstawy, by podejrzewać", że transakcja lub środki mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzmu. Termin na zgłoszenie: niezwłocznie, nie później niż w terminie wynikającym z wewnętrznej procedury (zazwyczaj 24–48 godzin od powzięcia podejrzenia). Zgłoszenie składa się przez system teleinformatyczny GIIF.
Scenariusz IT: spółka programistyczna z Krakowa (wiosna 2025) odkryła, że jeden z zagranicznych klientów regularnie opłaca faktury z rachunków zarejestrowanych w jurysdykcjach wysokiego ryzyka, w transzach poniżej progu rejestracji. Wzmożone ŚBF i analiza struktury płatności wykazały cechy typowego smurfingu. Spółka zgłosiła podejrzenie do GIIF w ciągu 36 godzin. Brak zgłoszenia wiązałby się z odpowiedzialnością administracyjną niezależnie od tego, czy pranie rzeczywiście miało miejsce.
Jak AML łączy się z CRBR, sygnalistami i CSRD?
Compliance AML nie istnieje w próżni. Trzy obszary regulacyjne nakładają się na niego w sposób, który wymaga zintegrowanego podejścia: rejestr CRBR, ochrona sygnalistów i raportowanie ESG w ramach CSRD. Firmy traktujące te obszary oddzielnie tworzą luki, które GIIF i inne organy nadzoru identyfikują jako systemowe naruszenia.
CRBR nakłada obowiązek rejestracji beneficjenta rzeczywistego na spółki kapitałowe, spółki osobowe i inne podmioty wymienione w ustawie. Termin na zgłoszenie zmian: 7 dni od wpisu do KRS lub od zaistnienia zmiany. Instytucja obowiązana weryfikuje dane CRBR przy każdym nawiązaniu stosunku gospodarczego. Rozbieżności między danymi CRBR a dokumentami spółki – np. umową spółki wskazującą innego beneficjenta – muszą być wyjaśnione i zgłoszone.
Ustawa o sygnalistach z 14 czerwca 2024 r. (w życie od 25 września 2024 r.) nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Zgodnie z art. 8 ustawy o sygnalistach, kanał ten musi umożliwiać anonimowe zgłaszanie naruszeń prawa, w tym naruszeń przepisów AML. W praktyce kanał AML i kanał sygnalistów mogą być zintegrowane – ale wymagają odrębnych procedur obsługi zgłoszeń, bo ustawa o sygnalistach chroni tożsamość zgłaszającego w sposób szczególny.
CSRD – Dyrektywa UE 2022/2464, implementowana do polskiego prawa ustawą podpisaną 12 grudnia 2024 r. – wprowadza obowiązek raportowania ESG, który obejmuje m.in. kwestie ładu korporacyjnego i zarządzania ryzykiem korupcji. Firmy objęte CSRD muszą ujawniać polityki AML jako element raportowania w obszarze „G" (governance). Zmiany wynikające z Omnibus i „stop the clock" opisujemy szerzej w odrębnym materiale: CSRD, Omnibus i Stop the Clock – co się zmienia.
Scenariusz inwestora zagranicznego: fundusz private equity z Niemiec (lato 2024) nabywał udziały w polskiej spółce produkcyjnej. Due diligence wykazało brak wpisu zarządu w CRBR po ostatniej zmianie składu oraz brak aktualizacji procedury AML po rozszerzeniu działalności na rynki pozaunijne. Inwestor uzależnił zamknięcie transakcji od uzupełnienia obu braków w terminie 14 dni. Koszty naprawcze wyniosły ułamek tego, co kosztowałoby renegocjowanie ceny po ujawnieniu naruszeń podczas audytu post-closing.
Jakie kary grożą za naruszenie przepisów AML i jak się przed nimi chronić?
System sankcji AML jest wielopoziomowy. GIIF może nałożyć karę pieniężną do 5 000 000 EUR lub do 10% rocznego obrotu – w zależności od tego, która kwota jest wyższa. Wobec osób fizycznych odpowiedzialnych za naruszenie grozi kara do 20 700 000 PLN (równowartość 5 000 000 EUR według kursu NBP). Do tego dochodzą: zakaz pełnienia funkcji kierowniczych, cofnięcie zezwolenia na działalność regulowaną i publiczne ogłoszenie o naruszeniu.
Odpowiedzialność osobista członka zarządu jest realna. Jeśli naruszenie wynikało z zaniechania lub świadomej decyzji zarządu, kara może zostać nałożona bezpośrednio na osobę fizyczną – niezależnie od kary nałożonej na spółkę. To nieodwracalna konsekwencja dla kariery zawodowej w sektorze regulowanym.
Jak się chronić? Checklistę wdrożenia AML można zamknąć w pięciu punktach:
- Formalne wyznaczenie oficera AML z dokumentacją w KRS lub uchwałą zarządu
- Ocena ryzyka instytucji zaktualizowana w ciągu ostatnich 24 miesięcy
- Procedura AML zatwierdzona przez zarząd i dostępna dla wszystkich pracowników
- Dokumentacja szkoleń z ostatnich 12 miesięcy dla pracowników kontaktowych
- Weryfikacja danych CRBR przy każdym nawiązaniu nowej relacji biznesowej
Scenariusz producenta: zakład meblarski z Podkarpacia (jesień 2024) przeszedł kontrolę GIIF po zgłoszeniu przez bank podejrzanej transakcji. Spółka miała procedurę AML – ale przestarzałą, sprzed 4 lat, niepokrywającą nowych kanałów sprzedaży online. GIIF nałożył karę w wysokości 150 000 PLN. Gdyby procedura była aktualna, kara mogłaby być zmniejszona lub umorzona w związku z wykazaniem dobrej wiary i systemowego podejścia do compliance.
Ochrona przed karą to nie tylko dokumenty. GIIF ocenia realną skuteczność systemu AML: czy pracownicy rzeczywiście wiedzą, jak postępować z podejrzaną transakcją, czy oficer AML ma dostęp do informacji o klientach, czy system monitorowania transakcji działa w czasie rzeczywistym. Formalna poprawność dokumentów bez operacyjnego wdrożenia nie chroni przed sankcją.
Często zadawane pytania
P: Czy małe biuro rachunkowe zatrudniające 5 osób musi wdrożyć pełną procedurę AML?
O: Tak – biura rachunkowe są instytucjami obowiązanymi niezależnie od wielkości zatrudnienia. Ustawa AML nie przewiduje progu zatrudnienia jako kryterium zwolnienia. Biuro musi mieć procedurę AML, wyznaczyć osobę odpowiedzialną i prowadzić rejestr transakcji. Uproszczenia dotyczą jedynie poziomu stosowanych środków bezpieczeństwa finansowego wobec klientów niskiego ryzyka – nie samego obowiązku ich stosowania.
P: Jak długo trzeba przechowywać dokumenty z procedury AML i weryfikacji klientów?
O: Ustawa AML nakłada obowiązek przechowywania dokumentacji przez 5 lat od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej. Dotyczy to zarówno dokumentów identyfikacyjnych klientów, jak i rejestrów transakcji oraz korespondencji z GIIF. Po upływie 5 lat dokumenty powinny zostać usunięte, chyba że przepisy szczególne (np. podatkowe lub archiwalne) nakazują dłuższe przechowywanie.
P: Czy spółka wchodząca na rynek polski jako oddział zagranicznego przedsiębiorcy podlega polskiej ustawie AML?
O: Tak – oddział zagranicznego przedsiębiorcy prowadzący działalność w Polsce jest traktowany jak polska instytucja obowiązana, jeśli jego działalność mieści się w katalogu z art. 2 ust. 1 ustawy AML. Obowiązki compliance spoczywają na kierowniku oddziału, który odpowiada jak zarząd krajowej spółki. Zagraniczna spółka matka nie „przejmuje" tych obowiązków – każda jednostka odpowiada samodzielnie w swojej jurysdykcji.
Podsumowanie: trzy scenariusze, jeden wspólny mianownik
Producent, spółka IT i inwestor zagraniczny mają różne profile ryzyka AML. Łączy ich jedno: compliance AML wymaga systemu, a nie pojedynczego dokumentu. Procedura stworzona raz i odłożona na półkę to nie compliance – to formalność, która nie chroni ani spółki, ani jej zarządu przed sankcją GIIF.
Integracja AML z CRBR, systemem sygnalistów i raportowaniem CSRD pozwala uniknąć dublowania zasobów i luk regulacyjnych. Firmy, które podchodzą do compliance całościowo, rzadziej trafiają na kontrole i szybciej je kończą. To nie kwestia skali – to kwestia struktury.
Konkretna sytuacja Państwa firmy może wymagać innego podejścia niż opisane powyżej scenariusze. Ocena ryzyka, wybór środków bezpieczeństwa finansowego i integracja z systemem sygnalistów to decyzje, które mają nieodwracalne konsekwencje dla odpowiedzialności zarządu i reputacji spółki.
Jeśli Państwa spółka wchodzi w zakres ustawy AML lub planuje rozszerzenie działalności na obszary regulowane – przeprowadzimy audyt compliance AML, ocenę ryzyka i wdrożenie procedury dostosowanej do Państwa profilu działalności: info@kordeckipartners.com.
O autorce i kancelarii
Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych. KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń AML, compliance regulacyjnego i ESG raportowania. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.