Firma z Mazowsza przyjmuje nowego kontrahenta z zagranicy. Przelew opiewający na kilkaset tysięcy złotych trafia na konto – i w tym momencie uruchamia się łańcuch obowiązków, o których wielu przedsiębiorców nie ma pojęcia. Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu nakłada na instytucje obowiązane konkretne wymagania: identyfikację klienta, ocenę ryzyka, zgłoszenia do Generalnego Inspektora Informacji Finansowej. Brak procedur to nie tylko ryzyko kary – to ryzyko nieodwracalnej utraty reputacji i odpowiedzialności osobistej zarządu.

Obowiązki AML w Polsce wynikają z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (ustawa AML), która implementuje unijną Dyrektywę AMLD. Instytucje obowiązane – od banków, przez biura rachunkowe, po notariuszy i pośredników nieruchomości – muszą wdrożyć wewnętrzne procedury, prowadzić rejestry oraz stosować środki należytej staranności wobec klientów. Kontrole prowadzi Generalny Inspektor Informacji Finansowej (GIIF) oraz Komisja Nadzoru Finansowego (KNF), a kary administracyjne mogą sięgać 5 000 000 EUR lub równowartości 10% rocznego obrotu.

Ten przewodnik omawia cztery obszary: katalog instytucji obowiązanych i zakres ich obowiązków, praktyczne elementy systemu AML, najczęstsze pułapki compliance oraz wymiar transgraniczny i powiązania z ESG. Na końcu znajdą Państwo listę kontrolną i odpowiedzi na najczęściej zadawane pytania.

Kto jest instytucją obowiązaną i jakie przepisy obowiązują w Polsce?

Ustawa AML z 2018 r. wskazuje ponad 20 kategorii instytucji obowiązanych. Obejmują one banki, instytucje płatnicze, biura rachunkowe, doradców podatkowych, adwokatów i radców prawnych (przy określonych czynnościach), pośredników nieruchomości, kantory, operatorów platform kryptowalutowych oraz – co zaskakuje wielu przedsiębiorców – spółki prowadzące działalność w zakresie usług na rzecz podmiotów lub osób fizycznych (tzw. trust and company service providers). Jeśli Państwa firma świadczy choćby jedną z tych usług, obowiązki AML dotyczą jej wprost.

Kluczowym organem nadzorczym jest GIIF, działający w strukturach Ministerstwa Finansów. Instytucje finansowe nadzoruje KNF, a biura rachunkowe – Krajowa Izba Doradców Podatkowych lub Krajowa Izba Biegłych Rewidentów. W praktyce oznacza to, że ta sama firma może podlegać kontroli więcej niż jednego organu. Rejestr beneficjentów rzeczywistych, prowadzony jako CRBR, stanowi uzupełnienie systemu – każda spółka wpisana do KRS musi zgłosić beneficjenta rzeczywistego i aktualizować dane w ciągu 7 dni od każdej zmiany.

Ustawa wprowadza trójstopniową ocenę ryzyka: ryzyko kraju, ryzyko klienta i ryzyko transakcji. Każda instytucja obowiązana musi przeprowadzić własną ocenę ryzyka na poziomie całej organizacji – i aktualizować ją nie rzadziej niż co 2 lata. GIIF publikuje krajową ocenę ryzyka, która wyznacza punkt odniesienia. Zignorowanie tej aktualizacji to jeden z najczęstszych błędów wykrywanych podczas kontroli.

Warto podkreślić powiązanie z regulacjami CSRD i ESG raportowaniem: coraz więcej klientów instytucji obowiązanych wymaga zaświadczeń o zgodności z AML jako elementu due diligence ESG. Compliance AML staje się więc nie tylko wymogiem regulacyjnym, lecz także elementem oceny kontrahentów w łańcuchu dostaw.

Jakie elementy musi zawierać skuteczny system AML w firmie?

Skuteczny system AML opiera się na pięciu filarach: procedurze wewnętrznej, środkach należytej staranności wobec klientów (Customer Due Diligence – CDD), systemie monitorowania transakcji, szkoleniach pracowników oraz wyznaczeniu osoby odpowiedzialnej (AML Officer). Każdy z tych elementów podlega ocenie podczas kontroli GIIF. Brak choćby jednego z nich traktowany jest jako naruszenie systemowe – a to otwiera drogę do najwyższych kar.

Procedura wewnętrzna musi być pisemna, zatwierdzona przez zarząd i dostępna dla wszystkich pracowników mających kontakt z klientami lub transakcjami. Powinna określać progi kwotowe uruchamiające wzmożone środki należytej staranności – dla transakcji gotówkowych próg wynosi 10 000 EUR (lub równowartość). Dla klientów wysokiego ryzyka (PEP – osoby zajmujące eksponowane stanowiska polityczne) stosuje się enhanced due diligence bez względu na kwotę transakcji.

Monitorowanie transakcji to obszar, w którym wiele firm popełnia błąd odwrotny: zbierają dane, ale nie analizują wzorców. Transakcje podejrzane należy zgłaszać do GIIF niezwłocznie – ustawa nie określa sztywnego terminu, jednak praktyka GIIF wskazuje na 24–48 godzin od powzięcia podejrzenia. Zgłoszenie złożone z opóźnieniem, nawet jeśli zawiera kompletne informacje, może być potraktowane jako naruszenie.

System AML powinien być zintegrowany z rejestrem sygnalistów. Zgodnie z art. 8 ustawy o sygnalistach, każdy pracodawca zatrudniający co najmniej 50 pracowników musi prowadzić wewnętrzny kanał zgłoszeń. W praktyce – wiele firm o tym zapomina – kanał ten powinien umożliwiać anonimowe zgłoszenia naruszeń AML, co tworzy dodatkową warstwę wykrywania nieprawidłowości.

Najczęstsze pułapki AML – gdzie polskie firmy popełniają błędy?

Błąd numer jeden: traktowanie procedury AML jako dokumentu, który wystarczy raz przygotować i odłożyć na półkę. Compliance to proces, nie dokument. GIIF podczas kontroli weryfikuje nie tylko istnienie procedury, lecz dowody jej stosowania – logi z weryfikacji klientów, raporty z oceny transakcji, listy obecności ze szkoleń. Firma, która posiada pięknie napisaną procedurę, ale nie ma śladów jej wdrożenia, ryzykuje karą tak samo jak firma bez żadnych dokumentów.

Biuro rachunkowe z Małopolski zostało ukarane w 2024 r. karą administracyjną po tym, jak kontrola GIIF wykazała brak aktualizacji oceny ryzyka przez ponad 3 lata. Procedura istniała, szkolenia były przeprowadzane – ale ocena ryzyka nie uwzględniała zmian w portfelu klientów po przyjęciu kilku podmiotów z jurysdykcji wysokiego ryzyka. Koszt zaniedbania: kilkadziesiąt tysięcy złotych kary i kilka miesięcy postępowania administracyjnego.

Błąd numer dwa: nieprawidłowa identyfikacja beneficjenta rzeczywistego. CRBR zawiera dane, które spółki zgłaszają samodzielnie – i zdarzają się błędy lub nieaktualne wpisy. Instytucja obowiązana nie może opierać się wyłącznie na danych z CRBR. Ustawa AML wymaga weryfikacji beneficjenta rzeczywistego przy użyciu własnych środków, a rozbieżności między danymi klienta a wpisem w CRBR należy odnotować i zgłosić. Pominięcie tego kroku to jeden z najczęściej stwierdzanych uchybień podczas inspekcji.

Błąd numer trzy: brak procedur dla nowych kanałów dystrybucji. Firma z branży IT wchodząca w obsługę płatności kryptowalutowych staje się automatycznie instytucją obowiązaną w rozumieniu ustawy AML. Wiele takich podmiotów nie zdaje sobie z tego sprawy przez pierwsze miesiące działalności. Odpowiedzialność osobista członków zarządu za brak wdrożenia systemu AML jest bezpośrednia i nie wymaga wykazania szkody – wystarczy samo naruszenie obowiązku.

AML w kontekście transgranicznym i powiązania z ESG

Dla zagranicznego inwestora wchodzącego na rynek polski – szczególnie z Niemiec, Ukrainy lub innych krajów WNP – polska ustawa AML może być zaskoczeniem. Polska implementuje wymogi unijnej dyrektywy AMLD, ale z własnymi specyfikami: rozszerzonym katalogiem instytucji obowiązanych, krajową oceną ryzyka GIIF oraz obowiązkiem rejestracji w CRBR dla wszystkich spółek wpisanych do KRS. Spółki z grupy kapitałowej muszą wdrożyć spójne polityki AML na poziomie całej grupy – nawet jeśli spółka polska jest tylko podmiotem zależnym.

Spółka z grupy skandynawskiej, działająca w Polsce w sektorze usług finansowych, musiała w 2023 r. dostosować swój globalny system AML do polskich wymogów w zakresie PEP. Definicja PEP w polskiej ustawie jest szersza niż w wielu innych jurysdykcjach UE – obejmuje nie tylko aktualnych, lecz także byłych funkcjonariuszy publicznych przez 12 miesięcy od zakończenia funkcji. Dostosowanie zajęło 4 miesiące i wymagało modyfikacji systemów IT oraz ponownego przeszkolenia 60 pracowników.

Powiązanie AML z ESG raportowaniem jest coraz silniejsze. CSRD (Dyrektywa UE 2022/2464) wymaga ujawnienia informacji o ryzykach związanych z praniem pieniędzy i korupcją jako elementu raportowania niefinansowego. Firmy objęte CSRD muszą wykazać, że posiadają skuteczne mechanizmy zapobiegania praniu pieniędzy – co oznacza, że system AML przestaje być wyłącznie wymogiem regulacyjnym, a staje się elementem oceny ESG przez inwestorów i kontrahentów. Więcej o zarządzaniu ryzykiem regulacyjnym w sektorze finansowym można znaleźć w analizie DORA – zarządzanie ryzykiem ICT w polskich podmiotach.

Compliance AML łączy się także z programami antykorupcyjnymi. Wiele firm buduje zintegrowane systemy compliance obejmujące zarówno AML, jak i zapobieganie korupcji – co zmniejsza koszty i eliminuje dublowanie procedur. Szczegółowe omówienie ram prawnych antykorupcji znajdą Państwo w opracowaniu Antykorupcja – ramy prawne i program compliance.

Lista kontrolna AML – co powinna mieć każda instytucja obowiązana?

Poniższa lista obejmuje minimum, które weryfikuje GIIF podczas standardowej kontroli. Brak któregokolwiek elementu może skutkować wszczęciem postępowania administracyjnego i nałożeniem kary do 5 000 000 EUR. Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wewnętrznego audytu AML co najmniej raz w roku – jeszcze przed ewentualną wizytą inspektora.

  • Pisemna procedura AML zatwierdzona przez zarząd, aktualizowana co najmniej co 2 lata lub przy każdej istotnej zmianie działalności.
  • Ocena ryzyka instytucji uwzględniająca aktualny portfel klientów, kanały dystrybucji i jurysdykcje, w których firma operuje.
  • Weryfikacja beneficjentów rzeczywistych z odnotowaniem rozbieżności względem CRBR i dokumentacją źródeł weryfikacji.
  • Szkolenia pracowników – co najmniej raz w roku, z listami obecności i dokumentacją zakresu tematycznego.
  • Wewnętrzny kanał zgłoszeń zgodny z art. 8 ustawy o sygnalistach, umożliwiający anonimowe raportowanie podejrzanych transakcji.

Każdy z tych punktów powinien być udokumentowany w sposób umożliwiający odtworzenie historii działań compliance. W praktyce oznacza to prowadzenie rejestrów w formie pozwalającej na szybkie przedstawienie ich inspektorowi – najlepiej w formacie elektronicznym z datownikiem i podpisem osoby odpowiedzialnej.

Konkretna sytuacja Państwa firmy – zwłaszcza jeśli działają Państwo w kilku jurysdykcjach lub rozszerzają działalność o nowe usługi – wymaga indywidualnej oceny systemu AML. Brak dostosowania procedur do aktualnej struktury biznesowej to ryzyko nieodwracalne: kara administracyjna, wpis do rejestru naruszeń i odpowiedzialność osobista zarządu pozostają w dokumentacji GIIF przez wiele lat.

Jeśli Państwa spółka jest instytucją obowiązaną i nie przeprowadziła przeglądu systemu AML w ciągu ostatnich 24 miesięcy – przeprowadzimy audyt zgodności, przygotujemy lub zaktualizujemy procedurę wewnętrzną oraz ocenimy kompletność dokumentacji weryfikacji klientów: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała firma – np. jednoosobowe biuro rachunkowe – również podlega obowiązkom AML?

O: Tak. Ustawa AML nie uzależnia obowiązków od wielkości firmy ani liczby zatrudnionych. Każde biuro rachunkowe, bez względu na skalę działalności, jest instytucją obowiązaną i musi wdrożyć pełen zestaw procedur: ocenę ryzyka, weryfikację klientów oraz procedurę zgłaszania transakcji podejrzanych do GIIF. Brak procedur u jednoosobowego przedsiębiorcy jest traktowany tak samo jak brak procedur w dużej instytucji finansowej.

P: Ile czasu zajmuje wdrożenie systemu AML od podstaw i ile to kosztuje?

O: Wdrożenie podstawowego systemu AML w firmie niefinansowej – obejmującego procedurę, ocenę ryzyka, szablony weryfikacji klientów i szkolenie pracowników – zajmuje zwykle od 4 do 8 tygodni. Koszt zewnętrznego doradztwa prawnego w tym zakresie wynosi zazwyczaj od kilku do kilkunastu tysięcy złotych, w zależności od złożoności działalności i liczby jurysdykcji. Koszt braku systemu – kara do 5 000 000 EUR – wielokrotnie przewyższa inwestycję w compliance.

P: Czy wpis do CRBR zastępuje obowiązek samodzielnej weryfikacji beneficjenta rzeczywistego przez instytucję obowiązaną?

O: Nie. Centralny Rejestr Beneficjentów Rzeczywistych jest punktem wyjścia, a nie końcem weryfikacji. Ustawa AML wprost wymaga, aby instytucja obowiązana zidentyfikowała beneficjenta rzeczywistego przy użyciu własnych środków i odnotowała wszelkie rozbieżności między danymi klienta a wpisem w rejestrze. Rozbieżności należy zgłosić do GIIF. Oparcie się wyłącznie na danych z CRBR bez własnej weryfikacji stanowi naruszenie ustawy i może być podstawą wszczęcia postępowania administracyjnego.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance AML, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autorka: Anna Witkowska – Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.

Data publikacji: 22.03.2026

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.