Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu

Przewodnik dla przedsiębiorców i inwestorów zagranicznych | ATL Law 2026

Znaczenie regulacji AML/KYC dla działalności gospodarczej w Polsce

Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu stanowi jeden z najważniejszych obszarów regulacyjnych, z którymi muszą zmierzyć się przedsiębiorcy prowadzący działalność na terytorium Polski. Obowiązki wynikające z reżimu AML (ang. Anti-Money Laundering) i KYC (ang. Know Your Customer) dotykają szerokiego kręgu podmiotów – od instytucji finansowych, przez kancelarie prawne i doradcze, po podmioty świadczące usługi w zakresie obrotu nieruchomościami czy kryptoaktywami. Nieprzestrzeganie wymogów w tym zakresie naraża przedsiębiorców na surowe sankcje administracyjne i karne, a w przypadku podmiotów regulowanych – na ryzyko utraty zezwoleń niezbędnych do prowadzenia działalności.

Polska implementacja unijnych regulacji AML opiera się przede wszystkim na ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML), która wdrożyła do polskiego porządku prawnego wymogi IV Dyrektywy AML (Dyrektywa 2015/849/UE) oraz jej nowelizacji wynikających z V Dyrektywy AML (Dyrektywa 2018/843/UE). Ustawa była następnie wielokrotnie nowelizowana, przy czym szczególnie istotne zmiany weszły w życie na przestrzeni lat 2021–2024, dostosowując polskie prawo do ewoluujących standardów FATF (Financial Action Task Force) oraz wymogów wynikających z pakietu legislacyjnego AML/CFT przyjętego przez Unię Europejską.

Dla inwestorów zagranicznych wchodzących na rynek polski, a w szczególności dla podmiotów planujących prowadzenie działalności w sektorach objętych reżimem AML, znajomość polskich wymogów w zakresie KYC/AML jest warunkiem koniecznym bezpiecznego i zgodnego z prawem funkcjonowania. Niniejszy artykuł ma na celu kompleksowe omówienie kluczowych obowiązków, procedur i ryzyk prawnych związanych z reżimem AML/KYC w Polsce, ze szczególnym uwzględnieniem perspektywy podmiotów zagranicznych.

Ramy prawne regulacji AML/KYC w Polsce

Ustawa AML i jej kluczowe założenia

Ustawa AML z 2018 r., wielokrotnie nowelizowana, tworzy kompleksową podstawę prawną dla systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w Polsce. Jej architektura opiera się na kilku fundamentalnych filarach: zdefiniowaniu katalogu instytucji obowiązanych, nałożeniu na nie rozbudowanych obowiązków w zakresie stosowania środków bezpieczeństwa finansowego, wprowadzeniu wymogów dotyczących identyfikacji beneficjentów rzeczywistych, ustanowieniu obowiązku zgłaszania transakcji podejrzanych oraz powołaniu wyspecjalizowanych organów odpowiedzialnych za nadzór i egzekucję przepisów.

Ustawa opiera się na podejściu opartym na ocenie ryzyka (risk-based approach), co oznacza, że intensywność stosowanych środków bezpieczeństwa finansowego powinna być proporcjonalna do zidentyfikowanego poziomu ryzyka prania pieniędzy i finansowania terroryzmu związanego z konkretnym klientem, rodzajem stosunków gospodarczych lub transakcją. Takie podejście, będące standardem wypracowanym przez FATF i przyjętym w unijnych dyrektywach AML, nakłada na instytucje obowiązane znaczną odpowiedzialność za prawidłową identyfikację, ocenę i zarządzanie ryzykiem.

Rola organów nadzorczych – GIIF i sektorowe organy nadzoru

Centralną instytucją polskiego systemu AML jest Generalny Inspektor Informacji Finansowej (GIIF), pełniący funkcję krajowej jednostki wywiadu finansowego (Financial Intelligence Unit – FIU). GIIF działa w strukturze Ministerstwa Finansów i jest odpowiedzialny za przyjmowanie i analizę zawiadomień o transakcjach podejrzanych oraz transferach gotówkowych, współpracę z zagranicznymi jednostkami wywiadu finansowego, prowadzenie rejestrów wymaganych przepisami ustawy AML, jak również za wydawanie interpretacji i wytycznych dotyczących stosowania przepisów AML.

Obok GIIF kluczową rolę w systemie nadzoru nad przestrzeganiem obowiązków AML odgrywają sektorowe organy nadzoru. Komisja Nadzoru Finansowego (KNF) sprawuje nadzór nad instytucjami finansowymi, bankami, zakładami ubezpieczeń, domami maklerskimi i innymi podmiotami rynku finansowego. Krajowa Izba Radców Prawnych, Naczelna Rada Adwokacka oraz Krajowa Rada Notarialna prowadzą nadzór nad prawnymi zawodami zaufania publicznego. Generalny Inspektor Informacji Finansowej bezpośrednio nadzoruje natomiast m.in. przedsiębiorców prowadzących działalność w zakresie usług walutowych czy obrotu kryptoaktywami, którzy nie podlegają innym organom sektorowym.

Pakiet AML Unii Europejskiej – perspektywa zmian 2025-2026

Polskie prawo AML podlega istotnym zmianom w związku z przyjęciem przez Unię Europejską nowego pakietu legislacyjnego AML/CFT, na który składają się rozporządzenie AML (AMLR), VI Dyrektywa AML (AMLD6) oraz rozporządzenie ustanawiające Urząd ds. Przeciwdziałania Praniu Pieniędzy (AMLA – Anti-Money Laundering Authority) z siedzibą we Frankfurcie. Rozporządzenie AML, które wejdzie w życie bezpośrednio w państwach członkowskich bez potrzeby implementacji, ujednolici katalog instytucji obowiązanych, zaostrzy wymogi w zakresie środków bezpieczeństwa finansowego oraz rozszerzy obowiązki dotyczące identyfikacji beneficjentów rzeczywistych. Przedsiębiorcy prowadzący działalność na terytorium Polski powinni monitorować postęp prac legislacyjnych i przygotowywać się do dostosowania wewnętrznych procedur do nowych wymogów, które zaczną obowiązywać stopniowo od 2027 roku.

Katalog instytucji obowiązanych

Podmioty objęte reżimem AML w Polsce

Ustawa AML wskazuje zamknięty katalog instytucji obowiązanych, nakładając na nie rozbudowane wymogi proceduralne i dokumentacyjne. Katalog ten jest jednak na tyle szeroki, że obejmuje bardzo zróżnicowane kategorie podmiotów, w tym instytucje finansowe takie jak banki, krajowe instytucje płatnicze, zakłady ubezpieczeń i towarzystwa funduszy inwestycyjnych oraz inne podmioty rynku finansowego. Obowiązki AML dotyczą również podmiotów z sektora nieruchomości, to znaczy pośredników w obrocie nieruchomościami oraz podmiotów przyjmujących płatności gotówkowe o wartości co najmniej 10 000 euro. Instytucje obowiązane to także doradcy podatkowi, biegli rewidenci i biura rachunkowe świadczące określone usługi dla klientów, a ponadto notariusze oraz prawnicy wykonujący czynności objęte przepisami ustawy.

Katalog instytucji obowiązanych obejmuje ponadto podmioty prowadzące działalność w zakresie usług walutowych, w tym kantory stacjonarne i platformy wymiany walut. Ustawa AML obejmuje swoim zakresem przedsiębiorców przyjmujących lub dokonujących płatności gotówkowych o wartości równej lub wyższej niż 10 000 euro, bez względu na charakter prowadzonej działalności. Istotnym rozszerzeniem katalogu było objęcie reżimem AML podmiotów świadczących usługi w zakresie kryptoaktywów – dostawców usług w zakresie wymiany kryptowalut oraz przechowywania kluczy kryptograficznych.

Ocena statusu instytucji obowiązanej dla podmiotów zagranicznych

Inwestorzy zagraniczni prowadzący działalność w Polsce za pośrednictwem spółek kapitałowych, oddziałów lub przedstawicielstw muszą przeprowadzić staranne badanie, czy ich działalność kwalifikuje ich jako instytucje obowiązane w rozumieniu polskiej ustawy AML. Status instytucji obowiązanej determinuje bardzo konkretne obowiązki proceduralne i dokumentacyjne, których niewykonanie skutkuje ryzykiem nałożenia sankcji administracyjnych.

Ocena statusu instytucji obowiązanej powinna uwzględniać charakter świadczonych usług, formę prawną prowadzonej działalności, zakres terytorialny obsługiwanych klientów oraz rodzaj przeprowadzanych transakcji. Warto zaznaczyć, że nawet podmioty, które nie kwalifikują się jako instytucje obowiązane, mogą podlegać obowiązkom AML wynikającym z regulacji sektorowych lub wymogów kontrahentów będących instytucjami obowiązanymi, na przykład wymogów bankowych przy otwieraniu rachunków firmowych.

Środki bezpieczeństwa finansowego i procedury KYC

Istota i zakres środków bezpieczeństwa finansowego

Środki bezpieczeństwa finansowego (ŚBF) stanowią podstawowy mechanizm weryfikacji tożsamości klientów i oceny ryzyka AML. Ustawa AML wyróżnia trzy poziomy ŚBF, których zastosowanie jest uzależnione od poziomu zidentyfikowanego ryzyka: uproszczone środki bezpieczeństwa finansowego (UŚBF), standardowe środki bezpieczeństwa finansowego oraz wzmożone środki bezpieczeństwa finansowego (WŚBF). Dobór właściwego poziomu ŚBF musi być każdorazowo uzasadniony oceną ryzyka i odpowiednio udokumentowany.

Standardowe środki bezpieczeństwa finansowego obejmują cztery elementy składowe. Po pierwsze, identyfikację klienta i weryfikację jego tożsamości na podstawie dokumentów lub informacji pozyskanych z wiarygodnych źródeł niezależnych. Po drugie, identyfikację beneficjenta rzeczywistego i podejmowanie uzasadnionych czynności w celu jego weryfikacji. Po trzecie, ocenę stosunków gospodarczych i w razie potrzeby uzyskanie informacji na temat celu i zamierzonego charakteru tych stosunków. Po czwarte, bieżące monitorowanie stosunków gospodarczych klienta, w tym badanie transakcji przeprowadzanych w ramach tych stosunków.

Identyfikacja i weryfikacja tożsamości klientów

Procedura KYC – Know Your Customer – stanowi praktyczną realizację obowiązku identyfikacji i weryfikacji tożsamości klientów. W przypadku osób fizycznych weryfikacja tożsamości polega na uzyskaniu danych identyfikacyjnych (imię, nazwisko, obywatelstwo, data i miejsce urodzenia, numer PESEL lub data urodzenia, seria i numer dokumentu stwierdzającego tożsamość) oraz ich weryfikacji na podstawie dokumentu tożsamości lub danych z wiarygodnych, niezależnych źródeł. Ustawa AML dopuszcza przeprowadzenie weryfikacji tożsamości w drodze zdalnej, z zastosowaniem kwalifikowanego certyfikatu podpisu elektronicznego, profilu zaufanego lub w drodze wideoidentyfikacji – co ma istotne znaczenie dla instytucji obsługujących klientów zagranicznych.

Identyfikacja podmiotów niebędących osobami fizycznymi, a więc spółek, fundacji, stowarzyszeń i innych jednostek organizacyjnych, wymaga ustalenia m.in. nazwy (firmy), formy organizacyjnej, siedziby oraz adresu, numeru identyfikacji podatkowej (NIP) lub analogicznego numeru nadanego w państwie rejestracji, a także danych dotyczących beneficjenta rzeczywistego. Dla podmiotów zagranicznych konieczne jest uzyskanie dokumentów rejestrowych z kraju siedziby, co wymaga nierzadko angażowania zagranicznych korespondentów lub korzystania z rejestrów online dostępnych w innych państwach członkowskich UE.

Wzmożone środki bezpieczeństwa finansowego

Wzmożone środki bezpieczeństwa finansowego (WŚBF) mają zastosowanie w przypadkach zidentyfikowania wyższego poziomu ryzyka. Ustawa AML enumeratywnie wskazuje sytuacje, w których zastosowanie WŚBF jest obligatoryjne: nawiązywanie stosunków gospodarczych lub przeprowadzanie transakcji z klientem będącym osobą zajmującą eksponowane stanowisko polityczne (PEP – Politically Exposed Person) lub jej bliskim współpracownikiem; transakcje z krajami trzecimi wysokiego ryzyka wskazanymi przez Komisję Europejską; transakcje, których celem lub skutkiem jest ukrycie tożsamości klienta lub beneficjenta rzeczywistego; a także każdy przypadek, w którym instytucja obowiązana zidentyfikuje wyższy poziom ryzyka w swojej wewnętrznej ocenie.

W ramach WŚBF instytucja obowiązana powinna uzyskać dodatkowe informacje dotyczące klienta i beneficjenta rzeczywistego, w tym informacje na temat źródła majątku i źródła środków wykorzystywanych w transakcji, przeprowadzić wzmożoną bieżącą kontrolę stosunków gospodarczych, a w przypadku PEP – uzyskać zgodę kadry zarządzającej wyższego szczebla na nawiązanie lub kontynuację stosunków gospodarczych. Wymogi te są szczególnie istotne dla instytucji finansowych obsługujących klientów o profilu politycznym lub powiązanych z jurysdykcjami o podwyższonym ryzyku.

Uproszczone środki bezpieczeństwa finansowego

Uproszczone środki bezpieczeństwa finansowego mogą być zastosowane wyłącznie wtedy, gdy instytucja obowiązana zidentyfikuje niższy poziom ryzyka prania pieniędzy i finansowania terroryzmu w odniesieniu do konkretnych klientów, produktów, usług lub kanałów dystrybucji. Ustawa AML zawiera przykładowy katalog czynników ryzyka niższego, które mogą uzasadniać zastosowanie UŚBF, jednak decyzja w tym zakresie zawsze musi być oparta na własnej ocenie ryzyka instytucji obowiązanej i odpowiednio udokumentowana. Stosowanie UŚBF nie oznacza całkowitego odstąpienia od realizacji ŚBF – instytucja obowiązana nadal zobowiązana jest do identyfikacji klienta i beneficjenta rzeczywistego, lecz zakres i intensywność podejmowanych czynności może być ograniczony.

Beneficjent rzeczywisty – identyfikacja i Centralny Rejestr

Pojęcie beneficjenta rzeczywistego

Prawidłowa identyfikacja beneficjenta rzeczywistego (ang. Ultimate Beneficial Owner – UBO) stanowi jeden z kluczowych i zarazem najtrudniejszych praktycznie obowiązków wynikających z reżimu AML. Ustawa AML definiuje beneficjenta rzeczywistego jako każdą osobę fizyczną sprawującą bezpośrednio lub pośrednio kontrolę nad klientem poprzez posiadane uprawnienia, wynikające z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez klienta.

W przypadku osób prawnych beneficjentem rzeczywistym jest każda osoba fizyczna posiadająca bezpośrednio lub pośrednio ponad 25% ogólnej liczby głosów w organie stanowiącym klienta lub ponad 25% udziałów lub akcji, lub udziałów w zysku klienta. Jeżeli identyfikacja beneficjenta rzeczywistego według kryteriów własnościowych lub głosowych nie jest możliwa lub nie prowadzi do jednoznacznych wyników, należy ustalić osoby sprawujące kontrolę nad osobą prawną poprzez inne uprawnienia faktyczne lub prawne. W ostateczności, gdy żadna osoba fizyczna nie zostanie zidentyfikowana jako beneficjent rzeczywisty, za beneficjenta rzeczywistego uznaje się osobę fizyczną zajmującą wyższe stanowisko kierownicze w klientach.

Centralny Rejestr Beneficjentów Rzeczywistych (CRBR)

Polska ustanowiła Centralny Rejestr Beneficjentów Rzeczywistych (CRBR), będący jawnym rejestrem prowadzonym przez Ministerstwo Finansów, do którego obowiązkowo wpisywane są informacje o beneficjentach rzeczywistych podmiotów wpisanych do Krajowego Rejestru Sądowego. Obowiązek dokonania wpisu do CRBR ciąży na spółkach jawnych, komandytowych, komandytowo-akcyjnych, spółkach z ograniczoną odpowiedzialnością, spółkach akcyjnych (z wyjątkiem spółek publicznych), prostych spółkach akcyjnych, spółkach partnerskich, fundacjach oraz stowarzyszeniach podlegających wpisowi do KRS.

Wpisu do CRBR dokonuje się za pośrednictwem systemu teleinformatycznego Ministra Finansów i jest on bezpłatny. Termin na dokonanie wpisu po rejestracji spółki w KRS wynosi 14 dni, a wszelkie zmiany informacji podlegają aktualizacji w terminie 14 dni od zaistnienia zmiany. Odpowiedzialność za prawidłowość danych wpisanych do CRBR spoczywa na podmiocie zobowiązanym do dokonania zgłoszenia, a za niedopełnienie obowiązku grozi kara pieniężna do wysokości 1 000 000 złotych. Dla inwestorów zagranicznych tworzących struktury spółkowe w Polsce, aktualizacja danych CRBR przy każdej restrukturyzacji grupy kapitałowej jest obowiązkiem o fundamentalnym znaczeniu praktycznym.

Weryfikacja beneficjenta rzeczywistego przez instytucje obowiązane

Instytucje obowiązane mają obowiązek weryfikacji informacji o beneficjentach rzeczywistych klientów m.in. poprzez odwołanie się do danych zawartych w CRBR. Jednocześnie przepisy nie zwalniają instytucji obowiązanej z przeprowadzenia własnej oceny i weryfikacji – dane w CRBR stanowią jedno ze źródeł informacji, lecz nie są wyłączną podstawą identyfikacji beneficjenta rzeczywistego. W przypadku rozbieżności między danymi zadeklarowanymi przez klienta a danymi ujawnionymi w CRBR instytucja obowiązana jest zobowiązana do udokumentowania tych rozbieżności i w uzasadnionych przypadkach do zawiadomienia Ministerstwa Finansów.

Ocena ryzyka – poziom instytucji i poziom klienta

Ocena ryzyka instytucji obowiązanej

Każda instytucja obowiązana zobowiązana jest do opracowania, wdrożenia i regularnego aktualizowania oceny ryzyka prania pieniędzy i finansowania terroryzmu związanego z prowadzoną działalnością. Ocena ta, zwana niekiedy oceną instytucjonalną lub oceną sektorową, powinna uwzględniać m.in. typy klientów, z którymi instytucja nawiązuje stosunki gospodarcze, produkty i usługi oferowane przez instytucję oraz kanały ich dystrybucji, a także obszary geograficzne prowadzonej działalności. Ocena ryzyka powinna być sporządzona w formie dokumentu uwzględniającego wyniki krajowej oceny ryzyka opracowywanej przez GIIF oraz unijnej oceny ryzyka opracowywanej przez Komisję Europejską.

Krajowa ocena ryzyka prania pieniędzy i finansowania terroryzmu jest dokumentem opracowywanym przez GIIF we współpracy z właściwymi organami nadzoru. Identyfikuje ona sektory i produkty szczególnie narażone na ryzyko AML w Polsce, wskazuje na typowe scenariusze i metody prania pieniędzy oraz określa słabości systemu zapobiegania. Instytucje obowiązane powinny regularnie zapoznawać się z aktualizacjami krajowej oceny ryzyka i uwzględniać jej wnioski w swojej własnej ocenie instytucjonalnej.

Ocena ryzyka klienta i transakcji

Na poziomie relacji z konkretnym klientem instytucja obowiązana jest zobowiązana do przeprowadzenia oceny ryzyka związanego z danym klientem i nawiązywanymi stosunkami gospodarczymi. Ocena ta powinna uwzględniać czynniki ryzyka związane z klientem, takie jak jego status PEP, kraj pochodzenia, charakter prowadzonej działalności, strukturę właścicielską oraz historię relacji z instytucją. Ocena ryzyka klienta powinna być dokumentowana i aktualizowana przez cały okres trwania stosunków gospodarczych, zwłaszcza w przypadku pojawienia się okoliczności sugerujących zmianę profilu ryzyka.

Katalog czynników ryzyka zawiera zarówno czynniki ryzyka niższego, jak i czynniki ryzyka wyższego. Do czynników ryzyka wyższego ustawa AML zalicza m.in. klientów będących PEP lub ich bliskimi współpracownikami, stosunki gospodarcze lub transakcje związane z państwami trzecimi wysokiego ryzyka, transakcje o nieuzasadnionym celu lub skomplikowanej strukturze, podmioty z branż o historycznie wysokim ryzyku AML (handel bronią, handel dziełami sztuki, obrót nieruchomościami z uwagi na skalę transakcji), a także klientów, którzy nie mogą być obecni przy nawiązywaniu stosunków.

Obowiązki sprawozdawcze i zgłoszenia do GIIF

Zawiadomienia o transakcjach podejrzanych

Fundamentalnym obowiązkiem sprawozdawczym instytucji obowiązanych jest niezwłoczne zawiadamianie GIIF o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu. Zawiadomienie powinno być sporządzone w formie określonej przez przepisy wykonawcze i przekazane za pośrednictwem systemu teleinformatycznego GIIF. Istotne jest, że obowiązek zawiadomienia jest niezależny od woli i intencji klienta – instytucja obowiązana ma obowiązek raportowania przy zaistnieniu uzasadnionych przesłanek, bez konieczności posiadania dowodów wskazujących na faktyczne popełnienie przestępstwa.

Ustawa AML zawiera zakaz ujawniania klientowi lub osobom trzecim informacji o złożonym zawiadomieniu do GIIF – zakaz ten, określany mianem tipping off, służy zachowaniu tajemnicy operacyjnej i nienaruszaniu toku ewentualnych czynności wyjaśniających prowadzonych przez organy ścigania. Naruszenie zakazu tipping off jest przestępstwem zagrożonym karą pozbawienia wolności. Instytucje obowiązane powinny zatem wdrożyć wewnętrzne procedury postępowania z informacją o złożonych zawiadomieniach, ograniczające dostęp do tej informacji wyłącznie do osób niezbędnych.

Rejestracja transakcji ponadprogowych

Instytucje obowiązane zobowiązane są do rejestrowania transakcji ponadprogowych, to znaczy transakcji gotówkowych o wartości równej lub przekraczającej 15 000 euro, lub kilku operacji gotówkowych, o ile okoliczności wskazują na to, że są one ze sobą powiązane i łącznie osiągają próg 15 000 euro. Obowiązek rejestracji dotyczy wszystkich takich transakcji, niezależnie od oceny ryzyka związanego z klientem lub transakcją. Dane dotyczące transakcji ponadprogowych muszą być przechowywane przez instytucję obowiązaną przez 5 lat i udostępniane na żądanie GIIF lub innych uprawnionych organów.

Wstrzymanie transakcji i blokada rachunku

Instytucja obowiązana ma prawo i obowiązek wstrzymania transakcji lub blokady rachunku w przypadku, gdy nabrała uzasadnionych podejrzeń, że przeprowadzana transakcja lub posiadane środki mają związek z praniem pieniędzy lub finansowaniem terroryzmu. Wstrzymanie transakcji następuje na czas niezbędny do uzyskania rozstrzygnięcia GIIF, który może wydać postanowienie o wstrzymaniu transakcji lub blokadzie rachunku na okres do 96 godzin. W przypadkach, gdy zachodzi uzasadnione podejrzenie popełnienia przestępstwa prania pieniędzy, GIIF może wnioskować do prokuratora o zastosowanie dłuższego środka zabezpieczającego.

Wewnętrzna procedura AML – obowiązek opracowania i wdrożenia

Elementy obowiązkowej procedury wewnętrznej

Każda instytucja obowiązana jest zobowiązana do opracowania i wdrożenia wewnętrznej procedury w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Procedura ta powinna odpowiadać specyfice prowadzonej działalności i zidentyfikowanemu poziomowi ryzyka. Jej minimalna treść obejmuje określenie czynności lub działań podejmowanych w celu ograniczenia ryzyka prania pieniędzy i finansowania terroryzmu, zasady stosowania środków bezpieczyństwa finansowego, zasady dokumentowania oceny ryzyka i stosowanych ŚBF, a także zasady przechowywania dokumentów i informacji.

Procedura musi ponadto regulować zasady zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów AML do wyznaczonego pracownika lub osoby zajmującej wyższe stanowisko kierownicze, zasady ochrony pracowników dokonujących takich zgłoszeń oraz zasady wykonywania obowiązków związanych z zawiadamianiem GIIF. Instytucja obowiązana powinna wyznaczyć pracownika wyższego szczebla odpowiedzialnego za wdrożenie procedury AML – tzw. Compliance Officer lub AML Officer – a informacje o jego wyznaczeniu powinny zostać przekazane do właściwego organu nadzoru.

Szkolenia pracowników w zakresie AML

Ustawa AML nakłada na instytucje obowiązane obowiązek zapewnienia pracownikom regularnych szkoleń z zakresu przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Szkolenia powinny obejmować wiedzę na temat obowiązujących przepisów, identyfikacji transakcji podejrzanych, procedur raportowania oraz odpowiedzialności za naruszenie przepisów AML. Regularność i tematyka szkoleń powinna być dostosowana do rodzaju zajmowanego stanowiska i zakresu obowiązków pracownika. Dokumentacja przeprowadzonych szkoleń stanowi element ewidencji wymaganej przez przepisy i może być weryfikowana w toku kontroli.

Anonimowy kanał zgłaszania naruszeń

Instytucje obowiązane spełniające kryteria zatrudnienia określone w przepisach mają obowiązek wdrożenia anonimowego kanału zgłaszania naruszeń przepisów AML przez pracowników i inne osoby, które w ramach swojej aktywności zawodowej mają kontakt z instytucją. Kanał ten powinien gwarantować poufność tożsamości osoby zgłaszającej i zapewniać ochronę przed działaniami odwetowymi ze strony pracodawcy. Przepisy w tym zakresie korespondują z regulacjami dotyczącymi ochrony sygnalistów, wynikającymi z implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937.

Sankcje za naruszenie przepisów AML – odpowiedzialność administracyjna i karna

Sankcje administracyjne

Ustawa AML przewiduje rozbudowany katalog sankcji administracyjnych, nakładanych przez właściwe organy nadzoru za naruszenie przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Do najpoważniejszych sankcji należą: kara pieniężna do wysokości dwukrotności korzyści osiągniętej przez instytucję obowiązaną w wyniku naruszenia przepisów lub – jeżeli nie jest możliwe ustalenie tej kwoty – do wysokości 1 000 000 euro; dla instytucji finansowych i kredytowych kara pieniężna może wynieść nawet do 10% rocznych przychodów wykazanych w ostatnim zatwierdzonym sprawozdaniu finansowym lub równowartość 5 000 000 euro – stosowana jest wyższa z tych kwot.

Poza karami pieniężnymi organy nadzoru dysponują innymi instrumentami sankcyjnymi, w tym: cofnięciem zezwolenia na prowadzenie działalności regulowanej, zakazem pełnienia funkcji kierowniczych przez osoby odpowiedzialne za naruszenie, publicznym ogłoszeniem informacji o podmiocie i charakterze naruszenia, a także nakazem zaprzestania określonych działań. Praktyka organów nadzoru, a w szczególności KNF w odniesieniu do instytucji finansowych, wskazuje na rosnącą aktywność w zakresie egzekucji obowiązków AML i gotowość do nakładania wysokich kar za stwierdzone nieprawidłowości.

Odpowiedzialność karna

Ustawa AML w połączeniu z przepisami Kodeksu karnego tworzy system odpowiedzialności karnej za przestępstwa związane z praniem pieniędzy i finansowaniem terroryzmu. Przestępstwo prania pieniędzy zagrożone jest karą pozbawienia wolności od 6 miesięcy do 8 lat, a w przypadku działania w zorganizowanej grupie przestępczej lub mienia znacznej wartości – karą pozbawienia wolności od roku do 10 lat. Odpowiedzialność karną ponoszą nie tylko sprawcy główni przestępstwa bazowego, ale również osoby naruszające przepisy AML – np. poprzez umożliwianie przeprowadzenia transakcji podejrzanej lub naruszenie zakazu tipping off.

Specyfika regulacji AML dla inwestorów zagranicznych w Polsce

Wymogi przy zakładaniu spółki i otwieraniu rachunków bankowych

Inwestorzy zagraniczni zakładający spółki w Polsce muszą liczyć się z wymogami KYC nakładanymi przez banki i inne instytucje finansowe zarówno w momencie zakładania rachunków bankowych, jak i w trakcie bieżącej współpracy. Procedury KYC stosowane przez polskie banki wobec nowo otwieranych podmiotów z udziałem zagranicznym są z reguły bardziej rozbudowane niż w przypadku podmiotów krajowych. Instytucje bankowe wymagają zazwyczaj przedstawienia pełnej dokumentacji korporacyjnej spółki, dowodów tożsamości beneficjentów rzeczywistych, informacji na temat źródeł finansowania działalności oraz opisów planowanej działalności operacyjnej.

Szczególną uwagę poświęca się strukturom z udziałem podmiotów zarejestrowanych w jurysdykcjach wskazanych na listach niekooperatywnych terytoriów lub państw trzecich wysokiego ryzyka, o których mowa w przepisach AML. Obecność podmiotów zarejestrowanych w takich jurysdykcjach w strukturze właścicielskiej polskiej spółki może skutkować odmową otwarcia rachunku lub nałożeniem wzmożonych środków bezpieczeństwa finansowego przez bank. Warto zatem, aby inwestorzy zagraniczni planujący wejście na rynek polski skonsultowali planowaną strukturę właścicielską z doradcą prawnym przed jej implementacją.

Grupy kapitałowe – standardy grupowe a polskie wymogi

Dla grup kapitałowych o strukturze międzynarodowej szczególnym wyzwaniem jest harmonizacja wewnętrznych standardów AML/KYC obowiązujących w grupie z wymogami wynikającymi z polskiej ustawy AML. Wymogi dotyczące instytucji obowiązanych należących do grup kapitałowych obejmują obowiązek stosowania grupowych zasad i procedur, o ile są one przynajmniej tak samo rygorystyczne jak polskie przepisy AML. Gdy standardy grupowe są mniej restrykcyjne niż polskie wymogi, polska spółka jest zobowiązana do stosowania polskich przepisów.

Zagadnienie przepływu informacji w ramach grupy kapitałowej dla celów AML jest szczególnie istotne. Polska ustawa AML dopuszcza wymianę informacji o klientach, transakcjach i zawiadomieniach dotyczących transakcji podejrzanych między podmiotami należącymi do tej samej grupy kapitałowej, pod warunkiem spełnienia określonych wymogów. Jednocześnie przepisy o ochronie danych osobowych (RODO) nakładają dodatkowe wymagania na transgraniczny transfer danych w ramach grupy, co wymaga opracowania odpowiednich ram prawnych dla takiego transferu.

Podmioty z sektora kryptoaktywów

Szczególnym obszarem, w którym inwestorzy zagraniczni powinni zwrócić szczególną uwagę na polskie regulacje AML, jest sektor kryptoaktywów. Polskie prawo nałożyło na dostawców usług w zakresie walut wirtualnych (VASP – Virtual Asset Service Providers) obowiązki rejestracyjne oraz pełen reżim AML, analogiczny do obowiązków instytucji finansowych. Rejestr VASP prowadzony jest przez Dyrektora Izby Administracji Skarbowej w Katowicach, a brak wpisu do rejestru przy jednoczesnym świadczeniu usług na terytorium Polski jest przestępstwem. Dla podmiotów zagranicznych planujących świadczenie usług w zakresie kryptoaktywów dla polskich klientów istotna jest analiza, czy ich działalność kwalifikuje się do objęcia wymogiem rejestracji w Polsce.

Podsumowanie i rekomendacje praktyczne

Reżim AML/KYC w Polsce tworzy złożony i dynamicznie rozwijający się system obowiązków regulacyjnych, którego naruszenie naraża przedsiębiorców na poważne konsekwencje prawne i reputacyjne. Skuteczna realizacja obowiązków AML wymaga podejścia systemowego, opartego na rzetelnej ocenie ryzyka, wdrożeniu odpowiednich procedur wewnętrznych i zapewnieniu regularnych szkoleń pracownikom.

Dla inwestorów zagranicznych wchodzących na rynek polski pierwszorzędnym krokiem powinna być rzetelna analiza, czy planowana działalność kwalifikuje ich jako instytucję obowiązaną w rozumieniu polskiej ustawy AML. W przypadku odpowiedzi twierdzącej konieczne jest opracowanie kompleksowej dokumentacji AML, obejmującej ocenę ryzyka instytucji, procedury KYC i wewnętrzne wytyczne dotyczące postępowania z podejrzanymi transakcjami, a także dokonanie niezbędnych rejestracji i zgłoszeń wymaganych przepisami. Równie istotne jest zapewnienie bieżącej aktualizacji danych w CRBR przy każdej zmianie struktury właścicielskiej.

Z perspektywy strategicznej, budowanie kultury compliance AML w organizacji, poprzez regularne szkolenia pracowników, wdrożenie narzędzi technologicznych wspierających monitorowanie transakcji i weryfikację klientów (RegTech), a także utrzymywanie stałego dialogu z organami nadzoru, jest inwestycją, która chroni przedsiębiorców przed ryzykiem sankcji oraz buduje zaufanie zarówno klientów, jak i partnerów biznesowych. Profesjonalne doradztwo prawne w zakresie AML/KYC, uwzględniające aktualny stan regulacji oraz praktykę organów nadzoru, jest elementem niezbędnym w każdej organizacji działającej na polskim rynku w reżimie instytucji obowiązanej.

O KANCELARII ATL LAW

ATL Law to kancelaria prawna specjalizująca się w kompleksowej obsłudze inwestorów zagranicznych na rynku polskim. Oferujemy wielojęzyczne doradztwo (język polski, angielski, niemiecki) w zakresie prawa podatkowego, korporacyjnego, cen transferowych oraz prawa pracy. Naszym klientom zapewniamy wsparcie na każdym etapie wejścia na rynek polski – od wyboru optymalnej struktury prawnej, przez bieżącą obsługę compliance, po reprezentację w postępowaniach podatkowych i sądowych. Posiadamy doświadczenie we wdrażaniu kompleksowych procedur AML/KYC, w tym w przygotowywaniu ocen ryzyka, procedur wewnętrznych oraz reprezentacji przed GIIF i sektorowymi organami nadzoru.

office@atl-law.pl