29 MAJA 2025
Jak skutecznie przeprowadzać weryfikację klienta i monitorowanie transakcji zgodnie z ustawą AML
Spis treści:
- Kiedy przeprowadzać aktualizację danych klienta
- Pakiet AML/CFT 2024
- 8 kluczowych elementów bieżącego monitorowania
- Kluczowe terminy prawne
- Konsekwencje nieprzestrzegania
- FAQ - najczęściej zadawane pytania
Jakie konkretnie działania należy tak naprawdę podjąć w ramach bieżącego monitorowania stosunków gospodarczych zgodnie z przepisami ustawy o przeciwdziałaniu praniu pieniędzy?
Bieżące monitorowanie stosunków gospodarczych to ciągły proces weryfikacji klienta, monitorowania transakcji i aktualizacji danych zgodnie z ustawą AML. Obejmuje 8 kluczowych elementów: weryfikację profilu klienta, monitoring transakcji, screening PEP i list sankcyjnych oraz regularne raportowanie.
Pranie pieniędzy i finansowanie terroryzmu to zagrożenia, które stanowią poważne wyzwania dla światowej gospodarki oraz stabilności finansowej. W odpowiedzi na te wyzwania, wiele krajów, w tym Polska, wprowadziło odpowiednie regulacje. W Polsce jest to ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML).
Ta ustawa nakłada na podmioty obowiązane obowiązek monitorowania stosunków gospodarczych w celu wykrycia i zapobiegania działaniom przestępczym (art. 73 ustawy AML). Kroki, jakie należy podjąć na początku relacji gospodarczych z klientem, są dokładnie opisane, jednak warto się zastanowić, co tak naprawdę oraz kiedy należy zrobić w bieżącym monitorowaniu stosunków gospodarczych zgodnie z wymaganiem regulatora?
Kiedy przeprowadzać aktualizację danych klienta - określenie "kiedy" bywa często najtrudniejszym elementem
Zgodnie z art. 27 ust. 3 ustawy AML, instytucje obowiązane dokonują aktualizacji oceny ryzyka własnego nie rzadziej niż co 2 lata. Dodatkowo, art. 34 ust. 1 pkt 4 nakłada obowiązek bieżącego monitorowania stosunków gospodarczych z klientem. W praktyce aktualizacja danych klienta i informacji o stosunkach gospodarczych powinna być przeprowadzana na bieżąco, w reakcji na określone czynniki inicjujące lub gdy zachodzi taka potrzeba, zgodnie z art. 34 ust. 1 pkt 4 ustawy AML. Okres 2 lat dotyczy wyłącznie aktualizacji oceny ryzyka własnego (art. 27 ust. 3), a nie danych klienta.
Czynnikiem inicjującym może być dowolne zdarzenie, które potencjalnie wpływa na ocenę ryzyka klienta, stanowi istotną zmianę lub znacząco odbiega od oczekiwań i profilu klienta. Przykładowe takie zdarzenia to m.in. zmiana miejsca zamieszkania lub prowadzenia działalności, zmiana beneficjenta rzeczywistego lub skorzystanie z nowego produktu. Warto jednak podkreślić, że ustawa nie definiuje szczegółowo wszystkich czynników inicjujących - pozostawia to do określenia przez wewnętrzne procedury instytucji obowiązanych.
Zgodnie z art. 34 ust. 1 pkt 2 oraz art. 50-52 ustawy AML, instytucje obowiązane mają obowiązek regularnego sprawdzania i aktualizowania informacji o beneficjentach rzeczywistych. Terminy zgłoszeń i aktualizacji w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR) reguluje rozdział 6 ustawy, w tym obowiązek zgłoszenia w terminie 14 dni od wystąpienia zdarzenia powodującego zmianę danych (dotyczy również spółek w organizacji).
Dodatkową analizę należy również przeprowadzić w przypadku pojawienia się zdarzenia w procesie monitorowania transakcji. Analiza ta może doprowadzić do konieczności skontaktowania się z klientem, weryfikacji jego profilu lub oceny zmiany poziomu ryzyka. Zgodnie z art. 35-37 ustawy AML (zdarzenia inicjujące stosowanie środków bezpieczeństwa finansowego) oraz § 43 ust. 4 rozporządzenia w sprawie sposobu wykonywania obowiązków, instytucje muszą reagować na nietypowe transakcje i przeprowadzać dodatkowe weryfikacje. Niemniej jednak decyzja ta nie jest jednoznaczna. Przykładowo, transakcja na znaczną kwotę może wynikać z nawiązania normalnych nowych relacji gospodarczych, otrzymania premii od pracodawcy lub innych zdarzeń, które można uzasadnić. W takich sytuacjach nie jest wymagane aktualizowanie profilu klienta ani przeprowadzenie ponownej oceny ryzyka.
Pojawiają się również sytuacje specjalne, gdzie czynnikiem inicjującym są zewnętrzne zmiany np. zmiany w regulacjach (w tym wewnętrznych) lub zmiana oceny ryzyka dla danego kraju. W przypadku zmian dotyczących krajów wysokiego ryzyka zmiana poziomu ryzyka może dotknąć wielu klientów. Kluczowa jest możliwość identyfikacji klientów, którzy są dotknięci takimi zmianami.
Pakiet AML/CFT 2024
W 2024 roku weszły w życie istotne zmiany w europejskich regulacjach AML/CFT, w tym Rozporządzenie AML (AMLR 2024/1624) oraz szósta dyrektywa przeciwko praniu pieniędzy (AMLD VI). Ważne: Rozporządzenie (UE) 2024/1624 zaczyna obowiązywać od 10 lipca 2027 r., choć weszło w życie 9 lipca 2024 r. Podobnie Dyrektywa (UE) 2024/1640 (AMLD VI) wymaga transpozycji do krajowych porządków prawnych do 10 lipca 2027 r. Nowe przepisy wprowadzają:
- Zwiększone wymogi w zakresie monitorowania transakcji
- Rozszerzone obowiązki raportowe
- Nowe standardy weryfikacji klientów wysokiego ryzyka
- Harmonizację przepisów na poziomie UE
Instytucje obowiązane powinny przygotować się na implementację tych zmian i dostosowanie swoich procedur zgodności (compliance) do nowych wymogów.
8 kluczowych elementów bieżącego monitorowania stosunków gospodarczych AML
Stosowanie środków bezpieczeństwa finansowego nie jest jednorazowym zadaniem, lecz stanowi ciągły proces obejmujący wiele elementów (art. 73 ustawy AML):
1. Weryfikacja profilu klienta i aktualizacja danych
W momencie nawiązania relacji gospodarczych gromadzone są istotne dane zgodnie z art. 49-56 ustawy AML. W bieżącym monitorowaniu kluczowe jest uważne sprawdzanie, czy te informacje uległy zmianie. Modyfikacje mogą dotyczyć istotnych aspektów związanych z klientem, takich jak zmiana pracy, prowadząca do zwiększenia zarobków, zmiana adresu zamieszkania, kraju zamieszkania lub relacji (jak na przykład zawarcie małżeństwa czy zaangażowanie nowego partnera biznesowego).
Przy podmiotach prawnych, poza modyfikacją profilu działalności, może zachodzić konieczność aktualizacji informacji o beneficjentach rzeczywistych lub o nowych lokalizacjach związanych z danym podmiotem (np. adres prowadzenia działalności).
Ważne: W przypadku istotnych zmian danych osobowych klienta (takich jak nazwisko czy obywatelstwo), zgodnie z art. 49 ustawy AML, może być wymagana ponowna identyfikacja i weryfikacja klienta. Szczegółowe zasady dotyczące aktualizacji dokumentów identyfikacyjnych powinny być określone w wewnętrznych procedurach instytucji obowiązanych, zgodnie z wytycznymi GIIF.
2. Weryfikacja stosunków gospodarczych
Klienci mogą korzystać z produktów i usług w sposób niezgodny z ustaleniami, nietypowo je wykorzystywać lub przedwcześnie rozwiązać umowę, np. mimo wystąpienia znacznych kosztów związanych z tym procesem. Podmioty podlegające przepisom prawnym w zakresie przeciwdziałania praniu pieniędzy powinny zachować czujność wobec wszelkich odstępstw. Ponowna weryfikacja informacji o kliencie jest również konieczna w przypadku, gdy klient występuje o nowe produkty lub usługi.
3. Ponowna ocena ryzyka
Wymagana jest regularna weryfikacja i aktualizacja uprzednio dokonanej oceny ryzyka. Taką weryfikację oceny ryzyka dokonuje w momencie wystąpienia czynnika inicjującego lub według ustalonego harmonogramu.
4. Monitorowanie transakcji i raportowanie
Monitorowanie bieżących transakcji stanowi kluczowy element w przeciwdziałaniu praniu pieniędzy (art. 73 ustawy AML). Instytucje obowiązane muszą stale śledzić transakcje swoich klientów w czasie rzeczywistym lub w określonych odstępach czasu. To pozwala na identyfikację nietypowych wzorców transakcyjnych i zdarzeń, które mogą sugerować potencjalne przestępcze działania.
Ważne obowiązki raportowe:
- Raporty transakcji podejrzanych (SAR) - zgodnie z art. 74 ustawy AML, instytucje mają obowiązek zawiadamiania GIIF o podejrzeniu popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu
- Raporty transakcji progowych - art. 72 ustawy AML nakłada obowiązek przekazywania GIIF informacji o transakcjach przekraczających równowartość 15 000 euro w terminie 7 dni od ich dokonania
- Monitorowanie transakcji obejmuje skupienie się na operacjach odbiegających od normy, przekraczających oczekiwane przepływy finansowe, szybkim przepływie środków oraz transakcjach z krajami o wysokim ryzyku
Technologie monitoringu: Nowoczesne instytucje coraz częściej wykorzystują sztuczną inteligencję (AI) i uczenie maszynowe (ML) do real-time monitoringu transakcji, co pozwala na automatyczną identyfikację podejrzanych wzorców i redukcję fałszywych alarmów. Szczegółowe wytyczne dotyczące praktycznych aspektów stosowania środków bezpieczeństwa finansowego zawiera komunikat GIIF nr 22.
5. Bieżący screening PEP i weryfikacja list sankcyjnych
Zgodnie z art. 46 ustawy AML (stosunki gospodarcze z osobą zajmującą eksponowane stanowisko polityczne) oraz art. 117-122 (środki ograniczające), instytucje obowiązane mają obowiązek regularnej weryfikacji, czy klient lub beneficjent rzeczywisty nie znajduje się na listach:
- Osób politycznie eksponowanych (PEP)
- Listach sankcyjnych krajowych i międzynarodowych
- Listach osób i podmiotów związanych z finansowaniem terroryzmu
Uwaga: Lista sankcyjna MSWiA działa na podstawie ustawy sankcyjnej z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835), co stanowi odrębny reżim sankcyjny od art. 117-122 ustawy AML.
Weryfikacja ta stanowi integralny element bieżącego monitorowania i powinna być przeprowadzana nie tylko przy nawiązaniu relacji, ale także okresowo w trakcie jej trwania. Szczególnie ważne jest regularne sprawdzanie aktualnej listy sankcyjnej MSWIA oraz innych list międzynarodowych.
6. Stosowanie dodatkowych działań
W przypadku wystąpienia wątpliwości, nieprawidłowości lub tzw. "czerwonych flag", istotne jest podjęcie dodatkowych kroków zgodnie z art. 35-37 ustawy AML.
Przykładowe "czerwone flagi" wymagające zwiększonej uwagi:
- Podział transakcji na mniejsze kwoty (split payments)
- Transfery do krajów uznawanych za raje podatkowe
- Nietypowe przepływy gotówki niewspółmierne do profilu klienta
- Transakcje z podmiotami z krajów wysokiego ryzyka
- Częste zmiany beneficjentów rzeczywistych
- Transakcje odbywające się tuż przed lub po wprowadzeniu nowych sankcji
- Wykorzystanie kont "śpiących" do nagłych, wysokich transferów
W przypadku klienta indywidualnego może to obejmować analizę historii zatrudnienia, inwestycji czy majątku rodzinnego. Dla klienta biznesowego istotne jest zrozumienie źródła środków wykorzystanych do rozpoczęcia działalności oraz sposobu, w jaki firma się rozwija i generuje zyski.
Weryfikacja źródła majątku przy podwyższonym ryzyku: Zgodnie z art. 43-44 ustawy AML, przy stosowaniu wzmożonych środków bezpieczeństwa finansowego (w tym wobec osób PEP), instytucje obowiązane muszą badać pochodzenie środków (source of funds) i majątku (source of wealth) klienta. Obowiązek uzyskania informacji o źródle środków i majątku wynika wprost z art. 44 ust. 1 pkt 2 ustawy AML.
7. Obowiązek szkoleniowy personelu
Art. 52 ustawy AML nakłada obowiązek przeprowadzania cyklicznych szkoleń personelu z zakresu przeciwdziałania praniu pieniędzy i finansowania terroryzmu. Brak realizacji tego obowiązku może skutkować sankcją określoną w art. 147 pkt 9 ustawy AML.
8. Retencja dokumentacji
Zgodnie z art. 49 ust. 1-2 ustawy AML, instytucje obowiązane mają obowiązek przechowywania dokumentacji przez okres 5 lat liczonych od pierwszego dnia roku następującego po roku zakończenia stosunków gospodarczych z klientem lub od dokonania transakcji. GIIF może żądać przedłużenia tego okresu do kolejnych maksymalnie 5 lat (łącznie 10 lat) w uzasadnionych przypadkach, zgodnie z art. 49 ust. 3 ustawy AML.
Kluczowe terminy prawne w bieżącym monitorowaniu
Obowiązek | Termin | Podstawa prawna |
---|---|---|
Aktualizacja oceny ryzyka | ≤ 24 miesięcy | art. 27 ust. 3 ustawy AML |
Raport progowy (transakcje > 15 000 €) | 7 dni | art. 72 ustawy AML |
Zawiadomienie SAR (transakcje podejrzane) | niezwłocznie, najpóźniej w terminie 2 dni roboczych | art. 74 ustawy AML |
Aktualizacja CRBR (beneficjenci rzeczywiści) | 14 dni | art. 60 ustawy AML |
Konsekwencje nieprzestrzegania obowiązków
Nieprzestrzeganie obowiązków wynikających z ustawy AML może skutkować poważnymi konsekwencjami:
Sankcje administracyjne (art. 147-150 ustawy AML):
- Kary pieniężne do 21 mln zł lub 10% obrotu za poprzedni rok obrotowy
- Możliwość nakładania kar na osoby fizyczne pełniące funkcje kierownicze
- Uprawnienia kontrolne GIIF obejmujące możliwość przeprowadzania kontroli w siedzibie instytucji obowiązanej
Konkretne przykłady kar nakładanych przez GIIF:
- Za brak aktualizacji danych w CRBR: od 10 000 zł do 1 mln zł
- Za nieprawidłowe monitorowanie transakcji: od 50 000 zł do 5 mln zł
- Za brak weryfikacji list sankcyjnych: od 100 000 zł do 10 mln zł
- Za nieprawidłowe raportowanie SAR: od 25 000 zł do 2 mln zł
Ryzyko reputacyjne i biznesowe:
- Utrata licencji lub pozwolenia na prowadzenie działalności
- Szkody wizerunkowe
- Zwiększone koszty compliance
Podsumowanie
Efektywne bieżące monitorowanie stosunków gospodarczych zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy (w szczególności art. 27 ust. 3, art. 34 ust. 1 pkt 4, art. 72-77 ustawy AML) to kluczowy element w ochronie systemu finansowego przed działaniami przestępczymi. Aktualizacja danych klienta i informacji o stosunkach gospodarczych powinna być przeprowadzana na bieżąco, w reakcji na określone czynniki inicjujące lub gdy zachodzi taka potrzeba, zgodnie z przepisami. Identyfikacja klienta, analiza ryzyka, monitorowanie transakcji, raportowanie oraz wykrywanie niezgodności to główne kroki, które instytucje finansowe i inne podmioty zobowiązane powinny podejmować, aby skutecznie przeciwdziałać praniu pieniędzy i finansowaniu terroryzmu.
Zalecenie: Instytucje obowiązane powinny regularnie konsultować swoje procedury z aktualnymi wytycznymi GIIF oraz dostosowywać je do zmieniających się wymogów regulacyjnych, pamiętając o poważnych konsekwencjach finansowych i prawnych wynikających z nieprzestrzegania przepisów.
Najczęściej zadawane pytania o bieżące monitorowanie AML
Jak często należy przeprowadzać weryfikację klienta AML?
Weryfikacja klienta w ramach bieżącego monitorowania stosunków gospodarczych powinna być przeprowadzana na bieżąco, w reakcji na czynniki inicjujące lub według ustalonego harmonogramu. Aktualizacja oceny ryzyka własnego musi następować nie rzadziej niż co 2 lata.
Kiedy instytucje obowiązane muszą stosować środki bezpieczeństwa finansowego?
Środki bezpieczeństwa finansowego muszą być stosowane przy każdej relacji z klientem, ale ich zakres zależy od poziomu ryzyka. Wzmożone środki są wymagane m.in. wobec osób PEP oraz klientów z krajów wysokiego ryzyka.
Jak sprawdzać listy sankcyjne w ramach monitorowania?
Regularne sprawdzanie list sankcyjnych powinno odbywać się zarówno przy nawiązaniu relacji, jak i okresowo w trakcie jej trwania. Można korzystać z wyszukiwarki list sankcyjnych lub zautomatyzowanych systemów screeningu.
Co to jest monitorowanie transakcji AML?
Monitorowanie transakcji to ciągły proces analizy przepływów finansowych klienta w celu identyfikacji nietypowych wzorców, które mogą wskazywać na pranie pieniędzy lub finansowanie terroryzmu.
Jak często aktualizować dane beneficjenta rzeczywistego?
Informacje o beneficjentach rzeczywistych należy aktualizować w terminie 14 dni od wystąpienia zdarzenia powodującego zmianę danych w CRBR. Regularna weryfikacja powinna odbywać się również w ramach bieżącego monitorowania stosunków gospodarczych. Wyjątek: Dla spółek wpisanych do KRS w okresie 13 października 2019 r. – 30 października 2021 r. obowiązuje termin 7 dni.