System AML
System AML
0Zaloguj

Travel Rule dla giełd i kantorów krypto w Polsce – poradnik 2025

Travel Rule (Rozporządzenie (UE) 2023/1113) obowiązuje w UE od 30.12.2024 i wymaga, by transferom kryptoaktywów między CASP zawsze towarzyszyły określone dane inicjatora i beneficjenta (bez progu kwotowego). Wytyczne EBA/GL/2024/11 stosuje się od 30.12.2024 i doprecyzowują technikalia, w tym zasady dla adresów niehostowanych (>1000 EUR wymagają adekwatnych środków oceny własności/kontroli). W Polsce GIIF pełni rolę FIU, a KNF – organu nadzoru dla CASP na gruncie MiCA. MiCA obowiązuje etapami (zasady dla CASP od 30.12.2024); polski okres przejściowy nie jest przesądzony (stan na 31.10.2025) – trwa proces legislacyjny ustawy wdrożeniowej, domyślnie obowiązuje do 1.07.2026 zgodnie z art. 143 MiCA.

Grafika obrazująca koncepcję Travel Rule dla polskich giełd i kantorów kryptowalut

Co to jest Travel Rule? Wyjaśnienie dla polskich firm krypto

Travel Rule to regulacja unijna (Rozporządzenie (UE) 2023/1113), która nakłada na dostawców usług kryptowalutowych obowiązek przekazywania szczegółowych informacji o nadawcy i odbiorcy podczas transferów kryptowalut. Celem jest zwiększenie przejrzystości i przeciwdziałanie praniu pieniędzy (AML) oraz finansowaniu terroryzmu (CFT).

📘 Terminologia: W UE stosujemy termin CASP (Crypto-Asset Service Provider) zgodnie z MiCA. VASP (Virtual Asset Service Provider) to termin FATF/branżowy używany pomocniczo. W artykule odnosimy się głównie do CASP, ale oba terminy oznaczają podmioty świadczące usługi kryptowalutowe, takie jak giełdy i kantory kryptowalut.

W Polsce GIIF pełni funkcję FIU (jednostka analityki finansowej – przyjmuje zgłoszenia podejrzanych transakcji i współpracuje w zakresie AML/CFT), natomiast KNF jest właściwym organem nadzoru dla CASP na gruncie MiCA. Obowiązki AML (w tym Travel Rule) pozostają pod nadzorem właściwych organów wskazanych w ustawie AML. Firmy muszą stosować się do wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA - European Banking Authority) i lokalnych przepisów. Regulacje MiCA dotyczące kryptowalut stanowią ramy prawne, które polskie CASP muszą uwzględnić przy wdrażaniu Travel Rule.

Obowiązki polskich giełd i kantorów kryptowalut 2025

Zgodnie z Rozporządzeniem (UE) 2023/1113 i Wytycznymi EBA (EBA/GL/2024/11), giełdy i kantory kryptowalut muszą:

👤 Dane nadawcy i odbiorcy

  • Przekazywać dane inicjatora (nadawcy): imię i nazwisko lub nazwę; adres na DLT (jeśli transakcja jest rejestrowana na DLT) i/lub numer rachunku krypto; adres z kodem państwa lub datę i miejsce urodzenia/numer dokumentu tożsamości; (opcjonalnie) LEI (Legal Entity Identifier) dla firm (art. 14).
  • Przekazywać dane beneficjenta (odbiorcy): imię i nazwisko lub nazwę; adres na DLT (jeśli dotyczy) i/lub numer rachunku krypto; (opcjonalnie) LEI dla firm (art. 14).

🔍 Weryfikacja i kontrola

  • Weryfikować tożsamość nadawcy: Przed zleceniem transferu potwierdzić dokładność danych nadawcy na podstawie niezależnego źródła (zazwyczaj na etapie rejestracji klienta).
  • Weryfikować informacje: Sprawdzić kompletność otrzymanych danych przy transferze i mieć procedury wykrywania brakujących informacji (art. 16).
  • Obsługiwać portfele niehostowane: Dla transferów powyżej 1000 EUR na/z adresu niehostowanego CASP stosuje adekwatne środki oceny własności/kontroli adresu (np. mikro-przelew, podpis kryptograficzny, zdalna weryfikacja). Dobór metody zależy od oceny ryzyka; EBA podaje akceptowane techniki i możliwość prowadzenia „białych list" zweryfikowanych adresów.
  • Stosować podejście oparte na ryzyku: Oceniać ryzyko ML/TF i dostosowywać procedury zgodnie ze wzmożonymi środkami bezpieczeństwa finansowego.

⚠️ Ważne: Travel Rule stosuje się do każdego transferu kryptoaktywów między CASP (brak progu wartości). Wymagane dane muszą towarzyszyć każdemu transferowi. Próg 1000 EUR działa tylko przy transferach na/z adresów niehostowanych i dotyczy wyłącznie dodatkowych środków oceny własności/kontroli adresu.

Od 30 grudnia 2024 r. główną podstawą prawną jest Rozporządzenie (UE) 2023/1113, które ma pierwszeństwo nad przepisami krajowymi. Ponadto GIIF przypomina o konieczności spełniania standardowych obowiązków z ustawy AML - identyfikacja i weryfikacja tożsamości klientów, monitorowanie transakcji i zgłaszanie podejrzanych działań, które pozostają w mocy obok wymogów Travel Rule.

Daty stosowania Travel Rule i status okresu przejściowego MiCA

Od 30 grudnia 2024 r. obowiązuje Rozporządzenie (UE) 2023/1113 (TFR) oraz Wytyczne EBA/GL/2024/11. Nie przewidziano osobnego „okresu przejściowego" dla Travel Rule. MiCA (Rozporządzenie (UE) 2023/1114) umożliwia krajowy okres przejściowy dla CASP do 1.07.2026 (art. 143 ust. 3).

⚖️ Status okresu przejściowego w Polsce (aktualizacja: 31.10.2025)

W Polsce ustawa wdrożeniowa o rynku kryptoaktywów została uchwalona przez Sejm 26.09.2025, ale proces legislacyjny trwa, a część branży apeluje o weto. Do finalizacji krajowych przepisów nie można podać pewnej daty końca okresu przejściowego. Dla planowania compliance należy rozważyć dwa scenariusze:

Scenariusz A: Ustawa wchodzi w życie – okres przejściowy będzie określony przepisami przejściowymi ustawy (najprawdopodobniej krótszy niż maksymalny unijny).

Scenariusz B: Weto lub opóźnienie – obowiązuje domyślnie 1.07.2026 z art. 143 MiCA.

🚨 Kluczowe: Niezależnie od scenariusza Travel Rule stosuje się w pełnym zakresie od 30.12.2024. Wszystkie CASP muszą od tej daty przekazywać wymagane dane przy każdym transferze kryptowalut.

📌 Kluczowe zasady Travel Rule – przypomnienie

  • Brak progu dla transferów CASP → CASP – dane wymagane przy każdym transferze
  • Próg 1000 EUR działa tylko przy transferach na/z portfeli niehostowanych (dodatkowe środki oceny własności/kontroli adresu w podejściu ryzykowym)
  • Wymagane dane: inicjator i beneficjent (imię/nazwa, adres DLT, dane identyfikacyjne)
  • Metody weryfikacji adresów niehostowanych: mikro-przelew, podpis kryptograficzny, zdalna weryfikacja, białe listy

MiCA - jak regulacje kryptowalut wpływają na Travel Rule w Polsce

Rozporządzenie MiCA (Markets in Crypto-Assets) stanowi kompleksowe ramy prawne dla kryptowalut w Unii Europejskiej, które bezpośrednio wpływają na wdrożenie Travel Rule w Polsce. MiCA definiuje kluczowe aspekty dla polskich platform krypto, takie jak:

Kluczowe aspekty MiCA dla polskich platform krypto

  • Licencjonowanie: CASP (Crypto-Asset Service Providers) muszą uzyskać licencje do prowadzenia działalności na terenie UE.
  • Obowiązki operacyjne: Zgodność z wymogami kapitałowymi, organizacyjnymi i operacyjnymi.
  • Ochrona konsumentów: Standardy informowania klientów i zarządzania aktywami.
  • Powiązanie z Travel Rule: MiCA wymaga od licencjonowanych CASP pełnej zgodności z Travel Rule.

📅 Okres przejściowy: Kwestia okresu przejściowego w Polsce nie jest ostatecznie rozstrzygnięta (stan na 31.10.2025). Ustawa wdrożeniowa została uchwalona przez Sejm, ale trwa proces legislacyjny. Zobacz szczegóły w sekcji "Status okresu przejściowego w Polsce" powyżej. Wymogi Travel Rule obowiązują od 30 grudnia 2024 r. niezależnie od okresu przejściowego MiCA.

Jak polskie giełdy kryptowalut wdrażają Travel Rule – praktyczny przewodnik

Wymogi techniczne dla CASP w Polsce

Aby sprostać wymaganiom wdrożenia Travel Rule, giełdy i kantory kryptowalut w Polsce powinny:

🔧 Aktualizacja systemów technologicznych

Wdrożyć rozwiązania umożliwiające przekazywanie danych, np. Travel Rule Protocol (standaryzowany format wymiany danych między CASP) oraz zapewnić interoperacyjność z blockchainami.

📋 Procedury wewnętrzne

Dotyczące wykrywania brakujących danych i zarządzania niezgodnymi transferami oraz opracować metody weryfikacji portfeli niehostowanych. Skuteczne techniki weryfikacji mogą obejmować podpisy kryptograficzne, mikropłatności weryfikacyjne lub inne uzgodnione metody potwierdzające kontrolę nad adresem. EBA pozwala na łączenie metod i utrzymywanie „białych list" adresów niehostowanych po udokumentowaniu własności/kontroli.

🎓 Szkolenia personelu

Z zakresu Travel Rule i podejścia opartego na ryzyku.

🤝 Współpraca z innymi CASP

Z innymi CASP dla wymiany danych, szczególnie w transferach transgranicznych.

📊 Monitoring regulacji

Aktualizacje Wytycznych EBA i komunikaty GIIF.

Najczęstsze błędy przy wdrożeniu Travel Rule – jak ich unikać

  • Interoperacyjność: Dołącz do inicjatyw branżowych, np. OpenVASP (sieć służąca interoperacyjności między dostawcami usług), aby ułatwić wymianę danych.
  • Koszty: Planuj wdrożenie systemów zgodnie z wymogami – wszystkie CASP muszą spełniać wymagania Travel Rule od 30 grudnia 2024 r.
  • Portfele niehostowane: Stosuj skuteczne metody weryfikacji własności adresu, wybierając odpowiednią technikę w zależności od poziomu ryzyka transakcji i opierając się na katalogu metod rekomendowanych przez EBA.
  • Transfery spoza UE: Przed wysłaniem kryptoaktywów do podmiotu spoza UE oceń, czy odbiorca może przyjąć i właściwie chronić wymagane dane zgodnie z GDPR. W przypadku braku takich gwarancji zastosuj środki podwyższonej ostrożności.
  • RODO: Szyfruj dane osobowe i przekazuj je bezpiecznym kanałem. Do wymiany danych stosuj IVMS101 (standard modelu danych), natomiast bezpieczeństwo kanału zapewnij na poziomie protokołu (np. mTLS, szyfrowanie end-to-end). Rozwiązania branżowe (TRISA, TRP/OpenVASP) używają IVMS101 jako schematu danych. Minimalizuj przetwarzanie zgodnie z GDPR.

Ochrona danych osobowych w Travel Rule

Travel Rule wymaga przekazywania danych osobowych, co wiąże się z obowiązkiem ich zabezpieczenia zgodnie z RODO:

  • Szyfrowanie danych: Wszystkie dane osobowe muszą być przekazywane bezpiecznym, szyfrowanym kanałem (np. mTLS, end-to-end encryption).
  • Minimalizacja danych: Przetwarzaj tylko niezbędne informacje wymagane przez rozporządzenie (art. 5 GDPR).
  • Zabezpieczenie systemów: Wdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych.
  • Protokoły bezpieczeństwa: Wykorzystanie standardów modelu danych takich jak IVMS101 wraz z bezpiecznymi protokołami transportu.
  • Transfery poza EOG: Transfer danych Travel Rule poza Europejski Obszar Gospodarczy wymaga zgodności z rozdz. V GDPR – zastosuj odpowiednie narzędzia, takie jak standardowe klauzule umowne (SCC) lub decyzje adekwatności.
  • Blockchain a RODO: Dane osobowe nie powinny być utrwalane wprost w łańcuchu bloków – EDPB wskazuje na ryzyka naruszenia zasad art. 5 GDPR (niemożność usunięcia/modyfikacji). Przetwarzaj dane off-chain, przez szyfrowane kanały komunikacji między CASP.

💡 Wskazówka: Dane Travel Rule nie muszą być zapisywane na blockchain - wystarczy, że towarzyszą transferowi w systemach komunikacyjnych między CASP (off-chain).

Kary za brak zgodności z Travel Rule w Polsce

Brak wdrożenia wymogów Travel Rule niesie poważne ryzyka:

  • Sankcje administracyjne: Kary administracyjne przewidziane w ustawie AML – zasadniczo do 1 000 000 EUR (albo do dwukrotności uzyskanej korzyści); dla niektórych instytucji finansowych – do 5 000 000 EUR lub 10% rocznego obrotu (w zależności od kategorii podmiotu i charakteru naruszenia).
  • Utrata licencji: Możliwość wykreślenia z rejestru CASP lub cofnięcia licencji przez KNF.
  • Ograniczenia operacyjne: Inne instytucje finansowe mogą odmówić współpracy z CASP, które nie zapewniają wymaganych informacji.
  • Reputacja: Utrata zaufania klientów i partnerów biznesowych.

Podsumowanie

Travel Rule to kluczowe wyzwanie dla polskich giełd i kantorów kryptowalut w 2025 roku. Dostosowanie do wymogów Rozporządzenia (UE) 2023/1113 i Wytycznych EBA/GL/2024/11 wymaga inwestycji w technologię, procedury i szkolenia. Od 30 grudnia 2024 r. wszystkie wymagania dotyczące przekazywania danych przy transferach kryptoaktywów są w pełni egzekwowane – wytyczne EBA nie przewidują dodatkowego okresu przejściowego. CASP muszą przekazywać wymagane dane przy każdym transferze między CASP (bez progu wartości), a dla transferów powyżej 1000 EUR na/z adresów niehostowanych stosować adekwatne środki oceny własności/kontroli.

Okres przejściowy MiCA w Polsce nie jest przesądzony (stan na 31.10.2025) – trwa proces legislacyjny ustawy wdrożeniowej, a branża apeluje o weto. Podmioty powinny przygotować się na dwa scenariusze: wejście w życie ustawy krajowej z określonym terminem lub zastosowanie domyślnego unijnego terminu (1.07.2026). Zgodność z Travel Rule nie tylko zapewni legalność, ale także wzmocni pozycję na regulowanym rynku kryptowalut oraz ochroni przed wysokimi sankcjami regulacyjnymi (do 1 mln EUR lub 5 mln EUR/10% obrotu).

Najczęściej zadawane pytania - MiCA kryptowaluty i Travel Rule

Czy regulacje MiCA zastępują Travel Rule?
Nie. MiCA i Travel Rule to uzupełniające się regulacje. MiCA definiuje ogólne ramy dla działalności CASP, podczas gdy Travel Rule określa konkretne obowiązki dotyczące przekazywania danych przy transferach.

Kiedy wchodzi w życie MiCA w Polsce?
MiCA stosuje się etapami (zasady dla CASP od 30.12.2024). Okresy przejściowe wyznaczają państwa członkowskie (UE dopuszcza najpóźniej do 1.07.2026). W Polsce stan na 31.10.2025: ustawa wdrożeniowa uchwalona przez Sejm (26.09.2025), ale proces legislacyjny trwa, a branża apeluje o weto. Okres przejściowy nie jest przesądzony – może trwać do momentu wejścia w życie ustawy lub domyślnie do 1.07.2026. Aktualizacje należy śledzić w komunikatach KNF.

Czy MiCA obejmuje wszystkie aktywa cyfrowe?
MiCA reguluje większość kryptoaktywów, z wyłączeniem NFT i tokenów DeFi w określonych przypadkach.

Jakie kary grożą za brak zgodności z regulacjami kryptowalut w Polsce?
Właściwe organy mogą nałożyć kary administracyjne zasadniczo do 1 000 000 EUR (albo do dwukrotności korzyści); dla niektórych instytucji finansowych – do 5 000 000 EUR lub 10% rocznego obrotu za naruszenie przepisów AML, w tym Travel Rule.

Wytyczne Travel Rule

Nadal masz wątpliwości czy System AML jest dla Ciebie?

Dla wszystkich nowych użytkowników oferujemy darmowy 7 dniowy okres próbny, podczas którego można przetestować wszystkie funkcje i możliwości Systemu AML bez żadnych zobowiązań.

Wypróbuj teraz

FiberPay sp. z o.o.

ul. Sienna 86/47

00-815 Warszawa

+48 22 230 2622

NIP: 7010634566

REGON: 36589948900000

KRS: 0000647662

Branże

AML dla Biur Rachunkowych i KsięgowychAML dla Kantorów i Platform Wymiany WalutAML dla Małych Instytucji Płatniczych i Biur Usług PłatniczychAML dla Antykwariatów, Galerii Sztuki i Domów Aukcyjnych

Produkty

SystemAMLSzkolenia i procedura AMLSzybki Skan AMLWyszukiwarka sankcyjna

Informacje

Kompendium wiedzy AMLAnkiety AMLDokumentacja APIRegulaminPolityka prywatnościKontakt
System AML
System AML