Urząd Komisji Nadzoru Finansowego opublikował szczegółowe stanowisko dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT), które powinny zostać uregulowane w procedurach wewnętrznych. Dokument jest bezpośrednią odpowiedzią na niepokojącą tendencję: w 2024 roku nieprawidłowości w opracowywaniu wewnętrznych regulacji AML/CFT stanowiły już 19,39% wszystkich uchybień stwierdzonych przez KNF w tym obszarze — to wynik najwyższy od co najmniej sześciu lat.
Dla porównania:
- w 2019 roku ten odsetek wynosił 13,66%,
- w 2020 roku — 9,31%,
- w 2021 roku — 7,54%,
- w 2022 roku — 10,13%, a
- w 2023 roku — 13,62%.
Trend jest wyraźny: problem nie zanika, lecz narasta. Dane te, przywołane wprost w stanowisku UKNF, wskazują jednoznacznie, że wdrożenie wymogów ustawowych w zakresie procedur wewnętrznych pozostaje dla wielu podmiotów finansowych poważnym wyzwaniem.
Czym jest procedura AML/CFT i kogo dotyczy?
Obowiązek posiadania wewnętrznej procedury AML/CFT wynika z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Dotyczy on szerokiego kręgu instytucji obowiązanych nadzorowanych przez KNF — od banków, przez towarzystwa funduszy inwestycyjnych i zakłady ubezpieczeń, po krajowe instytucje płatnicze czy domy maklerskie.
Procedura ta nie jest jedynie formalnym dokumentem „do szuflady”. Jak podkreśla UKNF, powinna stanowić „przejrzysty przewodnik dla pracowników instytucji obowiązanej w zakresie realizacji obowiązków ustawowych”. Musi odzwierciedlać rzeczywiste zasady postępowania stosowane w danej instytucji, uwzględniać charakter, rodzaj i rozmiar prowadzonej działalności, a przede wszystkim być regularnie aktualizowana. Przed jej wprowadzeniem lub zmianą wymagana jest akceptacja kadry kierowniczej wyższego szczebla.
Jedenaście kluczowych obszarów, które musi regulować procedura
Stanowisko UKNF szczegółowo omawia jedenaście obligatoryjnych obszarów, które każda procedura AML/CFT powinna obejmować. Poniżej omówiamy najważniejsze z nich.
Ocena własnego ryzyka (ORI) i zarządzanie ryzykiem ML/TF. Każda instytucja obowiązana powinna sporządzić — w formie papierowej lub elektronicznej — ocenę własnego ryzyka wykorzystania prowadzonej działalności do prania pieniędzy oraz finansowania terroryzmu i aktualizować ją co najmniej raz na dwa lata, a w uzasadnionych przypadkach niezwłocznie po zmianie czynników ryzyka. Ocena powinna uwzględniać zarówno ryzyko inherentne, jak i rezydualne. UKNF oczekuje, że ORI będzie każdorazowo zatwierdzana przez kadrę kierowniczą wyższego szczebla.
Rozróżnienie obu typów ryzyka ma istotne znaczenie praktyczne. Ryzyko inherentne to ryzyko oszacowane bez uwzględnienia jakichkolwiek środków zaradczych — innymi słowy: jak bardzo dana działalność lub relacja z klientem jest podatna na nadużycia, zanim instytucja cokolwiek z tym zrobi. Ryzyko rezydualne to natomiast ryzyko, które pozostaje po zastosowaniu środków mitygujących — takich jak procedury weryfikacji klientów, systemy monitorowania transakcji czy szkolenia pracowników. Dopiero porównanie obu poziomów pozwala ocenić, czy wdrożone mechanizmy kontrolne są wystarczająco skuteczne, czy też wymagają wzmocnienia.
Klasyfikacja klientów i podejście oparte na ryzyku. Instytucje obowiązane muszą stosować środki bezpieczeństwa finansowego z intensywnością uwzględniającą rozpoznane ryzyko ML/TF. Procedura powinna zawierać opis matrycy ryzyka wraz ze wskazaniem czynników determinujących ocenę oraz sposobu jej wyliczenia. UKNF akceptuje aktualną praktykę rynkową, zgodnie z którą przeglądy klientów przeprowadza się: dla ryzyka wysokiego — co rok, normalnego — co 3 lata, niskiego — co 5 lat. Jednocześnie Urząd wskazuje, że po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1624, maksymalny odstęp między aktualizacjami danych klientów o podwyższonym ryzyku nie może przekraczać roku, a dla wszystkich pozostałych — pięciu lat.
Osoby zajmujące eksponowane stanowiska polityczne (PEP). Procedura AML/CFT musi precyzyjnie określać sposób ustalania statusu PEP klienta, zasady uzyskiwania akceptacji kadry kierowniczej na nawiązanie lub kontynuację relacji z taką osobą, a także reguły ustalania źródła majątku. UKNF zwraca uwagę, że ustawa nie zezwala na uzyskanie akceptacji z mocą wsteczną — decyzja o nawiązaniu relacji z osobą o statusie PEP musi zapaść przed jej nawiązaniem, a nie dopiero po fakcie. Każdy przypadek wymaga indywidualnego rozpatrzenia — nie wolno podejmować grupowych decyzji dotyczących wszystkich klientów o statusie PEP z jednej instytucji.
Relacje z klientami z krajów trzecich wysokiego ryzyka. W przypadku stosunków gospodarczych lub transakcji związanych z państwem trzecim wysokiego ryzyka (lista opublikowana jako załącznik do rozporządzenia delegowanego Komisji (UE) 2023/2070 z dnia 18 sierpnia 2023 roku) instytucja obowiązana ma obowiązek bezwzględnego stosowania wzmożonych środków bezpieczeństwa finansowego. UKNF oczekuje szerokiej interpretacji „powiązania” z takim krajem — dotyczy to zarówno obywatelstwa, miejsca urodzenia, jak i bliskich powiązań osobistych lub zawodowych z danym państwem.
Bieżący monitoring transakcji. Procedura powinna opisywać zarówno automatyczną analizę transakcji (w instytucjach realizujących ich dużą liczbę), jak i analizę manualną (w mniejszych podmiotach). W przypadku systemów informatycznych reguły wykrywające transakcje podejrzane powinny być na bieżąco weryfikowane i aktualizowane. UKNF podkreśla, że każda analiza musi zakończyć się udokumentowanym wynikiem — jednoznacznym wskazaniem, czy wytypowane transakcje wskazują na symptomy prania pieniędzy lub finansowania terroryzmu.
Obowiązki szkoleniowe. Stanowisko precyzuje, że samo samokształcenie nie stanowi realizacji ustawowego obowiązku szkoleniowego. UKNF oczekuje, że instytucje obowiązane wdrożą system szkoleń uzupełniających nie rzadziej niż co dwa lata, nawet w przypadku braku zmian przepisów. Obowiązek szkoleniowy obejmuje nie tylko pracowników etatowych, ale też osoby zatrudnione na umowach cywilnoprawnych, agentów i współpracowników realizujących faktycznie obowiązki AML/CFT — a także kadrę kierowniczą wyższego szczebla. Osoby nowo zatrudnione muszą przejść odpowiednie szkolenie przed samodzielnym przystąpieniem do czynności związanych z AML/CFT.
Ochrona sygnalistów. Instytucje obowiązane muszą wdrożyć wewnętrzny kanał anonimowego zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów AML/CFT. Regulacje wewnętrzne powinny określać zasady przyjmowania zgłoszeń, ochrony tożsamości osoby zgłaszającej, a także zakaz podejmowania działań represyjnych wobec sygnalistów. Osoba odbierająca zgłoszenia nie może pełnić funkcji AMLRO ani być zaangażowana w procesy AML/CFT — wymóg ten ma zapobiegać sytuacji, w której dana osoba rozpatrywałaby skargi na własne działanie. Regulacje dotyczące sygnalistów mogą stanowić element procedury AML/CFT albo funkcjonować jako odrębna regulacja wewnętrzna — pod warunkiem, że jednoznacznie wskazują, iż odnoszą się również do obszaru przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
Rozbieżności z CRBR. Procedura musi określać zasady odnotowywania i wyjaśniania rozbieżności między danymi zgromadzonymi w Centralnym Rejestrze Beneficjentów Rzeczywistych a informacjami ustalonymi przez instytucję. Zakończenie procesu wyjaśniania rozbieżności może nastąpić dopiero po faktycznym wpisaniu przez klienta do CRBR beneficjentów rzeczywistych zgodnych z ustaleniami instytucji.
Procedura grupowa — obowiązek, który bywa pomijany
Odrębnym zagadnieniem omówionym w stanowisku jest procedura grupowa. Dotyczy ona instytucji obowiązanych wchodzących w skład grupy kapitałowej, w której co najmniej dwa podmioty są instytucjami obowiązanymi w rozumieniu ustawy lub gdy w skład grupy wchodzą instytucja obowiązana i jej oddział w państwie trzecim.
UKNF przypomina, że jeżeli jednostka dominująca nie wystąpiła z inicjatywą sporządzenia procedury grupowej, to instytucja obowiązana działająca w Polsce — jako jednostka zależna — powinna sama wystąpić z taką inicjatywą do jednostki dominującej. Brak takiej procedury nie może być uzasadniany tym, że dotychczas nie dochodziło do wymiany informacji w grupie w obszarze AML/CFT.
Konsekwencje braku lub wadliwej procedury
Instytucja obowiązana, która nie dopełnia obowiązku wprowadzenia procedury AML/CFT, podlega karze administracyjnej na podstawie art. 147 pkt 7 ustawy. Co istotne, naruszenie nie ogranicza się tylko do braku dokumentu — UKNF wyodrębnia cztery formy uchybień:
- brak procedury w ogóle,
- procedura z niekompletnymi regulacjami,
- procedura „fasadowa” jedynie imitująca spełnienie wymogów, a także
- procedura nieuwzględniająca elementów wynikających ze specyfiki działalności danej instytucji.
Stanowisko UKNF podkreśla, że brak nawet jednego kluczowego elementu może uniemożliwiać faktyczne zastosowanie całej procedury. Przykładowo, brak zasad klasyfikacji ryzyka klienta sprawia, że przepisy dotyczące środków bezpieczeństwa finansowego stają się martwe — instytucja nie wie bowiem, z jaką intensywnością je stosować.
Co dalej?
UKNF oczekuje, że wszystkie podmioty nadzorowane będące instytucjami obowiązanymi przeprowadzą analizę stopnia dostosowania swoich procedur AML/CFT do wymogów stanowiska, a w przypadku stwierdzenia braków — niezwłocznie podejmą działania naprawcze. Urząd zapowiada, że proces implementacji może być weryfikowany w trakcie czynności kontrolnych i analitycznych KNF. Stanowisko obejmuje również podmioty ubiegające się o uzyskanie zezwolenia na prowadzenie działalności lub wpisu do odpowiednich rejestrów prowadzonych przez KNF.
Stanowisko konsultowane było z Generalnym Inspektorem Informacji Finansowej. Jego treść powinna zainteresować nie tylko działy compliance instytucji finansowych, ale też zarządy i rady nadzorcze — to na kadrze kierowniczej wyższego szczebla spoczywa formalna odpowiedzialność za zatwierdzenie procedury i jej aktualizacji.
Źródła
- Stanowisko UKNF dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, które powinny zostać uregulowane w procedurach wewnętrznych — Urząd Komisji Nadzoru Finansowego: https://www.knf.gov.pl/?articleId=97485&p_id=18
- Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723 ze zm.)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu
- Rozporządzenie delegowane Komisji (UE) 2023/2070 z dnia 18 sierpnia 2023 r. — lista państw trzecich wysokiego ryzyka
- Komunikaty GIIF — dostępne na stronie Ministerstwa Finansów: https://www.gov.pl/web/finanse/komunikaty-giif
