Pranie brudnych pieniędzy – obowiązki przedsiębiorcy

Przeciwdziałanie praniu pieniędzy to nie tylko domena banków i instytucji finansowych. Przepisy nakładają konkretne obowiązki na szerokie grono przedsiębiorców — od biur rachunkowych i kancelarii prawnych, przez pośredników w obrocie nieruchomościami, aż po kantory i operatorów platform kryptowalutowych. Niedopełnienie tych obowiązków grozi dotkliwymi karami administracyjnymi i odpowiedzialnością karną. Poniżej znajdziesz przegląd najważniejszych wymagań, które każdy przedsiębiorca z tej grupy powinien znać.

Spis treści

Kto jest instytucją obowiązaną w rozumieniu ustawy AML

Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z 2018 roku, zwana potocznie ustawą AML (od ang. Anti-Money Laundering), zawiera zamknięty katalog podmiotów uznawanych za instytucje obowiązane. Zakres jest znacznie szerszy, niż mogłoby się wydawać.

Pełen zakres podmiotów objętych przepisami

Do instytucji obowiązanych ustawa zalicza m.in.:

Banki krajowe, oddziały banków zagranicznych, instytucje kredytowe i płatnicze
Biura usług płatniczych i podmioty prowadzące działalność w zakresie walut wirtualnych
Firmy inwestycyjne, zakłady ubezpieczeń i pośrednicy ubezpieczeniowi w zakresie ubezpieczeń na życie
Pośredników w obrocie nieruchomościami, w tym w najmie i dzierżawie powyżej określonych progów
Przedsiębiorców przyjmujących lub dokonujących płatności gotówkowych o równowartości co najmniej 10 000 euro — jednorazowo lub w kilku powiązanych transakcjach
Adwokatów, radców prawnych, notariuszy i doradców podatkowych przy określonych czynnościach
Biura rachunkowe prowadzące obsługę księgową innych podmiotów

Zakwalifikowanie do tej grupy nie zależy od subiektywnej oceny przedsiębiorcy. Jeśli działalność mieści się w ustawowym katalogu — obowiązki obowiązują automatycznie, niezależnie od skali operacji czy formy prawnej.

Działalność w zakresie walut wirtualnych

Sektor kryptowalutowy podlega szczególnej uwadze GIIF (Generalnego Inspektora Informacji Finansowej). Podmioty prowadzące giełdy kryptowalut, kantory wymiany walut wirtualnych lub oferujące przechowywanie aktywów cyfrowych są instytucjami obowiązanymi i muszą rejestrować się w dedykowanym rejestrze prowadzonym przez ministra właściwego do spraw finansów. Brak rejestracji przy jednoczesnym prowadzeniu takiej działalności to przestępstwo zagrożone karą pozbawienia wolności.

Procedura wewnętrzna AML — co musi zawierać i jak ją wdrożyć

Każda instytucja obowiązana ma obowiązek opracowania i wdrożenia wewnętrznej procedury w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Dokument ten nie może być szablonową kopią pobraną z internetu — przepisy wymagają, by procedura była dostosowana do specyfiki, skali i profilu ryzyka danej organizacji.

Procedura musi regulować co najmniej: zasady identyfikacji i weryfikacji klientów, sposób oceny ryzyka prania pieniędzy, tryb składania zawiadomień do GIIF, zasady przechowywania dokumentacji oraz zasady szkoleń pracowników. Oprócz samego dokumentu instytucja jest zobowiązana do wyznaczenia osoby odpowiedzialnej za wdrożenie procedury — w spółkach kapitałowych powinna to być osoba z zarządu lub wyższej kadry kierowniczej.

Aktualizacja procedury jest obowiązkowa za każdym razem, gdy zmienią się przepisy lub wewnętrzna ocena ryzyka. W praktyce oznacza to, że dokument należy przeglądać co najmniej raz w roku i każdorazowo po nowelizacjach ustawy AML.

Identyfikacja klienta i ocena ryzyka w praktyce

Środki bezpieczeństwa finansowego to serce systemu AML. Ich stosowanie nie jest jednorazową czynnością wykonywaną przy podpisaniu umowy — to ciągły proces, który towarzyszy całej relacji z klientem.

Kiedy i jak stosować środki bezpieczeństwa finansowego

Obowiązek zastosowania środków bezpieczeństwa finansowego powstaje w kilku sytuacjach. Przede wszystkim przy nawiązywaniu stosunków gospodarczych, a więc przed podpisaniem umowy lub w jej trakcie. Pojawia się też przy przeprowadzaniu transakcji okazjonalnej o wartości co najmniej 15 000 euro — lub niżej, gdy istnieje uzasadnione podejrzenie prania pieniędzy. Obowiązek aktualizacji danych klienta pojawia się też wtedy, gdy zmieniły się okoliczności dotyczące danej relacji lub gdy ocena ryzyka wskazuje na konieczność weryfikacji.

Podstawowy pakiet środków bezpieczeństwa obejmuje: identyfikację klienta i weryfikację jego tożsamości na podstawie dokumentów lub wiarygodnych danych, identyfikację beneficjenta rzeczywistego (czyli osoby fizycznej sprawującej kontrolę nad klientem), ocenę charakteru i celu stosunków gospodarczych oraz bieżące monitorowanie transakcji.

Beneficjent rzeczywisty i rejestr CRBR

Identyfikacja beneficjenta rzeczywistego to jeden z najtrudniejszych elementów praktycznych. W przypadku osób prawnych chodzi o ustalenie, kto faktycznie kontroluje podmiot — nie tylko na poziomie formalnych udziałów. Domniemanie stosuje się, że osoba posiadająca bezpośrednio lub pośrednio ponad 25% udziałów lub głosów jest beneficjentem rzeczywistym. Gdy nie można tego ustalić w inny sposób, za beneficjenta uznaje się osobę na wyższym szczeblu zarządzania.

Od 2020 roku w Polsce działa Centralny Rejestr Beneficjentów Rzeczywistych (CRBR). Podmioty zobowiązane do wpisu — w tym spółki prawa handlowego — muszą zgłaszać i aktualizować dane beneficjentów. Instytucja obowiązana powinna weryfikować zgodność danych klienta z wpisem w CRBR. Rozbieżności należy udokumentować i wyjaśnić.

Raportowanie do GIIF — kiedy i jak zgłaszać podejrzane transakcje

GIIF, czyli Generalny Inspektor Informacji Finansowej, to centralny organ administracji rządowej odpowiedzialny za zbieranie i analizowanie informacji dotyczących transakcji mogących mieć związek z praniem pieniędzy lub finansowaniem terroryzmu. Kontakt z GIIF to dla wielu przedsiębiorców najtrudniejszy element całego systemu.

Obowiązek raportowania obejmuje dwa typy sytuacji. Transakcje ponadprogowe — każda operacja o wartości co najmniej 15 000 euro przeprowadzana przez klienta musi być rejestrowana, a informacje o niej przechowywane przez 5 lat. Zawiadomienia o podejrzeniu — gdy instytucja obowiązana wykryje lub ma uzasadnione podejrzenie, że określona transakcja lub wartości majątkowe mogą mieć związek z praniem pieniędzy, musi niezwłocznie zawiadomić GIIF. W takim przypadku nie wolno realizować transakcji do czasu uzyskania zgody lub upływu terminu wskazanego w ustawie.

Ważna kwestia praktyczna: zawiadomienie do GIIF korzysta z ochrony prawnej. Pracownik lub przedsiębiorca, który w dobrej wierze przekazał informację o podejrzanej transakcji, nie ponosi odpowiedzialności za ewentualne szkody wynikłe z tej decyzji. Ta ochrona obowiązuje nawet wtedy, gdy podejrzenie okaże się niezasadne — pod warunkiem że zawiadomienie złożono w dobrej wierze.

Raportowanie odbywa się elektronicznie przez system teleinformatyczny prowadzony przez GIIF. Dostęp do systemu wymaga wcześniejszej rejestracji i uzyskania odpowiednich uprawnień.

Kary za naruszenie przepisów AML i kontrole GIIF

Sankcje za niedopełnienie obowiązków z zakresu AML należą do najsurowszych w polskim prawie administracyjnym. Kara pieniężna może sięgać równowartości dwukrotności korzyści osiągniętej z naruszenia lub 1 000 000 euro — w zależności od tego, która kwota jest wyższa. W przypadku instytucji finansowych górna granica kary wynosi nawet 5 000 000 euro lub 10% obrotu.

Oprócz sankcji finansowych ustawa przewiduje możliwość:

Cofnięcia zezwolenia na prowadzenie działalności regulowanej
Zakazania osobie zarządzającej pełnienia funkcji kierowniczych w instytucjach obowiązanych
Publicznego ogłoszenia informacji o naruszeniu i tożsamości instytucji
Nakazu zaprzestania określonych praktyk

Kontrole przeprowadzane przez GIIF lub upoważnione organy koncentrują się na kilku obszarach. Inspektorzy sprawdzają, czy procedura wewnętrzna istnieje i jest aktualna, czy pracownicy przeszli wymagane szkolenia, czy dokumentacja klientów jest kompletna i przechowywana przez wymagany okres 5 lat, a także czy rejestr transakcji ponadprogowych jest prowadzony prawidłowo.

Najczęstsze nieprawidłowości wykrywane podczas kontroli to brak lub nieaktualna procedura AML, niewyznaczenie osoby odpowiedzialnej za nadzór nad przepisami oraz braki w dokumentacji weryfikacyjnej klientów. Wiele z tych uchybień wynika nie ze złej woli, ale z niedostatecznej wiedzy o zakresie obowiązków. Dlatego szkolenia pracowników, choć formalnie wymagane przez ustawę, mają też wymiar czysto pragmatyczny — zmniejszają ryzyko kosztownych błędów.

Ustawa zobowiązuje instytucje do przeprowadzania szkoleń cyklicznie, przy czym ich częstotliwość i zakres powinny być dostosowane do ryzyka związanego z profilem działalności. W branżach wysokiego ryzyka — kryptowalutach, obrocie nieruchomościami, działalności notarialnej — szkolenia powinny obejmować nie tylko procedury wewnętrzne, ale też bieżące typologie prania pieniędzy publikowane przez GIIF i FATF. Znajomość realnych schematów działania przestępców przekłada się bezpośrednio na skuteczność stosowanych środków bezpieczeństwa i jakość ewentualnych zawiadomień.

System AML nie jest jednorazowym projektem do „odhaczenia” — to trwały element zarządzania ryzykiem w każdej instytucji obowiązanej. Regularne przeglądy procedur, aktualizacje ocen ryzyka i dokumentowanie podejmowanych działań to minimalny standard, który odróżnia rzetelne podejście do compliance od formalnego spełniania wymagań na papierze.

Redakcja

Zespół redakcyjny serwisu Forumbalkany.pl, tworzący treści z zakresu finansów, prawa oraz zarządzania budżetem domowym. Autor zbiorowy skupiający twórców i współpracowników portalu, którzy opracowują artykuły poradnikowe i analizy pomagające lepiej zrozumieć codzienne decyzje finansowe.

Forumbalkany.pl

Czym się charakteryzują bezpieczne chwilówki przez Internet?

Estoński CIT — czy warto wybrać ryczałt od dochodów spółek

Ryczałt ewidencjonowany — kiedy się opłaca

PIT 2026 — jak rozliczyć podatek i jakie ulgi przysługują

Lokata vs obligacje — co opłaca się bardziej w 2026