Etapy prania pieniędzy i schematy: smurfing, structuring i inne czerwone flagi

To trzeci wpis z naszego cyklu o AML 2026. W pierwszym i drugim artykule pokazaliśmy fundamenty reżimu i mapę instytucji obowiązanych. Tym razem schodzimy poziom niżej: jak realnie wygląda proces prania pieniędzy i jakie schematy powinien rozpoznawać każdy AML officer. Bez tej wiedzy żaden monitoring transakcji ani ocena ryzyka klienta nie ma sensu — system, który nie umie nazwać czerwonej flagi, jej nie wykryje.

Trzy etapy klasycznego modelu FATF

Klasyczny model wypracowany przez Grupę Specjalną do spraw Przeciwdziałania Praniu Pieniędzy (FATF) opisuje pranie pieniędzy jako proces trzyetapowy. Etapy się przenikają, czasem przeskakują, ale logika pozostaje ta sama: najpierw wprowadzić, potem rozproszyć, potem zalegalizować.

Etap 1: Lokowanie (placement). Wprowadzenie wartości majątkowej pochodzącej z czynu zabronionego do legalnego systemu finansowego lub gospodarczego. To etap najwyższego ryzyka dla przestępcy — dane są jeszcze blisko źródła, łatwiej ustalić związek z przestępstwem bazowym. Typowe formy w polskiej praktyce, które w sprawach naszych Klientów obserwuje się najczęściej:

• Wpłata gotówki na rachunek bankowy (bezpośrednio w oddziale lub przez wpłatomat).
• Zakup walut wirtualnych w kantorze kryptowalut za gotówkę.
• Zakup żetonów w kasynie.
• Zakup luksusowych dóbr za gotówkę (zegarki, biżuteria, obrazy).
• Wymiana gotówki na waluty obce w kantorze.
• Wpłata jako zaliczka na nieruchomość.

Etap 2: Maskowanie (layering). Seria transakcji, której zadaniem jest zerwanie powiązania między wartością a źródłem. Cel — ślad audytowy ma być tak pofragmentowany, żeby analityk nie był w stanie odtworzyć pełnej historii środków. Typowe mechaniki:

• Transfery między rachunkami w wielu bankach (często w różnych jurysdykcjach).
• Inwestycje w instrumenty finansowe i ich szybkie zbycie.
• Zakup i sprzedaż nieruchomości lub dzieł sztuki.
• Łańcuchowe transfery kryptowalutowe przez wiele adresów (tzw. peel chains).
• Korzystanie z mikserów kryptowalutowych albo monet o wzmocnionej prywatności.
• Wykorzystanie spółek-słupów i offshore.

Etap 3: Integracja (integration). Wprowadzenie „wypranych" środków do legalnej gospodarki w taki sposób, że wyglądają jak zwykły dochód. To etap, w którym najtrudniej cokolwiek wykryć — pieniądze są już przemieszane z legalnymi przepływami. Typowe mechaniki:

• Zakup nieruchomości po cenie zawyżonej i odprzedaż.
• Inwestycje w spółki gotówkowe (gastronomia, myjnie, parkingi) z zawyżaniem obrotów.
• Fikcyjne umowy konsultingowe i licencyjne.
• Pożyczki „samemu sobie" przez podmioty powiązane.
• Wynagrodzenia dla fikcyjnych pracowników.

W polskim porządku prawnym wszystkie trzy etapy mieszczą się w definicji prania pieniędzy z art. 2 ust. 2 pkt 14 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML), która odsyła do art. 299 Kodeksu karnego. Penalizowany jest każdy etap, niezależnie od tego, czy następne udało się zrealizować.

Smurfing — najczęstsza technika lokowania

Smurfing (od ang. smurf — smerf) to dzielenie dużej kwoty na wiele mniejszych wpłat lub transakcji, każda poniżej progu raportowania, dokonywanych przez różne osoby (często podstawione, tzw. „smerfy") albo z różnych źródeł, tak aby uniknąć zauważenia przez instytucję obowiązaną i obowiązku raportowania do GIIF.

Przykład z naszej praktyki: klient kantoru kryptowalut miał wymienić 100 000 zł na bitcoiny. Zamiast jednej transakcji wykonał 50 wymian po 2 000 zł, każda przez inną osobę z grupy znajomych, w odstępach godzinnych, używając trzech różnych adresów wypłaty. To klasyczny smurfing — i system AML kantoru wykrył wzorzec, łącząc transakcje przez powtarzalność adresów wypłaty.

Co mówi prawo? Polska ustawa AML w art. 35 ust. 1 pkt 2 lit. a wprost wskazuje, że środki bezpieczeństwa finansowego stosuje się do transakcji okazjonalnej o równowartości 15 000 euro lub większej „bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane". To kluczowy fragment — ustawa nakazuje patrzeć na powiązanie transakcji, a nie na pojedynczy kwotowy próg. Identyczna konstrukcja pojawia się w art. 35 ust. 1 pkt 3 dla transakcji gotówkowych z progiem 10 000 euro (dotyczy m.in. fundacji, stowarzyszeń, pkt 21–23) i w art. 35 ust. 1 pkt 4 dla obstawiania stawek (próg 2 000 euro w sektorze gier hazardowych).

Z punktu widzenia odpowiedzialności karnej smurfing wypełnia znamiona art. 299 § 1 k.k., a osoby świadomie pomagające w smurfingu — co najmniej art. 299 § 5 k.k. (typ nieumyślny).

Structuring — bardziej wyrafinowany krewny

Structuring to pojęcie częściowo synonimiczne ze smurfingiem, ale w praktyce stosowane szerzej — obejmuje zaplanowane, wieloetapowe schematy dzielenia transakcji, w których oprócz unikania progów ukrywa się również powiązania między operacjami. Typowe elementy:

• Wpłaty gotówkowe poniżej progu raportowania w różnych oddziałach lub bankach.
• Przelewy między różnymi rachunkami w różnych jurysdykcjach.
• Wykorzystywanie różnych podmiotów (osoby fizyczne, spółki, fundacje) do wykonania powiązanych transakcji.
• Zmiana formy wartości majątkowej w trakcie schematu (gotówka → krypto → nieruchomość).

Z perspektywy instytucji obowiązanej structuring jest trudniejszy do wykrycia niż klasyczny smurfing — nie wystarczy reguła „kilka transakcji od tego samego klienta sumujących się powyżej 15 000 euro", trzeba mapować powiązania między klientami.

Inne typowe czerwone flagi

W naszej praktyce procedury i scenariusze monitoringowe przygotowywane dla Klientów uwzględniają zwykle następujący zestaw wzorców (kierunkowo zgodnych z typologiami publikowanymi przez GIIF, FATF i Egmont Group):

• Niezgodność z profilem ekonomicznym klienta — student deklarujący 5 000 zł dochodu wymieniający rocznie 2 mln zł na krypto. To najsilniejsza czerwona flaga w naszej praktyce z sektora CASP.
• Nagła zmiana zachowania transakcyjnego — rachunek przez rok pasywny, nagle 200 transakcji w tygodniu.
• Transakcje z państwami trzecimi wysokiego ryzyka AML — listy publikowane przez Komisję Europejską (rozporządzenie delegowane 2016/1675 z aktualizacjami) i FATF („szara" i „czarna" lista jurysdykcji).
• Transakcje bez ekonomicznego sensu — np. zakup i odsprzedaż tego samego aktywa w krótkim czasie z minimalną marżą lub stratą.
• Transakcje zlecane przez osoby trzecie niepowiązane z klientem — tzw. „klient nie jest klientem".
• Posługiwanie się dokumentami budzącymi wątpliwości autentycznościowe — najczęściej w on-boardingu zdalnym.
• Częste zmiany danych identyfikacyjnych lub beneficjentów rzeczywistych w krótkich odstępach czasu.
• Transakcje gotówkowe ponadnaturalnie częste w branżach, w których gotówka nie jest typowa.
• Korzystanie z mikserów kryptowalutowych, monet prywatnych (Monero), portfeli niehostowanych poza relacją z klientem.
• Łańcuchowe transfery kryptowalutowe (peel chains) — typowy wzorzec maskowania.

Każdy z tych wzorców powinien generować alert w systemie monitoringu i, po analizie, decyzję — albo o stosowaniu wzmożonych środków bezpieczeństwa finansowego (art. 43 ustawy AML), albo o zawiadomieniu GIIF na podstawie art. 74 lub art. 86 ustawy.

Co musi mieć Twój system monitoringu, żeby wyłapać schematy?

Z naszej praktyki przy wdrożeniach AML w fintechach i kantorach krypto: minimalny zestaw scenariuszy, który system monitoringu transakcji powinien obsługiwać, to:

• Scenariusz progowy — pojedyncze transakcje przekraczające progi z art. 35 ustawy AML (15 000 / 10 000 / 1 000 / 2 000 euro).
• Scenariusz powiązanych transakcji — sumy w określonym oknie czasowym (np. 24 h, 7 dni, 30 dni) dla tego samego klienta i pochodnych podmiotów.
• Scenariusz „splittingowy" — wiele transakcji nieco poniżej progu w krótkim czasie.
• Scenariusz odchylenia od profilu — wartość lub częstotliwość przekraczająca średnią klienta o określoną liczbę odchyleń standardowych.
• Scenariusz geograficzny — transakcje z państwami z listy KE/FATF.
• Scenariusz on-chain (dla CASP) — transakcje na adresy o złej reputacji, z mikserów, na portfele niehostowane powyżej progu 1 000 EUR (zob. nasz 14. wpis cyklu o Travel Rule).
• Scenariusz KYC — niezgodność deklaracji z rzeczywistym wzorcem transakcji.

Każdy alert powinien generować zadanie do analityka AML (zob. nasz 10. wpis cyklu o zgłoszeniach do GIIF, w którym szczegółowo omawiamy ścieżkę alert → analiza → decyzja → ewentualne SAR).

W kolejnym wpisie cyklu — „Podejście oparte na ryzyku (RBA) — jak budować ocenę ryzyka instytucji i klienta" — pokażemy, jak typologie z tego artykułu przekładają się na ramową ocenę ryzyka, której wymaga art. 27 ustawy AML.

Źródła i podstawy prawne

• Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 35 ust. 1 — Dz.U. 2025 poz. 644 t.j. (ISAP).
• Kodeks karny, art. 299 (pranie pieniędzy) (ISAP).
• 40 Rekomendacji FATF — FATF Recommendations (fatf-gafi.org).
• FATF — Money Laundering Methods and Trends Reports (typologie i schematy) (fatf-gafi.org).
• Egmont Group — Best Egmont Case Awards (typologie międzynarodowe) (egmontgroup.org).
• Rozporządzenie delegowane Komisji (UE) 2016/1675 — lista państw trzecich wysokiego ryzyka (EUR-Lex).
• GIIF — sprawozdania roczne i komunikaty o typologiach (gov.pl/giif).

Co dalej w cyklu?

• Podejście oparte na ryzyku (RBA) — ocena ryzyka instytucji i klienta
• Środki bezpieczeństwa finansowego, identyfikacja i weryfikacja klienta
• Wzmożone środki bezpieczeństwa finansowego (EDD)
• Monitoring transakcji — scenariusze, alerty i obsługa
• Zgłaszanie do GIIF — transakcje ponadprogowe i SAR-y