To ostatni, piętnasty wpis z naszego cyklu o AML 2026. Po czternastu artykułach o tym, co trzeba zrobić, dochodzimy do równie istotnego pytania: co się dzieje, jeżeli się tego nie zrobi. W tym artykule pokazujemy: jakie kary administracyjne grożą instytucji obowiązanej, jaka jest odpowiedzialność karna członków zarządu i pracowników, jak wygląda ścieżka kontroli GIIF / KNF / KAS i jak się zachować, jeżeli kontrola wykazuje nieprawidłowości. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 130–157, oraz na art. 299 i art. 165a Kodeksu karnego.

Dwa równoległe reżimy odpowiedzialności

W przypadku naruszeń AML mamy do czynienia z dwoma równoległymi reżimami odpowiedzialności:

  • Administracyjny — kary administracyjne nakładane przez GIIF, KNF, NBP, KAS na instytucję obowiązaną i osoby fizyczne odpowiedzialne za naruszenie. Reżim z art. 147–157 ustawy AML.
  • Karny — odpowiedzialność karna z art. 299 k.k. (pranie pieniędzy), art. 165a k.k. (finansowanie terroryzmu), art. 156 ustawy AML (np. tipowanie), oraz przepisów ustawy z 13 kwietnia 2022 r. o przeciwdziałaniu agresji na Ukrainę.

Te dwa reżimy mogą wystąpić łącznie — i często tak się dzieje. Naruszenie obowiązku raportowania może być jednocześnie naruszeniem administracyjnym (kara od GIIF) i karnym (art. 299 § 5 k.k. — pranie pieniędzy nieumyślnie). Reżimy są niezależne — kara administracyjna nie wyłącza odpowiedzialności karnej i odwrotnie (z wyjątkiem zasady ne bis in idem, do której wracamy poniżej).

Katalog kar administracyjnych — art. 150 ust. 1

Art. 150 ust. 1 ustawy AML wymienia pięć rodzajów kar administracyjnych:

  • Pkt 1 — publikacja informacji o instytucji obowiązanej oraz zakresie naruszenia w Biuletynie Informacji Publicznej Ministerstwa Finansów. To „kara reputacyjna” — ujawnienie publiczne nazwy podmiotu i opisu naruszenia.
  • Pkt 2 — nakaz zaprzestania podejmowania określonych czynności.
  • Pkt 3 — cofnięcie koncesji lub zezwolenia albo wykreślenie z rejestru działalności regulowanej. Dla wielu instytucji równoznaczne z końcem działalności.
  • Pkt 4 — zakaz pełnienia obowiązków na stanowisku kierowniczym przez osobę odpowiedzialną za naruszenie, na okres nie dłuższy niż rok. To kara osobista — adresowana wobec konkretnej osoby fizycznej.
  • Pkt 5 — kara pieniężna.

Te kary mogą być nakładane w różnych kombinacjach — np. publikacja + kara pieniężna + zakaz pełnienia funkcji.

Wysokość kary pieniężnej — art. 150 ust. 2–3

Konstrukcja jest dwustopniowa.

Zasada ogólna (art. 150 ust. 2) — kara pieniężna do dwukrotności kwoty korzyści osiągniętej lub straty unikniętej przez instytucję w wyniku naruszenia. Jeżeli nie da się ustalić tej kwoty — do równowartości 1 000 000 euro.

Zasada szczególna dla instytucji finansowych (art. 150 ust. 3) — dotyczy instytucji z art. 2 ust. 1 pkt 1–5, 7–11, 24 i 25 (m.in. banki, SKOK-i, KIP, MIP, fundusze inwestycyjne, towarzystwa funduszy, zakłady ubezpieczeń, firmy inwestycyjne, instytucje finansowe). Limity są wyższe:

  • Osoba fizyczna — kara do wysokości 20 868 500 zł.
  • Osoba prawna lub jednostka organizacyjna — kara do wysokości równowartości 5 000 000 euro albo do 10% obrotu z ostatniego zatwierdzonego sprawozdania finansowego (ze skonsolidowanym dla grup) — przy czym stosuje się kwotę wyższą.

Co istotne — limit „5 mln EUR lub 10% obrotu” oznacza, że dla większych instytucji realna kara może być wielokrotnie wyższa niż 5 mln EUR.

Jak organ ustala wysokość kary? Art. 150 ust. 4

Art. 150 ust. 4 ustawy AML wymienia siedem czynników, które organ uwzględnia przy ustalaniu wysokości kary:

  • Waga naruszenia i czas jego trwania.
  • Zakres odpowiedzialności instytucji obowiązanej.
  • Możliwości finansowe instytucji.
  • Skala korzyści osiągniętych lub strat unikniętych.
  • Straty osób trzecich, jeżeli można je ustalić.
  • Stopień współpracy instytucji z organami AML.
  • Uprzednie naruszenia przepisów ustawy.

W naszej praktyce kluczowy jest stopień współpracy (pkt 6) i uprzednie naruszenia (pkt 7) — przy szczerej współpracy i pierwszym naruszeniu kara jest zwykle istotnie obniżona; przy obstrukcji i recydywie — odwrotnie.

Art. 150 ust. 5 dopuszcza odstąpienie od kary, jeżeli waga naruszenia jest znikoma, instytucja zaprzestała naruszania, albo została już ukarana za to samo zachowanie przez inny uprawniony organ (zasada ne bis in idem).

Kto nakłada karę? — art. 151

Kary administracyjne nakłada się w drodze decyzji. Organy uprawnione (art. 151 ust. 1):

  • Generalny Inspektor Informacji Finansowej — w zakresie naruszeń stwierdzonych w wyniku kontroli prowadzonej przez GIIF (art. 130 ust. 1) albo wskazanych przez inne organy.
  • Prezes NBP — w zakresie kontroli kantorów wymiany walut.
  • Komisja Nadzoru Finansowego (KNF) — w zakresie nadzorowanych przez siebie instytucji.
  • Naczelnicy urzędów celno-skarbowych — w zakresie kontroli prowadzonej przez KAS.
  • Wojewodowie — w odniesieniu do podmiotów hazardowych.
  • Prezesi okręgowych rad zawodowych adwokatów / radców prawnych / doradców podatkowych — w stosunku do swoich członków.
  • Prezes UODO — w zakresie naruszeń ochrony danych w kontekście AML.

Decyzja o nałożeniu kary podlega zaskarżeniu do sądu administracyjnego (WSA, NSA).

Odpowiedzialność osobista członków zarządu — art. 6 i art. 7

Polska ustawa AML ma istotny mechanizm odpowiedzialności osobistej.

Art. 6 — instytucja obowiązana wyznacza kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonanie obowiązków określonych w ustawie. To zwykle członek zarządu odpowiedzialny za AML/compliance.

Art. 7 — instytucja obowiązana wyznacza spośród członków organu zarządzającego (zarządu) osobę odpowiedzialną za wdrożenie obowiązków ustawowych. W praktyce to ten sam członek zarządu, który pełni funkcję z art. 6, albo dedykowany członek zarządu ds. compliance.

Art. 8 — instytucja obowiązana wyznacza pracownika zajmującego kierownicze stanowisko (potocznie AML-RO — AML Reporting Officer), który jest odpowiedzialny za zgodność działalności z ustawą AML i za przekazywanie zawiadomień z art. 74 ust. 1, art. 86 ust. 1, art. 89 ust. 1 i art. 90 ustawy.

Art. 9 — w jednoosobowych instytucjach obowiązanych (np. mała kantor, mały kantor krypto) zadania kadry kierowniczej i pracownika z art. 6 i 8 wykonuje osoba prowadząca działalność.

Konsekwencja praktyczna: przy naruszeniach członek zarządu z art. 7 albo AML-RO z art. 8 może być adresatem indywidualnej kary administracyjnej. Kara z art. 150 ust. 1 pkt 4 (zakaz pełnienia funkcji do roku) i kara pieniężna do 20 868 500 zł (art. 150 ust. 3 pkt 1) są stosowane wobec osób fizycznych. To realne — nie tylko teoretyczne.

Odpowiedzialność karna z art. 299 i 165a k.k.

Art. 299 § 1 k.k. penalizuje pranie pieniędzy — kara pozbawienia wolności od 6 miesięcy do 8 lat. Typ kwalifikowany (art. 299 § 6 k.k.) — od 2 do 15 lat. Typ nieumyślny (art. 299 § 5 k.k.) — grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat.

Art. 165a k.k. penalizuje finansowanie terroryzmu — kara pozbawienia wolności od 6 miesięcy do 8 lat. Typ kwalifikowany — do 12 lat.

Z perspektywy pracowników instytucji obowiązanych kluczowy jest art. 299 § 5 k.k. — typ nieumyślny. Penalizuje on sytuację, w której sprawca „powinien i mógł przypuszczać”, że wartości pochodzą z czynu zabronionego. Pracownik front-office, który widzi czerwone flagi, ale ich nie zgłasza — jest narażony na ten przepis.

W praktyce postępowania karne na podstawie art. 299 § 5 k.k. wobec pracowników instytucji są rzadkie, ale realne. Najczęściej dotyczą AML-RO, który świadomie zaniechał obowiązku raportowania.

Odpowiedzialność karna z art. 156 ustawy AML

Art. 156 ustawy AML (i pokrewne) penalizuje konkretne naruszenia ustawy AML — m.in. ujawnianie informacji wbrew zakazowi tajemnicy z art. 54 (tipowanie) i bezprawne ujawnianie informacji ze stosowania środków bezpieczeństwa finansowego. Kara — pozbawienie wolności od 3 miesięcy do 5 lat.

To jest istotny przepis — bo „tipowanie” przez pracownika nie jest tylko naruszeniem administracyjnym, ale przestępstwem. W naszej praktyce widzieliśmy kilka przypadków postępowań karnych z art. 156 ustawy AML — najczęściej przeciwko pracownikom, którzy sygnalizowali klientowi wstrzymanie transakcji.

Kontrola GIIF / KNF / KAS — co i jak

Art. 130 ustawy AML rozdziela kompetencje kontrolne:

  • GIIF — kontroluje wszystkie instytucje obowiązane w zakresie wykonywania obowiązków z ustawy AML (z określonymi wyjątkami).
  • KNF — kontroluje instytucje nadzorowane (banki, SKOK-i, fundusze, ubezpieczyciele, KIP, MIP, IP-e, firmy inwestycyjne).
  • NBP — kontroluje kantory wymiany walut.
  • KAS — kontroluje wpis do rejestrów (m.in. działalność na rzecz spółek/trustów, działalność w zakresie walut wirtualnych) i wykonywanie obowiązków z TFR / ustawy AML w tych obszarach.
  • Wojewodowie — kontrolują podmioty hazardowe.
  • Samorządy zawodowe — kontrolują adwokatów, radców prawnych, doradców podatkowych, notariuszy.

Kontrola GIIF zaczyna się zwykle od zawiadomienia o zamiarze kontroli (z określonym wyprzedzeniem, chyba że istnieje uzasadnione podejrzenie naruszenia, wtedy bez zawiadomienia). W trakcie kontroli organy mają prawo:

  • Wglądu w dokumenty i ewidencje.
  • Żądania ich kopii.
  • Przeprowadzenia rozmów z pracownikami.
  • Wglądu w systemy informatyczne.
  • Wglądu w pomieszczenia, w których prowadzona jest działalność.

Obowiązki instytucji obowiązanej podczas kontroli

Z naszej praktyki najważniejsze zasady postępowania w trakcie kontroli:

  • Współpracujemy. Stopień współpracy jest jednym z czynników wpływających na wysokość kary (art. 150 ust. 4 pkt 6). Obstrukcja zawsze szkodzi.
  • Mamy gotowy „pakiet kontrolny” — procedura wewnętrzna (zob. procedura art. 50), ocena ryzyka instytucji oparta na RBA, ostatnia ocena ryzyka klientów (próbka), raporty z funkcji compliance, dokumentacja szkoleń, akta wybranych klientów EDD. Brak tego = pierwsze pytanie kontrolera + protokół.
  • Wyznaczamy „single point of contact” — jedną osobę (zwykle AML-RO) odpowiedzialną za komunikację z kontrolą.
  • Prowadzimy własną dokumentację z kontroli — zapisujemy, co kontrolerzy zażądali, co dostali, co odpowiedzieli pracownicy.
  • Korzystamy z prawa do złożenia zastrzeżeń w trakcie i po protokole — nie po fakcie, bo termin jest ograniczony.
  • W razie poważnych zarzutów — angażujemy prawnika z dnia na dzień.

Co robić, jeśli kontrola wykazała nieprawidłowości?

Z naszej praktyki w postępowaniach pokontrolnych skuteczna strategia obejmuje:

  • Niezwłoczne wdrożenie środków naprawczych — najlepiej zanim organ wyda decyzję. To istotnie wpływa na art. 150 ust. 5 (możliwość odstąpienia od kary, jeśli waga naruszenia znikoma + zaprzestanie).
  • Plan naprawczy z harmonogramem — pokazany organowi, z dowodami wdrożenia.
  • Ekspertyza zewnętrzna — niezależna analiza prawna, której wynik dołączamy do odwołania od decyzji.
  • Argumentacja proporcjonalności — w odwołaniu wskazujemy na pkt 4 (skala korzyści/strat — była minimalna lub żadna), pkt 6 (współpraca), pkt 5 (czy faktycznie wystąpiły straty osób trzecich).
  • Skarga do sądu administracyjnego — jeśli decyzja ostateczna jest niesprawiedliwa, pełna ścieżka WSA → NSA.

W przypadku najpoważniejszych naruszeń (np. cofnięcie zezwolenia z art. 150 ust. 1 pkt 3) sąd administracyjny może wstrzymać wykonanie decyzji do czasu rozpoznania skargi — to często realnie ratuje działalność.

Recydywa i pamięć systemu

Art. 150 ust. 4 pkt 7 wprost mówi: organ uwzględnia uprzednie naruszenia. W praktyce instytucja obowiązana, która została ukarana raz, w razie kolejnego naruszenia może liczyć na surowsze kary — i często dostaje karę bliską maksymalnej.

Z naszej praktyki: jeżeli Twoja instytucja kiedyś była przedmiotem postępowania pokontrolnego, plan naprawczy musi być wdrożony w sposób udokumentowany — bo przy następnej kontroli pierwsze pytanie organu brzmi: „pokażcie, jak zrealizowaliście rekomendacje z poprzedniej kontroli”.

Najczęstsze przyczyny kar — z naszej praktyki

W ostatnich 5 latach najczęściej obserwowane podstawy kar AML w Polsce:

  • Brak procedury wewnętrznej AML albo procedura niezaktualizowana (art. 50).
  • Brak oceny ryzyka instytucji albo niezaktualizowana ocena (art. 27).
  • Brak weryfikacji BR (art. 36 ust. 2 + art. 37 ust. 2).
  • Brak raportowania do GIIF (art. 72, art. 74, art. 86, art. 90).
  • Brak screeningu sankcyjnego cyklicznego.
  • Naruszenie zakazu tipowania (art. 54).
  • Pominięcie sektora EDD przy klientach z państw wysokiego ryzyka.
  • Brak lub słabe szkolenia (art. 52).
  • Brak akceptacji procedury przez kadrę kierowniczą (art. 50 ust. 3).
  • Niezgodność z RODO (kary nakładane przez Prezesa UODO równolegle do kar GIIF).

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 6–9 (odpowiedzialność osobista), art. 130–146 (kontrole), art. 147–157 (kary administracyjne) — Dz.U. 2025 poz. 644 t.j.
  • Ustawa z 6 czerwca 1997 r. — Kodeks karny, art. 165a (finansowanie terroryzmu), art. 299 (pranie pieniędzy).
  • Ustawa z 14 czerwca 1960 r. — Kodeks postępowania administracyjnego (procedura kontroli i decyzji).
  • Ustawa z 30 sierpnia 2002 r. — Prawo o postępowaniu przed sądami administracyjnymi (skargi do WSA i NSA).
  • Ustawa z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę, art. 14 (odpowiedzialność karna za naruszenie sankcji) — Dz.U. 2022 poz. 835 ze zm.
  • BIP MF — publikacje informacji o nałożonych karach administracyjnych AML (art. 152 ustawy AML).
  • Sprawozdania roczne GIIF — statystyki kar i kontroli.

Cykl AML 2026 — podsumowanie

Tym wpisem kończymy nasz cykl 15 artykułów o AML 2026. Mamy nadzieję, że cykl pomógł Ci przyłożyć system AML w Twojej instytucji do litery przepisu — i podnieść dojrzałość compliance przed nadchodzącym pakietem unijnym AML 2024 (AMLR + AMLD6 + AMLA stosowane od 10 lipca 2027 r.).

Powiązane artykuły z cyklu