Travel Rule (TFR 2023/1113) i kryptoaktywa — co naprawdę musi zrobić CASP

To czternasty wpis z naszego cyklu o AML 2026. Travel Rule w sektorze kryptoaktywów to obecnie najszybciej rosnący obszar compliance — od 30 grudnia 2024 r. obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1113 z 31 maja 2023 r. (TFR), które wprowadziło zasadę „dane podróżują z transakcją” zarówno dla transferów pieniężnych (FIAT — analogicznie do reformy PSD3/PSR), jak i dla kryptoaktywów. W tym wpisie pokazujemy, co realnie musi zrobić CASP (Crypto-Asset Service Provider) działający w Polsce — w połączeniu z obowiązkami z polskiej ustawy AML. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML), na rozporządzenie 2023/1113 (TFR), na rozporządzenie 2023/1114 (MiCA) oraz na wytyczne EBA/GL/2024/11.

Czym jest TFR i co zmieniło 30 grudnia 2024 r.?

Rozporządzenie 2023/1113 (TFR — Transfer of Funds Regulation) zastąpiło rozporządzenie 2015/847 (poprzednio obejmujące jedynie transfery FIAT). Nowe rozporządzenie:

• Obowiązuje bezpośrednio we wszystkich państwach członkowskich UE — nie wymaga transpozycji.
• Stosuje się od 30 grudnia 2024 r. — w pełni objęło sektor kryptoaktywów.
• Wprowadza zasadę Travel Rule — informacje o inicjatorze (nadawcy) i beneficjencie (odbiorcy) muszą towarzyszyć każdej transakcji, tak żeby właściwe organy mogły prześledzić przepływ wartości.

TFR nie zastępuje polskiej ustawy AML. Oba akty obowiązują łącznie: ustawa AML reguluje KYC, ocenę ryzyka, monitoring, raportowanie do GIIF; TFR reguluje, jakie informacje muszą towarzyszyć poszczególnym transferom i jak postępować przy brakach. W naszej praktyce widzimy, że niedopasowanie procesu między tymi dwoma reżimami jest jednym z głównych ryzyk podczas kontroli KAS / GIIF.

Kim jest CASP po MiCA?

Rozporządzenie 2023/1114 (MiCA — Markets in Crypto-Assets Regulation) — w pełni stosowane od 30 grudnia 2024 r. — wprowadziło nowe pojęcie dostawcy usług w zakresie kryptoaktywów (CASP — Crypto-Asset Service Provider). CASP to podmiot, który profesjonalnie świadczy co najmniej jedną z 10 usług kryptoaktywowych zdefiniowanych w art. 3 ust. 1 pkt 16 MiCA:

• Przechowywanie i administrowanie kryptoaktywami w imieniu klientów.
• Prowadzenie platformy obrotu kryptoaktywami.
• Wymiana kryptoaktywów na środki pieniężne lub na inne kryptoaktywa.
• Wykonywanie zleceń dotyczących kryptoaktywów na rzecz klientów.
• Plasowanie kryptoaktywów.
• Przyjmowanie i przekazywanie zleceń dotyczących kryptoaktywów.
• Doradztwo dotyczące kryptoaktywów.
• Zarządzanie portfelem kryptoaktywów.
• Świadczenie usług transferu kryptoaktywów.
• Świadczenie usług staking-as-a-service (w zakresie określonym w MiCA).

Przejście z polskiego rejestru działalności w zakresie walut wirtualnych (art. 129m i nast. ustawy AML) do unijnego reżimu CASP jest stopniowe — trwa okres przejściowy zgodnie z art. 143 MiCA.

Z perspektywy AML: każdy CASP jest instytucją obowiązaną w rozumieniu art. 2 ust. 1 ustawy AML i jednocześnie podlega wprost rozporządzeniu TFR.

TFR dla transferów FIAT — co się zmieniło?

W stosunku do poprzedniego rozporządzenia 2015/847, dla transferów pieniężnych zmiany w TFR są raczej kosmetyczne. Najważniejsze obowiązki:

• Art. 4 TFR — każdy transfer musi być opatrzony pełnymi i zweryfikowanymi danymi płatnika (imię i nazwisko / nazwa, numer rachunku, adres / numer dokumentu tożsamości / NIP / data i miejsce urodzenia) oraz danymi odbiorcy (imię i nazwisko / nazwa, numer rachunku).
• Art. 5 TFR — uproszczenia w obrębie UE: w komunikacie towarzyszącym wystarczy numer rachunku obu stron lub inny identyfikator, ale pełen pakiet danych musi być dostępny na żądanie drugiego dostawcy w ciągu 3 dni roboczych. Uproszczenie dotyczy tylko formatu — nie posiadania danych.
• Art. 6 TFR — transfery poza UE: pełen pakiet danych obowiązkowy, z wyjątkiem transferów niepowiązanych poniżej 1 000 EUR (wystarczy imię + nazwisko + numery rachunków).
• Próg „niepowiązanych” 1 000 EUR — niżej brak obowiązku weryfikacji danych, chyba że gotówka, anonimowy e-pieniądz albo podejrzenie ML/FT.

TFR dla transferów kryptoaktywów — sedno regulacji

To jest kluczowy obszar. Art. 14–15 TFR nakładają na CASP inicjatora obowiązek zapewnienia, że każdemu transferowi kryptoaktywów — niezależnie od kwoty — towarzyszą pełne i zweryfikowane informacje o:

Inicjatorze:

• Imię i nazwisko (osoba fizyczna) lub pełna zarejestrowana nazwa (osoba prawna).
• Adres portfela DLT (z którego transfer jest inicjowany).
• Adres zamieszkania (państwo, miejscowość, ulica, numer) lub numer dokumentu tożsamości lub numer identyfikacyjny klienta lub data i miejsce urodzenia.

Beneficjencie:

• Imię i nazwisko / nazwa.
• Adres portfela DLT (na który transfer jest kierowany).

Dane muszą być zweryfikowane zgodnie z CDD (z polskiej perspektywy — art. 36–37 ustawy AML) i przekazane przed lub równocześnie z transferem; mogą być powiązane z transferem (nie muszą być w nim technicznie zawarte). Brak wymaganych danych = zakaz inicjowania transferu (art. 14 ust. 1 in fine).

W przeciwieństwie do FIAT, dla kryptoaktywów nie ma progu zwalniającego. Każdy transfer, nawet o wartości 5 EUR, podlega Travel Rule. To często niedoceniane.

Obowiązki CASP beneficjenta — art. 16–18 TFR

CASP po stronie odbiorcy ma cztery główne zadania:

• Wykrywanie braków informacyjnych o inicjatorze i beneficjencie.
• Weryfikacja tożsamości beneficjenta przed udostępnieniem kryptoaktywów.
• Decyzje oparte na ocenie ryzyka przy brakach: odrzucenie transferu, zwrot, zatrzymanie do uzupełnienia, akceptacja z dodatkowymi środkami.
• Eskalacja przy powtarzających się naruszeniach ze strony CASP inicjatora — informacja do GIIF niezwłocznie, nie później niż 3 miesiące od stwierdzenia powtarzania.

Mechanizm wykrywania braków (zwany w wytycznych EBA missing information detection — MID) jest nietrywialny. Brak nie znaczy tylko „pole puste”. Art. 7 i 16 TFR + wytyczne EBA/GL/2024/11 traktują jako brak także dane „pozbawione sensu” — losowe ciągi znaków (np. „XXX”), same tytuły bez nazwiska („dr.”, „pani”), oznaczenia niezrozumiałe („inny”, „mój klient”). CASP musi mieć narzędzie wykrywające takie wzorce — zarówno w czasie rzeczywistym, jak i w analizie ex post.

Portfele hostowane vs niehostowane (NCW) — fundamentalna różnica

TFR rozróżnia (art. 3) dwa typy portfeli kryptoaktywowych:

• Portfel hostowany (custodial) — utrzymywany lub zarządzany przez CASP posiadający zezwolenie. Klucze prywatne są w posiadaniu dostawcy.
• Portfel niehostowany (NCW — non-custodial wallet) — klient sam posiada i zarządza kluczami prywatnymi, bez pośrednictwa licencjonowanego CASP. Klasyczne przykłady: MetaMask, Ledger, Trezor, Phantom, Trust Wallet w trybie self-custody.

Z perspektywy TFR rozróżnienie ma fundamentalne znaczenie operacyjne — bo w transferze NCW druga strona (właściciel portfela niehostowanego) nie jest CASP-em, więc nie da się jej zobligować do przekazania danych w protokole Travel Rule.

Transfery na NCW powyżej 1 000 EUR — art. 14 ust. 5 TFR

Tu jest kluczowy przepis. Przy transferze kryptoaktywów na portfel niehostowany o wartości powyżej 1 000 EUR CASP inicjatora musi podjąć odpowiednie środki w celu oceny, czy ten portfel jest własnością inicjatora lub jest przez niego kontrolowany (art. 14 ust. 5 TFR).

Co ważne — przepis nie zakazuje transferów na portfele osób trzecich. Wymaga jedynie oceny własności/kontroli powyżej progu 1 000 EUR. Poniżej tego progu wystarczy posiadanie kompletnych informacji o stronach transferu, bez weryfikacji własności portfela. Przy podwyższonym ryzyku obowiązują wzmożone środki bezpieczeństwa (EDD).

Jak zweryfikować, że NCW należy do klienta?

TFR i wytyczne EBA wskazują kilka metod weryfikacji proof of ownership portfela niehostowanego:

• Podpis kryptograficzny — klient podpisuje wybraną wiadomość kluczem prywatnym portfela („Satoshi test”). To najbardziej kryptograficznie pewna metoda.
• Mikrotransfer weryfikacyjny — klient wykonuje niewielki transfer z portfela NCW na adres wskazany przez CASP. Logika: tylko właściciel klucza może wykonać transfer.
• Wideoweryfikacja z demonstracją kontroli — klient w wideorozmowie pokazuje, że ma dostęp do portfela (np. wykonuje operację w czasie rzeczywistym).
• Kombinacja metod przy wyższym ryzyku.

Wybór metody zależy od:

• Typu portfela (nie każdy obsługuje wygodne podpisywanie wiadomości).
• Wiarygodności oceny (kryptograficzny dowód > wideoweryfikacja).
• Poziomu ryzyka klienta i transakcji.

W naszej praktyce dla CASP-ów z polskiego rynku rekomendujemy podpis kryptograficzny + mikrotransfer jako standardową kombinację dla transferów NCW > 1 000 EUR; wideoweryfikacja jako fallback dla portfeli, które nie wspierają wygodnie podpisywania wiadomości.

Procedury TFR — co musi być w procedurze AML?

Z art. 50 ustawy AML procedura wewnętrzna AML obejmuje wszystkie obowiązki ustawowe — to znaczy także TFR. Z naszej praktyki dobra procedura ma sekcję dedykowaną Travel Rule, w której:

• Definiuje role: kto pełni funkcję CASP inicjatora, kto CASP beneficjenta (typowo ten sam podmiot dla obu kierunków, ale procedura musi to opisywać).
• Mapuje wymagane dane dla każdego typu transferu: FIAT vs kryptoaktywa, w UE vs poza UE, hostowany vs NCW, poniżej / powyżej progów.
• Opisuje system MID (missing information detection) — narzędzie i progi.
• Określa decyzje przy brakach: jakie braki = odrzucenie, jakie = zatrzymanie do uzupełnienia, jakie = akceptacja po analizie.
• Opisuje proces weryfikacji NCW > 1 000 EUR — która metoda proof of ownership, kiedy.
• Zawiera ścieżkę eskalacji przy powtarzających się naruszeniach od CASP inicjatora — informacja do GIIF, nie później niż 3 miesiące od stwierdzenia.
• Opisuje archiwizację — wszystkie informacje TFR muszą być przechowywane zgodnie z art. 49 ustawy AML (5 lat).

Monitoring transakcji on-chain — uzupełnienie TFR

TFR koncentruje się na transferach „w punktach styku” — czyli na granicach, gdzie kryptoaktywa wchodzą do systemu CASP lub go opuszczają. Pełna ochrona AML wymaga jednak również monitoringu on-chain — analizy historii adresów, z którymi transakcjuje klient.

W naszej praktyce minimalny zestaw scenariuszy on-chain dla CASP-ów obejmuje:

• Wpłaty z adresów objętych sankcjami OFAC / UE (np. listy publikowane przez Treasury).
• Wpłaty z mikserów kryptowalutowych (Tornado Cash, ChipMixer, Sinbad i inne).
• Wpłaty/wypłaty z monet prywatnościowych (Monero, Zcash w trybie shielded) — wymagają specjalnego traktowania.
• Peel chains — łańcuchowe transfery przez wiele adresów, każdy z minimalną kwotą wybieraną z głównego portfela.
• Cross-chain swaps w krótkim czasie — typowy wzorzec ukrywania pochodzenia.
• Coin join — transakcje typu wspólnego mieszania środków.
• Odbiór z adresów zaledwie utworzonych (brak historii).
• Transakcje na adresy o złej reputacji on-chain (ransomware, dark markets).

Komercyjne narzędzia analityczne (Chainalysis, TRM Labs, Elliptic, Crystal) integrują dane z list OFAC, UE i własnych baz reputacyjnych. Dla CASP-ów obsługujących wolumen powyżej kilku milionów EUR rocznie taka integracja to praktyczny standard.

Wzorce podejrzanych transakcji kryptowalutowych

Z naszej praktyki najczęstsze wzorce on-chain wskazujące na podejrzaną aktywność:

• Wielokrotne małe transakcje tuż poniżej progu raportowego (smurfing on-chain).
• Nagły wzrost aktywności niezgodny z profilem klienta.
• Transakcje do wielu nowych adresów bez historii.
• Łańcuchowe transfery przez wiele adresów (peel chains).
• Użycie mikserów lub usług prywatności.
• Konwersje stablecoinów i cross-chain swaps w krótkim czasie.
• Transakcje na adresy łączone z ransomware albo dark markets.
• Wpłaty z DEX (zdecentralizowanych giełd) bez wcześniejszej historii on-chain.

Każdy z tych wzorców powinien być scenariuszem w systemie monitoringu i — w razie potrzeby — uruchamiać zawiadomienie GIIF z art. 74 lub art. 86 ustawy AML.

Najczęstsze błędy CASP w obsłudze TFR — z naszej praktyki

• Brak weryfikacji NCW > 1 000 EUR — CASP transferuje na adresy bez analizy własności.
• Brak detekcji „pozbawionych sensu” danych — system akceptuje „inicjator: client” jako prawidłowe.
• Brak archiwizacji informacji TFR — dane są w systemie operacyjnym, ale nie w archiwum AML.
• Brak procedury eskalacji powtarzających się naruszeń ze strony CASP partnerskiego.
• Pomijanie sekcji TFR w procedurze wewnętrznej AML.
• Brak monitoringu on-chain dla transakcji wykraczających poza klasyczne CDD.
• Mylenie progu 1 000 EUR (NCW) z progiem 1 000 EUR z art. 35 ust. 1 pkt 2 lit. c ustawy AML — to dwa różne mechanizmy obowiązków, choć z identyczną kwotą.

W ostatnim wpisie cyklu — „Kary, kontrole i odpowiedzialność osobista zarządu” — pokazujemy, co realnie czeka instytucję obowiązaną i jej kierownictwo w razie naruszenia obowiązków AML: kary administracyjne, odpowiedzialność karna członków zarządu, ścieżka kontroli GIIF/KNF/KAS i zasady postępowania w razie ujawnienia nieprawidłowości.

Źródła i podstawy prawne

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1113 z 31 maja 2023 r. (TFR).
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z 31 maja 2023 r. (MiCA).
• Wytyczne EBA/GL/2024/11 z 4 lipca 2024 r. — Travel Rule, missing information detection.
• Rekomendacja FATF 16 — Wire Transfers.
• Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 2 ust. 1 pkt 12, art. 35 ust. 1 pkt 2 lit. c, art. 129m–129za — Dz.U. 2025 poz. 644 t.j.
• KNF — komunikaty dotyczące CASP i MiCA.
• FATF Updated Guidance on Risk-Based Approach for Virtual Assets and VASPs (2021).

Co dalej w cyklu?

• 11. Listy sankcyjne
• 12. AML vs RODO
• 13. Outsourcing AML i nadzór nad agentami
• 15. Kary, kontrole i odpowiedzialność osobista zarządu