To dziewiąty wpis z naszego cyklu o AML 2026. W piątym artykule pokazaliśmy, że bieżące monitorowanie stosunków gospodarczych jest czwartym filarem środków bezpieczeństwa finansowego (art. 34 ust. 1 pkt 4 ustawy AML). Teraz schodzimy na poziom operacyjny: jak budować scenariusze monitoringowe, jak organizować pracę analityków, jak prowadzić ścieżkę alert → analiza → decyzja, żeby system AML był rzeczywiście skuteczny, a nie tylko spełniał formalne wymogi. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 34 ust. 1 pkt 4 i powiązane art. 35, 43, 74, 86.

Co dokładnie nakazuje ustawa?

Art. 34 ust. 1 pkt 4 ustawy AML wymienia bieżące monitorowanie stosunków gospodarczych klienta jako jeden z czterech środków bezpieczeństwa finansowego. Monitorowanie obejmuje w szczególności:

  • Analizę transakcji przeprowadzanych w ramach stosunków gospodarczych — w celu zapewnienia, że są zgodne z wiedzą instytucji o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz z ryzykiem prania pieniędzy i finansowania terroryzmu związanym z tym klientem.
  • Badanie źródła pochodzenia wartości majątkowych — w uzasadnionych przypadkach.
  • Zapewnianie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.

W praktyce monitoring AML to ciągły, wielowarstwowy proces, w którym różne mechanizmy (automatyczny scoring, system reguł, alert-management, analiza analityków, periodic review) się uzupełniają. Pojęcia „monitoring bieżący" i „analiza bieżąca" w polskiej praktyce stosuje się jako synonimy, choć analiza bieżąca akcentuje aspekt człowieka (analityka), a monitoring — aspekt systemu.

Trzy poziomy monitoringu

Z naszej praktyki dobry program monitoringu transakcji ma trzy warstwy działające równolegle.

Warstwa 1 — monitoring transakcyjny w czasie rzeczywistym (real-time)

Wykonywany przez system na poziomie pojedynczej transakcji, przed jej autoryzacją (lub w czasie rzeczywistym po zaksięgowaniu). Typowe scenariusze:

  • Sankcje (porównanie strony transakcji z listami sankcyjnymi UE, ONZ, OFAC, listą krajową).
  • Próg „twardy" — transakcje powyżej pewnej kwoty wymagające akceptacji 2nd line.
  • Geo-blokady — transakcje do/z krajów objętych restrykcjami.
  • Reguły walidacyjne — IBAN, SWIFT, format danych zgodny z TFR.

Ta warstwa jest niemożliwa do realizacji przez człowieka — wymaga systemu zintegrowanego z silnikiem płatniczym/transakcyjnym.

Warstwa 2 — monitoring scenariuszowy (post-transactional, near real-time)

Wykonywany przez system AML/Transaction Monitoring System (TMS) w cyklu np. godzinowym, dziennym, tygodniowym. Cel: wyłapać wzorce, których nie widać w pojedynczej transakcji. Przykłady scenariuszy:

  • Suma transakcji w określonym oknie czasowym (24 h, 7 dni, 30 dni) przekraczająca próg.
  • Wiele małych transakcji nieco poniżej progu (smurfing — scenariusz „splitting").
  • Odchylenie od profilu klienta (statystyczne anomalie).
  • Transakcje z portfelami niehostowanymi powyżej 1 000 EUR (dla CASP — z TFR).
  • Transakcje na adresy o złej reputacji on-chain.
  • Zmiana wzorca po zdarzeniu „triggerowym" (np. zmiana IP, urządzenia, kraju).

Każdy scenariusz powinien generować alert — strukturalny rekord, który trafia do kolejki analityka.

Warstwa 3 — analiza człowieka (alert review, case management)

Tu zaczyna się rola analityka AML (AML-RO). Z naszej praktyki dobry proces obsługi alertu obejmuje pięć kroków:

  • Triage — wstępna ocena alertu: false positive, do dalszej analizy, do natychmiastowej eskalacji.
  • Pogłębiona analiza — zebranie danych o kliencie, kontekstu transakcji, przeszłych alertów, PEP/sankcje, adverse media.
  • Decyzja — zamknięcie alertu (z uzasadnieniem), eskalacja, otworzenie sprawy.
  • Eskalacja — w razie potrzeby do osoby odpowiedzialnej z art. 7 ustawy lub do AML-RO z art. 8.
  • Działanie zewnętrznezawiadomienie GIIF (art. 74 lub art. 86 ust. 1) lub wstrzymanie transakcji wynikające z art. 86 ust. 4 (do 24 godzin) bądź żądania GIIF (art. 86 ust. 5 / art. 87, do 96 godzin).

Scenariusze monitoringowe — co naprawdę powinno być?

Każda instytucja powinna mieć udokumentowany katalog scenariuszy odzwierciedlający czerwone flagi z 3. wpisu cyklu o etapach prania, kategorie z art. 43 ust. 2 ustawy, i własną ocenę ryzyka instytucji (art. 27). Z naszej praktyki minimalny zestaw to:

  • Scenariusz progowy ustawowy — transakcje > 15 000 EUR (rejestracja na podstawie art. 72), > 1 000 EUR transfer środków pieniężnych, > 1 000 EUR w walucie wirtualnej, > 10 000 EUR gotówkowe (dla pkt 21–23), > 2 000 EUR hazardowe.
  • Scenariusz powiązanych transakcji (anty-smurfing) — sumowanie operacji powiązanych w oknie czasowym, zgodnie z klauzulą „kilka operacji, które wydają się ze sobą powiązane" z art. 35 ust. 1 pkt 2 lit. a.
  • Scenariusz odchylenia od profilu klienta — transakcje istotnie różniące się od deklaracji KYC lub historycznego profilu.
  • Scenariusz „dormant active" — rachunek pasywny przez X miesięcy, nagle aktywny.
  • Scenariusz geograficzny — transakcje z państw trzecich wysokiego ryzyka (rozporządzenie delegowane KE 2016/1675), z państw FATF z list szarej i czarnej.
  • Scenariusz EDD-trigger — wystąpienie kategorii z art. 43 ust. 2 (zob. 7. wpis cyklu o EDD).
  • Scenariusz on-chain (dla CASP) — transakcje z mikserów (Tornado Cash i podobnych), monet prywatnościowych (Monero), peel chains, adresów objętych sankcjami OFAC.
  • Scenariusz NCW (non-custodial wallet) — transakcje z portfelami niehostowanymi powyżej 1 000 EUR; weryfikacja „self-hosted ownership".
  • Scenariusz beneficjent rzeczywisty — zmiana danych BR, niezgodność z CRBR (uruchamia również obowiązek zgłaszania rozbieżności z art. 61a — zob. 6. wpis).
  • Scenariusz PEP — transakcje klientów PEP wymagające intensyfikacji monitoringu (art. 46 ust. 2 pkt 3).

Każdy scenariusz powinien mieć dokumentację: nazwę, opis, parametry (progi), uzasadnienie, częstotliwość uruchamiania, próg alertowy.

Tuning scenariuszy — gdzie najczęściej leży problem?

Najczęstszy problem w monitoringu AML to nadmiar fałszywych alarmów. Z naszej praktyki w analizie skuteczności scenariuszy widzimy:

  • Stosunek false positives do true positives 95:5 jest częsty, a 99:1 — niestety też.
  • Analitycy spędzają większość czasu na zamykaniu fałszywych alarmów, marginalizując realne zagrożenia.
  • Tuning scenariuszy (kalibracja parametrów) bywa wykonywany raz przy wdrożeniu i nie aktualizowany.

Dobry proces tuningu obejmuje:

  • Cykliczny przegląd scenariuszy (co najmniej raz w roku) z miarami: liczba alertów, liczba SAR-ów, liczba potwierdzonych nadużyć.
  • Test wsteczny — sprawdzenie, czy scenariusz wyłapałby znane przypadki nadużyć z przeszłości.
  • Korekta progów i okien czasowych w oparciu o dane.
  • Dodawanie nowych scenariuszy w odpowiedzi na zmiany typologii (np. AI-generowane fałszywe tożsamości, nowe instrumenty kryptoaktywowe).

Periodic review — uzupełnienie monitoringu

Monitoring transakcyjny to nie wszystko. Art. 34 ust. 1 pkt 4 obejmuje również aktualizację dokumentów, danych i informacji dotyczących stosunków gospodarczych — czyli okresowy przegląd akt klienta. Z naszej praktyki rytm dla różnych kategorii ryzyka:

  • Klient niskiego ryzyka — periodic review co 3–5 lat.
  • Klient średniego ryzyka — co 2–3 lata.
  • Klient wysokiego ryzyka (EDD) — co najmniej raz w roku.
  • Klient PEP — co najmniej raz w roku, z dodatkową weryfikacją statusu PEP.

Rytm musi być opisany w procedurze wewnętrznej (art. 50 ust. 2 pkt 2). Standardowo periodic review obejmuje: weryfikację aktualności danych identyfikacyjnych, ponowny screening sankcyjny i PEP, porównanie deklarowanego profilu z realnymi transakcjami, decyzję o utrzymaniu lub zmianie kategorii ryzyka.

Triggery reklasyfikacji ryzyka

Oprócz cyklicznego periodic review system powinien automatycznie przeklasyfikować ryzyko klienta w odpowiedzi na konkretne zdarzenia. Z naszej praktyki minimalny zestaw triggerów:

  • Zmiana danych klienta lub BR (art. 35 ust. 2 pkt 1–2).
  • Wystąpienie scenariusza alertowego.
  • Zawiadomienie do GIIF (art. 74 lub art. 86) dotyczące klienta.
  • Zmiana statusu PEP (objęcie / zakończenie funkcji + 12 miesięcy karencji z art. 46 ust. 5).
  • Nowe trafienie na liście sankcyjnej.
  • Adverse media o kliencie.
  • Istotna zmiana wzorca transakcji.
  • Wynik kontroli wewnętrznej.

Każdy trigger powinien automatycznie generować zadanie dla analityka, a decyzja zostaje udokumentowana z uzasadnieniem.

Dokumentacja monitoringu — co musi być w aktach klienta?

Z perspektywy kontroli GIIF/KNF dokumentacja monitoringu jest tak samo ważna jak sam proces. Z naszej praktyki w aktach klienta powinny być:

  • Scoring i kategorie ryzyka z uzasadnieniem (z aktualizacjami).
  • Lista alertów (otwartych, zamkniętych) z decyzjami i uzasadnieniami.
  • Dokumentacja periodic review.
  • Dokumentacja zawiadomień do GIIF (jeśli były).
  • Wyniki screeningu sankcyjnego i PEP (z datami).
  • Korespondencja z klientem dotycząca AML.
  • Dokumenty dotyczące źródła wartości majątkowych (przy klientach EDD).

W razie kontroli pierwsze pytanie kontrolera brzmi zwykle: „Pokażcie mi, jak wygląda akta wybranego klienta wysokiego ryzyka". Jeżeli odpowiedź to „pomyłka, nie mamy tego w jednym miejscu" — protokół jest gotowy.

Granica „monitoring → zawiadomienie do GIIF"

Trzy najważniejsze przepisy operacyjne:

  • Art. 74 ust. 1 — zawiadomienie GIIF o okolicznościach mogących wskazywać na pranie pieniędzy lub finansowanie terroryzmu (przekazywane niezwłocznie, nie później niż w terminie 2 dni roboczych od potwierdzenia podejrzenia).
  • Art. 86 ust. 1 — niezwłoczne zawiadomienie GIIF o uzasadnionym podejrzeniu, że transakcja lub wartości majątkowe mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzmu. Po zawiadomieniu instytucja nie przeprowadza transakcji do czasu otrzymania żądania GIIF lub zwolnienia, nie dłużej jednak niż przez 24 godziny od potwierdzenia odbioru zawiadomienia (art. 86 ust. 4). GIIF może wystąpić z żądaniem wstrzymania na okres do 96 godzin (art. 86 ust. 5; analogicznie art. 87 — z własnej inicjatywy GIIF).
  • Art. 90 — wskazanie podejrzanej transakcji po jej przeprowadzeniu, gdy okoliczności wzbudzające podejrzenie wystąpiły później.

Procedura monitoringu musi te trzy ścieżki rozróżniać i jednoznacznie określać, kto, kiedy i jak je uruchamia.

Zakaz „tipowania" — art. 54 ustawy

Pamiętaj o jednej rzeczy, która łamie cały sens systemu, jeżeli się ją zignoruje: art. 54 ustawy AML zakazuje ujawniania klientowi (ani osobom trzecim) faktu przekazania informacji do GIIF. Nazywa się to „tipowaniem" — pracownik, który mówi klientowi „wiem, że Cię zgłaszam", popełnia poważne naruszenie ustawy.

Procedura monitoringu i szkolenia muszą jasno wyjaśniać:

  • Czego NIE mówić klientowi (że jest w toku zawiadomienie, że transakcja została wstrzymana z powodu AML, że klient został oznaczony jako podejrzany).
  • Co MOŻNA powiedzieć (np. „transakcja nie może być przeprowadzona z przyczyn formalnych").
  • Jakie są sankcje za naruszenie zakazu (art. 156 ustawy — kara administracyjna; w zależności od okoliczności również art. 266 k.k. dotyczący ujawnienia tajemnicy zawodowej).

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 34 ust. 1 pkt 4, art. 35, art. 54, art. 74, art. 86, art. 90 — Dz.U. 2025 poz. 644 t.j. (ISAP).
  • Wytyczne EBA/GL/2024/11 z 4 lipca 2024 r. — Travel Rule, missing information detection.
  • Joint Guidelines on Risk Factors — wytyczne EBA dotyczące monitoringu i czynników ryzyka (JC 2017 37).
  • 40 Rekomendacji FATF — Rekomendacja 10 i 11 (CDD i monitoring).
  • Komunikaty GIIF dotyczące typologii podejrzanych transakcji.
  • Wolfsberg Group — Statement on Effective Monitoring for Suspicious Activity.

Co dalej w cyklu?