Outsourcing AML i agenci — art. 47 vs 48 ustawy AML, KIP/MIP

To trzynasty wpis z naszego cyklu o AML 2026. Outsourcing czynności AML to dziś codzienność — na rynku istnieją dziesiątki dostawców KYC-as-a-Service, agencji weryfikacyjnych, firm outsourcujących cały proces compliance. Ustawa AML rozróżnia jednak trzy zupełnie różne mechanizmy „pomocy” w wykonywaniu obowiązków: korzystanie z usług podmiotu trzeciego (art. 47), powierzenie stosowania środków bezpieczeństwa finansowego (art. 48) oraz korzystanie z agentów / pośredników. Dla każdego z nich obowiązują inne wymogi — i inne konsekwencje za naruszenia. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 47–48 i powiązane.

Trzy mechanizmy — istotna różnica

Ustawa AML rozróżnia trzy modele:

Korzystanie z usług podmiotu trzeciego (art. 47) — instytucja obowiązana opiera się na wynikach środków bezpieczeństwa finansowego zastosowanych przez inny, niezależny podmiot (np. inny bank, instytucję z grupy, profesjonalnego dostawcę KYC). To w praktyce „polegamy na cudzym KYC”.
Powierzenie stosowania środków bezpieczeństwa finansowego (art. 48) — outsourcing w sensie ścisłym. Inny podmiot wykonuje obowiązki w imieniu i na rzecz instytucji obowiązanej, na podstawie pisemnej umowy.
Działalność przez agentów — w sektorze płatniczym (art. 35 ustawy o usługach płatniczych) i niektórych innych sektorach. Agent działa w imieniu instytucji, nie jest osobnym podmiotem dla celów AML — to instytucja odpowiada za jego działania.

Każdy model ma inne wymogi formalne, inny zakres dopuszczalnego outsourcingu i inny rygor odpowiedzialności.

Korzystanie z usług podmiotu trzeciego — art. 47

Art. 47 ust. 1 ustawy AML pozwala instytucjom obowiązanym korzystać z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego z art. 34 ust. 1 pkt 1–3 (identyfikacja klienta, identyfikacja BR, ocena charakteru stosunków). Nie obejmuje to monitoringu bieżącego (pkt 4) — ten pozostaje przy instytucji.

Warunek: podmiot trzeci niezwłocznie przekazuje instytucji, na żądanie, niezbędne informacje i dokumenty dotyczące zastosowanych środków, w tym kopie dokumentów z weryfikacji.

Art. 47 ust. 2 wskazuje, kim może być podmiot trzeci — to musi być inny podmiot regulowany: instytucja obowiązana z art. 2 ust. 1 z państwa członkowskiego UE/EOG, instytucja kredytowa lub finansowa z państwa trzeciego, jeżeli podlega wymogom AML równoważnym z UE i nadzorowi w zakresie zgodności z tymi wymogami.

Co istotne — odpowiedzialność za zastosowanie środków pozostaje przy instytucji obowiązanej (art. 47 ust. 3). To znaczy: nawet jeśli kto inny wykonał KYC, ja odpowiadam.

W praktyce art. 47 jest najczęściej wykorzystywany w grupach finansowych — bank centralny grupy wykonuje KYC, inne podmioty grupy korzystają z wyników. Rzadziej jest używany w relacjach „bank–fintech”, bo wymaga, żeby fintech miał regulowany status.

Powierzenie środków bezpieczeństwa finansowego — art. 48

Art. 48 ust. 1 ustawy AML pozwala powierzyć stosowanie środków bezpieczeństwa finansowego oraz prowadzenie i dokumentowanie analizy bieżącej innej osobie (fizycznej lub prawnej, lub jednostce organizacyjnej) działającej w imieniu i na rzecz instytucji obowiązanej, jeżeli na podstawie pisemnej umowy podmiot ten ma być traktowany jako część instytucji obowiązanej.

Cztery rzeczy, które trzeba zapamiętać:

Forma — pisemna umowa. Bez niej brak podstawy do powierzenia.
Podmiot „część instytucji obowiązanej” — to fikcja prawna, w której zewnętrzny dostawca jest traktowany jak Twoja własna jednostka organizacyjna. To zupełnie inny mechanizm niż art. 47.
Pełna odpowiedzialność. Art. 48 ust. 2 wprost mówi: powierzenie nie zwalnia instytucji obowiązanej z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego.
Zakres — art. 48 obejmuje wszystkie środki z art. 34 ust. 1, w tym monitoring bieżący. Szerszy niż art. 47.

W praktyce to jest mechanizm dla outsourcingu KYC-as-a-Service, gdzie zewnętrzny dostawca obsługuje cały proces on-boardingu. Ale wymaga: pisemnej umowy z konkretnymi klauzulami, audytu dostawcy, mechanizmu przekazywania danych, odpowiedzialności reżimowej.

Co musi zawierać umowa outsourcingowa AML?

Z naszej praktyki dobra umowa outsourcingowa AML obejmuje:

Zakres powierzonych czynności — precyzyjnie wymieniony, bez ogólników.
Standardy wykonania — odwołanie do procedury wewnętrznej AML instytucji obowiązanej (art. 50), do polityk grupowych, do wytycznych GIIF/EBA.
Niezwłoczne przekazywanie informacji — definicja terminu „niezwłocznie” (np. „w ciągu 4 godzin roboczych”).
Mechanizm raportowania — co i jak przekazuje dostawca (alerty, decyzje, dokumentacja, anomalie).
Prawo do audytu — możliwość kontroli dostawcy przez instytucję (i przez GIIF/KNF na żądanie).
Bezpieczeństwo i poufność — ochrona danych osobowych zgodnie z RODO, polityka retencji, środki techniczne i organizacyjne.
Mechanizmy SLA i kary umowne — za naruszenie standardu.
Klauzule eskalacyjne — kiedy dostawca eskaluje do instytucji decyzję o zawiadomieniu GIIF.
Procedura wypowiedzenia — z odpowiednim okresem i obowiązkiem zwrotu danych.
Lokalizacja przetwarzania danych — gdzie znajdują się serwery, centra danych, personel.

Outsourcing do podmiotów spoza EOG

Tu jest pułapka. Art. 47 ust. 2 wymaga, żeby podmiot trzeci z państwa trzeciego podlegał równoważnym wymogom AML i nadzorowi. To znaczy, że nie każdego dostawcę można wykorzystać.

W praktyce trzeba sprawdzić:

Czy państwo siedziby dostawcy nie znajduje się na liście państw trzecich wysokiego ryzyka (rozporządzenie delegowane KE 2016/1675).
Czy dostawca podlega lokalnemu nadzorowi AML.
Czy lokalne wymogi są równoważne z dyrektywą UE 2015/849.

Dodatkowe ograniczenia wynikają z RODO — przekazanie danych osobowych poza EOG wymaga spełnienia warunków z rozdziału V RODO (decyzja stwierdzająca odpowiedni stopień ochrony, standardowe klauzule umowne, wiążące reguły korporacyjne lub inne narzędzia). Outsourcing łączy się też z RBA — ocena ryzyka dostawcy musi być częścią ogólnej oceny ryzyka instytucji.

W naszej praktyce widzimy, że wiele instytucji obsługuje KYC za pośrednictwem dostawców z USA, UK, Indii — bez właściwej dokumentacji prawnej. To istotne ryzyko AML i RODO.

Agenci w sektorze płatniczym — odrębny reżim

W sektorze płatniczym instytucje płatnicze (KIP, MIP, BUP) działają często przez agentów — osoby świadczące usługi płatnicze w imieniu instytucji. Art. 35 i nast. ustawy z 19 sierpnia 2011 r. o usługach płatniczych regulują status agenta. Z perspektywy AML kluczowe jest, że:

Agent nie jest odrębną instytucją obowiązaną — działa w ramach instytucji.
Instytucja obowiązana ponosi pełną odpowiedzialność za działania agenta w zakresie AML.
Agent musi być wpisany do rejestru prowadzonego przez KNF.
Instytucja musi nadzorować agenta — w tym jego zgodność z procedurami AML.

Z naszej praktyki nadzór nad agentami jest jedną z najczęściej kwestionowanych kwestii w postępowaniach KNF. Najczęstsze nieprawidłowości:

Brak dokumentacji szkoleń agentów.
Brak audytów cyklicznych agentów.
Brak konsekwencji za naruszenia procedur AML przez agenta.
Brak procedury wycofania uprawnień agenta.

Outsourcing nie obejmuje obowiązków „nieoutsourcowalnych”

Pewnych obowiązków AML nie można outsourcować — pozostają przy instytucji obowiązanej:

Wyznaczenie kadry kierowniczej z art. 7 — odpowiedzialność członka zarządu za AML.
Wyznaczenie pracownika z art. 8 — kierownika ds. AML (AML-RO).
Procedura wewnętrzna z art. 50 — chociaż jej napisanie można outsource'ować, akceptacja z art. 50 ust. 3 należy do kadry kierowniczej.
Decyzje strategiczne — m.in. wyjście z relacji z klientem, wstrzymanie transakcji.
Komunikacja z GIIF — chociaż formalnie zawiadomienia może składać outsourcer w imieniu instytucji, decyzja o ich złożeniu i odpowiedzialność spoczywa na instytucji.

W naszej praktyce: outsourcing AML to delegacja wykonania, nie odpowiedzialności. Każda umowa outsourcingowa powinna jasno to precyzować.

Nadzór nad outsourcerem — co realnie robić?

Z naszej praktyki dobry program nadzoru obejmuje:

Audyt wstępny — przed zawarciem umowy: weryfikacja zgodności AML, RODO, technicznej, finansowej.
Cykliczne audyty operacyjne — co najmniej raz w roku, sprawdzenie próbki obsłużonych klientów.
Cykliczne testy — fikcyjnych klientów (mystery shopping) sprawdzających, czy procesy działają.
Monitoring KPI — czas obsługi, liczba alertów, liczba błędów, liczba zgłoszeń do GIIF.
Roczny przegląd zarządu — raport z funkcji compliance dotyczący nadzoru nad outsourcerami.
Klauzule wczesnego ostrzegania — outsourcer informuje o swoich incydentach AML/RODO.

Najczęstsze błędy w outsourcingu AML — z naszej praktyki

Mylenie art. 47 z art. 48 — instytucja podpisuje umowę, ale nie wiadomo, czy dostawca jest „częścią instytucji” (art. 48), czy działa niezależnie (art. 47). Konsekwencje w razie kontroli są zupełnie różne.
Brak pisemnej umowy z art. 48 — outsourcing jest, ale formalnie niedopuszczalny.
Brak audytu dostawcy — instytucja nie weryfikuje, jak rzeczywiście funkcjonuje outsourcer.
Outsourcing bez analizy ryzyka — przed zawarciem umowy nie wykonano oceny, czy dostawca spełnia wymogi.
Outsourcing do państwa trzeciego bez sprawdzenia równoważności.
Brak nadzoru nad agentami — instytucja płatnicza zatrudnia agentów, ale nie weryfikuje ich procesów AML.
Pominięcie RODO — outsourcing AML zawsze wiąże się z przetwarzaniem danych osobowych; brak umowy powierzenia z art. 28 RODO jest powszechny.

W kolejnym wpisie cyklu — „Travel Rule (TFR 2023/1113) i kryptoaktywa” — schodzimy do reżimu, który ostatnio najszybciej się rozbudowuje: obowiązki dostawców usług w zakresie kryptoaktywów (CASP) wynikające z rozporządzenia 2023/1113 (TFR), zwłaszcza w transferach z portfelami niehostowanymi.

Źródła i podstawy prawne

Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 47, 48 — Dz.U. 2025 poz. 644 t.j.
Ustawa z 19 sierpnia 2011 r. o usługach płatniczych, art. 35 i nast. (agenci) — Dz.U. 2024 poz. 30 ze zm.
Rozporządzenie delegowane Komisji (UE) 2016/1675 — państwa trzecie wysokiego ryzyka.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), rozdział V — przekazywanie danych do państw trzecich.
EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02).
Rejestr usług płatniczych KNF — agenci, KIP, MIP, BUP.

about us

FinTech

AML

E-commerce

GDPR

AI / NIS2

Kreator

Legal Geek Tracker

advisory

Blog

Podcast

Downloads

Outsourcing AML i nadzór nad agentami — co można, a czego nie wolno

Trzy mechanizmy — istotna różnica

Korzystanie z usług podmiotu trzeciego — art. 47

Powierzenie środków bezpieczeństwa finansowego — art. 48

Co musi zawierać umowa outsourcingowa AML?

Outsourcing do podmiotów spoza EOG

Agenci w sektorze płatniczym — odrębny reżim

Outsourcing nie obejmuje obowiązków „nieoutsourcowalnych”

Nadzór nad outsourcerem — co realnie robić?

Najczęstsze błędy w outsourcingu AML — z naszej praktyki

Źródła i podstawy prawne

Co dalej w cyklu?

Potrzebujesz wsparcia z AML/CFT?

Dziękujemy za wiadomość

Don't leave just yet

FinTech

AML

E-commerce

GDPR

AI / NIS2

about us

trusted by

legaltech

knowledge base

Trzy mechanizmy — istotna różnica

Korzystanie z usług podmiotu trzeciego — art. 47

Powierzenie środków bezpieczeństwa finansowego — art. 48

Co musi zawierać umowa outsourcingowa AML?

Outsourcing do podmiotów spoza EOG

Agenci w sektorze płatniczym — odrębny reżim

Outsourcing nie obejmuje obowiązków „nieoutsourcowalnych”

Nadzór nad outsourcerem — co realnie robić?

Najczęstsze błędy w outsourcingu AML — z naszej praktyki

Źródła i podstawy prawne

Co dalej w cyklu?

Potrzebujesz wsparcia z AML/CFT?

Dziękujemy za wiadomość

Related articles

Beneficjent rzeczywisty, CRBR i PEP — czyli kto naprawdę jest klientem i jak to udowodnić

Kary, kontrole i odpowiedzialność osobista zarządu — co Cię realnie czeka, jeśli się posypie

Listy sankcyjne — codzienna higiena AML, której nikt nie chce robić

Also read

Kary, kontrole i odpowiedzialność osobista zarządu — co Cię realnie czeka, jeśli się posypie

AML — najważniejsze pojęcia. Słownik 30 terminów, które trzeba znać

Szkolenie AML i szkolenie AML-RO — co musi zawierać, jak często i kogo szkolić