To czwarty wpis z naszego cyklu o AML 2026. W trzecim artykule omówiliśmy typologie i schematy prania pieniędzy. Teraz pokazujemy fundamentalną zasadę całego reżimu — risk-based approach, czyli podejście oparte na ryzyku — i jak zoperacjonalizować ją w dwóch dokumentach, których brak jest dziś najczęstszym powodem kar GIIF: ocenie ryzyka instytucji (art. 27 ustawy AML) i ocenie ryzyka klienta (art. 33 ustawy AML).

Czym jest podejście oparte na ryzyku?

Risk-based approach (RBA) to fundamentalna zasada FATF, na której opiera się cała współczesna architektura AML/CFT. W skrócie: zamiast stosować jednakowe procedury wobec każdego klienta i każdej transakcji, instytucja obowiązana identyfikuje, ocenia i zarządza ryzykiem prania pieniędzy oraz finansowania terroryzmu w sposób proporcjonalny do skali tego ryzyka. Zasoby trafiają tam, gdzie ryzyko jest największe.

Polski porządek prawny realizuje RBA przez dwa filary:

  • Ocenę ryzyka instytucji — art. 27 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML). To dokument na poziomie firmy, który mapuje, jakie ryzyka praniem pieniędzy i finansowaniem terroryzmu generuje sama działalność instytucji obowiązanej.
  • Ocenę ryzyka klienta — art. 33 ustawy AML. To proces, w którym każdy klient (i każda transakcja okazjonalna) dostaje indywidualną klasyfikację ryzyka, a od niej zależy zakres stosowanych środków bezpieczeństwa finansowego.

Te dwa dokumenty są ze sobą sprzężone: ocena ryzyka instytucji wyznacza scoring, zasady, czerwone flagi; ocena ryzyka klienta operacjonalizuje to scoringiem na poziomie indywidualnego klienta. Bez jednego nie ma sensu drugie.

Ocena ryzyka instytucji — co dokładnie nakazuje art. 27?

Art. 27 ust. 1 ustawy AML wymaga od instytucji obowiązanej zidentyfikowania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu odnoszącego się do jej działalności, z uwzględnieniem czynników ryzyka dotyczących:

  • Klientów.
  • Państw lub obszarów geograficznych.
  • Produktów.
  • Usług.
  • Transakcji.
  • Kanałów ich dostaw.

Ustawa wprost mówi, że działania te „są proporcjonalne do charakteru i wielkości instytucji obowiązanej" (art. 27 ust. 1 zdanie drugie) — zasada proporcjonalności jest tu rozstrzygnięta literalnie. Mała instytucja płatnicza nie potrzebuje takiej samej dokumentacji jak bank uniwersalny, ale musi mieć dokument.

Art. 27 ust. 3 nakazuje sporządzać oceny w postaci papierowej lub elektronicznej i — co kluczowe — aktualizować je w razie potrzeby, nie rzadziej jednak niż co 2 lata, w szczególności w związku ze zmianami czynników ryzyka albo nowymi sprawozdaniami Komisji Europejskiej / krajową oceną ryzyka.

Art. 27 ust. 2 dodatkowo upoważnia (nie obowiązuje, ale dopuszcza) instytucje do uwzględniania krajowej oceny ryzyka (KOR) publikowanej przez GIIF na podstawie art. 25 ustawy oraz sprawozdania Komisji Europejskiej z art. 6 dyrektywy 2015/849.

W naszej praktyce widzimy, że pominięcie KOR w ocenie ryzyka instytucji jest jedną z najczęściej wskazywanych nieprawidłowości w protokołach kontroli. Choć ustawa dopuszcza („mogą uwzględniać"), realnie GIIF i KNF oczekują uwzględnienia, a brak referencji do KOR oceniają jako wskazówkę, że proces RBA nie jest dojrzały.

Co realnie powinna zawierać ocena ryzyka instytucji?

Z naszej praktyki dobry dokument oceny ryzyka instytucji ma siedem składników:

  • Opis metodyki. Jak punktujesz ryzyko, jakie skale stosujesz (np. niskie/średnie/wysokie/nieakceptowalne), jak ważysz czynniki, jak transformujesz ryzyko inherentne na rezydualne. Bez metodyki kontrolerzy zarzucą subiektywizm.
  • Mapa działalności. Pełen katalog produktów, usług, kanałów dystrybucji, segmentów klientów, jurysdykcji. To jest też podstawa do wykazania, czy mapowanie z drugiego artykułu cyklu zostało wykonane poprawnie.
  • Identyfikacja ryzyka inherentnego — przed zastosowaniem mechanizmów kontrolnych. To pokazuje, jakie ryzyko niesie sama natura biznesu (transgraniczność, gotówka, anonimowość kanału, profil klienta).
  • Mapowanie mechanizmów kontrolnych — KYC, monitoring, sankcje, szkolenia, kontrola wewnętrzna, struktura organizacyjna.
  • Ocena ryzyka rezydualnego — pozostającego po zastosowaniu kontroli. Tu pokazujesz, czy kontrole są wystarczające.
  • Plan działań mitygujących luki — jeżeli ryzyko rezydualne jest wciąż wysokie, jakie działania w 12–24 miesiącach mają je obniżyć.
  • Akceptacja kierownictwa — podpis członka zarządu odpowiedzialnego za AML (zgodnie z art. 7 ustawy) oraz osoby odpowiedzialnej (art. 8 ustawy).

Pojęcia ryzyka inherentnego i rezydualnego nie pojawiają się wprost w ustawie AML, ale są standardem w wytycznych EBA, opracowaniach FATF i wynikają z logiki RBA. Komitet Bezpieczeństwa Finansowego oraz Generalny Inspektor Informacji Finansowej (GIIF) w swoich wytycznych konsekwentnie ich oczekuje.

Krajowa ocena ryzyka (KOR) — czego szuka GIIF?

Krajowa ocena ryzyka jest sporządzana przez Generalnego Inspektora Informacji Finansowej we współpracy z Komitetem Bezpieczeństwa Finansowego (art. 19–24 ustawy). Zgodnie z art. 25 ust. 3 ustawy AML jest weryfikowana i, w razie potrzeby, aktualizowana nie rzadziej niż co 2 lata. Ostatnie publikacje KOR w naszej praktyce są dla naszych Klientów najsilniejszym pojedynczym źródłem wniosków o tym, gdzie GIIF widzi największe ryzyka.

Art. 29 ustawy precyzuje, co zawiera KOR — m.in.:

  • Opis metodyki KOR.
  • Opis zjawisk związanych z praniem pieniędzy i finansowaniem terroryzmu.
  • Wskazanie poziomu ryzyka w Polsce wraz z uzasadnieniem.
  • Identyfikację ryzyk typowych dla poszczególnych rodzajów instytucji obowiązanych.

Co warto pamiętać — KOR jest na żądanie GIIF udostępniana w formie szczegółowej, ale część publikowana to istotna mapa ryzyk, którą Twoja instytucja powinna co najmniej przeanalizować.

Ocena ryzyka klienta — sześć czynników z art. 33 ust. 3

Art. 33 ust. 1 ustawy AML mówi krótko: instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Art. 33 ust. 2 dodaje, że rozpoznają i oceniają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub transakcją okazjonalną. A art. 33 ust. 3 rozkłada to na sześć czynników, które trzeba udokumentować:

  • Rodzaj klienta — osoba fizyczna, osoba prawna, jednostka organizacyjna, trust, fundacja, struktura korporacyjna; status PEP; krajowa czy zagraniczna.
  • Obszar geograficzny — kraj rezydencji, kraj prowadzenia działalności, kraje, z którymi klient transakcjuje. Tu pomocne są listy państw trzecich wysokiego ryzyka publikowane na podstawie rozporządzenia delegowanego KE 2016/1675 oraz listy FATF.
  • Przeznaczenie rachunku — do czego klient ma używać produktów/usług instytucji.
  • Rodzaj produktów, usług i sposobów ich dystrybucji — czy używa produktów anonimizujących, gotówkowych, transgranicznych, zdalnych.
  • Poziom wartości majątkowych deponowanych lub wartości przeprowadzonych transakcji — bezwzględne kwoty oraz odchylenia od profilu.
  • Cel, regularność lub czas trwania stosunków gospodarczych — relacja jednorazowa, sezonowa, długoterminowa.

Art. 33 ust. 4 dodaje, że instytucje stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko. To jest zwrotnik systemu RBA — od oceny ryzyka klienta zależy wszystko: jakie dokumenty zbierasz, kogo kontaktujesz w sprawie źródła wartości, czy włączasz wzmożony monitoring (zob. nasz 7. wpis cyklu o EDD).

Trzy (czasem cztery) kategorie ryzyka klienta

Ustawa nie narzuca sztywnych kategorii. W praktyce naszych Klientów spotykamy najczęściej trzy poziomy:

  • Niskie ryzyko (low risk) — typowy klient indywidualny, krajowy, bez czynników podwyższających, transakcje w typowym profilu. Można stosować uproszczone środki bezpieczeństwa finansowego (art. 42 ustawy AML).
  • Średnie ryzyko (standard risk) — domyślny poziom, jeżeli nie ma kwalifikatorów obniżających ani podwyższających. Standardowy CDD.
  • Wysokie ryzyko (high risk) — co najmniej jeden czynnik wskazujący na podwyższone ryzyko (PEP, kraj wysokiego ryzyka, nietypowa struktura, brak fizycznej obecności). Obligatoryjnie wzmożone środki bezpieczeństwa finansowego — art. 43 ustawy.

Niektóre instytucje stosują dodatkowo kategorię „nieakceptowalne" — klient, z którym nie nawiązujemy lub kończymy stosunek gospodarczy ze względu na ryzyko. Art. 41 ustawy zobowiązuje do takiego rozwiązania, gdy nie jesteśmy w stanie zastosować wymaganych środków bezpieczeństwa finansowego.

Jak operacjonalizować ocenę ryzyka klienta?

Z naszej praktyki dobry model oceny ryzyka klienta ma trzy elementy:

  • Scoring on-boardingowy — w momencie pierwszej weryfikacji klient jest klasyfikowany na podstawie deklaracji, dokumentów i sprawdzeń (PEP, sankcje, listy adverse media). Scoring jest zapisywany w systemie z uzasadnieniem.
  • Trigger-based reclassification — automatyczne zdarzenia, które powodują przeklasyfikowanie: zmiana danych klienta, zmiana beneficjenta rzeczywistego, transakcja odbiegająca od profilu, alert sankcyjny, alert PEP. Listę triggerów najlepiej oprzeć o art. 35 ust. 2 ustawy.
  • Periodic review — okresowy przegląd klientów (zwykle wysokiego ryzyka — co najmniej raz do roku, średniego — co 2 lata, niskiego — co 3–5 lat). Częstotliwość zatwierdza zarząd w ramach procedury.

Cały proces musi być udokumentowany (art. 33 ust. 3 ustawy: „dokumentują"). W naszej praktyce kontroli najczęściej kwestionowane są dwa aspekty:

  • Brak uzasadnienia kategorii. „Klient — niskie ryzyko" bez wskazania, dlaczego, to nie jest dokumentacja. Trzeba pokazać czynniki i ich wagę.
  • Brak aktualizacji po triggerach. Klient klasyfikowany 3 lata temu, w międzyczasie zmieniła się struktura — a w systemie nadal old scoring.

Zasada proporcjonalności — co realnie znaczy?

Art. 27 ust. 1 i przewijająca się przez art. 33, 34, 42, 43, 50 zasada proporcjonalności mówi prosto: środki muszą być adekwatne do poziomu ryzyka i do skali Twojej działalności. To nie jest furtka do pomijania obowiązków — to ramy, które chronią małe podmioty przed kosztami procedur szytych pod banki uniwersalne.

W praktyce oznacza to:

  • Mały kantor walutowy może mieć 10-stronicową procedurę AML, jeżeli prawidłowo opisuje proces.
  • Bank uniwersalny musi mieć rozbudowany system trzech linii obrony.
  • Mała instytucja płatnicza może korzystać z gotowego systemu KYC/monitoringu od dostawcy, ale musi go zwalidować pod swoje produkty.

Ważne: zasada proporcjonalności nie zwalnia z minimalnych wymogów ustawowych. „Małość" nie usuwa obowiązku oceny ryzyka, procedury wewnętrznej, raportowania.

Częste błędy w ocenach ryzyka — z naszej praktyki

W audytach AML, które prowadzimy u Klientów, regularnie spotykamy te same błędy:

  • Skopiowany szablon bez własnej analizy. Dokumenty kalkowane od konsultanta, bez uwzględnienia własnej linii biznesowej. Pierwszy kontroler to wychwytuje.
  • Brak referencji do KOR. Krajowa ocena ryzyka jako załącznik do oceny instytucji — niespotykane, a wskazane.
  • Statyczna ocena. Dokument z 2022 r. niezaktualizowany w 2026 r. Od razu naruszenie art. 27 ust. 3.
  • Ocena instytucji odłączona od oceny klienta. Nie ma scoringu, który by konsumował konkluzje z oceny instytucji.
  • Brak akceptacji kierownictwa. Brakuje podpisu osoby z art. 7 ustawy — co kwestionuje sam status dokumentu.
  • Pomylenie ryzyka inherentnego z rezydualnym. Albo ich w ogóle nie ma, albo są te same wartości.

W kolejnym wpisie cyklu — „Środki bezpieczeństwa finansowego, identyfikacja i weryfikacja klienta" — schodzimy operacyjnie: jakie środki bezpieczeństwa finansowego (CDD) ustawa przewiduje, jak je stosować, jak realnie weryfikować tożsamość klienta (wideoweryfikacja, AIS, przelew weryfikacyjny) i kiedy można odroczyć weryfikację.

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 25–30 (krajowa ocena ryzyka), art. 27 (ocena instytucji), art. 33 (ocena klienta) — Dz.U. 2025 poz. 644 t.j. (ISAP).
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 (IV dyrektywa AML), art. 6 — sprawozdanie KE w sprawie ryzyk transgranicznych (EUR-Lex).
  • Joint Guidelines on Risk Factors — wytyczne EBA/ESMA/EIOPA (JC 2017 37) (EBA).
  • 40 Rekomendacji FATF — Rekomendacja 1 (risk-based approach) (fatf-gafi.org).
  • Krajowa ocena ryzyka prania pieniędzy i finansowania terroryzmu — publikacja GIIF (gov.pl/giif).
  • Komitet Bezpieczeństwa Finansowego — informacje o pracach (gov.pl/giif).

Co dalej w cyklu?