To ósmy wpis z naszego cyklu o AML 2026. Procedura wewnętrzna to pierwszy dokument, którego żąda kontroler GIIF, KNF albo KAS przy każdej kontroli AML. Jeżeli nie ma jej wcale lub jest skopiowanym szablonem niedopasowanym do działalności — kontrola kończy się protokołem nieprawidłowości, niezależnie od tego, jak dobre są realne procesy. W tym wpisie krok po kroku przechodzimy przez 11 elementów wymaganych w procedurze przez art. 50 ust. 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML), oraz przez wymogi szkoleń z art. 52 i procedury whistleblowingowej z art. 53.

Komu w ogóle przepis każe mieć procedurę?

Art. 50 ust. 1 ustawy AML jest jednoznaczny: instytucje obowiązane wprowadzają wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. „Wprowadzają" — czas teraźniejszy, bezwarunkowo. Niezależnie od wielkości, branży, liczby klientów. Nie ma progu zwalniającego.

Procedura podlega bieżącej weryfikacji oraz w razie potrzeby aktualizacji (art. 50 ust. 1 zdanie drugie). To znaczy — dokument żywy, nie raz zatwierdzony i odłożony.

Art. 50 ust. 3 wymaga, żeby procedura wewnętrzna lub jej aktualizacja przed wprowadzeniem do stosowania podlegała akceptacji kadry kierowniczej wyższego szczebla. W praktyce to akceptacja zarządu albo członka zarządu odpowiedzialnego za AML zgodnie z art. 7 ustawy.

Dla instytucji wchodzących w skład grupy art. 51 wymaga ponadto procedury grupowej zapewniającej spójność reżimu AML w całej grupie. To temat odrębny, ale jeżeli Twoja instytucja jest częścią międzynarodowej grupy finansowej — pamiętaj o nim, bo bywa ignorowany.

Jedenaście elementów z art. 50 ust. 2

Art. 50 ust. 2 ustawy określa, że procedura obejmuje w szczególności określenie 11 obszarów. „W szczególności" — to znaczy, że to minimum; instytucja może (i często powinna) dorzucić własne. Przejdźmy przez wszystkie po kolei.

1) Czynności i działania ograniczające ryzyko

Art. 50 ust. 2 pkt 1: czynności lub działań podejmowanych w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu i właściwego zarządzania zidentyfikowanym ryzykiem.

W praktyce to opis programu compliance: trzy linie obrony, model „tone from the top", system rozliczalności, mechanizmy eskalacji. To miejsce, w którym pokazujesz, jak struktura organizacji odpowiada na ryzyko AML. W naszej praktyce dobry opis ma 2–4 strony i obejmuje schemat organizacyjny, role, raportowanie, niezależność funkcji compliance.

2) Rozpoznawanie i ocena ryzyka, weryfikacja i aktualizacja

Art. 50 ust. 2 pkt 2: zasad rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną, w tym zasad weryfikacji i aktualizacji uprzednio dokonanej oceny.

To miejsce na metodykę oceny ryzyka klienta: scoring, kategorie, czynniki, triggery reklasyfikacji, częstotliwość periodic review. Powiązane bezpośrednio z czwartym wpisem cyklu o RBA i z dokumentem oceny ryzyka instytucji z art. 27 ustawy.

3) Zarządzanie rozpoznanym ryzykiem

Art. 50 ust. 2 pkt 3: środków stosowanych w celu właściwego zarządzania rozpoznanym ryzykiem prania pieniędzy lub finansowania terroryzmu.

Logiczne dopełnienie pkt 2: po identyfikacji i ocenie — co konkretnie zmieniamy w procesach, jeżeli ryzyko jest średnie / wysokie / nieakceptowalne. Tu rozkładasz scenariusze: standardowy CDD, uproszczony, wzmożony. Jest to najsilniejsze powiązanie z piątym wpisem cyklu i siódmym wpisem o EDD.

4) Zasady stosowania środków bezpieczeństwa finansowego

Art. 50 ust. 2 pkt 4: zasady stosowania środków bezpieczeństwa finansowego.

Procedura on-boardingowa, zakres danych zbieranych w identyfikacji (z art. 36), metody weryfikacji (z art. 37), obsługa odroczenia weryfikacji (art. 39), proces przy braku możliwości zastosowania (art. 41). Z naszej praktyki najczęstszy błąd: pkt 4 jest opisany ogólnikowo („stosujemy CDD zgodnie z ustawą"), bez konkretnych ścieżek dla różnych segmentów klientów i kanałów.

5) Przechowywanie dokumentów i informacji

Art. 50 ust. 2 pkt 5: zasad przechowywania dokumentów oraz informacji.

To pkt powiązany z art. 49 ustawy AML — instytucja musi przechowywać dokumentację dotyczącą stosunków gospodarczych przez 5 lat (zaczynając od końca relacji albo wykonania transakcji okazjonalnej), z możliwością przedłużenia o kolejne 5 lat na żądanie GIIF. Procedura powinna określić, które dokumenty, w jakim formacie, w jakim systemie, z jakim mechanizmem ochrony i niemożliwością modyfikacji.

6) Przekazywanie informacji do GIIF

Art. 50 ust. 2 pkt 6: zasad wykonywania obowiązków obejmujących przekazywanie Generalnemu Inspektorowi informacji o transakcjach oraz zawiadomieniach.

Operacjonalizacja art. 72 (transakcje ponadprogowe), art. 74 (zawiadomienia o okolicznościach mogących wskazywać na pranie pieniędzy/finansowanie terroryzmu), art. 86 (zawiadomienie o podejrzanej transakcji + wstrzymanie 24/96 h), art. 87 (wstrzymanie z inicjatywy GIIF), art. 89 (zawiadomienie prokuratora o przestępstwach innych niż AML/CFT), art. 90 (wskazanie podejrzanej transakcji po jej przeprowadzeniu). Szczegółowy temat omawiamy w 10. wpisie cyklu o GIIF. W procedurze opisujesz: kto raportuje, w jakim systemie (system STIR / SI GIIF), w jakim terminie, jakie wzory, jak się eskaluje, jak się archiwizuje.

7) Upowszechnianie wiedzy wśród pracowników (szkolenia)

Art. 50 ust. 2 pkt 7: zasad upowszechniania wśród pracowników instytucji obowiązanej wiedzy z zakresu przepisów o AML/CFT.

To „szkoleniowy" punkt procedury — opisuje program szkoleń wymaganych przez art. 52 ustawy. Wracamy do tego w odrębnej sekcji niżej, ale w procedurze trzeba mieć: kogo szkolimy, jak często, w jakim zakresie, jak weryfikujemy efekt, jak archiwizujemy potwierdzenia.

8) Zgłaszanie naruszeń przez pracowników (whistleblowing)

Art. 50 ust. 2 pkt 8: zasad zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów AML/CFT.

To mostek do art. 53 ustawy, który wymaga odrębnej procedury anonimowego zgłaszania. Art. 53 ust. 2 wymienia siedem obowiązkowych elementów takiej procedury:

  • Osobę odpowiedzialną za odbieranie zgłoszeń.
  • Sposób odbierania zgłoszeń.
  • Sposób ochrony osoby zgłaszającej (przed represjami, groźbami, pogorszeniem sytuacji).
  • Sposób ochrony danych osobowych zgłaszającego i osoby zarzucanej.
  • Zasady zachowania poufności.
  • Rodzaj i charakter działań następczych po zgłoszeniu.
  • Termin usunięcia danych osobowych ze zgłoszeń.

Co istotne — art. 53 ust. 4 wprowadza zakaz podejmowania wobec pracowników zgłaszających naruszenia działań represyjnych lub pogarszających ich sytuację. To bezpośredni odpowiednik ochrony sygnalistów z dyrektywy 2019/1937 (whistleblowing). W naszej praktyce zwykle integrujemy procedurę z art. 53 z ogólną procedurą whistleblowingową spółki.

9) Kontrola wewnętrzna i nadzór zgodności

Art. 50 ust. 2 pkt 9: zasad kontroli wewnętrznej lub nadzoru zgodności działalności instytucji obowiązanej z przepisami AML/CFT i zasadami z procedury wewnętrznej.

To opis funkcji compliance / audytu wewnętrznego: częstotliwość kontroli, zakres, raportowanie do zarządu, plan corocznego audytu, mechanizmy raportowania nieprawidłowości. W naszej praktyce GIIF/KNF oczekuje przy większych instytucjach co najmniej rocznego raportu z funkcji compliance AML podpisanego przez członka zarządu.

10) Rozbieżności w CRBR

Art. 50 ust. 2 pkt 10: zasad odnotowywania rozbieżności między informacjami zgromadzonymi w CRBR a informacjami o BR klienta ustalonymi w związku ze stosowaniem ustawy.

Ten punkt został dodany ustawą zmieniającą i jest często pomijany. Operacjonalizuje obowiązek z art. 61a ustawy — krok po kroku omówiliśmy go w 6. wpisie cyklu o BR i CRBR.

11) Utrudnienia w identyfikacji BR i „wyższe stanowisko kierownicze"

Art. 50 ust. 2 pkt 11: zasad dokumentowania utrudnień w weryfikacji tożsamości BR oraz czynności podejmowanych w związku z identyfikacją BR jako osoby fizycznej zajmującej wyższe stanowisko kierownicze.

To bezpośrednie odzwierciedlenie art. 37 ust. 2 — gdy nie da się ustalić BR jako konkretnej osoby fizycznej, identyfikujemy „wyższe stanowisko kierownicze" i dokumentujemy proces dochodzenia do tej konkluzji. Procedura opisuje, jak ten zapis wykonujemy.

Ile stron powinna mieć procedura?

Z naszej praktyki — to pytanie pada na każdym warsztacie. Odpowiedź: tyle, ile potrzeba, żeby pokryć 11 elementów z art. 50 ust. 2 + art. 53 + procedurę grupową (jeżeli dotyczy), dostosowane do skali działalności (zasada proporcjonalności z art. 50 ust. 2 zdanie pierwsze).

Realistycznie:

  • Mała instytucja płatnicza (MIP) prosta w strukturze: 20–35 stron dobrze napisanej procedury wystarczy.
  • Średni fintech / kantor krypto / biuro rachunkowe: 40–70 stron.
  • KIP, bank, instytucja pieniądza elektronicznego z agentami: 80–150 stron + załączniki.

Główny błąd, który widzimy: procedura na 200 stron, pełna powtórzeń ustawowych, której nikt w organizacji nie czyta. Lepsza jest 35-stronicowa procedura czytelna i operacyjna niż 200-stronicowa „papierowa zgodność".

Akceptacja kadry kierowniczej wyższego szczebla — art. 50 ust. 3

Każda procedura albo jej aktualizacja musi przed wprowadzeniem do stosowania uzyskać akceptację kadry kierowniczej wyższego szczebla. W praktyce: uchwała zarządu lub decyzja członka zarządu odpowiedzialnego za AML (z art. 7 ustawy), z datą i podpisem.

Sprawdź to w swojej instytucji. Brak udokumentowanej akceptacji jest jedną z najczęściej wskazywanych nieprawidłowości w protokołach kontroli — bo procedura formalnie nie obowiązuje, jeżeli nie została zatwierdzona.

Szkolenia AML — art. 52 ustawy

Art. 52 ust. 1 ustawy AML wymaga, żeby instytucje obowiązane zapewniały udział osób wykonujących obowiązki AML w programach szkoleniowych dotyczących realizacji tych obowiązków, uwzględniających zagadnienia związane z ochroną danych osobowych.

Art. 52 ust. 2 dodaje, że programy powinny uwzględniać charakter, rodzaj i rozmiar prowadzonej działalności (zasada proporcjonalności).

W praktyce dobry program szkoleń AML obejmuje:

  • Szkolenie wstępne dla każdego nowego pracownika obejmującego obowiązki AML — przed dopuszczeniem do samodzielnego wykonywania zadań.
  • Szkolenie cykliczne dla wszystkich osób z obowiązkami AML — co najmniej raz w roku.
  • Szkolenie celowane w przypadku istotnych zmian (np. nowy produkt, nowelizacja ustawy, wnioski z kontroli).
  • Szkolenie zarządu — z naszej praktyki to obszar najbardziej zaniedbywany. Członek zarządu odpowiedzialny za AML (art. 7) i kierownik AML (art. 8) muszą mieć udokumentowane szkolenia.
  • Dokumentacja — listy obecności, treść materiałów, testy wiedzy, certyfikaty. W razie kontroli musisz wykazać, kto, kiedy i z czego się szkolił.

W naszej praktyce widzimy często, że szkolenia są realizowane (np. e-learning), ale dokumentacja jest słaba lub niespójna — tylko niektóre osoby mają potwierdzenia, brak weryfikacji wiedzy, brak materiałów szkoleniowych w aktach. To znów prowadzi prostą drogą do protokołu nieprawidłowości.

Procedura whistleblowingowa — art. 53

Co istotne, art. 53 ust. 1 wymaga odrębnej wewnętrznej procedury anonimowego zgłaszania naruszeń. Procedura ta może być:

  • Częścią procedury wewnętrznej AML (sekcja).
  • Lub osobnym dokumentem (zwykle bardziej praktyczne).
  • Lub zintegrowana z ogólną procedurą whistleblowingową instytucji (na podstawie ustawy z 14 czerwca 2024 r. o ochronie sygnalistów, implementującej dyrektywę 2019/1937).

Z naszej praktyki rekomendujemy integrację z ogólną procedurą sygnalistów — ale z wyraźnym, odrębnym kanałem dla AML i z spełnieniem siedmiu elementów art. 53 ust. 2.

Aktualizacja procedury — kiedy?

Art. 50 ust. 1 zdanie drugie wymaga „bieżącej weryfikacji" i aktualizacji „w razie potrzeby". Z naszej praktyki dobry rytm:

  • Pełen przegląd raz w roku (porównanie z aktualnym stanem prawnym, własną oceną ryzyka, wnioskami z audytów wewnętrznych).
  • Aktualizacja punktowa w razie:
    • Zmiany przepisów (np. najbliższa zmiana — pakiet AML 2024 wchodzący w życie 10 lipca 2027 r.).
    • Wyników kontroli (GIIF, KNF, KAS).
    • Zmiany istotnego procesu wewnętrznego (np. nowy system KYC).
    • Wprowadzenia nowego produktu lub kanału dystrybucji (zob. też outsourcing i agenci).
    • Zmiany struktury organizacyjnej (np. nowy AML-RO).
  • Akceptacja każdej aktualizacji zgodnie z art. 50 ust. 3 — nawet drobnych.

Częste błędy w procedurach AML — z naszej praktyki

W audytach AML, które prowadzimy u Klientów, regularnie widzimy:

  • Skopiowany szablon. Procedura napisana przez konsultanta, niedopasowana do realnej działalności. Pierwszy kontroler to wychwytuje (np. opisana jest „bankowość prywatna", a klient jest kantorem krypto).
  • Brak punktów 10 i 11. Punkty dodane później do art. 50 ust. 2 są często pomijane w starszych procedurach.
  • Procedura niezaktualizowana po zmianach prawa. Procedura z 2021 r. odnosi się do „GIODO" zamiast do Prezesa UODO; do starych progów; do nieobowiązujących wzorów raportów.
  • Brak akceptacji. Procedura jest, ale nie ma uchwały zarządu / decyzji członka zarządu z art. 7.
  • Szkolenia bez dokumentacji. Wszyscy się szkolą, ale w aktach jest pusto.
  • Procedura whistleblowingowa zlana z procedurą AML. Bez kanału anonimowego, bez ochrony danych.
  • Brak procedury grupowej w grupach międzynarodowych.

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 50, 51, 52, 53, 53a — Dz.U. 2025 poz. 644 t.j. (ISAP).
  • Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (transpozycja dyrektywy 2019/1937) — Dz.U. 2024 poz. 928.
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.
  • Joint Guidelines on Internal Governance and AML/CFT Compliance — wytyczne EBA (EBA/GL/2024/01).
  • Rekomendacja FATF 18 — Internal controls and foreign branches and subsidiaries.
  • Komunikaty GIIF dotyczące procedur wewnętrznych.

Co dalej w cyklu?