Procedura AML to pierwszy dokument, którego żąda kontroler Generalnego Inspektora Informacji Finansowej (GIIF), Komisja Nadzoru Finansowego (KNF) albo Krajowa Administracja Skarbowa (KAS) przy każdej kontroli AML. Jeżeli nie ma jej wcale lub jest skopiowanym szablonem niedopasowanym do działalności — kontrola kończy się protokołem nieprawidłowości, niezależnie od tego, jak dobre są realne procesy. W tym wpisie krok po kroku przechodzimy przez 11 obowiązkowych elementów wymaganych w procedurze przez art. 50 ust. 2 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML), wymogi szkoleń z art. 52 oraz odrębną procedurę whistleblowingową z art. 53.

Komu ustawa nakazuje mieć procedurę AML?

Art. 50 ust. 1 ustawy AML jest jednoznaczny: instytucje obowiązane wprowadzają wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. „Wprowadzają” — czas teraźniejszy, bezwarunkowo. Niezależnie od wielkości, branży, liczby klientów. Nie ma progu zwalniającego. Pełną mapę 26 kategorii instytucji obowiązanych z art. 2 ust. 1 ustawy AML omawiamy w artykule Kto jest instytucją obowiązaną — mapa podmiotów objętych ustawą AML.

Procedura podlega bieżącej weryfikacji oraz w razie potrzeby aktualizacji (art. 50 ust. 1 zdanie drugie). To znaczy — dokument żywy, nie raz zatwierdzony i odłożony.

Art. 50 ust. 3 wymaga, żeby procedura wewnętrzna lub jej aktualizacja przed wprowadzeniem do stosowania podlegała akceptacji kadry kierowniczej wyższego szczebla. W praktyce to akceptacja zarządu albo członka zarządu odpowiedzialnego za AML zgodnie z art. 7 ustawy.

Dla instytucji wchodzących w skład grupy art. 51 ustawy wymaga ponadto procedury grupowej zapewniającej spójność reżimu AML w całej grupie — to temat odrębny, ale jeżeli Twoja instytucja jest częścią międzynarodowej grupy finansowej, pamiętaj o nim.

Jakie 11 elementów musi zawierać procedura AML?

Art. 50 ust. 2 ustawy AML określa, że procedura obejmuje w szczególności określenie 11 obszarów. Klauzula „w szczególności” oznacza, że to minimum — instytucja może (i często powinna) dorzucić własne. Poniżej rozkładamy każdy z 11 punktów na czynniki pierwsze.

Pkt 1 — Działania ograniczające ryzyko
Czynności i działania podejmowane w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu. W praktyce to opis programu compliance: trzy linie obrony, zasada „tone from the top”, system rozliczalności, mechanizmy eskalacji. Dobry opis ma 2–4 strony i obejmuje schemat organizacyjny, role, raportowanie, niezależność funkcji compliance.
Pkt 2 — Rozpoznawanie i ocena ryzyka, weryfikacja i aktualizacja
Zasady rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego ze stosunkami gospodarczymi lub transakcją okazjonalną, w tym zasady weryfikacji i aktualizacji uprzednio dokonanej oceny. Tu opisujesz metodykę oceny ryzyka klienta — scoring, kategorie, czynniki, triggery reklasyfikacji, częstotliwość periodic review. Powiązane bezpośrednio z dokumentem oceny ryzyka instytucji z art. 27 — szczegółowo w artykule Podejście oparte na ryzyku (RBA) — jak zbudować ocenę ryzyka instytucji i klienta.
Pkt 3 — Zarządzanie rozpoznanym ryzykiem
Środki stosowane w celu właściwego zarządzania rozpoznanym ryzykiem. Dopełnienie pkt 2: po identyfikacji i ocenie — co konkretnie zmieniamy w procesach, jeżeli ryzyko jest średnie / wysokie / nieakceptowalne. Tu rozkładasz scenariusze: standardowy CDD, uproszczony, wzmożony.
Pkt 4 — Zasady stosowania środków bezpieczeństwa finansowego
Procedura on-boardingowa, zakres danych zbieranych w identyfikacji (z art. 36), metody weryfikacji (z art. 37), obsługa odroczenia weryfikacji (art. 39), proces przy braku możliwości zastosowania (art. 41). Najczęstszy błąd: pkt 4 jest opisany ogólnikowo („stosujemy CDD zgodnie z ustawą”), bez konkretnych ścieżek dla różnych segmentów klientów i kanałów. Pełen przewodnik: Środki bezpieczeństwa finansowego, identyfikacja i weryfikacja klienta. Wzmożone środki dla wysokiego ryzyka rozpisujemy w Wzmożone środki bezpieczeństwa finansowego (EDD).
Pkt 5 — Przechowywanie dokumentów i informacji
Zasady przechowywania dokumentów oraz informacji. Powiązane z art. 49 ustawy AML — instytucja musi przechowywać dokumentację dotyczącą stosunków gospodarczych przez 5 lat (od końca relacji albo wykonania transakcji okazjonalnej), z możliwością przedłużenia o kolejne 5 lat na żądanie GIIF. Procedura powinna określić, które dokumenty, w jakim formacie, w jakim systemie, z jakim mechanizmem ochrony i niemożliwością modyfikacji. Interakcję z RODO opisujemy w artykule AML vs RODO — jak pogodzić dwa pozornie sprzeczne reżimy.
Pkt 6 — Przekazywanie informacji do GIIF
Zasady wykonywania obowiązków obejmujących przekazywanie Generalnemu Inspektorowi informacji o transakcjach oraz zawiadomieniach. Operacjonalizacja art. 72 (transakcje ponadprogowe), art. 74 (zawiadomienia o okolicznościach mogących wskazywać na pranie pieniędzy / finansowanie terroryzmu), art. 86 (zawiadomienie o podejrzanej transakcji + wstrzymanie 24/96 h), art. 87 (wstrzymanie z inicjatywy GIIF), art. 90 (wskazanie podejrzanej transakcji po jej przeprowadzeniu). Szczegółowo opisujemy je w Zgłaszanie do GIIF — transakcje ponadprogowe, podejrzane, blokady i zakaz tipowania. W procedurze opisujesz: kto raportuje, w jakim systemie (SI GIIF), w jakim terminie, jakie wzory, jak się eskaluje, jak się archiwizuje.
Pkt 7 — Upowszechnianie wiedzy wśród pracowników (szkolenia)
Zasady upowszechniania wśród pracowników instytucji obowiązanej wiedzy z zakresu przepisów AML/CFT. To „szkoleniowy” punkt procedury — opisuje program szkoleń wymaganych przez art. 52 ustawy. W procedurze trzeba mieć: kogo szkolimy, jak często, w jakim zakresie, jak weryfikujemy efekt, jak archiwizujemy potwierdzenia.
Pkt 8 — Zgłaszanie naruszeń przez pracowników (whistleblowing)
Zasady zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów AML/CFT. To mostek do art. 53 ustawy, który wymaga odrębnej procedury anonimowego zgłaszania. Sekcję whistleblowingową rozwijamy poniżej.
Pkt 9 — Kontrola wewnętrzna i nadzór zgodności
Zasady kontroli wewnętrznej lub nadzoru zgodności działalności instytucji z przepisami AML/CFT i zasadami z procedury. Opis funkcji compliance / audytu wewnętrznego: częstotliwość kontroli, zakres, raportowanie do zarządu, plan corocznego audytu, mechanizmy raportowania nieprawidłowości. Przy większych instytucjach GIIF/KNF oczekuje co najmniej rocznego raportu z funkcji compliance AML podpisanego przez członka zarządu.
Pkt 10 — Rozbieżności w CRBR
Zasady odnotowywania rozbieżności między informacjami zgromadzonymi w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR) a informacjami o BR klienta ustalonymi w związku ze stosowaniem ustawy. Operacjonalizacja obowiązku z art. 61a — krok po kroku omówiliśmy go w artykule Beneficjent rzeczywisty, CRBR i PEP. Punkt dodany ustawą zmieniającą i często pomijany w starszych procedurach.
Pkt 11 — Utrudnienia w identyfikacji BR
Zasady dokumentowania utrudnień w weryfikacji tożsamości BR oraz czynności podejmowanych w związku z identyfikacją BR jako osoby fizycznej zajmującej wyższe stanowisko kierownicze. Bezpośrednie odzwierciedlenie art. 37 ust. 2 — gdy nie da się ustalić BR jako konkretnej osoby fizycznej, identyfikujemy „wyższe stanowisko kierownicze” i dokumentujemy proces dochodzenia do tej konkluzji.

Jak duża powinna być procedura AML?

Z naszego doświadczenia odpowiedź jest jedna: tyle, ile potrzeba, żeby pokryć 11 elementów z art. 50 ust. 2 (plus art. 53 i ewentualnie procedurę grupową), dostosowane do skali działalności (zasada proporcjonalności z art. 50 ust. 2 zdanie pierwsze).

Profil instytucjiSugerowana objętośćUwagi
Mała instytucja płatnicza (MIP), kantor walutowy, biuro rachunkowe20–35 stronSpokojnie wystarczy, jeżeli każdy z 11 punktów art. 50 ust. 2 jest realnie opisany.
Średni fintech, kantor krypto / CASP, instytucja pożyczkowa40–70 stronPlus załączniki: katalog czerwonych flag, scenariusze monitoringu, wzory zawiadomień GIIF.
Krajowa instytucja płatnicza (KIP), bank, instytucja pieniądza elektronicznego z agentami80–150 stron + załącznikiProcedura grupowa (art. 51) jeżeli grupa międzynarodowa.

Główny błąd, który widzimy w audytach: procedura na 200 stron, pełna powtórzeń ustawowych, której nikt w organizacji nie czyta. Lepsza jest 35-stronicowa procedura czytelna i operacyjna niż 200-stronicowa „papierowa zgodność”.

Kto musi zaakceptować procedurę?

Każda procedura albo jej aktualizacja musi przed wprowadzeniem do stosowania uzyskać akceptację kadry kierowniczej wyższego szczebla (art. 50 ust. 3). W praktyce: uchwała zarządu lub decyzja członka zarządu odpowiedzialnego za AML (z art. 7 ustawy), z datą i podpisem.

Brak udokumentowanej akceptacji jest jedną z najczęściej wskazywanych nieprawidłowości w protokołach kontroli — bo procedura formalnie nie obowiązuje, jeżeli nie została zatwierdzona.

Procedura whistleblowingowa — art. 53 ustawy AML

Art. 53 ust. 1 ustawy AML wymaga odrębnej wewnętrznej procedury anonimowego zgłaszania naruszeń przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej. Procedura ta może być częścią procedury wewnętrznej AML (sekcja), osobnym dokumentem (zwykle bardziej praktyczne) albo zintegrowana z ogólną procedurą whistleblowingową instytucji na podstawie ustawy z 14 czerwca 2024 r. o ochronie sygnalistów.

Art. 53 ust. 2 wymienia siedem obowiązkowych elementów takiej procedury:

  1. Osobę odpowiedzialną za odbieranie zgłoszeń.
  2. Sposób odbierania zgłoszeń.
  3. Sposób ochrony pracownika lub innej osoby zgłaszającej (przed represjami, groźbami, pogorszeniem sytuacji).
  4. Sposób ochrony danych osobowych zgłaszającego i osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych.
  5. Zasady zachowania poufności w przypadku ujawnienia tożsamości osób zgłaszających lub osób, których dotyczy zgłoszenie.
  6. Rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia.
  7. Termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

Co istotne — art. 53 ust. 4 wprost zakazuje podejmowania wobec pracowników zgłaszających naruszenia działań represyjnych lub pogarszających ich sytuację. Bezpośredni odpowiednik ochrony sygnalistów z dyrektywy 2019/1937.

Szkolenia AML — art. 52 ustawy

Art. 52 ust. 1 ustawy AML wymaga, żeby instytucje obowiązane zapewniały udział osób wykonujących obowiązki AML w programach szkoleniowych dotyczących realizacji tych obowiązków, uwzględniających zagadnienia związane z ochroną danych osobowych. Art. 52 ust. 2 dodaje, że programy powinny uwzględniać charakter, rodzaj i rozmiar prowadzonej działalności (zasada proporcjonalności).

Pełen rozkład tego, co musi zawierać program szkoleniowy, kogo szkolić i jak dokumentować — w artykule Szkolenie AML i szkolenie AML-RO — co musi zawierać i kogo szkolić.

Kiedy aktualizować procedurę AML?

Art. 50 ust. 1 zdanie drugie wymaga „bieżącej weryfikacji” i aktualizacji „w razie potrzeby”. Z naszej praktyki dobry rytm:

  • Pełen przegląd raz w roku — porównanie z aktualnym stanem prawnym, własną oceną ryzyka, wnioskami z audytów wewnętrznych.
  • Aktualizacja punktowa w razie zmiany przepisów (najbliższa — pakiet AML 2024 wchodzący w życie 10 lipca 2027 r.), wyników kontroli (GIIF, KNF, KAS), zmiany istotnego procesu wewnętrznego (np. nowy system KYC), wprowadzenia nowego produktu lub kanału dystrybucji, zmiany struktury organizacyjnej.
  • Akceptacja każdej aktualizacji zgodnie z art. 50 ust. 3 — nawet drobnych.

Najczęstsze błędy w procedurach AML

W audytach AML, które prowadzimy, regularnie widzimy ten sam zestaw słabości:

  • Skopiowany szablon. Procedura napisana przez konsultanta, niedopasowana do realnej działalności. Pierwszy kontroler to wychwytuje (np. opisana jest „bankowość prywatna”, a klient jest kantorem krypto).
  • Brak punktów 10 i 11. Punkty dodane później do art. 50 ust. 2 są często pomijane w starszych procedurach.
  • Procedura niezaktualizowana po zmianach prawa. Procedura z 2021 r. odnosi się do „GIODO” zamiast do Prezesa UODO; do starych progów; do nieobowiązujących wzorów raportów.
  • Brak akceptacji. Procedura jest, ale nie ma uchwały zarządu / decyzji członka zarządu z art. 7.
  • Szkolenia bez dokumentacji. Wszyscy się szkolą, ale w aktach jest pusto.
  • Procedura whistleblowingowa zlana z procedurą AML. Bez kanału anonimowego, bez ochrony danych, bez 7 elementów art. 53 ust. 2.
  • Brak procedury grupowej w grupach międzynarodowych.

Jak możemy Ci pomóc?

W Legal Geek przygotowujemy procedury wewnętrzne AML „pod miarę” — od fintechu i kantoru po banki i grupy międzynarodowe. Pisanie zaczynamy od oceny ryzyka instytucji i mapy procesów, kończymy na pakiecie szablonów (formularze, oświadczenia, raporty, listy kontrolne). Jeżeli Twoja procedura ma więcej niż dwa lata albo była przedmiotem zastrzeżeń kontrolerów — odezwij się; w 7–10 dni roboczych zwykle wystarczy podnieść ją do standardu zgodnego z art. 50 ust. 2 ustawy AML.

Co dalej w cyklu?

Źródła

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 50, 51, 52, 53, 53a — Dz.U. 2025 poz. 644 t.j., ISAP.
  • Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów — Dz.U. 2024 poz. 928, ISAP.
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937, EUR-Lex.
  • Joint Guidelines on Internal Governance and AML/CFT Compliance — wytyczne EBA, EBA.
  • 40 Rekomendacji FATF, Rekomendacja 18, FATF.
  • Komunikaty GIIF, gov.pl/giif.