Art. 52 ust. 1 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) jest krótki i bezwzględny: instytucje obowiązane zapewniają udział osób wykonujących obowiązki AML w programach szkoleniowych dotyczących realizacji tych obowiązków, uwzględniających zagadnienia związane z ochroną danych osobowych. Art. 52 ust. 2 dodaje, że programy mają być proporcjonalne do skali działalności. Brzmi prosto, ale w protokołach kontroli GIIF i KNF szkolenia są jednym z najczęściej wskazywanych obszarów nieprawidłowości — najczęściej z powodu braku dokumentacji, niewłaściwej grupy odbiorców albo szkolenia raz na trzy lata. W tym artykule rozkładamy: co musi zawierać program szkoleniowy, jak często go organizować, kogo szkolić oraz jak osobno potraktować szkolenie kierownika AML (AML-RO).

Co mówi ustawa AML o szkoleniach?

Art. 52 ust. 1 ustawy AML nakłada na instytucje obowiązane obowiązek zapewnienia udziału osób wykonujących obowiązki AML w programach szkoleniowych. Ważne są trzy elementy zawarte w samej normie:

  • „Zapewniają udział” — to nie tylko organizacja szkolenia, ale realne uczestnictwo. W praktyce GIIF/KNF żąda list obecności, certyfikatów albo logów ukończenia kursu e-learningowego.
  • „Osób wykonujących obowiązki AML” — krąg osób, który w mniejszych instytucjach pokrywa się praktycznie z całą firmą.
  • „Uwzględniających zagadnienia związane z ochroną danych osobowych” — RODO musi być wprost w programie. To konsekwencja faktu, że całe AML/CFT to przetwarzanie danych osobowych — szczegóły w artykule AML vs RODO — jak pogodzić dwa pozornie sprzeczne reżimy.

Art. 52 ust. 2 dopisuje proporcjonalność: programy powinny uwzględniać charakter, rodzaj i rozmiar prowadzonej działalności. Mała MIP nie potrzebuje takiego samego programu co bank uniwersalny — ale oba muszą mieć udokumentowany program.

Jak często szkolić — przepis a praktyka nadzorcza

W tej kwestii przepis i praktyka rozjeżdżają się.

Co dokładnie mówi art. 52? Ustawa nie podaje wprost częstotliwości. Mówi o programach szkoleniowych — bez sztywnego terminu. Ze względu na zasadę proporcjonalności (art. 52 ust. 2) instytucja sama określa częstotliwość w procedurze wewnętrznej z art. 50 ust. 2 pkt 7. Pełen rozkład procedury wewnętrznej AML opisujemy w artykule Procedura AML — co musi zawierać i jak ją napisać, żeby przeszła kontrolę GIIF.

Co mówi praktyka nadzorcza? Standardem oczekiwanym przez GIIF i KNF jest szkolenie cykliczne co najmniej raz w roku. Wytyczne EBA (Joint Guidelines on Internal Governance and AML/CFT Compliance) oraz Rekomendacja 18 FATF wprost wskazują na coroczny rytm jako standard. Brak corocznego szkolenia w mniejszych instytucjach jeszcze bywa tolerowany przy bardzo niskim ryzyku, ale przy większej skali albo profilu wysokiego ryzyka — to czerwona flaga.

Kogo szkolić — krąg odbiorców

Art. 52 ust. 1 mówi o „osobach wykonujących obowiązki AML”. W praktyce — każdy, kto „dotyka” AML. W mniejszych firmach to często wszyscy pracownicy.

Front-office / sprzedaż / on-boarding
Wykonują identyfikację i weryfikację klienta (art. 36–37 ustawy AML). Bez szkolenia nie rozpoznają czerwonych flag. Obowiązkowo szkolimy ich z procesu KYC, oceny ryzyka klienta, czerwonych flag, zakazu tipowania.
Back-office / operacje
Obsługują transakcje, monitoring transakcyjny, alerty. Muszą znać scenariusze monitoringowe — szczegóły w artykule Monitoring transakcji i analiza bieżąca — co system, a co człowiek.
Zespół compliance / AML
Najgłębsze szkolenie — obejmuje pełną mapę obowiązków, procedurę, raportowanie, periodic review. To również najczęściej szkoleni, ale to nie zwalnia z udokumentowania.
Zespół IT
Często pomijany, a kluczowy. Konfiguruje system KYC, monitoring, listy sankcyjne, archiwizację. Musi rozumieć wymogi, żeby system nie omijał obowiązków ustawy. Szczegóły dotyczące list sankcyjnych w artykule Listy sankcyjne — codzienna higiena AML.
Zarząd, w tym członek zarządu z art. 7
Akceptuje procedurę (art. 50 ust. 3), klientów wysokiego ryzyka (art. 43), klientów PEP (art. 46 ust. 2 pkt 1) — szczegóły w artykule Beneficjent rzeczywisty, CRBR i PEP. Bez szkolenia nie wie, na czym podpisuje uchwałę. Z naszej praktyki — to obszar najmocniej zaniedbywany.
Inspektor Ochrony Danych (IOD), jeżeli wyznaczony
Specjalna ścieżka łącząca AML z RODO — m.in. retencja, klauzule informacyjne, DPIA dla systemów AML.
Agenci, outsourcerzy, pośrednicy
Jeżeli korzystasz z agentów (KIP/MIP/BUP) lub outsourcera AML, ustawa nakłada na Ciebie obowiązek nadzoru nad ich szkoleniami. Pełen rozkład w artykule Outsourcing AML i nadzór nad agentami.

Co musi zawierać program szkoleniowy AML?

Z naszej praktyki dobry program szkoleniowy AML obejmuje sześć obszarów merytorycznych. Wszystkie mają mieć odzwierciedlenie w materiałach szkoleniowych i quizie/teście wiedzy:

  1. Reżim prawny i instytucjonalny. Czym jest AML/CFT, kto jest instytucją obowiązaną, kim jest GIIF, KNF, KAS. Pełną mapę dajemy w artykule Wprowadzenie do AML/CFT 2026. Sygnalizujemy też, że od 10 lipca 2027 r. zacznie obowiązywać unijny pakiet AML 2024 (AMLR + AMLD6 + AMLA).
  2. Etapy prania pieniędzy i typowe schematy. Klasyczny model FATF (lokowanie, maskowanie, integracja), smurfing, structuring, czerwone flagi — szczegóły w artykule Etapy prania pieniędzy i schematy: smurfing, structuring i inne czerwone flagi.
  3. Środki bezpieczeństwa finansowego (CDD). Identyfikacja, weryfikacja, ocena celu relacji, monitoring bieżący — wszystko, co wykonuje on-boarding i obsługa klienta.
  4. Wzmożone środki (EDD), PEP, państwa trzecie wysokiego ryzyka. Kiedy uruchamiać EDD, jakie czynności dodatkowe — w artykule Wzmożone środki bezpieczeństwa finansowego (EDD).
  5. Raportowanie do GIIF i zakaz tipowania. Trzy ścieżki raportowania (art. 72 / 74 / 86), mechanizm wstrzymania, art. 54 (tajemnica). Szczegóły w artykule Zgłaszanie do GIIF — transakcje ponadprogowe, podejrzane, blokady i zakaz tipowania.
  6. Ochrona danych osobowych (RODO) w kontekście AML. Wymóg z art. 52 ust. 1 ustawy AML — m.in. podstawa prawna, retencja, klauzule informacyjne, prawa osób, których dane dotyczą.

Standard rynkowy obejmuje też siódmy element — kary i odpowiedzialność osobistą — żeby zarząd i AML-RO znali realne ryzyko. Szczegóły kar dla osób fizycznych i prawnych rozkładamy w artykule Kary, kontrole i odpowiedzialność osobista zarządu.

Jak dokumentować szkolenia?

To miejsce, w którym najwięcej instytucji obrywa w protokołach kontroli. Szkolenie się odbywa, ale dokumentacja jest niespójna lub jej nie ma. Z naszej praktyki minimum, które trzeba mieć w aktach:

  • Plan szkoleń na rok (kogo, kiedy, z czego, w jakiej formie — stacjonarnie, online, e-learning).
  • Materiały szkoleniowe (prezentacja, skrypt, nagranie).
  • Listy obecności / logi ukończenia kursu z datą i podpisami.
  • Test wiedzy lub quiz końcowy z wynikami.
  • Certyfikaty albo potwierdzenia ukończenia.
  • Akceptacja programu przez kadrę kierowniczą wyższego szczebla (analogicznie do akceptacji procedury z art. 50 ust. 3) — to nie wymóg literalny, ale dobra praktyka.
  • Roczny raport z realizacji programu szkoleń, składany do zarządu.

Brak któregokolwiek z tych elementów to potencjalne uchybienie w protokole kontroli.

Szkolenie AML-RO — kierownika AML

Art. 8 ustawy AML nakłada na instytucję obowiązaną wymóg wyznaczenia pracownika zajmującego kierownicze stanowisko odpowiedzialnego za zapewnienie zgodności działalności instytucji z przepisami AML/CFT. To pracownik potocznie nazywany AML-RO (AML Reporting Officer) albo Money Laundering Reporting Officer (MLRO). Jest również odpowiedzialny za przekazywanie zawiadomień z art. 74 ust. 1, art. 86 ust. 1, art. 89 ust. 1 i art. 90 ustawy AML.

Szkolenie AML-RO musi być znacznie głębsze i częstsze niż szkolenie ogólne. Z naszej praktyki dobry program AML-RO obejmuje:

  • Pełną architekturę ustawy AML — wszystkie 26 kategorii instytucji obowiązanych z art. 2 ust. 1, ustrukturyzowana mapa obowiązków, terminologia.
  • Operacjonalizację raportowania do GIIF — system SI GIIF, schematy XML, terminy z art. 72 (7 dni), art. 74 (2 dni robocze), art. 86 (niezwłocznie + 24/96 h wstrzymanie).
  • Mechanizm wstrzymania i blokady — sekwencja 24 h instytucja → 96 h GIIF → 6+6 miesięcy prokurator. AML-RO musi znać ją na pamięć, bo działa pod presją czasu.
  • Decyzje przy braku CDD — kiedy stosujemy art. 41 (odmowa, wyjście z relacji), kiedy odraczamy weryfikację (art. 39 ust. 2), kiedy uruchamiamy EDD (art. 43–46).
  • Zarządzanie alertami — triage, pogłębiona analiza, decyzja, eskalacja, dokumentacja. Strukturalne ścieżki opisane w procedurze monitoringu.
  • Listy sankcyjne — UE, ONZ, krajowa AML, krajowa MSWiA. Częściowe dopasowanie, true match, zamrożenie wartości majątkowych. Cała mechanika w artykule Listy sankcyjne — codzienna higiena AML.
  • Rozbieżności w CRBR — operacjonalizacja art. 61a, kiedy zgłaszać do organu prowadzącego rejestr.
  • Travel Rule i kryptoaktywa — jeżeli instytucja jest CASP albo świadczy usługi płatnicze. Szczegóły w artykule Travel Rule (TFR 2023/1113) i kryptoaktywa — co naprawdę musi zrobić CASP.
  • Kontrola GIIF/KNF/KAS — jak przyjąć kontrolę, jakie dokumenty mieć przygotowane, jak komunikować z kontrolerem, jak protestować od protokołu i zaskarżać decyzje.
  • Odpowiedzialność osobista AML-RO — art. 150 ust. 1 pkt 4 (zakaz pełnienia funkcji do roku) i art. 150 ust. 3 pkt 1 (kara pieniężna do 20 868 500 zł). Plus art. 156 ustawy AML i art. 299 § 5 k.k. — odpowiedzialność karna.
  • Pakiet AML 2024 — przygotowanie do unijnego reżimu AMLR + AMLD6 + AMLA stosowanego od 10 lipca 2027 r.

Z naszej praktyki dobry rytm szkolenia AML-RO: pełen program co 12–18 miesięcy, plus aktualizacje punktowe po każdej istotnej zmianie prawa, każdym pakiecie sankcji i wytycznych EBA/GIIF. AML-RO powinien też uczestniczyć w branżowych konferencjach i webinarach — tu rzeczywista wymiana wiedzy z innymi praktykami często daje więcej niż formalny kurs.

Najczęstsze błędy w szkoleniach AML

  • Szkolenie raz na 2–3 lata. Akceptowalne tylko przy bardzo niskim ryzyku w małej instytucji. W większości przypadków — niewystarczające.
  • Brak szkolenia zarządu. Członek zarządu z art. 7 i kierownik AML z art. 8 muszą mieć udokumentowane szkolenia. Ich brak to czerwona flaga w każdej kontroli.
  • Pominięcie RODO. Art. 52 ust. 1 wprost wymaga uwzględnienia ochrony danych osobowych — szkolenie tylko z AML, bez RODO, narusza ten wymóg.
  • Brak testu wiedzy. Realizacja szkolenia bez weryfikacji efektu — kontrolerzy traktują to jak „odbycie pozorne”.
  • Brak dokumentacji. Najczęstszy problem. Szkolenie się odbyło, ale w aktach jest pusto.
  • Szkolenie tylko zespołu compliance. Front-office, back-office, IT też wykonują obowiązki AML.
  • Brak aktualizacji programu po zmianach prawa. Materiały sprzed 5 lat, mówiące o GIODO, nie pokrywają TFR, MiCA, AMLR.

Jak możemy Ci pomóc?

W Legal Geek prowadzimy zarówno otwarte webinary AML, jak i szkolenia szyte pod profil instytucji — z dostosowaną treścią dla fintechu, kantoru, biura rachunkowego, kancelarii, pośrednictwa nieruchomości czy podmiotu hazardowego. Dla AML-RO oferujemy pogłębiony program ze ścieżkami operacyjnymi (raportowanie, blokady, kontrola GIIF) oraz materiały do bieżącego użytku. Jeżeli planujesz wdrożenie programu szkoleń AML albo wymianę dotychczasowego — odezwij się; często wystarczy 5 dni roboczych, żeby zaprojektować pierwszą edycję programu i materiały szkoleniowe.

Co dalej w cyklu?

Źródła

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 6–9, art. 50, art. 52, art. 156 — Dz.U. 2025 poz. 644 t.j., ISAP.
  • Joint Guidelines on Internal Governance and AML/CFT Compliance — EBA/GL/2024/01, EBA.
  • 40 Rekomendacji FATF, Rekomendacja 18 (Internal controls), FATF.
  • Komunikaty GIIF, gov.pl/giif.
  • Strona GIIF — Generalny Inspektor Informacji Finansowej, gov.pl/giif.
  • Rozporządzenie (UE) 2016/679 (RODO), art. 32 i 39, EUR-Lex.