To siódmy wpis z naszego cyklu o AML 2026. W piątym i szóstym artykule omówiliśmy standardowe środki bezpieczeństwa finansowego oraz obsługę BR i PEP. Teraz przechodzimy do reżimu podwyższonego: kiedy ustawa wymusza wzmożone środki bezpieczeństwa finansowego (enhanced due diligence, EDD), jak je operacjonalizować i jak je dokumentować, żeby nie zostały zakwestionowane podczas kontroli. Mapping na ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 43 i pokrewne (art. 44, 44a–44e, 45, 46).

Kiedy stosujemy EDD?

Art. 43 ust. 1 ustawy AML wskazuje wprost: instytucje obowiązane stosują wzmożone środki bezpieczeństwa finansowego w przypadkach wyższego ryzyka prania pieniędzy lub finansowania terroryzmu, a także w przypadkach, o których mowa w art. 44–46.

Mamy zatem dwie ścieżki uruchamiające EDD:

  • Ścieżka „wysokiego ryzyka" z art. 43 ust. 2 — gdy w analizie ryzyka klienta lub transakcji zidentyfikujemy podwyższone ryzyko (na podstawie czynników z art. 33 ust. 3, oceny ryzyka instytucji albo katalogu z art. 43 ust. 2).
  • Ścieżka „obowiązkowa" z art. 44–46 — gdy spełniona jest konkretna sytuacja: relacja korespondencka transgraniczna (art. 45), stosunek gospodarczy z państwem trzecim wysokiego ryzyka (art. 44 i 44a–44e) lub stosunek z PEP (art. 46).

Dwanaście kategorii podwyższonego ryzyka — art. 43 ust. 2

Art. 43 ust. 2 wymienia dwanaście okoliczności, które „w szczególności" świadczą o wyższym ryzyku. Lista jest niewyczerpująca — to znaczy, że są to przykłady kierunkowe, ale instytucja obowiązana powinna ją uzupełnić własnymi czynnikami z oceny ryzyka instytucji (art. 27) i klienta (art. 33).

Pełen katalog z art. 43 ust. 2:

  • Pkt 1. Nawiązywanie stosunków gospodarczych w nietypowych okolicznościach.
  • Pkt 2. Klient będący osobą prawną lub jednostką organizacyjną:
    • Której działalność służy do przechowywania aktywów osobistych (lit. a).
    • Spółką z akcjami na okaziciela, której papiery nie są dopuszczone do obrotu zorganizowanego, albo spółką, w której prawa z akcji wykonują podmioty inne niż akcjonariusze (lit. b).
    • Rezydentem państwa wysokiego ryzyka (lit. c).
  • Pkt 3. Przedmiot działalności klienta obejmuje przeprowadzanie znacznej liczby lub opiewających na wysokie kwoty transakcji gotówkowych.
  • Pkt 4. Nietypowa lub nadmiernie złożona struktura własnościowa klienta, biorąc pod uwagę rodzaj i zakres prowadzonej działalności.
  • Pkt 5. Korzystanie przez klienta z usług lub produktów oferowanych w ramach bankowości prywatnej.
  • Pkt 6. Korzystanie z usług lub produktów sprzyjających anonimowości lub utrudniających identyfikację (m.in. dodatkowe wirtualne numery rachunków używane do udostępniania innym podmiotom).
  • Pkt 7. Nawiązywanie albo utrzymywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej bez fizycznej obecności klienta — w przypadku, gdy związane z tym wyższe ryzyko nie zostało ograniczone w inny sposób (np. przez środki identyfikacji elektronicznej z rozporządzenia eIDAS 910/2014).
  • Pkt 8. Zlecanie przez nieznane lub niepowiązane z klientem podmioty trzecie transakcji, których beneficjentem jest klient.
  • Pkt 9. Objęcie stosunkami gospodarczymi lub transakcjami nowych produktów lub usług, albo oferowanie ich przy wykorzystaniu nowych kanałów dystrybucji lub nowych rozwiązań technologicznych.
  • Pkt 10. Powiązanie z państwem trzecim wysokiego ryzyka, państwem o wysokim poziomie korupcji albo państwem objętym sankcjami ONZ lub UE.
  • Pkt 11. Powiązanie stosunków gospodarczych z ropą naftową, bronią, metalami szlachetnymi, produktami tytoniowymi, artefaktami kulturowymi, kością słoniową, gatunkami chronionymi lub innymi przedmiotami o znaczeniu archeologicznym, historycznym, kulturowym, religijnym lub szczególnej wartości naukowej.
  • Pkt 12. Powiązanie z klientem będącym obywatelem państwa trzeciego i ubiegającym się o prawo pobytu lub obywatelstwo w państwie członkowskim w zamian za transfery kapitałowe, nabycie nieruchomości lub obligacji skarbowych (tzw. golden visa / golden passport).

W naszej praktyce to katalog, który warto przepisać do procedury wewnętrznej (art. 50 ustawy) z dopisanymi konkretnymi przykładami dla branży klienta. „Bankowość prywatna" jest ogólna; dla CASP to mogą być transakcje korzystające z protokołów anonimizujących, dla operatora płatności — agregator płatności obsługujący kilkudziesięciu sub-merchantów bez własnej weryfikacji.

Co konkretnie zrobić, gdy włączamy EDD?

Ustawa wymaga, żeby środki bezpieczeństwa finansowego były zintensyfikowane w stosunku do standardowych. W praktyce to oznacza wachlarz dodatkowych czynności, które muszą być proporcjonalne do ryzyka. Z naszej praktyki dobrym standardem operacyjnym EDD jest:

  • Pogłębione KYC — pełna struktura własności do każdego BR ze wszystkimi danymi z art. 36 ust. 1 pkt 1, z dokumentacją odzwierciedlającą strukturę (umowa spółki, lista wspólników, sprawozdania finansowe, dokumenty notarialne). Sama deklaracja klienta nie wystarcza.
  • Ustalenie źródła wartości majątkowych i źródła majątku — z dokumentacją (PIT-y, akty notarialne, umowy, faktury). To jest najczęściej zaniedbywany element EDD.
  • Akceptacja kadry kierowniczej wyższego szczebla — zwykle wymagana wprost (art. 45 ust. 1 pkt 4 dla relacji korespondenckich, art. 46 ust. 2 pkt 1 dla PEP), ale w praktyce dobrym wzorcem jest stosowanie tej zasady do wszystkich klientów wysokiego ryzyka.
  • Niższe progi alertowe w monitoringu — system monitoringu transakcji powinien dla klientów EDD operować surowszymi parametrami (mniejsza tolerancja na odchylenia od profilu).
  • Krótszy interwał periodic review — co najmniej raz do roku dla EDD (zamiast 2–3 lat dla średniego ryzyka).
  • Rygorystyczne dokumentowanie decyzji — każda decyzja „kontynuujemy / wstrzymujemy / kończymy" musi być uzasadniona pisemnie.

EDD dla państw trzecich wysokiego ryzyka — art. 44 i 44a

Art. 44 ust. 1 ustawy obejmuje stosunki gospodarcze i transakcje okazjonalne związane z państwami trzecimi wysokiego ryzyka — listę publikuje Komisja Europejska w rozporządzeniu delegowanym 2016/1675 (z aktualizacjami). Wymagane EDD obejmuje m.in.:

  • Uzyskanie dodatkowych informacji o kliencie i BR.
  • Uzyskanie informacji o źródle majątku i źródle wartości majątkowych.
  • Pogłębione informacje o celu i charakterze stosunków gospodarczych.
  • Akceptacja kadry kierowniczej wyższego szczebla.
  • Wzmożony monitoring stosunków gospodarczych.

Art. 44a–44e regulują dodatkowe ograniczenia: organy mogą zakazać otwierania oddziałów lub przedstawicielstw w państwach trzecich wysokiego ryzyka albo nakazać zmianę zakresu lub zakończenie relacji korespondenckich z instytucjami z takich państw.

EDD dla relacji korespondenckich transgranicznych — art. 45

Art. 45 ustawy wymaga od instytucji obowiązanych nawiązujących lub utrzymujących transgraniczne relacje korespondenckie z respondentem z państwa trzeciego (m.in. instytucje kredytowe, finansowe) szczegółowych obowiązków:

  • Uzyskania informacji o respondencie wystarczających do oceny jego reputacji oraz jakości nadzoru.
  • Oceny mechanizmów AML/CFT respondenta.
  • Akceptacji nawiązania relacji przez kadrę kierowniczą wyższego szczebla.
  • Udokumentowania zakresu odpowiedzialności obu stron.
  • W przypadku rachunków typu payable-through — szczególnych dodatkowych środków.

Art. 45 ust. 2 wprost zabrania nawiązywania relacji korespondenckich z bankami fasadowymi (shell banks) — instytucjami nieposiadającymi fizycznej obecności gospodarczej w kraju, w którym są zarejestrowane, oraz nienależącymi do regulowanej grupy finansowej.

EDD wobec PEP — krótkie przypomnienie z art. 46

Tę ścieżkę szczegółowo rozłożyliśmy w 6. wpisie cyklu o BR i PEP. Krótkie przypomnienie: art. 46 ust. 2 wymaga akceptacji kadry kierowniczej, ustalenia źródła majątku i wartości majątkowych oraz intensyfikacji monitoringu. Status PEP utrzymuje się przez co najmniej 12 miesięcy po zakończeniu funkcji (art. 46 ust. 5).

EDD przy nowych produktach lub technologiach — art. 43 ust. 2 pkt 9

Pkt 9 katalogu z art. 43 ust. 2 jest często bagatelizowany, a w naszej praktyce to jeden z głównych obszarów ryzyka. Jeżeli wprowadzasz nowy produkt, usługę albo nową technologię — np. integrujesz nowy stablecoin, uruchamiasz nowy kanał dystrybucji, wdrażasz embedded finance — formalnie powinno to skutkować wzmożonymi środkami bezpieczeństwa wobec klientów go używających, dopóki nie zostanie wykonana ocena ryzyka i nie wykażesz, że ryzyko jest standardowe.

Praktycznie oznacza to, że wprowadzeniu nowego produktu zawsze towarzyszy:

  • Aktualizacja oceny ryzyka instytucji (art. 27 ust. 3).
  • Wewnętrzna procedura testowa (np. segment ograniczony, niski próg, wzmożony monitoring).
  • Aktualizacja procedury wewnętrznej AML (art. 50).
  • Szkolenie pracowników (art. 52).

EDD przy braku fizycznej obecności klienta — art. 43 ust. 2 pkt 7

To kategoria, która w praktyce dotyczy dziś niemal wszystkich fintechów obsługujących on-boarding zdalny. Klauzula z pkt 7 jest jednak warunkowa — wzmożone środki stosujemy, jeżeli wyższe ryzyko nie zostało ograniczone w inny sposób, w tym przez środki identyfikacji elektronicznej.

W naszej praktyce kluczowe pytanie brzmi: czy stosujemy w on-boardingu pełną identyfikację elektroniczną z eIDAS (mObywatel, kwalifikowany podpis), czy jedynie miękkie metody (przelew weryfikacyjny, wideoweryfikacja). Jeżeli to drugie — formalnie wpadamy w EDD na podstawie pkt 7 i powinniśmy stosować dodatkowe środki (przynajmniej do momentu, kiedy klient zbuduje historię uzasadniającą obniżenie ryzyka).

EDD przy nietypowej strukturze własnościowej — art. 43 ust. 2 pkt 4

Z naszej praktyki audytowej najbardziej niedoceniana kategoria. Klient korporacyjny ze strukturą wielowarstwową (kilka warstw spółek holdingowych), z udziałem podmiotów offshore, z fundacjami w środku struktury — to wzorcowa sytuacja z pkt 4. Standardowe KYC nie wystarczy: trzeba mapować strukturę aż do BR, dokumentować każdy poziom, weryfikować ekonomiczne uzasadnienie struktury.

Kontrolerzy najczęściej w tym obszarze sprawdzają: czy w aktach klienta jest udokumentowana struktura na schemacie, czy wykonana została analiza „dlaczego ten klient ma taką strukturę?" i czy konkluzja jest spójna z profilem działalności.

Najczęstsze błędy w EDD — z naszej praktyki

  • Brak triggerów przeklasyfikowania. Ocena ryzyka klienta nie jest aktualizowana, gdy wystąpi okoliczność z art. 43 ust. 2 (np. klient zaczął obsługiwać sub-merchantów anonimowo).
  • „EDD-light". Procedura mówi o EDD, ale w praktyce robi się to samo co w standardowym CDD — bez dokumentacji źródła majątku, bez akceptacji kierownictwa.
  • Brak akceptacji kadry kierowniczej. Decyzja podejmowana przez analityka AML, bez podpisu osoby z art. 7 ustawy.
  • Brak udokumentowania źródła wartości majątkowych. Klient deklaruje „dochody z działalności", a w aktach nie ma żadnego dokumentu potwierdzającego.
  • Pominięcie pkt 9 (nowe produkty). Wprowadzamy nowy produkt bez aktualizacji procedury i bez zwiększenia środków wobec klientów go używających.

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 43, 44, 44a–44e, 45, 46 — Dz.U. 2025 poz. 644 t.j. (ISAP).
  • Rozporządzenie delegowane Komisji (UE) 2016/1675 z 14 lipca 2016 r. — lista państw trzecich wysokiego ryzyka (z aktualizacjami).
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849, art. 18–24 (wzmożone środki).
  • Joint Guidelines on Risk Factors and Simplified and Enhanced Customer Due Diligence — wytyczne EBA (JC 2017 37).
  • FATF — High-Risk and Other Monitored Jurisdictions.
  • Listy państw o wysokim poziomie korupcji — Corruption Perceptions Index (Transparency International).

Co dalej w cyklu?