To szósty wpis z naszego cyklu o AML 2026. W piątym artykule omówiliśmy zakres środków bezpieczeństwa finansowego i identyfikację klienta. Teraz zajmujemy się trzema obszarami, które polski ustawodawca rozbudował najmocniej w ostatnich latach i w których robi się dziś najwięcej błędów: beneficjent rzeczywisty (BR), Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) oraz osoby zajmujące eksponowane stanowiska polityczne (PEP). Mapping na ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 2 ust. 2 pkt 1, art. 36 ust. 2, art. 37 ust. 2, art. 46 oraz art. 55–71b.

Czym jest beneficjent rzeczywisty?

Beneficjent rzeczywisty (BR) — w art. 2 ust. 2 pkt 1 ustawy AML — to osoba fizyczna lub osoby fizyczne, które:

  • Sprawują bezpośrednio lub pośrednio kontrolę nad klientem przez przysługujące im uprawnienia wynikające z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez klienta.
  • Są osobami fizycznymi, w imieniu których nawiązywane są stosunki gospodarcze lub przeprowadzana jest transakcja okazjonalna.

Definicja jest celowo szeroka. W praktyce prawodawca dał kierunkową regułę („w tym uprawnienia, o których mowa…") z domniemaniem progu 25% udziałów lub praw głosu albo udziałów w kapitale jako wskazówkę dla osób prawnych. Ustawa wymienia również szczegółowe scenariusze:

  • Spółka będąca osobą prawną inna niż spółka publiczna — osoba fizyczna z udziałem ponad 25%, wykonująca prawa głosu z udziałów ponad 25%, kontrolująca spółkę dominującą lub mająca prawo do ponad 25% majątku w razie podziału.
  • Osoba fizyczna zajmująca wyższe stanowisko kierownicze, jeżeli nie można ustalić tożsamości BR ani nie zachodzą podejrzenia prania pieniędzy lub finansowania terroryzmu (art. 2 ust. 2 pkt 1 lit. a tiret 5).
  • Trust — założyciel, powiernik, nadzorca, beneficjent (art. 2 ust. 2 pkt 1 lit. b).
  • Fundacja, stowarzyszenie — osoby pełniące określone funkcje.

Pojęcie BR pełni dwie role: (1) z perspektywy KYC — ustalamy, kto jest prawdziwym właścicielem ekonomicznym (osoba prawna nie jest finalnym właścicielem); (2) z perspektywy ryzyka — uruchamiamy te same kategorie oceny ryzyka, screening sankcyjny i PEP wobec BR, co wobec klienta bezpośredniego.

Identyfikacja BR — co dokładnie zbierać?

Art. 36 ust. 2 ustawy odsyła do art. 36 ust. 1 pkt 1 — czyli identyfikacja BR obejmuje ten sam zestaw danych co identyfikacja osoby fizycznej: imię i nazwisko, obywatelstwo, PESEL (lub data urodzenia + państwo urodzenia), seria i numer dokumentu tożsamości, adres zamieszkania (jeśli posiadany).

Art. 37 ust. 2 mówi, że w przypadku BR będącego „osobą fizyczną zajmującą wyższe stanowisko kierownicze" w klientzie korporacyjnym (gdy nie da się ustalić właściciela), instytucja obowiązana dokumentuje wszystkie podjęte działania mające na celu weryfikację tożsamości BR oraz trudności napotkane w trakcie weryfikacji. To istotne — system KYC ma rejestrować nie tylko wynik, ale też proces dochodzenia do niego.

Z naszej praktyki najczęstsze pułapki:

  • Brak weryfikacji BR — instytucja zatrzymuje się na identyfikacji (czyli ustaleniu danych), nie wykonuje czynności weryfikacyjnych z art. 37.
  • Wiara w deklarację klienta — przyjęcie deklaracji o BR bez krzyżowego sprawdzenia z CRBR, KRS, sprawozdaniami finansowymi, deklaracjami innych instytucji.
  • Pominięcie struktury własności — art. 34 ust. 1 pkt 2 lit. b wymaga „ustalenia struktury własności i kontroli" w przypadku osób prawnych. To nie jest opcjonalne.

CRBR — czym jest i jak z niego korzystać?

Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) prowadzi minister właściwy do spraw finansów publicznych — w praktyce wykonuje to organ KAS wskazany na podstawie art. 56 ustawy. Cel rejestru, zgodnie z art. 55 ustawy, to przetwarzanie informacji o BR, które są jawne, w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu.

Zakres podmiotowy obowiązku zgłoszenia (art. 58) obejmuje m.in.:

  • Spółki jawne, komandytowe, komandytowo-akcyjne, z o.o., proste spółki akcyjne, akcyjne (z wyłączeniem publicznych w określonym zakresie).
  • Trusty, których powiernicy lub osoby zajmujące równoważne stanowiska mają miejsce zamieszkania lub siedzibę w Polsce albo nawiązują stosunki gospodarcze lub nabywają nieruchomość w Polsce.
  • Spółdzielnie, fundacje, stowarzyszenia podlegające wpisowi do KRS.
  • Europejskie zgrupowania interesów gospodarczych, spółki europejskie, spółdzielnie europejskie.

Terminy zgłoszenia (art. 60): 7 dni od dnia wpisu podmiotu do KRS lub od zmiany danych podlegających zgłoszeniu, z wyłączeniem dni wolnych od pracy. Aktualizacja musi być terminowa — opóźnione zgłoszenie podlega karze.

Z perspektywy instytucji obowiązanej kluczowe są dwa elementy:

  • CRBR jako jedno z wiarygodnych źródeł — ale nie jedyne. Art. 68 ustawy wprowadza domniemanie prawdziwości danych w CRBR, ale instytucja obowiązana ma własny obowiązek weryfikacji zgodnie z art. 37, którego CRBR nie eliminuje. W praktyce: pobieramy z CRBR + krzyżowo sprawdzamy z deklaracją klienta + ze strukturą z KRS / sprawozdań.
  • Obowiązek zgłaszania rozbieżności — art. 61a ustawy AML.

Rozbieżności w CRBR — co robić?

Art. 61a ust. 1 ustawy AML zobowiązuje instytucje obowiązane do zgłaszania rozbieżności między informacjami zgromadzonymi w CRBR a informacjami o BR uzyskanymi w związku ze stosowaniem ustawy. Procedura ze strony instytucji:

  • Wykrywamy rozbieżność (np. klient deklaruje BR „A", w CRBR figuruje BR „B").
  • Występujemy do klienta o wyjaśnienie i ewentualną aktualizację CRBR.
  • Jeśli klient nie aktualizuje albo nie wyjaśnia — zgłaszamy rozbieżność do organu prowadzącego CRBR.
  • Dokumentujemy proces.

Z naszej praktyki (zob. też 9. wpis cyklu o monitoringu) zgłaszanie rozbieżności jest istotną częścią obowiązków AML, której realnie wiele instytucji nie wykonuje, mimo że jest ustawowy. Brak zgłoszeń bywa traktowany przez kontrolerów jako wskazówka, że proces weryfikacji w ogóle nie funkcjonuje.

Identyfikacja BR w sytuacjach trudnych — trusty, fundacje, „brak BR"

Niektóre struktury są szczególnie skomplikowane:

  • Trust — art. 2 ust. 2 pkt 1 lit. b wskazuje wprost: założyciel, powiernik, nadzorca (jeżeli ustanowiono), beneficjent oraz inna osoba sprawująca kontrolę nad trustem. Każda z tych ról może być BR, a system KYC powinien je wszystkie pokryć.
  • Fundacja — beneficjentem rzeczywistym jest osoba fizyczna sprawująca kontrolę przez uprawnienia wynikające z okoliczności prawnych lub faktycznych. W praktyce — najczęściej członkowie zarządu, rady fundacji, osoby uprawnione do zmiany statutu.
  • „Brak konkretnej osoby fizycznej" — art. 2 ust. 2 pkt 1 lit. a tiret 5 ustawy: w przypadku, gdy nie można ustalić BR ani nie zachodzą podejrzenia prania pieniędzy lub finansowania terroryzmu — BR jest osoba fizyczna zajmująca wyższe stanowisko kierownicze. Tu kluczowy jest art. 37 ust. 2 ustawy AML: instytucja dokumentuje wszystkie czynności weryfikacyjne i napotkane trudności. To „last resort", nie domyślny scenariusz.
  • Spółki Skarbu Państwa — domniemanie braku BR jako osoby fizycznej; w praktyce w kategoriach KYC stosujemy przepisy o spółkach publicznych albo wskazujemy osobę pełniącą funkcję kierowniczą.

PEP — kto to jest?

Osoba zajmująca eksponowane stanowisko polityczne (PEP) to definicja z art. 2 ust. 2 pkt 11 ustawy AML, obejmująca osoby fizyczne pełniące znaczące funkcje publiczne i polityczne. Polska ustawa rozróżnia:

  • PEP krajowych — sprawujących funkcje publiczne w Polsce.
  • PEP zagranicznych — sprawujących funkcje publiczne w państwach trzecich lub organizacjach międzynarodowych.

Wykaz krajowych stanowisk i funkcji publicznych będących stanowiskami eksponowanymi politycznie publikuje Minister Finansów — na podstawie delegacji z art. 46c ustawy AML. Aktualny wykaz znajduje się w rozporządzeniu Ministra Finansów wydanym na podstawie art. 46c, zawierającym m.in. ministrów i sekretarzy stanu, członków zarządu Narodowego Banku Polskiego, członków zarządów spółek z udziałem Skarbu Państwa, posłów, senatorów, członków organów samorządów terytorialnych powyżej określonego szczebla, sędziów Sądu Najwyższego i Trybunału Konstytucyjnego, ambasadorów, generałów Wojska Polskiego.

Definicja PEP obejmuje także — zgodnie z art. 2 ust. 2 pkt 11 i art. 46 ust. 6 ustawy — członków rodziny PEP oraz osób znanych jako bliscy współpracownicy PEP.

Członkami rodziny są:

  • Małżonek lub osoba pozostająca w pożyciu z PEP.
  • Dziecko PEP, jego małżonek lub osoba pozostająca z dzieckiem w pożyciu.
  • Rodzice PEP.

Bliskimi współpracownikami są osoby fizyczne, o których wiadomo, że są:

  • Beneficjentami rzeczywistymi osób prawnych, jednostek organizacyjnych nieposiadających osobowości prawnej lub trustów wspólnie z PEP albo utrzymującymi inne bliskie stosunki gospodarcze z PEP.
  • Jedynymi beneficjentami rzeczywistymi osób prawnych, jednostek organizacyjnych lub trustów utworzonych na rzecz PEP.

Z perspektywy compliance to znaczy, że jeden PEP w bazie generuje obowiązek zidentyfikowania i analizy ryzyka całego siatki powiązań — co w przypadku polityków na wysokim szczeblu może obejmować dziesiątki osób.

Jak ustalić, czy klient jest PEP?

Art. 46 ust. 1 ustawy AML wskazuje, że instytucje obowiązane wdrażają procedury oparte na analizie ryzyka, w tym mogą przyjmować od klienta oświadczenie w formie pisemnej lub dokumentowej, że jest albo nie jest PEP. Co istotne:

  • Oświadczenie składa się pod rygorem odpowiedzialności karnej za fałszywe zeznanie.
  • Klauzula obowiązkowa: „Jestem świadomy odpowiedzialności karnej za złożenie fałszywego oświadczenia."
  • Klauzula ta zastępuje pouczenie o odpowiedzialności karnej.

W praktyce sama deklaracja nie wystarcza. Z naszej praktyki standardem jest połączenie:

  • Oświadczenia klienta z klauzulą.
  • Screeningu w bazach PEP (komercyjne źródła: Refinitiv, Dow Jones, ComplyAdvantage, LexisNexis, Pep Tools, polskie źródła specjalistyczne).
  • Cyklicznego ponownego sprawdzania (przy zmianach statusu — m.in. wybór do parlamentu, mianowanie do zarządu spółki SP).
  • Sprawdzenia członków rodziny i bliskich współpracowników — co wymaga źródeł zewnętrznych.

Obowiązki wobec klienta będącego PEP — art. 46 ust. 2

Art. 46 ust. 2 ustawy AML wymaga od instytucji obowiązanej trzech działań przy stosunkach gospodarczych z PEP — to klasyczne wzmożone środki EDD:

  • Akceptacja kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację relacji. To nie jest formalność — w praktyce GIIF/KNF wymagają udokumentowanej decyzji członka zarządu lub osoby pełniącej funkcję AML-RO. Decyzja powinna być oparta na udokumentowanej analizie ryzyka.
  • Ustalenie źródła majątku klienta i źródła pochodzenia wartości majątkowych — czyli realne wyjaśnienie skąd PEP ma pieniądze, którymi obraca przez Twoją instytucję. W praktyce to dokumenty (PIT-y, sprawozdania majątkowe publiczne dla niektórych PEP, akty notarialne, umowy darowizny).
  • Intensyfikacja monitoringu bieżącego — środek z art. 34 ust. 1 pkt 4. Wzmożona obserwacja transakcji, krótsze interwały periodic review, niższe progi alertowe.

W przypadku zakładów ubezpieczeń (art. 2 ust. 1 pkt 8) ustawa dodaje obowiązek ustalenia, czy uprawnieni z tytułu umowy ubezpieczenia lub ich BR są PEP — najpóźniej w momencie wypłaty świadczenia (art. 46 ust. 3).

„Były PEP" — okres karencji co najmniej 12 miesięcy

Art. 46 ust. 5 ustawy AML wskazuje, że osobę, która przestała pełnić funkcję PEP, traktujemy z uwzględnieniem ryzyka przez co najmniej 12 miesięcy od zaprzestania zajmowania stanowiska. Ten termin to minimum — instytucja może (i często powinna) przedłużyć go w zależności od rodzaju funkcji. W naszej praktyce dla byłych ministrów, członków zarządu spółek SP czy posłów stosujemy 24–36 miesięcy.

Co to oznacza operacyjnie: w bazie PEP musimy mieć datę zakończenia funkcji i automatyczny mechanizm przeglądu po 12 miesiącach z decyzją „kontynuujemy status PEP" lub „zdejmujemy".

Czerwone flagi przy klientach PEP

W naszej praktyce typowe wzorce, które mają wartość alertową przy klientach PEP:

  • Transakcje o wartościach niezgodnych z deklarowanym dochodem PEP-a (oświadczenia majątkowe są publicznie dostępne dla wielu PEP).
  • Transakcje na rzecz spółek powiązanych w nietypowy sposób.
  • Nagłe zmiany wzorca transakcyjnego po zmianie statusu (objęcie funkcji, zakończenie funkcji).
  • Transakcje z podmiotami z państw trzecich wysokiego ryzyka.
  • Zlecenia od bliskich współpracowników na rzecz PEP lub odwrotnie.

Każda z tych flag powinna być triggerem dla pogłębionej analizy i — w razie potrzeby — zawiadomienia GIIF na podstawie art. 74 lub art. 86 ustawy.

Trzy najczęstsze błędy w obsłudze BR i PEP

Z naszej praktyki audytowej powtarzają się trzy słabe ogniwa:

  • Identyfikacja bez weryfikacji BR. Zbieramy dane, ale nie weryfikujemy ich krzyżowo z CRBR, KRS, deklaracjami innych instytucji, sprawozdaniami finansowymi.
  • PEP-screening bez uwzględnienia rodziny i współpracowników. Sprawdzamy klienta, ale nie sprawdzamy „okręgu". Art. 46 ust. 6 wprost rozszerza obowiązek na te kategorie.
  • Brak procedury „byłego PEP". Status raz nadany pozostaje na zawsze albo jest zdejmowany od razu po zakończeniu funkcji — żaden z tych scenariuszy nie spełnia art. 46 ust. 5.

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 2 ust. 2 pkt 1 (definicja BR), art. 36–37 (identyfikacja i weryfikacja), art. 46 (PEP), art. 55–71b (CRBR) — Dz.U. 2025 poz. 644 t.j. (ISAP).
  • Centralny Rejestr Beneficjentów Rzeczywistych — wyszukiwarka i informacje (crbr.podatki.gov.pl).
  • Rozporządzenie Ministra Finansów w sprawie wykazu krajowych stanowisk i funkcji publicznych będących eksponowanymi stanowiskami politycznymi (na podstawie art. 46c ustawy AML).
  • Komunikaty GIIF dotyczące CRBR i obowiązku zgłaszania rozbieżności (art. 61a) (gov.pl/giif).
  • Joint Guidelines on Customer Due Diligence — wytyczne EBA dotyczące BR i PEP (JC 2017 37).
  • Wyrok Trybunału Sprawiedliwości UE z 22 listopada 2022 r., C-37/20 i C-601/20 (WM, Sovim) — w sprawie publicznego dostępu do CRBR.

Co dalej w cyklu?