To trzynasty wpis z naszego cyklu o AML 2026. Outsourcing czynności AML to dziś codzienność — na rynku istnieją dziesiątki dostawców KYC-as-a-Service, agencji weryfikacyjnych, firm outsourcujących cały proces compliance. Ustawa AML rozróżnia jednak trzy zupełnie różne mechanizmy „pomocy” w wykonywaniu obowiązków: korzystanie z usług podmiotu trzeciego (art. 47), powierzenie stosowania środków bezpieczeństwa finansowego (art. 48) oraz korzystanie z agentów / pośredników. Dla każdego z nich obowiązują inne wymogi — i inne konsekwencje za naruszenia. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 47–48 i powiązane.

Trzy mechanizmy — istotna różnica

Ustawa AML rozróżnia trzy modele:

  • Korzystanie z usług podmiotu trzeciego (art. 47) — instytucja obowiązana opiera się na wynikach środków bezpieczeństwa finansowego zastosowanych przez inny, niezależny podmiot (np. inny bank, instytucję z grupy, profesjonalnego dostawcę KYC). To w praktyce „polegamy na cudzym KYC”.
  • Powierzenie stosowania środków bezpieczeństwa finansowego (art. 48) — outsourcing w sensie ścisłym. Inny podmiot wykonuje obowiązki w imieniu i na rzecz instytucji obowiązanej, na podstawie pisemnej umowy.
  • Działalność przez agentów — w sektorze płatniczym (art. 35 ustawy o usługach płatniczych) i niektórych innych sektorach. Agent działa w imieniu instytucji, nie jest osobnym podmiotem dla celów AML — to instytucja odpowiada za jego działania.

Każdy model ma inne wymogi formalne, inny zakres dopuszczalnego outsourcingu i inny rygor odpowiedzialności.

Korzystanie z usług podmiotu trzeciego — art. 47

Art. 47 ust. 1 ustawy AML pozwala instytucjom obowiązanym korzystać z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego z art. 34 ust. 1 pkt 1–3 (identyfikacja klienta, identyfikacja BR, ocena charakteru stosunków). Nie obejmuje to monitoringu bieżącego (pkt 4) — ten pozostaje przy instytucji.

Warunek: podmiot trzeci niezwłocznie przekazuje instytucji, na żądanie, niezbędne informacje i dokumenty dotyczące zastosowanych środków, w tym kopie dokumentów z weryfikacji.

Art. 47 ust. 2 wskazuje, kim może być podmiot trzeci — to musi być inny podmiot regulowany: instytucja obowiązana z art. 2 ust. 1 z państwa członkowskiego UE/EOG, instytucja kredytowa lub finansowa z państwa trzeciego, jeżeli podlega wymogom AML równoważnym z UE i nadzorowi w zakresie zgodności z tymi wymogami.

Co istotne — odpowiedzialność za zastosowanie środków pozostaje przy instytucji obowiązanej (art. 47 ust. 3). To znaczy: nawet jeśli kto inny wykonał KYC, ja odpowiadam.

W praktyce art. 47 jest najczęściej wykorzystywany w grupach finansowych — bank centralny grupy wykonuje KYC, inne podmioty grupy korzystają z wyników. Rzadziej jest używany w relacjach „bank–fintech”, bo wymaga, żeby fintech miał regulowany status.

Powierzenie środków bezpieczeństwa finansowego — art. 48

Art. 48 ust. 1 ustawy AML pozwala powierzyć stosowanie środków bezpieczeństwa finansowego oraz prowadzenie i dokumentowanie analizy bieżącej innej osobie (fizycznej lub prawnej, lub jednostce organizacyjnej) działającej w imieniu i na rzecz instytucji obowiązanej, jeżeli na podstawie pisemnej umowy podmiot ten ma być traktowany jako część instytucji obowiązanej.

Cztery rzeczy, które trzeba zapamiętać:

  • Forma — pisemna umowa. Bez niej brak podstawy do powierzenia.
  • Podmiot „część instytucji obowiązanej” — to fikcja prawna, w której zewnętrzny dostawca jest traktowany jak Twoja własna jednostka organizacyjna. To zupełnie inny mechanizm niż art. 47.
  • Pełna odpowiedzialność. Art. 48 ust. 2 wprost mówi: powierzenie nie zwalnia instytucji obowiązanej z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego.
  • Zakres — art. 48 obejmuje wszystkie środki z art. 34 ust. 1, w tym monitoring bieżący. Szerszy niż art. 47.

W praktyce to jest mechanizm dla outsourcingu KYC-as-a-Service, gdzie zewnętrzny dostawca obsługuje cały proces on-boardingu. Ale wymaga: pisemnej umowy z konkretnymi klauzulami, audytu dostawcy, mechanizmu przekazywania danych, odpowiedzialności reżimowej.

Co musi zawierać umowa outsourcingowa AML?

Z naszej praktyki dobra umowa outsourcingowa AML obejmuje:

  • Zakres powierzonych czynności — precyzyjnie wymieniony, bez ogólników.
  • Standardy wykonania — odwołanie do procedury wewnętrznej AML instytucji obowiązanej (art. 50), do polityk grupowych, do wytycznych GIIF/EBA.
  • Niezwłoczne przekazywanie informacji — definicja terminu „niezwłocznie” (np. „w ciągu 4 godzin roboczych”).
  • Mechanizm raportowania — co i jak przekazuje dostawca (alerty, decyzje, dokumentacja, anomalie).
  • Prawo do audytu — możliwość kontroli dostawcy przez instytucję (i przez GIIF/KNF na żądanie).
  • Bezpieczeństwo i poufność — ochrona danych osobowych zgodnie z RODO, polityka retencji, środki techniczne i organizacyjne.
  • Mechanizmy SLA i kary umowne — za naruszenie standardu.
  • Klauzule eskalacyjne — kiedy dostawca eskaluje do instytucji decyzję o zawiadomieniu GIIF.
  • Procedura wypowiedzenia — z odpowiednim okresem i obowiązkiem zwrotu danych.
  • Lokalizacja przetwarzania danych — gdzie znajdują się serwery, centra danych, personel.

Outsourcing do podmiotów spoza EOG

Tu jest pułapka. Art. 47 ust. 2 wymaga, żeby podmiot trzeci z państwa trzeciego podlegał równoważnym wymogom AML i nadzorowi. To znaczy, że nie każdego dostawcę można wykorzystać.

W praktyce trzeba sprawdzić:

  • Czy państwo siedziby dostawcy nie znajduje się na liście państw trzecich wysokiego ryzyka (rozporządzenie delegowane KE 2016/1675).
  • Czy dostawca podlega lokalnemu nadzorowi AML.
  • Czy lokalne wymogi są równoważne z dyrektywą UE 2015/849.

Dodatkowe ograniczenia wynikają z RODO — przekazanie danych osobowych poza EOG wymaga spełnienia warunków z rozdziału V RODO (decyzja stwierdzająca odpowiedni stopień ochrony, standardowe klauzule umowne, wiążące reguły korporacyjne lub inne narzędzia). Outsourcing łączy się też z RBA — ocena ryzyka dostawcy musi być częścią ogólnej oceny ryzyka instytucji.

W naszej praktyce widzimy, że wiele instytucji obsługuje KYC za pośrednictwem dostawców z USA, UK, Indii — bez właściwej dokumentacji prawnej. To istotne ryzyko AML i RODO.

Agenci w sektorze płatniczym — odrębny reżim

W sektorze płatniczym instytucje płatnicze (KIP, MIP, BUP) działają często przez agentów — osoby świadczące usługi płatnicze w imieniu instytucji. Art. 35 i nast. ustawy z 19 sierpnia 2011 r. o usługach płatniczych regulują status agenta. Z perspektywy AML kluczowe jest, że:

  • Agent nie jest odrębną instytucją obowiązaną — działa w ramach instytucji.
  • Instytucja obowiązana ponosi pełną odpowiedzialność za działania agenta w zakresie AML.
  • Agent musi być wpisany do rejestru prowadzonego przez KNF.
  • Instytucja musi nadzorować agenta — w tym jego zgodność z procedurami AML.

Z naszej praktyki nadzór nad agentami jest jedną z najczęściej kwestionowanych kwestii w postępowaniach KNF. Najczęstsze nieprawidłowości:

  • Brak dokumentacji szkoleń agentów.
  • Brak audytów cyklicznych agentów.
  • Brak konsekwencji za naruszenia procedur AML przez agenta.
  • Brak procedury wycofania uprawnień agenta.

Outsourcing nie obejmuje obowiązków „nieoutsourcowalnych”

Pewnych obowiązków AML nie można outsourcować — pozostają przy instytucji obowiązanej:

  • Wyznaczenie kadry kierowniczej z art. 7 — odpowiedzialność członka zarządu za AML.
  • Wyznaczenie pracownika z art. 8 — kierownika ds. AML (AML-RO).
  • Procedura wewnętrzna z art. 50 — chociaż jej napisanie można outsource'ować, akceptacja z art. 50 ust. 3 należy do kadry kierowniczej.
  • Decyzje strategiczne — m.in. wyjście z relacji z klientem, wstrzymanie transakcji.
  • Komunikacja z GIIF — chociaż formalnie zawiadomienia może składać outsourcer w imieniu instytucji, decyzja o ich złożeniu i odpowiedzialność spoczywa na instytucji.

W naszej praktyce: outsourcing AML to delegacja wykonania, nie odpowiedzialności. Każda umowa outsourcingowa powinna jasno to precyzować.

Nadzór nad outsourcerem — co realnie robić?

Z naszej praktyki dobry program nadzoru obejmuje:

  • Audyt wstępny — przed zawarciem umowy: weryfikacja zgodności AML, RODO, technicznej, finansowej.
  • Cykliczne audyty operacyjne — co najmniej raz w roku, sprawdzenie próbki obsłużonych klientów.
  • Cykliczne testy — fikcyjnych klientów (mystery shopping) sprawdzających, czy procesy działają.
  • Monitoring KPI — czas obsługi, liczba alertów, liczba błędów, liczba zgłoszeń do GIIF.
  • Roczny przegląd zarządu — raport z funkcji compliance dotyczący nadzoru nad outsourcerami.
  • Klauzule wczesnego ostrzegania — outsourcer informuje o swoich incydentach AML/RODO.

Najczęstsze błędy w outsourcingu AML — z naszej praktyki

  • Mylenie art. 47 z art. 48 — instytucja podpisuje umowę, ale nie wiadomo, czy dostawca jest „częścią instytucji” (art. 48), czy działa niezależnie (art. 47). Konsekwencje w razie kontroli są zupełnie różne.
  • Brak pisemnej umowy z art. 48 — outsourcing jest, ale formalnie niedopuszczalny.
  • Brak audytu dostawcy — instytucja nie weryfikuje, jak rzeczywiście funkcjonuje outsourcer.
  • Outsourcing bez analizy ryzyka — przed zawarciem umowy nie wykonano oceny, czy dostawca spełnia wymogi.
  • Outsourcing do państwa trzeciego bez sprawdzenia równoważności.
  • Brak nadzoru nad agentami — instytucja płatnicza zatrudnia agentów, ale nie weryfikuje ich procesów AML.
  • Pominięcie RODO — outsourcing AML zawsze wiąże się z przetwarzaniem danych osobowych; brak umowy powierzenia z art. 28 RODO jest powszechny.

W kolejnym wpisie cyklu — „Travel Rule (TFR 2023/1113) i kryptoaktywa” — schodzimy do reżimu, który ostatnio najszybciej się rozbudowuje: obowiązki dostawców usług w zakresie kryptoaktywów (CASP) wynikające z rozporządzenia 2023/1113 (TFR), zwłaszcza w transferach z portfelami niehostowanymi.

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 47, 48 — Dz.U. 2025 poz. 644 t.j.
  • Ustawa z 19 sierpnia 2011 r. o usługach płatniczych, art. 35 i nast. (agenci) — Dz.U. 2024 poz. 30 ze zm.
  • Rozporządzenie delegowane Komisji (UE) 2016/1675 — państwa trzecie wysokiego ryzyka.
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), rozdział V — przekazywanie danych do państw trzecich.
  • EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02).
  • Rejestr usług płatniczych KNF — agenci, KIP, MIP, BUP.

Co dalej w cyklu?