To piąty wpis z naszego cyklu o AML 2026. W czwartym artykule pokazaliśmy, jak budować ocenę ryzyka instytucji i klienta. Teraz schodzimy do warstwy operacyjnej, którą codziennie wykonują AML officerowie, KYC operations i front-end procesowania klientów: środki bezpieczeństwa finansowego (CDD — customer due diligence). Pełny mapping na ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — od art. 33 do art. 43.

Cztery elementy CDD — co tak naprawdę oznacza „środki bezpieczeństwa finansowego"?

Art. 34 ust. 1 ustawy AML definiuje zakres środków bezpieczeństwa finansowego, które instytucja obowiązana stosuje wobec klienta:

  • Identyfikację klienta oraz weryfikację jego tożsamości (art. 34 ust. 1 pkt 1).
  • Identyfikację beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu jego weryfikacji i ustalenia struktury własności i kontroli (art. 34 ust. 1 pkt 2). Zagadnieniu BR poświęcamy 6. wpis cyklu.
  • Ocenę stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji o ich celu i zamierzonym charakterze (art. 34 ust. 1 pkt 3).
  • Bieżące monitorowanie stosunków gospodarczych klienta — w tym analizę transakcji, badanie źródła pochodzenia wartości majątkowych w uzasadnionych przypadkach oraz aktualizację dokumentów (art. 34 ust. 1 pkt 4). Tematowi temu szczegółowo poświęcamy 9. wpis cyklu o monitoringu transakcji.

Co ważne — instytucja obowiązana identyfikuje i weryfikuje także osobę upoważnioną do działania w imieniu klienta (art. 34 ust. 1 pkt 1 in fine ustawy). To często pomijany w on-boardingu element, a jego brak jest jednym z najczęściej wskazywanych w protokołach kontroli.

W tym artykule koncentrujemy się na pierwszym i trzecim filarze (identyfikacja, weryfikacja, ocena charakteru stosunków). BR i monitoring mają osobne wpisy.

Kiedy stosować środki bezpieczeństwa finansowego? Sześć przesłanek z art. 35

Art. 35 ust. 1 ustawy AML wymienia sześć przesłanek, w których obowiązkowo stosujemy CDD:

  • Nawiązywanie stosunków gospodarczych (art. 35 ust. 1 pkt 1) — czyli zawarcie umowy o trwałą relację (rachunek, umowa o świadczenie usług płatniczych, umowa ubezpieczenia z elementem inwestycyjnym).
  • Transakcja okazjonalna (art. 35 ust. 1 pkt 2) — pojedyncza, jednorazowa, jeżeli przekracza któryś z progów:
    • 15 000 euro — ogólny próg dla każdej transakcji okazjonalnej (lit. a). Klauzula „bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane" — czyli antysmurfingowa.
    • 1 000 euro — transfer środków pieniężnych (lit. b).
    • 1 000 euro — z wykorzystaniem waluty wirtualnej, dla instytucji obowiązanych z art. 2 ust. 1 pkt 12 (lit. c).
  • Gotówkowa transakcja okazjonalna o równowartości 10 000 euro lub większej, dla instytucji z art. 2 ust. 1 pkt 21–23 (m.in. fundacje, stowarzyszenia, przedsiębiorcy gotówkowi z towarami) — art. 35 ust. 1 pkt 3.
  • Obstawianie stawek i odbiór wygranych o równowartości 2 000 euro lub większej, dla podmiotów hazardowych z art. 2 ust. 1 pkt 20 — art. 35 ust. 1 pkt 4.
  • Podejrzenie prania pieniędzy lub finansowania terroryzmu — art. 35 ust. 1 pkt 5. Bez względu na wartość transakcji. To jest przesłanka, której znaczenie zwykle niedoceniamy: nie ma tu progu, nie ma profilu klienta, nie ma kategorii — jest podejrzenie, jest CDD.
  • Wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych klienta — art. 35 ust. 1 pkt 6.

Art. 35 ust. 2 dodaje przesłanki dotyczące klientów, z którymi instytucja utrzymuje już stosunki gospodarcze — w szczególności gdy:

  • Doszło do zmiany charakteru lub okoliczności stosunków gospodarczych.
  • Doszło do zmiany danych klienta lub beneficjenta rzeczywistego.
  • Instytucja była w danym roku zobowiązana do skontaktowania się z klientem w celu weryfikacji informacji o BR (np. na podstawie ustawy o wymianie informacji podatkowych).

Stosunek gospodarczy a transakcja okazjonalna — różnica, która wszystko zmienia

To podstawowe rozróżnienie z art. 2 ust. 2 pkt 22 i 23 ustawy AML. Stosunek gospodarczy jest relacją trwałą, ciągłą, przewidującą powtarzalność (np. prowadzenie rachunku, umowa o usługi płatnicze, polisa życiowa z elementem inwestycyjnym). Transakcja okazjonalna jest jednorazowa, nieosadzona w trwałej relacji (np. jednorazowa wymiana waluty w kantorze, jednorazowe obstawienie zakładu, jednorazowa wpłata na cudzy rachunek).

Konsekwencja praktyczna jest poważna: dla stosunków gospodarczych CDD jest stosowany niezależnie od kwoty (już od pierwszej operacji); dla transakcji okazjonalnych — dopiero po przekroczeniu progu z art. 35.

Identyfikacja klienta — co dokładnie zbieramy?

Art. 36 ust. 1 ustawy AML rozkłada na czynniki, jakie dane stanowią identyfikację klienta. Dla osoby fizycznej (art. 36 ust. 1 pkt 1):

  • Imię i nazwisko.
  • Obywatelstwo.
  • PESEL — a jeżeli go nie nadano: data urodzenia oraz państwo urodzenia.
  • Seria i numer dokumentu stwierdzającego tożsamość.
  • Adres zamieszkania — jeżeli instytucja go posiada.
  • W przypadku osoby fizycznej prowadzącej działalność gospodarczą: nazwa firmy, NIP, adres głównego miejsca wykonywania działalności.

Dla osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej (art. 36 ust. 1 pkt 2):

  • Nazwa (firma).
  • Forma organizacyjna.
  • Adres siedziby lub adres prowadzenia działalności.
  • NIP, a w razie braku — państwo rejestracji, nazwa rejestru, numer i data rejestracji.
  • Dane identyfikacyjne osoby reprezentującej (imię, nazwisko, PESEL lub data urodzenia).

Art. 36 ust. 1 pkt 3 obejmuje analogicznie osobę upoważnioną do działania w imieniu klienta — z zakresem analogicznym do osoby fizycznej z pkt 1.

W naszej praktyce widzimy jeden powtarzający się błąd: brak identyfikacji pełnomocnika (osoby upoważnionej). Pełnomocnictwo jest często skanowane do akt klienta, ale dane pełnomocnika nie wchodzą do systemu KYC. Z punktu widzenia art. 34 ust. 1 pkt 1 to brak.

Weryfikacja tożsamości — czyli co odróżnia identyfikację od weryfikacji?

Identyfikacja to ustalenie danych. Weryfikacja (art. 37 ustawy AML) to potwierdzenie, że te dane są prawdziwe. Art. 37 ust. 1 mówi, że weryfikacja następuje na podstawie:

  • Dokumentu stwierdzającego tożsamość osoby fizycznej.
  • Dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru.
  • Innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła, w tym — o ile są dostępne — ze środków identyfikacji elektronicznej lub usług zaufania (rozporządzenie eIDAS 910/2014).

Klauzula „inne wiarygodne i niezależne źródło" otwiera furtkę dla weryfikacji zdalnej, na której opiera się dziś większość on-boardingu w polskich fintechach. W praktyce dominują cztery metody.

Metoda 1 — wideoweryfikacja

Wideoweryfikacja to wideorozmowa z klientem, podczas której prezentuje on dokument tożsamości i jest porównywany z osobą widoczną w kamerze. Komisja Nadzoru Finansowego (KNF) wydała w stanowisku UKNF wytyczne dla nadzorowanych podmiotów. Z perspektywy operacyjnej krytyczne są:

  • Pisemna procedura wideoweryfikacji ze szczegółowym przebiegiem procesu.
  • Jakość połączenia wideo i audio wystarczająca do odczytania danych z dokumentu i identyfikacji osoby.
  • Pytania kontrolne weryfikujące dane z dokumentu i autentyczność (np. zabezpieczenia w świetle UV, hologramy).
  • Przeszkolony personel — operatorzy weryfikacji muszą umieć wykrywać manipulacje (deepfake, fałszywki) i znać typowe wzorce oszustw.
  • Rejestrowanie i archiwizacja nagrania audio-wideo przez okres przechowywania dokumentacji AML — co najmniej 5 lat (art. 49 ustawy).

Wideoweryfikacja u klienta nieobecnego fizycznie kwalifikuje się jako sytuacja podwyższonego ryzyka w rozumieniu art. 43 ust. 2 ustawy. Należy więc rozważyć dodatkowe środki weryfikacyjne i nie traktować wideoweryfikacji jako jedynego dowodu tożsamości.

Metoda 2 — usługa AIS (dostęp do informacji o rachunku)

Usługa AIS (Account Information Service) z dyrektywy PSD2 / ustawy z 19 sierpnia 2011 r. o usługach płatniczych pozwala — za zgodą klienta — odczytać podstawowe informacje z jego rachunku: nazwę posiadacza, numer rachunku, historię transakcji. Z perspektywy AML jest to wiarygodne i niezależne źródło, ponieważ bank prowadzący rachunek wcześniej zweryfikował tożsamość klienta.

Z naszej praktyki przy wdrożeniach KYC dla fintechów: AIS daje wyższą pewność niż przelew weryfikacyjny (ponieważ udostępnia historię transakcji jako dodatkowy element oceny ryzyka), ale wymaga integracji z licencjonowanym AISP i zgody klienta — co przekłada się na konwersję on-boardingową.

Metoda 3 — przelew weryfikacyjny

Przelew weryfikacyjny to przelew z rachunku klienta (zwykle 1 zł lub 1 EUR) na rachunek instytucji obowiązanej. Weryfikujemy zgodność danych nadawcy (imię, nazwisko, numer rachunku) z danymi z identyfikacji. Logika: skoro klient ma dostęp do rachunku prowadzonego na jego nazwisko, to jest tą osobą, za którą się podaje. Przesłanką wiarygodności jest fakt, że bank prowadzący rachunek klienta wcześniej zweryfikował jego tożsamość.

W naszej praktyce to nadal najbardziej rozpowszechniona metoda zdalnej weryfikacji w fintechach płatniczych. Jej ograniczenia: klient musi mieć rachunek w banku z polską identyfikacją (nie sprawdza się dla części zagranicznych); nie weryfikuje wieku/dokumentu osobiście.

Metoda 4 — środki identyfikacji elektronicznej (mObywatel, profil zaufany, eID)

Polskie środki identyfikacji elektronicznej — m.in. mObywatel, profil zaufany, kwalifikowany podpis elektroniczny — są wprost wymienione w art. 37 ust. 1 ustawy AML jako akceptowalne narzędzie weryfikacji. Z perspektywy operacyjnej są najmocniejsze (oparte o eIDAS, autentyfikacja przez państwo członkowskie UE), ale wciąż nie są domyślną opcją w on-boardingu fintechowym, bo wymagają pewnej dojrzałości UX i pokrycia bazowych segmentów klientów.

Cel i charakter stosunków gospodarczych — zaniedbany filar

Art. 34 ust. 1 pkt 3 wymaga oceny stosunków gospodarczych i — stosownie do sytuacji — uzyskania informacji o ich celu i zamierzonym charakterze. W praktyce to jedno z najczęściej zaniedbywanych zobowiązań. Klient deklaruje cel ogólnikowo („inwestycje", „działalność gospodarcza"), a instytucja nie analizuje, czy to ma sens w kontekście profilu.

Z naszej praktyki dobry mechanizm operacjonalizacji art. 34 ust. 1 pkt 3 zawiera:

  • Pole „cel relacji" w formularzu KYC z sensowną listą predefiniowanych opcji (a nie wolnym tekstem).
  • Pole „zamierzony wolumen transakcyjny" — z deklaracją kwotową i częstotliwością.
  • Mechanizm porównawczy: po 30/60/90 dniach realny profil porównany z deklaracją; rozbieżność = trigger reklasyfikacji ryzyka.
  • Dokumentacja źródła pochodzenia wartości majątkowych przy klientach o podwyższonym ryzyku.

Moment weryfikacji — i kiedy można go odroczyć?

Co do zasady weryfikacja tożsamości klienta i beneficjenta rzeczywistego musi nastąpić przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej (art. 39 ust. 1 ustawy AML). Art. 39 ust. 2 dopuszcza jednak odroczenie zakończenia weryfikacji podczas nawiązywania stosunków gospodarczych, jeżeli łącznie są spełnione dwa warunki:

  • Odroczenie jest konieczne, aby nie przerywać normalnego prowadzenia działalności.
  • Ryzyko prania pieniędzy lub finansowania terroryzmu jest niskie.

W praktyce ten wyjątek wykorzystuje się głównie w bankach, które chcą umożliwić klientowi otwarcie rachunku z natychmiastowym dostępem, ale weryfikację dokumentu kończą w ciągu np. 3 dni roboczych. Wyjątek nie dotyczy transakcji okazjonalnych — tu zawsze najpierw CDD, potem transakcja.

Art. 39 ust. 3 dopuszcza specjalne rozwiązanie dla instytucji z art. 2 ust. 1 pkt 1–5, 7–11, 24 i 25 — mogą zawrzeć umowę o prowadzenie rachunku pod warunkiem, że środki bezpieczeństwa finansowego zostaną zastosowane przed pierwszą transakcją z wykorzystaniem rachunku.

Kiedy nie można zastosować środków — art. 41

Art. 41 ust. 1 ustawy mówi krótko: jeżeli instytucja obowiązana nie jest w stanie zastosować któregoś ze środków bezpieczeństwa finansowego z art. 34 ust. 1, to:

  • Nie nawiązuje stosunków gospodarczych.
  • Nie przeprowadza transakcji okazjonalnej.
  • Nie przeprowadza transakcji za pośrednictwem rachunku.
  • Rozwiązuje stosunki gospodarcze.
  • Rozważa zawiadomienie GIIF na podstawie art. 74 ust. 2 lub art. 86 ust. 1 ustawy.

Innymi słowy: brak możliwości wykonania CDD nie jest opcją „zaczekajmy" — to wymóg odmowy lub wyjścia z relacji. W naszej praktyce widzieliśmy sytuacje, w których instytucja przez miesiące „pracowała nad" weryfikacją trudnego klienta, nie zamykając relacji — to wprost narusza art. 41.

Uproszczone vs. wzmożone środki bezpieczeństwa

Art. 42 ustawy AML pozwala stosować uproszczone środki w sytuacjach niskiego ryzyka. Co istotne — uproszczenie nie znaczy braku CDD; to mniejsza intensywność (np. mniej dokumentów weryfikacyjnych, dłuższe interwały periodycznego przeglądu, scoring oparty na automatycznych źródłach). Każde uproszczenie musi być uzasadnione w ocenie ryzyka klienta z art. 33 ust. 3.

Art. 43 ustawy reguluje wzmożone środki bezpieczeństwa finansowego (EDD) — stosowane w sytuacjach podwyższonego ryzyka. Ten temat ma własny 7. wpis cyklu o EDD, więc nie powtarzamy go tu w całości — wystarczy zapamiętać, że dla każdej kategorii „wysokie ryzyko" w ocenie klienta uruchamia się EDD, a katalog czerwonych flag z art. 43 ust. 1 pkt 1–10 stanowi listę kierunkową, nie zamkniętą — instytucja powinna ją uzupełnić własnymi czynnikami z oceny ryzyka instytucji.

Postępowanie przy wątpliwości — art. 35 ust. 1 pkt 6

Jedna z często niedocenianych przesłanek — wątpliwości co do prawdziwości lub kompletności danych. Z naszej praktyki najczęstsze sytuacje, w których ten przepis musi się uruchomić:

  • Klient przedstawia różne wersje tych samych danych w różnych dokumentach.
  • Adres na fakturze nie zgadza się z adresem w rejestrze.
  • Imię w paszporcie nie zgadza się z deklaracją.
  • Wykryto rozbieżność między danymi a rejestrem CRBR (zob. nasz 6. wpis cyklu o BR i CRBR).

Reakcja zgodna z ustawą to powtórna identyfikacja i weryfikacja, nie zignorowanie rozbieżności. Brak tej reakcji jest uznawany za naruszenie art. 35 ust. 1 pkt 6 w protokołach kontroli.

Częste błędy operacyjne — z naszej praktyki

W audytach KYC u Klientów najczęściej widzimy:

  • Brak weryfikacji pełnomocników. Identyfikacja klienta jest wykonana, ale pełnomocnik (np. księgowy z dostępem do rachunku) nie przeszedł procesu.
  • Wideoweryfikacja bez procedury. Wykonujemy, ale w aktach nie ma dokumentu opisującego proces ani szkoleń operatorów.
  • Cel relacji jako wolny tekst. Brak strukturalnej deklaracji = brak możliwości monitoringu odchyleń.
  • „Odroczenie" weryfikacji bez uzasadnienia. Klient otrzymuje dostęp do produktu z planem zakończenia weryfikacji „kiedyś" — a art. 39 ust. 2 wymaga, żeby działo się to w „możliwie krótkim terminie".
  • Brak dokumentacji w aktach klienta. Sama pamięć systemu nie wystarczy — w razie kontroli GIIF/KNF musisz przedstawić dokumenty w postaci, w której mogą być uzyskane (art. 49).

W kolejnym wpisie cyklu — „Beneficjent rzeczywisty, CRBR i PEP" — schodzimy do warstwy, którą polskie regulacje rozbudowały najmocniej w ostatnich 5 latach: identyfikacja prawdziwego właściciela, weryfikacja w CRBR, postępowanie przy rozbieżnościach i obowiązki wobec osób na eksponowanych stanowiskach.

Źródła i podstawy prawne

  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 33–43, art. 49 — Dz.U. 2025 poz. 644 t.j. (ISAP).
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. (eIDAS) — środki identyfikacji elektronicznej i usługi zaufania (EUR-Lex).
  • Ustawa z 19 sierpnia 2011 r. o usługach płatniczych — usługa AIS (ISAP).
  • Stanowisko UKNF dotyczące identyfikacji klienta przy wykorzystaniu rozwiązań zdalnych (knf.gov.pl).
  • Joint Guidelines on Customer Due Diligence — wytyczne EBA/ESMA/EIOPA (JC 2017 37) (EBA).
  • Rozporządzenie Ministra Cyfryzacji w sprawie profilu zaufanego — środki identyfikacji elektronicznej (gov.pl).

Co dalej w cyklu?