Stanowisko UKNF dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu określa, jak instytucje obowiązane (IO) nadzorowane przez Komisję Nadzoru Finansowego (KNF) powinny zaprojektować swoją wewnętrzną Procedurę AML/CFT. Dokument odpowiada wprost na art. 50 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej „Ustawa") i wskazuje 11 obszarów obowiązkowych plus dwa dodatkowe — procedurę grupową i stosowanie szczególnych środków ograniczających.

W tym artykule pokazujemy, co konkretnie powinna zawierać Procedura AML/CFT, kto ją zatwierdza, jakie są ryzyka kontrolne i co dzieje się, gdy procedura jest tylko fasadowa. Każdy obszar omawiamy szczegółowo w osobnym artykule cyklu — pełna mapa linków znajduje się w sekcji „Co dalej w cyklu?".

Czym jest Procedura AML/CFT i kogo dotyczy?

Procedura AML/CFT to wewnętrzna regulacja IO określająca sposób, w jaki realizuje ona ustawowe obowiązki z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, wymagana przez art. 50 ust. 1 Ustawy.

UKNF formułuje cel regulacji jednoznacznie: Procedura AML/CFT „powinna być przejrzystym przewodnikiem dla pracowników IO w zakresie realizacji obowiązków ustawowych". Nie jest to dokument pisany „pod kontrolę" — ma realnie wspierać pracownika sali operacyjnej, analityka transakcji albo opiekuna klienta w codziennych decyzjach.

Bank, oddział banku zagranicznego, oddział instytucji kredytowej
Instytucja obowiązana o najszerszym katalogu obowiązków AML/CFT, zwykle z rozproszoną Procedurą i odrębnym pionem compliance.
Krajowa instytucja płatnicza (KIP), mała instytucja płatnicza (MIP), biuro usług płatniczych (BUP)
Instytucja obowiązana z art. 2 ust. 1 pkt 3 i 5 Ustawy. Procedura AML/CFT jest dziś standardowym elementem wniosku licencyjnego i kontroli KNF.
Spółdzielcza kasa oszczędnościowo-kredytowa (SKOK)
Instytucja obowiązana z art. 2 ust. 1 pkt 2 Ustawy, nadzorowana przez KNF wraz z Krajową SKOK.
Dom maklerski, towarzystwo funduszy inwestycyjnych (TFI)
Instytucja obowiązana z art. 2 ust. 1 pkt 8 i 7 Ustawy, z elementami procesów AML/CFT zharmonizowanymi z procesami MiFID.
Zakład ubezpieczeń (ubezpieczenia na życie)
Instytucja obowiązana z art. 2 ust. 1 pkt 6 Ustawy. Specyfika: identyfikacja i weryfikacja uposażonych — najpóźniej w momencie wypłaty świadczenia.

UKNF oczekuje wdrożenia Stanowiska także przez podmioty ubiegające się o licencję lub wpis do rejestrów prowadzonych przez KNF — co oznacza, że Procedura AML/CFT zgodna z wymogami Stanowiska jest dziś elementem kompletnego wniosku licencyjnego.

Jakie są podstawy prawne wymogu Procedury AML/CFT?

Wymóg posiadania Procedury AML/CFT wynika z art. 50 ust. 1 Ustawy, katalog elementów obowiązkowych — z art. 50 ust. 2, a brak Procedury jest zagrożony karą administracyjną na podstawie art. 147 pkt 7 Ustawy.

Stanowisko UKNF dodatkowo wskazuje, że przy opracowywaniu Procedury AML/CFT IO powinny uwzględnić wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA), w szczególności wytyczne EBA/GL/2021/02 z 1 marca 2021 r. w sprawie czynników ryzyka oraz EBA/GL/2022/05 z 14 czerwca 2022 r. w sprawie strategii i procedur zarządzania zgodnością; dokumenty Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (AMLA); Komunikaty Generalnego Inspektora Informacji Finansowej (GIIF); oraz wcześniejsze Stanowiska UKNF — w tym Stanowisko UKNF dotyczące AMLRO z 1 grudnia 2022 r. oraz Stanowisko UKNF z 15 kwietnia 2020 r. dotyczące oceny ryzyka.

W tle są też przepisy unijne, które wkrótce zaczną oddziaływać na praktykę IO — przede wszystkim rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z 31 maja 2024 r. (single rulebook AML), na które Stanowisko wprost się powołuje przy okresowych przeglądach klientów (art. 26 rozporządzenia 2024/1624), oraz rozporządzenie 2023/1113 dotyczące informacji towarzyszących transferom środków pieniężnych i kryptoaktywów (Travel Rule).

Kto akceptuje Procedurę AML/CFT?

Zgodnie z art. 50 ust. 3 Ustawy Procedura AML/CFT lub jej aktualizacja, przed wprowadzeniem, podlega akceptacji przez kadrę kierowniczą wyższego szczebla — z udokumentowanym wskazaniem, kto i kiedy zatwierdził dokument.

Kadra kierownicza wyższego szczebla w rozumieniu Stanowiska UKNF (przyp. 4) to członek zarządu, dyrektor lub pracownik instytucji obowiązanej posiadający wiedzę z zakresu ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z działalnością IO oraz podejmujący decyzje mające wpływ na to ryzyko.

Brak udokumentowanego zatwierdzenia oznacza naruszenie obowiązku z art. 50 ust. 1 Ustawy — sama treść Procedury, nawet poprawna merytorycznie, jest wówczas niewystarczająca.

Jakie 11 obszarów musi pokrywać Procedura AML/CFT?

UKNF oczekuje pokrycia 11 obszarów wynikających z art. 50 ust. 2 Ustawy. Każdy obszar omawiamy szczegółowo w osobnym artykule cyklu — poniżej najważniejsza esencja każdego z nich.

1. Czynności i działania ograniczające ryzyko ML/TF

Fundament procesu — organizacja AML/CFT, rola kadry kierowniczej z art. 6 Ustawy, członka zarządu z art. 7 oraz pracownika z art. 8 (AMLRO). UKNF oczekuje wyznaczenia osób zastępujących zarówno członka zarządu z art. 7, jak i AMLRO. Pełną analizę wraz z wymogami niezależności AMLRO prezentujemy w artykule AMLRO, członek zarządu z art. 7 i zastępowalność.

2. Rozpoznawanie i ocena ryzyka ML/TF transakcji i klienta

Procedura AML/CFT musi opisywać matrycę ryzyka oraz proces klasyfikacji klientów do kategorii ryzyka — niskie, normalne, wysokie, nieakceptowalne. Przyznanie ryzyka nieakceptowalnego oznacza nienawiązanie relacji albo jej rozwiązanie. Risk-based approach to nie tylko kategoryzacja — od kategorii zależy zakres i intensywność środków bezpieczeństwa finansowego. Szczegóły w artykule Kategorie ryzyka klienta i matryca ryzyka.

3. Środki właściwego zarządzania rozpoznanym ryzykiem ML/TF

Trzy poziomy intensywności: środki uproszczone (art. 42 ust. 1 Ustawy, gdy ocena ryzyka potwierdziła niższe ryzyko), środki podstawowe (art. 34 ust. 1 Ustawy) oraz środki wzmożone — obowiązkowe w czterech przypadkach: relacje z PEP/RCA, relacje korespondenckie z respondentami spoza UE, klienci z państw trzecich wysokiego ryzyka oraz transakcje nietypowe (art. 43 ust. 4 Ustawy). Bezwzględny obowiązek stosowania wzmożonych środków dotyczy przypadków z art. 44–46 Ustawy. Pełne omówienie w artykule Wzmożone środki bezpieczeństwa finansowego.

4. Zasady stosowania środków bezpieczeństwa finansowego

Procedura AML/CFT musi szczegółowo regulować siedem podobszarów (A–G): identyfikacja beneficjenta rzeczywistego, weryfikacja tożsamości i ustalenie struktury własności (A); stwierdzenie nawiązania stosunku gospodarczego (B); ocena stosunków gospodarczych z wykorzystaniem programu Know Your Customer (C); bieżące monitorowanie stosunków gospodarczych — czwarty środek (D); badanie źródła pochodzenia wartości majątkowych (E); aktualność danych (F); dokumentowanie (G). Pełne omówienie w artykule Środki bezpieczeństwa finansowego — identyfikacja klienta, beneficjent rzeczywisty i monitoring stosunków gospodarczych.

5. Przechowywanie dokumentów

Art. 49 Ustawy: 5 lat — kopie dokumentów uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego, dowody potwierdzające transakcje oraz wyniki bieżących analiz. W szczególnych przypadkach GIIF może zażądać przechowywania o kolejne 5 lat.

6. Przekazywanie informacji do GIIF

Procedura AML/CFT musi określać tryby zawiadomień: art. 72 (informacje o transakcjach progowych), art. 74 (zawiadomienie o okolicznościach mogących wskazywać na podejrzenie ML/TF — max 2 dni robocze od potwierdzenia), art. 86 (uzasadnione podejrzenie przed transakcją) oraz art. 90 (zawiadomienie po fakcie). Pełen przewodnik w artykule Zawiadomienia do GIIF i przechowywanie dokumentów AML/CFT.

7. Szkolenia AML/CFT

Art. 52 Ustawy + Komunikat GIIF nr 92 z 13 lutego 2025 r. UKNF oczekuje cyklu szkoleń aktualizujących nie rzadziej niż co dwa lata oraz obowiązkowego szkolenia nowych pracowników przed pierwszą czynnością AML/CFT. Brak udokumentowania udziału w szkoleniu może oznaczać brak realizacji obowiązku. Szczegóły w artykule Szkolenia AML/CFT i procedura whistleblowing.

8. Procedura whistleblowing

IO muszą mieć wewnętrzną procedurę anonimowego zgłaszania rzeczywistych lub potencjalnych naruszeń AML/CFT. Stanowisko UKNF wymienia siedem obligatoryjnych elementów — w tym zasadę, że osoba odbierająca zgłoszenia nie może być AMLRO (rozdział funkcji, by uniknąć rozpatrywania skarg na własne działanie).

9. Kontrola wewnętrzna

Art. 50 ust. 2 pkt 9 Ustawy. UKNF oczekuje rozdzielenia funkcji operacyjnych od kontrolnych — system kontroli wewnętrznej musi być zorganizowany tak, by „nie dochodziło nawet do czasowego sprawowania nadzoru nad czynnościami własnymi". Punktem odniesienia są § 45–52 Zasad Ładu Korporacyjnego dla podmiotów nadzorowanych oraz Rekomendacje KNF (np. Rekomendacja H z kwietnia 2017 r.). Pełna analiza w artykule Kontrola wewnętrzna, CRBR i sankcje.

10. Odnotowywanie rozbieżności w CRBR

Art. 61a ust. 1 Ustawy — IO muszą odnotowywać rozbieżności między CRBR a ustalonymi przez nie informacjami o beneficjencie rzeczywistym klienta. Procedura AML/CFT opisuje tryb wyjaśniania rozbieżności i przekazania zweryfikowanej informacji do organu właściwego (art. 56 Ustawy). Wytyczne — Komunikat GIIF nr 37 z 14 stycznia 2022 r.

11. Dokumentowanie utrudnień przy weryfikacji beneficjenta rzeczywistego

Identyfikacja beneficjenta rzeczywistego jako osoby zajmującej wyższe stanowisko kierownicze (art. 2 ust. 2 pkt 1 lit. a tiret piąte Ustawy) wymaga udokumentowania wszystkich utrudnień powodujących brak możliwości ustalenia tożsamości osób fizycznych z definicji ogólnej oraz utrudnień przy weryfikacji tożsamości. UKNF jasno wskazuje: poleganie wyłącznie na CRBR nie spełnia ustawowego standardu. Rekomendacje w Komunikacie GIIF nr 38 z 14 stycznia 2022 r.

Procedura grupowa AML/CFT — kiedy obowiązek?

Niezależnie od podstawowej Procedury AML/CFT, IO wchodzące w skład grupy w rozumieniu art. 2 ust. 2 pkt 7 Ustawy są zobowiązane do wprowadzenia procedury grupowej (art. 51 Ustawy).

Co istotne, Ustawa nie nakazuje wprowadzenia procedury grupowej przez jednostkę dominującą — obowiązek dotyczy IO funkcjonujących w grupie. Szczegółowe wyjaśnienia GIIF zawarł w Komunikacie nr 35 z 14 stycznia 2022 r. Pełną analizę przesłanek prezentujemy w artykule Procedura grupowa AML/CFT — kiedy instytucja obowiązana musi ją wprowadzić.

Stosowanie szczególnych środków ograniczających

Obok klasycznego ML/TF Procedura AML/CFT (lub osobny dokument) musi obejmować stosowanie szczególnych środków ograniczających wobec osób i podmiotów wskazanych:

  • w rezolucjach Rady Bezpieczeństwa ONZ;
  • na liście prowadzonej przez GIIF na podstawie art. 120 ust. 1 Ustawy;
  • w rozporządzeniach Rady Unii Europejskiej;
  • na liście, o której mowa w art. 2 ust. 1 ustawy z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę.

Mechanizm działania: zamrożenie wartości majątkowych lub ich nieudostępnianie (art. 117 ust. 2 i art. 118 Ustawy).

Forma Procedury AML/CFT — jeden dokument czy zestaw regulacji?

Ustawa nie przesądza formy. W praktyce spotyka się dwa modele:

  • Procedura zwarta — jeden dokument wewnętrzny pokrywający wszystkie elementy z art. 50 ust. 2 Ustawy plus elementy specyficzne dla danej IO.
  • Procedura rozproszona — wiele dokumentów (np. odrębna polityka AML, odrębna procedura whistleblowing, odrębna polityka KYC, odrębna polityka sankcyjna) tworzących wspólnie kompletną regulację z art. 50 ust. 1 i 2 Ustawy. W tym modelu jeden dokument musi mieć charakter podstawowy i zawierać odesłania do wszystkich pozostałych.

Z naszego doświadczenia obsługiwania kontroli AML/CFT widzimy, że model rozproszony bywa pułapką — łatwo o luki, niespójne definicje albo dokumenty, które „wisiały" przez kilka lat bez aktualizacji, mimo że dokument-klamra był aktualizowany regularnie. Przy modelu rozproszonym kluczowy jest rejestr powiązań i jeden właściciel całej architektury.

Co najczęściej jest źle? Cztery typy naruszeń wskazane przez UKNF

Stanowisko UKNF jasno klasyfikuje typowe naruszenia art. 50 Ustawy:

  1. Brak Procedury AML/CFT — sytuacja podstawowa, najpoważniejsza.
  2. Niepełne regulacje — brak konkretnych elementów wymienionych w art. 50 ust. 2 Ustawy.
  3. Procedura fasadowa — formalnie obejmuje wszystkie obszary, ale w treści tylko je „imituje", powtarzając brzmienie ustawy bez przełożenia na realne procesy IO.
  4. Brak elementów dodatkowych wymaganych przez specyfikę działalności — np. IO oferująca produkty wysokiego ryzyka albo prowadząca działalność transgraniczną nie uregulowała w Procedurze elementów, które są dla niej krytyczne, mimo że nie są wprost wymienione w art. 50 ust. 2 Ustawy.

UKNF podkreśla, że katalog elementów z art. 50 ust. 2 Ustawy jest otwarty (sformułowanie „w szczególności") — IO nie wolno ograniczać Procedury wyłącznie do listy ustawowej, jeżeli specyfika jej działalności wymaga regulacji dodatkowych.

Jak rosną nieprawidłowości — statystyka kontroli KNF

Z podsumowania Stanowiska UKNF wynika, że udział nieprawidłowości w opracowywaniu regulacji wewnętrznych w ogólnej liczbie nieprawidłowości AML/CFT identyfikowanych w kontrolach KNF rośnie od 2021 r. — w 2024 r. osiągnął 19,39%.

RokUdział nieprawidłowości w obszarze regulacji wewnętrznych
201913,66%
20209,31%
20217,54%
202210,13%
202313,62%
202419,39%

Innymi słowy — co piąte naruszenie AML/CFT wykryte przez KNF w 2024 r. dotyczyło Procedury AML/CFT. Trend rosnący od 2021 r. tłumaczy m.in., dlaczego UKNF zdecydował się na publikację Stanowiska tej skali.

Sankcja administracyjna za brak Procedury AML/CFT

Art. 147 pkt 7 Ustawy przewiduje karę administracyjną za niedopełnienie obowiązku wprowadzenia Procedury AML/CFT.

UKNF wskazuje, że naruszenie obowiązku stanowi podstawę nie tylko stwierdzenia nieprawidłowości w protokole kontroli i wydania zaleceń pokontrolnych, ale również wszczęcia postępowania w związku z naruszeniem przepisów Ustawy. Pełną analizę katalogu sankcji prezentujemy w artykule Kontrola wewnętrzna, CRBR i sankcje.

Najważniejsze działania do podjęcia

Z naszego doświadczenia rekomendujemy IO następujące kroki — w tej kolejności:

  1. Audyt zgodności istniejącej Procedury AML/CFT z 11 obszarami art. 50 ust. 2 Ustawy oraz wymogami szczegółowymi Stanowiska UKNF — dokument-by-dokument, paragraf-po-paragrafie.
  2. Mapa luk — które obszary są nieuregulowane, które uregulowane fasadowo, a które wymagają aktualizacji w związku z Komunikatami GIIF i wytycznymi EBA.
  3. Aktualizacja ORI — sprawdzenie, czy ostatnia ocena ryzyka (nie starsza niż 2 lata) uwzględnia obowiązującą Krajową Ocenę Ryzyka i sprawozdanie Komisji Europejskiej.
  4. Weryfikacja zastępowalności AMLRO i członka zarządu z art. 7 Ustawy — ciągłość procesu jest oczekiwaniem UKNF, nie opcją.
  5. Akceptacja kadry kierowniczej — udokumentowana, z datą i wskazaniem osoby zatwierdzającej. Bez tego art. 50 ust. 3 Ustawy nie jest spełniony.
  6. Plan szkoleń aktualizujących — co dwa lata jako minimum, z osobnym blokiem dla nowo zatrudnionych przed pierwszą czynnością AML/CFT.

Jak możemy Ci pomóc?

W Legal Geek wspieramy instytucje obowiązane (banki, KIP, MIP, BUP, TFI, domy maklerskie, dostawców usług w zakresie kryptoaktywów) w audycie i aktualizacji Procedury AML/CFT zgodnie ze Stanowiskiem UKNF. Pracujemy także z podmiotami przygotowującymi wniosek licencyjny — Procedura AML/CFT zgodna ze Stanowiskiem to dziś standard akceptowany przez KNF na etapie postępowania licencyjnego. Skontaktuj się z nami przez formularz kontaktowy.

Co dalej w cyklu?

Źródła

  • Stanowisko UKNF dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, które powinny zostać uregulowane w procedurach wewnętrznych — KNF
  • Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j.), art. 6, 7, 8, 27, 33–46, 49, 50, 51, 52, 53, 53a, 54, 56, 58, 61a, 72, 74, 86, 87, 89, 90, 117, 118, 120, 147 — ISAP
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z 31 maja 2024 r. — EUR-Lex
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1113 z 31 maja 2023 r. (Travel Rule) — EUR-Lex
  • Rozporządzenie delegowane Komisji (UE) 2023/2070 z 18 sierpnia 2023 r. (państwa trzecie wysokiego ryzyka) — EUR-Lex
  • Stanowisko UKNF dotyczące AMLRO z 1 grudnia 2022 r. — KNF
  • Komunikaty GIIF nr 35, 36, 37, 38 z 14 stycznia 2022 r. oraz Komunikaty nr 4, 11, 22, 31, 42, 45, 53, 73, 91, 92 — GIIF
  • Wytyczne EBA/GL/2021/02 z 1 marca 2021 r., EBA/GL/2022/05 z 14 czerwca 2022 r., EBA/GL/2019/02 z 25 lutego 2019 r. — EBA