1. Strona główna
  2. Podatki, Rachunkowość, Kadry, ZUS, BHP, AML, Finanse i Ubezpieczenia, Dotacje, Sygnaliści
  3. AML
  4. AML/CFT – kompendium wiedzy dla przedsiębiorcy
Wyszukiwanie...

AML/CFT – kompendium wiedzy dla przedsiębiorcy

Spis treści

Zasady przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (tzw. AML/CFT) dotyczą dziś nie tylko banków czy instytucji finansowych. Coraz częściej obejmują one także zwykłych przedsiębiorców, fundacje i stowarzyszenia. Właściciele firm muszą więc wiedzieć, czy podlegają tym obowiązkom i jakie konsekwencje może mieć ich zignorowanie.

W tej części poradnika wyjaśniam, kto jest tzw. instytucją obowiązaną, jakie obowiązki z tego wynikają oraz jak w praktyce sprawdzić, czy Twoja działalność jest objęta przepisami ustawy AML/CFT.

Czym jest AML/CFT i dlaczego dotyczy także zwykłych firm

AML (Anti-Money Laundering) i CFT (Countering the Financing of Terrorism) to zestaw obowiązków prawnych i organizacyjnych, które mają zapobiegać wykorzystywaniu systemu finansowego do ukrywania pochodzenia nielegalnych środków pieniężnych lub finansowania działalności terrorystycznej.

Choć pierwotnie przepisy te odnosiły się głównie do banków i instytucji finansowych, z czasem zostały rozszerzone na wiele innych branż. Dziś dotyczą m.in. biur rachunkowych, pośredników nieruchomości, doradców podatkowych, prawników, fundacji, a nawet przedsiębiorców przyjmujących duże płatności gotówką.

Kto jest instytucją obowiązaną według ustawy AML/CFT

Zgodnie z art. 2 ust. 1 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: u.p.p.p.f.t.), instytucjami obowiązanymi są podmioty zobowiązane do wdrażania środków zapobiegających praniu pieniędzy i finansowaniu terroryzmu.

W praktyce oznacza to aż 28 grup podmiotów, obejmujących nie tylko sektor finansowy, ale też wiele działalności gospodarczych, które na pierwszy rzut oka z finansami mają niewiele wspólnego.

Oprócz banków, domów maklerskich czy instytucji płatniczych do tej grupy należą również m.in.:

  • biura rachunkowe prowadzące usługi księgowe,
  • doradcy podatkowi, notariusze i adwokaci (w określonych przypadkach),
  • pośrednicy w obrocie nieruchomościami,
  • fundacje i stowarzyszenia (jeżeli spełniają wskazane warunki),
  • przedsiębiorcy dokonujący lub przyjmujący płatności gotówką o wartości co najmniej 10 000 euro, niezależnie od tego, czy transakcja jest jednorazowa, czy dzielona na kilka mniejszych, ale powiązanych.

📄 Przykład praktyczny:
Firma TechNova z Poznania, zajmująca się sprzedażą sprzętu elektronicznego, przyjęła od klienta gotówką 45 000 zł za kilka komputerów. Ponieważ łączna wartość przekracza równowartość 10 000 euro, transakcja ta objęta jest przepisami AML/CFT – mimo że TechNova nie jest instytucją finansową.

Jak ustalić, czy Twoja firma jest instytucją obowiązaną

Ustalenie, czy firma spełnia przesłanki „instytucji obowiązanej”, jest pierwszym krokiem we wdrożeniu obowiązków AML.

Wymaga to analizy, czy zakres prowadzonej działalności pokrywa się z tym, co przewiduje art. 2 ust. 1 u.p.p.p.f.t.

Warto pamiętać, że:

  • jeżeli przedsiębiorca prowadzi kilka rodzajów działalności (np. kantor i kwiaciarnię), to obowiązki AML dotyczą tylko tej części, która wiąże się z ryzykiem prania pieniędzy – w tym przypadku działalności kantorowej;
  • analiza powinna być przeprowadzona z należytą starannością, ponieważ od jej wyniku zależą wszystkie dalsze kroki (powołanie osób odpowiedzialnych, wdrożenie procedur, szkolenia itd.);
  • najlepiej, aby analizę przeprowadziła jednostka compliance lub została przeprowadzona pod jej nadzorem.

📌 Wskazówka praktyczna:
Dobrą praktyką jest sporządzenie pisemnego dokumentu (np. „Analiza obowiązków AML/CFT”), który zawiera uzasadnienie, dlaczego przedsiębiorstwo zostało – lub nie zostało – uznane za instytucję obowiązaną. Dokument ten może być wymagany w razie kontroli.

AML CFT obowiązki przedsiębiorcy
AML CFT obowiązki przedsiębiorcy

Działania bezpośrednie i pośrednie w systemie AML/CFT

Ustawa AML wyróżnia dwa rodzaje działań:

  1. Działania bezpośrednie – podejmowane przez instytucje obowiązane, które aktywnie realizują obowiązki z ustawy (np. weryfikują klientów, monitorują transakcje, przekazują zawiadomienia do GIIF).
  2. Działania pośrednie – wykonywane przez podmioty, których działalność wpływa na system AML, choć same nie wykonują typowych czynności finansowych.

Najczęstszym przykładem działania pośredniego jest obowiązek zgłoszenia beneficjentów rzeczywistych do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR).

Kto ma obowiązek zgłoszenia beneficjentów rzeczywistych do CRBR

Zgodnie z art. 58 u.p.p.p.f.t., obowiązek ujawnienia beneficjentów rzeczywistych dotyczy przede wszystkim spółek i innych organizacji mających osobowość prawną.

Zgłoszenia dokonują m.in.:

  1. spółki jawne, komandytowe i komandytowo-akcyjne,
  2. spółki z o.o., proste spółki akcyjne i spółki akcyjne (z wyjątkiem spółek publicznych),
  3. spółki partnerskie, europejskie zgrupowania interesów gospodarczych, spółdzielnie i fundacje,
  4. stowarzyszenia wpisane do KRS,
  5. trusty – w określonych przypadkach (np. gdy ich powiernik ma siedzibę w Polsce lub nabywa nieruchomość w Polsce).

📄 Przykład praktyczny:
Fundacja Nowy Start z Gdańska, prowadząca programy edukacyjne, ma obowiązek zgłosić do CRBR dane swoich beneficjentów rzeczywistych – czyli osób fizycznych, które mają faktyczny wpływ na jej decyzje.

Działania aktywne i pasywne w jednym podmiocie

Warto zauważyć, że jeden podmiot może być zobowiązany zarówno do działań bezpośrednich, jak i pośrednich.

Na przykład spółka z o.o. prowadząca biuro rachunkowe:

  • jest instytucją obowiązaną (musi stosować środki bezpieczeństwa finansowego wobec klientów, przeszkolić pracowników, powołać AMLRO itd.),
  • jednocześnie ma obowiązek zgłoszenia beneficjentów rzeczywistych do CRBR.

Dlatego każdy przedsiębiorca powinien przeanalizować swoją sytuację z obu perspektyw — czy wykonuje czynności AML-owe bezpośrednio i czy podlega obowiązkom formalnym ze względu na formę organizacyjną.

Jakie ryzyka niesie błędne ustalenie statusu instytucji obowiązanej

Niedopełnienie obowiązków AML/CFT, w tym błędne uznanie, że firma nie jest instytucją obowiązaną, może prowadzić do dotkliwych konsekwencji.

Ustawa przewiduje sankcje administracyjne, w tym kary pieniężne sięgające nawet kilku milionów złotych, a w przypadku członków kadry kierowniczej – osobistą odpowiedzialność do 1 000 000 zł (zgodnie z art. 154 ust. 1 u.p.p.p.f.t.).

⚠️ Przykład ostrzegawczy:
W 2023 r. GIIF nałożył karę na jedno z biur rachunkowych, które błędnie uznało, że obsługa niewielkich podmiotów gospodarczych zwalnia je z obowiązków AML. W toku kontroli okazało się, że biuro realizowało płatności i przechowywało dokumentację finansową klientów – co wystarczało, by uznać je za instytucję obowiązaną.

Kto powinien przeprowadzić analizę statusu AML/CFT

Najlepszą praktyką jest powierzenie weryfikacji statusu AML/CFT działowi compliance, który posiada wiedzę o obowiązujących przepisach i ryzykach.

Jeżeli przedsiębiorstwo nie ma odrębnej jednostki compliance, czynność ta powinna być wykonana pod jej nadzorem lub przez zewnętrznego doradcę.

Ważne jest również, aby kierownictwo firmy miało świadomość, że obowiązki AML/CFT mogą dotyczyć tylko części działalności, a nie całej organizacji.

📌 Wskazówka praktyczna:
W większych podmiotach (np. grupach kapitałowych) warto opracować wewnętrzną instrukcję „Identyfikacja instytucji obowiązanej w ramach grupy”, aby uniknąć sytuacji, w której różne spółki z grupy mają sprzeczne stanowiska.

Podstawy prawne obowiązków AML/CFT i rola kadry kierowniczej

Wdrożenie procedur przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) nie jest wyłącznie kwestią dobrej woli przedsiębiorcy. Obowiązek ten wynika bezpośrednio z przepisów prawa krajowego i unijnego. Każda firma, która zostanie uznana za „instytucję obowiązaną”, musi działać w oparciu o jasno określone regulacje, przestrzegając zasad dotyczących identyfikacji klientów, raportowania i nadzoru.

W tej części wyjaśniam, na jakich aktach prawnych opiera się system AML/CFT, oraz jakie zadania i odpowiedzialność ponosi kadra kierownicza wyższego szczebla.

Najważniejsza podstawa prawna: ustawa AML z 1 marca 2018 r.

Podstawowym aktem prawnym regulującym przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu jest ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (u.p.p.p.f.t.).

To właśnie ona określa:

  • kto jest instytucją obowiązaną,
  • jakie środki bezpieczeństwa finansowego należy stosować,
  • jakie informacje przekazywać do Generalnego Inspektora Informacji Finansowej (GIIF),
  • oraz jakie sankcje grożą za niewykonanie obowiązków.

Ustawa wdraża do polskiego prawa kilka kluczowych dyrektyw Unii Europejskiej, które tworzą wspólne ramy dla całej Europy w zakresie AML/CFT.

Dyrektywy unijne wdrożone do polskiego prawa

Ustawa AML implementuje przede wszystkim dwie dyrektywy:

  • Dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu.
  • Dyrektywę (UE) 2018/843 z 30 maja 2018 r. (tzw. 5. dyrektywę AML) – która rozszerza wcześniejsze przepisy i obejmuje m.in. podmioty świadczące usługi kryptowalutowe, platformy crowdfundingowe i instytucje fintech.

Te akty unijne wyznaczają minimalny standard, który każde państwo członkowskie – w tym Polska – musi spełnić.

Dodatkowe dokumenty i akty prawne powiązane z AML/CFT

Aby w pełni realizować obowiązki z ustawy, instytucje obowiązane powinny znać również inne regulacje i dokumenty, które wpływają na ocenę ryzyka i procedury AML. Należą do nich m.in.:

  • wykaz osób zajmujących znaczące funkcje publiczne (tzw. PEP – politically exposed persons),
  • lista trustów publikowana na poziomie UE,
  • rozporządzenie delegowane Komisji (UE) 2024/163 z 12 grudnia 2023 r., dotyczące krajów wysokiego ryzyka,
  • lista krajów wysokiego ryzyka FATF (Financial Action Task Force),
  • rekomendacje FATF – międzynarodowe wytyczne dla organów nadzoru i instytucji finansowych.

📄 Wskazówka praktyczna:
Każdy AMLRO lub dział compliance powinien prowadzić aktualny rejestr obowiązujących dokumentów AML, zawierający m.in. listy krajów wysokiego ryzyka, PEP, sankcje i rozporządzenia. Brak aktualizacji takich dokumentów może być traktowany przez GIIF jako niewłaściwe zarządzanie ryzykiem.

Przepisy dotyczące przeciwdziałania finansowaniu terroryzmu

Zadania z zakresu CFT (Counter Financing of Terrorism) wynikają nie tylko z ustawy AML, ale również z szeregu rozporządzeń unijnych nakładających środki ograniczające wobec osób i organizacji powiązanych z terroryzmem.

Najważniejsze z nich to:

  • Rozporządzenie Rady (WE) nr 881/2002 z 27 maja 2002 r. – dotyczące osób i podmiotów związanych z ISIL (tzw. Daisz) oraz Al-Kaidą,
  • Rozporządzenie Rady (UE) nr 753/2011 z 1 sierpnia 2011 r. – w sprawie środków wobec osób związanych z Talibami,
  • Rozporządzenie Rady (WE) nr 2580/2001 z 27 grudnia 2001 r. – dotyczące szczególnych środków restrykcyjnych wobec osób i podmiotów mających na celu zwalczanie terroryzmu.

Każda instytucja obowiązana powinna sprawdzać, czy jej klienci lub kontrahenci nie znajdują się na listach sankcyjnych wynikających z powyższych rozporządzeń.

Obowiązki instytucji obowiązanej – pierwszy krok organizacyjny

Po ustaleniu, że dana firma jest instytucją obowiązaną, musi ona wyznaczyć osoby odpowiedzialne za realizację obowiązków AML/CFT.

Obowiązek ten wynika z art. 6–8 u.p.p.p.f.t., które wskazują trzy kluczowe role:

  1. kadrę kierowniczą wyższego szczebla,
  2. członka zarządu odpowiedzialnego za AML/CFT,
  3. pracownika AMLRO (Anti-Money Laundering Reporting Officer).

Decyzja o tym, jak te funkcje będą obsadzone, powinna być poprzedzona analizą – czy powołać osobną jednostkę AML, czy zintegrować te zadania z działem compliance.

Kim jest „kadra kierownicza wyższego szczebla” w systemie AML

Zgodnie z art. 6 u.p.p.p.f.t., każda instytucja obowiązana wyznacza kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków AML/CFT.

Pojęcie to zostało zdefiniowane w art. 2 ust. 2 pkt 9 u.p.p.p.f.t.:

„Przez kadrę kierowniczą wyższego szczebla rozumie się członka zarządu, dyrektora lub pracownika instytucji obowiązanej posiadającego wiedzę z zakresu ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z działalnością instytucji obowiązanej oraz podejmującego decyzje mające wpływ na to ryzyko.”

Jakie warunki musi spełniać osoba z kadry kierowniczej

Osoba uznana za kadrę kierowniczą wyższego szczebla musi spełniać dwa podstawowe warunki:

  1. posiadać rzeczywistą wiedzę o ryzyku prania pieniędzy i finansowania terroryzmu,
  2. mieć realny wpływ na decyzje dotyczące tego ryzyka.

Oznacza to, że nie wystarczy tytuł lub stanowisko — liczy się faktyczna zdolność podejmowania decyzji i znajomość problematyki AML/CFT.

Wiedza ta musi być potwierdzona praktycznie — np. poprzez udział w szkoleniach, konferencjach lub certyfikatach zawodowych (ACAMS, ICA, KNF AML).

📚 Ważne:
Osoby wchodzące w skład tej kadry powinny być imiennie wskazane np. w uchwale zarządu lub w regulaminie wewnętrznym. To ułatwia udokumentowanie odpowiedzialności w razie kontroli.

Odpowiedzialność kadry kierowniczej

Rola kadry kierowniczej wyższego szczebla jest nie tylko symboliczna. Ustawa przewiduje konkretne sankcje finansowe wobec tych osób.

Zgodnie z art. 154 ust. 1 u.p.p.p.f.t.,

„w przypadku stwierdzenia naruszenia przez instytucję obowiązaną obowiązków, o których mowa w art. 147 lub 148, na członka kadry kierowniczej wyższego szczebla odpowiedzialnego za wykonanie obowiązków określonych w ustawie może zostać nałożona kara pieniężna do wysokości 1 000 000 zł.”

Dlatego tak ważne jest, aby osoba wyznaczona do tej roli miała świadomość zakresu swoich zadań i konsekwencji ich niewłaściwego wykonania.

Kompetencje i decyzje kadry kierowniczej w praktyce

Osoby z kadry kierowniczej podejmują m.in. decyzje w sytuacjach podwyższonego ryzyka, np.:

  • gdy klient pochodzi z państwa trzeciego wysokiego ryzyka, zidentyfikowanego przez Komisję Europejską – art. 44 u.p.p.p.f.t.,
  • lub gdy klient jest osobą zajmującą eksponowane stanowisko polityczne (PEP) – art. 46 ust. 2 pkt 1 u.p.p.p.f.t.

W obu przypadkach rozpoczęcie lub kontynuowanie współpracy wymaga akceptacji kadry kierowniczej wyższego szczebla.

📄 Przykład praktyczny:
Bank spółdzielczy w Łodzi rozważa otwarcie rachunku dla spółki z siedzibą na Cyprze. Ze względu na podwyższone ryzyko AML, decyzję o współpracy musi zatwierdzić członek kadry kierowniczej. Brak takiej zgody byłby naruszeniem art. 44 ustawy.

AML - rola Zarządu
AML – rola Zarządu

Odpowiedzialność członka zarządu za AML/CFT

Zgodnie z art. 7 u.p.p.p.f.t., jeżeli w instytucji obowiązanej działa zarząd lub inny organ zarządzający, musi on wyznaczyć spośród swoich członków osobę odpowiedzialną za wdrażanie obowiązków AML/CFT.

Celem tego przepisu jest zapewnienie, że temat AML/CFT będzie reprezentowany na najwyższym szczeblu decyzyjnym.

Tak jak w przypadku kadry kierowniczej, również członek zarządu ponosi osobistą odpowiedzialność finansową – kara może sięgnąć 1 000 000 zł.

Wytyczne EBA dotyczące członka zarządu odpowiedzialnego za AML/CFT

Szczegółowe wymagania wobec tej funkcji określają Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA/GL/2022/05) z 14 czerwca 2022 r.

Zgodnie z nimi, członek zarządu odpowiedzialny za AML/CFT powinien:

  • posiadać wiedzę i doświadczenie w zakresie ryzyka prania pieniędzy i finansowania terroryzmu,
  • znać model biznesowy instytucji oraz specyfikę sektora,
  • mieć czas i zasoby, by efektywnie pełnić funkcję,
  • składać regularne raporty z realizacji obowiązków do organu nadzorującego (np. rady nadzorczej),
  • zapewnić, by AMLRO miał pełny dostęp do informacji, ludzi i narzędzi potrzebnych do pracy,
  • informować zarząd o poważnych naruszeniach lub incydentach AML.

EBA podkreśla też konieczność identyfikacji konfliktów interesów – np. sytuacji, gdy ta sama osoba odpowiada za sprzedaż i AML, co mogłoby osłabić obiektywność jej decyzji.

📄 Przykład praktyczny:
W firmie pożyczkowej KredytMax w zarządzie zasiada osoba odpowiedzialna zarówno za rozwój sieci sprzedaży, jak i za AML. W praktyce może to prowadzić do konfliktu interesów – im większa sprzedaż, tym większe ryzyko pominięcia kontroli AML. Dlatego firma zdecydowała się wydzielić funkcję AML do osobnego członka zarządu.

Rola AMLRO – kto może pełnić tę funkcję i jakie ma obowiązki

Każda instytucja obowiązana, niezależnie od wielkości i branży, musi wyznaczyć osobę odpowiedzialną za zapewnienie zgodności działalności z przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. To kluczowe stanowisko nosi nazwę AMLRO (Anti-Money Laundering Reporting Officer).

To właśnie AMLRO jest osobą, która w praktyce odpowiada za codzienne funkcjonowanie systemu AML w organizacji – nadzoruje procesy, analizuje transakcje i kontaktuje się z Generalnym Inspektorem Informacji Finansowej (GIIF).

W tej części poradnika przedstawiam szczegółowo:

  • kim jest AMLRO i jakie ma zadania,
  • jakie kryteria musi spełnić,
  • jak zapewnić mu niezależność,
  • oraz jak rozwiązać problem konfliktu interesów i zastępstwa.

AMLRO – centralna postać systemu AML/CFT

Zgodnie z art. 8 u.p.p.p.f.t.:

„Instytucje obowiązane wyznaczają pracownika zajmującego kierownicze stanowisko odpowiedzialnego za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i innych osób wykonujących czynności na rzecz tej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.”

Ten sam przepis dodaje, że pracownik ten jest również odpowiedzialny za przekazywanie zawiadomień do GIIF, o których mowa m.in. w art. 74 ust. 1, art. 86 ust. 1, art. 89 ust. 1 i art. 90 u.p.p.p.f.t.

Oznacza to, że AMLRO ma obowiązek raportowania wszelkich podejrzanych transakcji oraz prowadzenia dokumentacji AML.

Kiedy powołanie AMLRO jest obowiązkowe

Powołanie AMLRO jest obowiązkiem ustawowym dla każdej instytucji obowiązanej.
Wyjątek przewidziano jedynie w art. 9 u.p.p.p.f.t., który stanowi:

„W przypadku instytucji obowiązanych prowadzących działalność jednoosobowo zadania kadry kierowniczej wyższego szczebla oraz pracownika, o których mowa w art. 6 i art. 8, wykonuje osoba prowadząca tę działalność.”

Oznacza to, że w jednoosobowej działalności gospodarczej AMLRO nie musi być powołany jako odrębna osoba – przedsiębiorca pełni tę funkcję samodzielnie.

We wszystkich pozostałych przypadkach (spółki, fundacje, stowarzyszenia) powołanie AMLRO jest konieczne.

Jakie zadania wykonuje AMLRO

Choć ustawa nie zawiera szczegółowego katalogu obowiązków AMLRO, jego rola została precyzyjnie opisana w Wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) oraz w Stanowisku Urzędu Komisji Nadzoru Finansowego (UKNF) dotyczącym AMLRO.

Zgodnie z tymi dokumentami, AMLRO odpowiada m.in. za:

  • zapewnienie zgodności działalności instytucji z przepisami AML/CFT,
  • wdrażanie i aktualizację procedur wewnętrznych,
  • monitorowanie transakcji klientów i zgłaszanie transakcji podejrzanych do GIIF,
  • nadzór nad szkoleniami AML dla pracowników,
  • doradzanie zarządowi w zakresie ryzyk AML/CFT,
  • opracowywanie raportów i rekomendacji dla organów zarządzających,
  • współpracę z audytem wewnętrznym i organami nadzoru.

📌 Wskazówka praktyczna:
Warto opracować „Zakres obowiązków AMLRO” jako załącznik do regulaminu AML. Dokument ten powinien wskazywać nie tylko zadania, ale też tryb raportowania, odpowiedzialność i dostęp do informacji.

Jakie kryteria musi spełnić osoba pełniąca funkcję AMLRO

Wbrew pozorom ustawa AML nie określa wprost wymogów kwalifikacyjnych dla AMLRO.
Wymogi te wynikają jednak z interpretacji przepisów, Stanowiska UKNF oraz Wytycznych EBA.

Zgodnie z nimi, kandydat na AMLRO powinien spełniać następujące kryteria:

  1. Reputacja i etyka – osoba o nieposzlakowanej opinii, dająca rękojmię prawidłowego wykonywania obowiązków.
  2. Wiedza i umiejętności w zakresie AML/CFT – w tym znajomość przepisów prawa, zasad identyfikacji klienta, środków bezpieczeństwa finansowego oraz procedur zgłaszania transakcji.
  3. Zrozumienie ryzyka ML/TF – wiedza o tym, jakie ryzyka wiążą się z działalnością instytucji obowiązanej.
  4. Doświadczenie zawodowe – najlepiej kilkuletnia praktyka w obszarze compliance, finansów, prawa lub kontroli wewnętrznej.
  5. Odpowiedni staż i pozycja w strukturze – AMLRO powinien zajmować stanowisko kierownicze, co gwarantuje mu niezależność i możliwość podejmowania decyzji.

📚 Ważne:
Funkcji AMLRO nie może pełnić osoba z „papierową” wiedzą. Ustawodawca i nadzór wymagają, by była to osoba z praktycznym doświadczeniem w rozpoznawaniu i ocenie ryzyka prania pieniędzy oraz finansowania terroryzmu.

AMLRO a niezależność i pozycja w strukturze organizacyjnej

AMLRO musi mieć rzeczywistą możliwość działania, a nie być jedynie figurantem.
Dlatego, zgodnie z Wytycznymi EBA i Stanowiskiem UKNF, osoba ta powinna:

  • mieć bezpośredni dostęp do członków zarządu oraz do organu nadzorującego (np. rady nadzorczej),
  • mieć nieograniczony dostęp do informacji i danych potrzebnych do realizacji obowiązków,
  • dysponować odpowiednimi zasobami ludzkimi i technicznymi,
  • mieć prawo samodzielnie rekomendować rozwiązania i środki naprawcze.

EBA wskazuje także, że:

„Jeżeli organ zarządzający podejmie decyzję o niestosowaniu się do zalecenia AMLRO, powinien należycie uzasadnić i zarejestrować swoją decyzję w świetle ryzyka i obaw zgłoszonych przez tego pracownika.”

Oznacza to, że głos AMLRO ma charakter wiążący w procesie oceny ryzyka – zarząd może podjąć inną decyzję, ale musi ją formalnie uzasadnić.

📄 Przykład praktyczny:
W firmie leasingowej AutoFin Sp. z o.o. AMLRO zalecił zablokowanie współpracy z klientem z kraju wysokiego ryzyka. Zarząd początkowo chciał utrzymać relację z uwagi na korzyści biznesowe, jednak musiał formalnie uzasadnić swoje stanowisko i wprowadzić dodatkowe środki zabezpieczające.

Konflikty interesów i łączenie funkcji AMLRO z innymi obowiązkami

Zarówno EBA, jak i UKNF zwracają uwagę, że AMLRO powinien być niezależny od jednostek operacyjnych, których działalność kontroluje.

Możliwe jest łączenie funkcji AMLRO z innymi zadaniami, np. w ramach działu compliance, ale tylko pod warunkiem, że:

  • nie występują konflikty interesów,
  • a AMLRO może poświęcić wystarczająco dużo czasu na zadania AML/CFT.

EBA zaleca, by przed powołaniem AMLRO instytucja przeprowadziła ocenę konfliktów interesów i wdrożyła środki zapobiegawcze.

📚 Przykład konfliktu:
Członek zarządu odpowiedzialny za sprzedaż nie powinien pełnić jednocześnie funkcji AMLRO. Jego cele sprzedażowe mogą bowiem pozostawać w sprzeczności z obowiązkiem ograniczania ryzyk AML.

Zastępca AMLRO – obowiązek zapewnienia ciągłości

Ważnym, często pomijanym obowiązkiem jest zapewnienie zastępstwa AMLRO.
Stanowisko UKNF i Wytyczne EBA wymagają, aby instytucja obowiązana posiadała osobę zdolną do przejęcia funkcji AMLRO w przypadku jego nieobecności lub zakwestionowania jego bezstronności.

Zastępca AMLRO powinien posiadać:

  • wiedzę i umiejętności z zakresu AML/CFT,
  • znajomość procedur wewnętrznych,
  • upoważnienie do podejmowania decyzji w sytuacjach kryzysowych.

📄 Przykład praktyczny:
W biurze maklerskim FinPro AMLRO przebywał na dłuższym zwolnieniu lekarskim. Dzięki wcześniejszemu wyznaczeniu zastępcy instytucja mogła terminowo przekazać zawiadomienie do GIIF, unikając sankcji.

Ile osób powinno zajmować się AML/CFT w organizacji

W praktyce liczba osób zaangażowanych w system AML zależy od skali działalności i struktury organizacyjnej.

Autorzy opracowań branżowych wskazują, że minimalna liczba osób powinna wynosić:

Podstawa prawnaFunkcjaMinimalna liczba osób
art. 6 u.p.p.p.f.t.Kadra kierownicza wyższego szczebla1 + 1 zastępca
art. 7 u.p.p.p.f.t.Członek zarządu ds. AML1 + 1 zastępca
art. 8 u.p.p.p.f.t.AMLRO1 + 1 zastępca

➡️ W sumie daje to minimum 4 osoby, jeżeli funkcje te są łączone,
lub 6 osób, jeśli są realizowane przez różne osoby.

Czy AMLRO może działać sam, czy musi mieć zespół?

Zgodnie ze Stanowiskiem UKNF i Wytycznymi EBA, AMLRO może:

  • działać samodzielnie,
  • lub kierować zespołem AML/CFT, któremu deleguje część zadań.

Decyzja zależy od:

  • wielkości instytucji,
  • liczby klientów i transakcji,
  • poziomu ryzyka AML/CFT.

Jeżeli AMLRO nie jest w stanie samodzielnie zapewnić realizacji wszystkich obowiązków, instytucja powinna utworzyć specjalną jednostkę AML/CFT.

Niezależnie jednak od struktury, odpowiedzialność końcowa zawsze spoczywa na AMLRO.

📄 Przykład praktyczny:
W dużym towarzystwie ubezpieczeniowym SecureLife SA AMLRO kieruje trzyosobowym zespołem analityków AML, którzy monitorują transakcje i raportują wyniki analiz. W mniejszym biurze rachunkowym SigmaTax AMLRO pełni te obowiązki samodzielnie, korzystając z prostych narzędzi do analizy płatności.

AMLRO jako element drugiej linii obrony

Zarówno EBA, jak i UKNF wskazują, że AMLRO powinien być częścią drugiej linii obrony w systemie kontroli wewnętrznej.

System ten opiera się na tzw. modelu trzech linii obrony, zgodnie z którym:

  1. Pierwsza linia – jednostki operacyjne (dział sprzedaży, obsługa klienta),
  2. Druga linia – funkcje nadzorcze, takie jak compliance, AMLRO, zarządzanie ryzykiem,
  3. Trzecia linia – audyt wewnętrzny.

AMLRO musi być niezależny od jednostek pierwszej linii, które realizują transakcje i mają kontakt z klientami.

📌 Wskazówka praktyczna:
W strukturze organizacyjnej AMLRO powinien raportować bezpośrednio do członka zarządu odpowiedzialnego za AML/CFT lub do rady nadzorczej. Tylko taka relacja gwarantuje jego niezależność.

Relacja pomiędzy AMLRO a jednostką compliance oraz kryteria rozdzielenia funkcji

W wielu instytucjach obowiązanych pojawia się pytanie, czy zadania związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) powinny być realizowane w ramach działu compliance, czy też przez odrębną jednostkę AML.
Nie istnieje jedna, uniwersalna odpowiedź – decyzja zależy od rodzaju działalności, poziomu ryzyka i wielkości organizacji.

W tej części poradnika wyjaśniam, jak wygląda relacja między AMLRO a compliance, kiedy warto połączyć te funkcje, a kiedy lepiej je rozdzielić.

AML i compliance – wspólny cel, różne zakresy odpowiedzialności

Podstawowym zadaniem działu compliance jest zapewnienie zgodności działalności przedsiębiorstwa z przepisami prawa i regulacjami wewnętrznymi.
AML/CFT stanowi część tej zgodności, jednak jest obszarem na tyle specyficznym i obarczonym ryzykiem, że często wymaga odrębnej struktury.

Zarówno AMLRO, jak i jednostka compliance należą do tzw. drugiej linii obrony w systemie kontroli wewnętrznej. Oznacza to, że obie pełnią funkcję nadzorczą i wspierają zarząd w zapewnieniu zgodności z prawem.

Zgodnie z Wytycznymi EBA (pkt 64):

„W przypadku gdy komórka ds. zgodności z przepisami AML/CFT działa odrębnie od ogólnej komórki ds. zgodności z przepisami, instytucje kredytowe lub finansowe powinny przestrzegać przepisów określonych w niniejszej sekcji, zapewniając jednocześnie jasny podział obowiązków i uprawnień.”

Oznacza to, że EBA dopuszcza dwa modele funkcjonowania AML/CFT:

  1. jako część jednostki compliance,
  2. jako odrębną jednostkę AML/CFT – przy zachowaniu współpracy z compliance.

Współpraca AMLRO z jednostką compliance

Niezależnie od przyjętego modelu organizacyjnego, AMLRO i compliance muszą ściśle współpracować.
Zakres tej współpracy powinien być uregulowany w wewnętrznym dokumencie – np. Regulaminie współpracy AML/Compliance.

W praktyce może to przyjąć różne formy:

  • regularne raportowanie AMLRO do compliance,
  • wspólne opracowywanie analizy ryzyka i raportów dla zarządu,
  • uzgadnianie polityki szkoleniowej,
  • udział AMLRO w spotkaniach zespołu compliance,
  • wymiana informacji o incydentach i działaniach naprawczych.

Na jednym krańcu tej relacji AMLRO jedynie informuje compliance o swoich działaniach, na drugim – compliance ma pełny wgląd i kontrolę nad procesami AML.

📄 Przykład praktyczny:
W banku spółdzielczym FinNova AMLRO działa w ramach działu compliance, ale ma odrębny zakres obowiązków i własny budżet szkoleniowy. W spółce leasingowej AutoLease Polska natomiast AMLRO tworzy niezależną komórkę AML/CFT, raportując bezpośrednio do członka zarządu ds. ryzyka. W obu przypadkach zachowana jest współpraca z compliance poprzez cykliczne raporty.

Kryteria, które decydują o tym, czy AMLRO powinien być częścią compliance

Decyzję o tym, czy funkcja AMLRO powinna być realizowana w ramach compliance, warto oprzeć na ośmiu kryteriach.
Zostały one opracowane na podstawie praktyki rynkowej, stanowiska UKNF i wytycznych EBA.

1. Ocena ryzyka AML/CFT w instytucji

  • Jeśli ryzyko wykorzystania instytucji do prania pieniędzy lub finansowania terroryzmu jest wysokie – funkcja AMLRO powinna być odrębna.
  • Przy niskim ryzyku można rozważyć włączenie jej do compliance.

📌 Przykład:
Instytucja pożyczkowa obsługująca klientów PEP (osoby na stanowiskach politycznych) powinna posiadać odrębnego AMLRO. Z kolei małe biuro rachunkowe obsługujące lokalnych przedsiębiorców może łączyć AML z compliance.

2. Stopień regulacji i nadzoru działalności

Im więcej organów nadzorczych (np. KNF, UOKiK, GIIF, UODO) kontroluje daną działalność, tym większe ryzyko przeciążenia compliance.
W takich przypadkach zaleca się oddzielenie AML od compliance.

3. Skala działalności i liczba klientów

Przy dużej liczbie klientów (np. powyżej 5 000) lub znacznej liczbie klientów wysokiego ryzyka – zalecane jest oddzielne stanowisko AMLRO.
W małych firmach, gdzie liczba klientów jest ograniczona, AML może być częścią compliance.

4. Liczba pracowników zaangażowanych w procesy AML/CFT

Jeśli liczba pracowników realizujących zadania AML przekracza 100 osób – konieczna jest odrębna jednostka.
Przy mniejszej liczbie – dopuszczalne jest łączenie funkcji AML i compliance.

5. Stopień specjalizacji AML/CFT

Im bardziej złożone procesy AML (np. analiza transakcji, ocena ryzyka klientów wysokiego szczebla, raportowanie do GIIF), tym większa potrzeba specjalizacji.
Wysoki stopień specjalizacji oznacza konieczność wydzielenia jednostki AML/CFT.

6. Czas poświęcony na realizację obowiązków AML/CFT

Zarówno UKNF, jak i EBA podkreślają, że funkcja AMLRO nie może być „honorowa”.
Osoba pełniąca tę funkcję musi mieć wystarczająco dużo czasu, by skutecznie realizować swoje zadania.
Jeśli kierownik compliance ma zbyt szeroki zakres obowiązków, AMLRO powinien działać niezależnie.

7. Konflikty interesów

Łączenie zadań AMLRO z innymi funkcjami może prowadzić do konfliktów interesów – np. z działem sprzedaży lub marketingu.
W przypadku ich wystąpienia konieczne jest pełne rozdzielenie funkcji AMLRO i compliance.

8. Kontrola działań AMLRO w drugiej linii

Jeżeli kontrola AML ma być realizowana przez jednostkę compliance, wtedy AMLRO nie powinien być jej częścią.
W przeciwnym razie doszłoby do sytuacji, w której AMLRO kontroluje samego siebie.

Rekomendacje praktyczne – kiedy AMLRO powinien być niezależny

Autorzy i organy nadzoru wskazują, że łączenie funkcji AML i compliance nie powinno mieć miejsca w instytucjach takich jak:

  • banki i instytucje kredytowe,
  • spółdzielcze kasy oszczędnościowo-kredytowe,
  • instytucje płatnicze i pieniądza elektronicznego,
  • firmy inwestycyjne,
  • towarzystwa funduszy inwestycyjnych,
  • zakłady ubezpieczeń,
  • instytucje pożyczkowe.

W tych podmiotach skala ryzyka AML/CFT oraz nadzór regulacyjny są zbyt duże, by AML mógł funkcjonować jako część compliance.

Propozycje rozwiązań organizacyjnych

Jeśli instytucja obowiązana decyduje się na rozdzielenie funkcji AML i compliance, powinna zadbać o:

  • opracowanie jasnego schematu raportowania między AMLRO a członkiem zarządu ds. AML,
  • ustanowienie zasad współpracy i wymiany informacji między AML a compliance,
  • wdrożenie mechanizmu wzajemnych przeglądów – np. corocznej kontroli wewnętrznej procesów AML przez compliance,
  • zapewnienie, że AMLRO ma niezależny dostęp do zarządu i budżet operacyjny.

📄 Przykład praktyczny:
W firmie inwestycyjnej Alpha Capital dział compliance odpowiada za zgodność prawną i kontakt z KNF, natomiast odrębny zespół AML/CFT, pod kierownictwem AMLRO, zajmuje się analizą transakcji, raportowaniem do GIIF i szkoleniami pracowników. Oba działy współpracują, ale mają niezależne linie raportowania.

Wspólny cel – bezpieczeństwo i zgodność

Bez względu na przyjęty model organizacyjny, współpraca AML i compliance musi opierać się na wspólnym celu: zapewnieniu zgodności działalności z przepisami prawa i ochronie instytucji przed ryzykiem sankcji.

Najlepsze efekty osiąga się wtedy, gdy obie jednostki nie konkurują, lecz uzupełniają się kompetencjami – compliance dba o zgodność formalno-prawną, a AMLRO o efektywność działań operacyjnych w zakresie przeciwdziałania praniu pieniędzy.

Podstawa prawna

  • art. 2 ust. 1, art. 6–9, art. 44, art. 46 ust. 2 pkt 1, art. 58, art. 74 ust. 1, art. 86 ust. 1, art. 89 ust. 1, art. 90, art. 147–148, art. 154 ust. 1 – ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2024 r. poz. 1435 ze zm.)
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r.
  • Dyrektywa (UE) 2018/843 z 30 maja 2018 r.
  • Rozporządzenie Rady (WE) nr 881/2002 z 27 maja 2002 r.
  • Rozporządzenie Rady (UE) nr 753/2011 z 1 sierpnia 2011 r.
  • Rozporządzenie Rady (WE) nr 2580/2001 z 27 grudnia 2001 r.
  • Wytyczne EBA/GL/2022/05 z 14 czerwca 2022 r.
  • Stanowisko UKNF dotyczące AMLRO (2023)

Tematy zawarte w poradniku

  • obowiązki przedsiębiorców wynikające z ustawy AML/CFT,
  • jak ustalić, czy firma jest instytucją obowiązaną,
  • rola i odpowiedzialność kadry kierowniczej oraz członka zarządu ds. AML,
  • wymagania wobec AMLRO i jego zadań w organizacji,
  • relacja pomiędzy AMLRO a działem compliance,
  • kryteria organizacyjne dla utworzenia odrębnej jednostki AML/CFT,
  • praktyczne przykłady wdrożeń AML w firmach.

Linki do źródeł

Ostatnia aktualizacja: 11.10.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: