1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Blockchain
  4. AML w branży kryptoaktywów – kto podlega przepisom i jakie są obowiązki w Polsce (2025)
Wyszukiwanie...

AML w branży kryptoaktywów – kto podlega przepisom i jakie są obowiązki w Polsce (2025)

Spis treści

Obrót kryptowalutami staje się coraz bardziej uregulowany prawnie, a przedsiębiorcy działający w tym obszarze muszą liczyć się z restrykcyjnymi obowiązkami w zakresie przeciwdziałania praniu pieniędzy (AML – anti-money laundering). Prowadzenie giełdy kryptowalut, kantorów online czy świadczenie usług portfeli kryptowalutowych często oznacza, że podmiot ten uznawany jest za tzw. instytucję obowiązaną. Wiąże się to z szeregiem wymogów – od rejestracji działalności w Katowicach, przez wdrożenie procedur KYC, aż po obowiązek składania raportów do GIIF. Poniżej wyjaśniamy, kiedy działalność związana z kryptoaktywów podlega przepisom AML i co dokładnie z tego wynika.

Kto jest instytucją obowiązaną w branży kryptowalut?

W Polsce kwestie związane z przeciwdziałaniem praniu pieniędzy reguluje ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Jej przepisy implementują unijne dyrektywy AMLD (Anti-Money Laundering Directives) i nakładają obowiązki na tzw. instytucje obowiązane. W kontekście kryptowalut, dotyczy to przedsiębiorców prowadzących określoną działalność:

✔ prowadzenie wymiany walut wirtualnych na środki płatnicze i odwrotnie,
✔ wymiana jednej waluty wirtualnej na inną,
✔ pośrednictwo w takiej wymianie (np. poprzez prowadzenie giełdy kryptowalut),
✔ prowadzenie rachunków walut wirtualnych (np. portfeli kryptowalutowych).

🧑‍🔧 Przykład praktyczny

Firma z Wrocławia – „BitSky” – prowadzi internetową platformę, która umożliwia klientom wymianę BTC na euro oraz przesyłanie środków na rachunki bankowe. Spółka oferuje również aplikację mobilną do zarządzania portfelami. Z uwagi na charakter usług „BitSky” spełnia kryteria instytucji obowiązanej i musi wdrożyć odpowiednie procedury AML zgodne z ustawą.

Obowiązek rejestracji działalności w zakresie walut wirtualnych

Każdy podmiot, który wykonuje działalność związaną z walutami wirtualnymi (zgodnie z ustawową definicją), ma obowiązek zgłosić się do rejestru działalności w zakresie walut wirtualnych, który prowadzi Izba Administracji Skarbowej w Katowicach.

🔹 Zgłoszenia należy dokonać przed rozpoczęciem działalności.
🔹 Brak rejestracji może skutkować nałożeniem kary administracyjnej – do 1 mln zł.
🔹 Rejestracja wymaga przedstawienia danych zarządu i beneficjentów rzeczywistych.

Wymogi wobec zarządu i beneficjenta rzeczywistego

Ustawa wprowadza dodatkowe warunki formalne wobec osób kierujących działalnością oraz beneficjenta rzeczywistego (czyli osoby kontrolującej spółkę). Muszą one spełniać dwa kluczowe kryteria:

  1. Brak karalności – za przestępstwa przeciwko obrotowi gospodarczemu, przestępstwa skarbowe oraz inne przestępstwa umyślne.
  2. Wiedza lub doświadczenie – muszą wykazać, że znają branżę walut wirtualnych, np. poprzez dokumentację kursów, certyfikatów lub doświadczenia zawodowego.

Obowiązek wdrożenia systemu AML

Każda instytucja obowiązana musi wdrożyć kompleksowy system przeciwdziałania praniu pieniędzy, w tym powołać osobę odpowiedzialną za nadzór nad tym procesem – tzw. MLRO (Money Laundering Reporting Officer). W Polsce jego odpowiednikiem jest osoba zgłaszająca podejrzenia do GIIF – Generalnego Inspektora Informacji Finansowej.

Obowiązki MLRO obejmują:

  • analizę transakcji klientów,
  • weryfikację ryzyka AML,
  • przesyłanie zawiadomień o podejrzanych działaniach (tzw. SAR – Suspicious Activity Reports),
  • współpracę z organami państwowymi.

KYC – znaj swojego klienta

W ramach obowiązków AML należy również prowadzić proces identyfikacji i weryfikacji klienta, znany jako KYC (Know Your Customer). Ma to kluczowe znaczenie przy zapobieganiu praniu pieniędzy, a jego niedopełnienie może skutkować poważnymi sankcjami.

Elementy procesu KYC:

  • gromadzenie danych identyfikacyjnych (imię, nazwisko, PESEL, adres, dokument tożsamości),
  • ocena ryzyka klienta (m.in. kraj pochodzenia, źródła środków),
  • monitorowanie nietypowych zachowań i transakcji,
  • odnotowywanie przypadków klientów z kategorii PEP (osoby zajmujące eksponowane stanowiska polityczne).

Monitorowanie transakcji i zgłaszanie podejrzanych działań

Poza obowiązkiem identyfikacji klienta, instytucja obowiązana musi monitorować przebieg transakcji oraz sposób korzystania z usług. Monitoring ten obejmuje nie tylko wysokość przelewów czy ich częstotliwość, ale też analizę celu gospodarczego i spójności działań z profilem klienta.

🔎 W przypadku wykrycia nieprawidłowości, takich jak:

  • nietypowe, wysokie transfery środków bez logicznego uzasadnienia,
  • powtarzające się transakcje o identycznej wartości do i z tego samego portfela,
  • niezgodność danych klienta z danymi transakcyjnymi,

instytucja ma obowiązek niezwłocznie powiadomić GIIF, składając SAR (Suspicious Activity Report).

W przypadkach uzasadnionych podejrzeniem prania pieniędzy, GIIF może:

  • zażądać wstrzymania transakcji,
  • nałożyć blokadę środków na rachunku do 96 godzin,
  • przekazać sprawę do prokuratury lub ABW.

Dokumentacja AML: ocena ryzyka i procedury wewnętrzne

Ustawa AML nakłada na instytucje obowiązane obowiązek opracowania i stosowania wewnętrznych procedur przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W szczególności wymagane jest:

  1. Opracowanie oceny ryzyka AML:
    • dokument ten musi identyfikować rodzaje i poziomy ryzyk związanych z klientami, usługami, geolokalizacją, kanałami komunikacji,
    • należy go regularnie aktualizować i uwzględniać zmieniające się uwarunkowania rynku.
  2. Stworzenie i wdrożenie procedur AML:
    • opis procesów identyfikacji i weryfikacji klienta,
    • zasady postępowania przy transakcjach wysokiego ryzyka,
    • wytyczne dla pracowników co do zgłaszania naruszeń.
  3. Szkolenia pracowników:
    • wszyscy pracownicy mający kontakt z klientem muszą przejść szkolenia AML,
    • szkolenia należy dokumentować i cyklicznie powtarzać.

📄 Instytucje obowiązane muszą także prowadzić rejestry:

  • klientów,
  • transakcji powyżej określonego progu (15 000 euro),
  • zawiadomień do GIIF,
  • decyzji i działań MLRO.

Osoby eksponowane politycznie (PEP) i sankcje międzynarodowe

Szczególną uwagę należy zwrócić na klientów będących PEP (Politically Exposed Persons) – czyli osoby zajmujące eksponowane stanowiska publiczne oraz ich bliskich i współpracowników. Przykłady:

🧑‍💼 członek zarządu spółki Skarbu Państwa,
👩‍⚖️ sędzia Trybunału Konstytucyjnego,
👨‍🎓 rektor uczelni publicznej.

W przypadku PEP należy zastosować zwiększone środki bezpieczeństwa finansowego, m.in.:

  • zebranie dodatkowych informacji o źródle majątku,
  • uzyskanie zgody wyższej kadry zarządzającej na współpracę,
  • monitorowanie relacji biznesowej w sposób ciągły i bardziej intensywny.

Dodatkowo podmiot świadczący usługi w zakresie walut wirtualnych musi zapewnić zgodność z przepisami dotyczącymi międzynarodowych sankcji finansowych, w tym:

  • sankcji UE wobec podmiotów z Rosji czy Iranu,
  • regulacji OFAC (USA),
  • list sankcyjnych ONZ.

🔐 Konieczne jest korzystanie z list sankcyjnych oraz narzędzi do ich bieżącej weryfikacji.

Obowiązki raportowe wobec GIIF

Działalność w branży kryptoaktywów wiąże się z obowiązkiem cyklicznego raportowania do GIIF. Co kwartał instytucje obowiązane muszą wypełniać rozbudowany formularz sprawozdawczy, który obejmuje:

📊 ponad 300 pytań dotyczących m.in.:

  • liczby klientów,
  • liczby i wartości transakcji,
  • rodzaju usług,
  • ryzyka AML,
  • zidentyfikowanych przypadków PEP lub SAR.

Raporty te muszą być wypełnione przez system teleinformatyczny GIIF i opatrzone podpisem elektronicznym MLRO lub innej osoby upoważnionej.

Podwyższone ryzyko według banków – nieprzyjemna praktyka

Nawet jeżeli przedsiębiorca prowadzi działalność w sposób legalny, zgodnie z ustawą i pod nadzorem GIIF, bank może uznać takiego klienta za „wysokiego ryzyka”. Dzieje się tak m.in. dlatego, że wiele banków stosuje wewnętrzne polityki ryzyka, w których:

⚠️ działalność związana z kryptowalutami = „ryzyko reputacyjne”
⚠️ transakcje z portfeli BTC = „niewystarczająca przejrzystość źródła środków”

W efekcie bank:

  • może odmówić założenia konta,
  • wypowiedzieć umowę rachunku bieżącego,
  • zażądać dodatkowych wyjaśnień lub dokumentów.

🏢 Przykład praktyczny

Spółka „CryptoLink” z Poznania, prowadząca legalną giełdę tokenów użytkowych, otrzymała wypowiedzenie umowy rachunku bankowego z 30-dniowym okresem wypowiedzenia. Powód? „Nieakceptowalny poziom ryzyka AML związany z profilem działalności klienta”. Mimo posiadania wpisu w rejestrze walut wirtualnych i braku zgłoszeń do GIIF, bank skorzystał z klauzuli generalnej o ryzyku reputacyjnym.

Podsumowanie – co musi zrobić przedsiębiorca działający w branży kryptowalut?

Jeżeli planujesz lub już prowadzisz działalność gospodarczą związaną z kryptoaktywami (np. wymianą kryptowalut, prowadzeniem portfeli czy giełdy), musisz mieć świadomość, że od strony prawnej stajesz się instytucją obowiązaną. A to wiąże się z bardzo konkretnymi obowiązkami – zarówno na poziomie operacyjnym, jak i sprawozdawczym.

✔ Kluczowe obowiązki AML dla instytucji obowiązanej w Polsce:

  • Wpis do rejestru działalności w zakresie walut wirtualnych (Katowice),
  • Weryfikacja niekaralności i kompetencji członków zarządu oraz beneficjentów rzeczywistych,
  • Wyznaczenie MLRO (osoby odpowiedzialnej za AML) i zgłoszenie jej do GIIF,
  • Wdrożenie procedur AML i oceny ryzyka AML,
  • Przeprowadzanie KYC (poznanie klienta), w tym identyfikacja PEP i weryfikacja źródła środków,
  • Monitorowanie transakcji i raportowanie podejrzanych działań do GIIF (SAR),
  • Wypełnianie kwartalnych sprawozdań AML w systemie GIIF,
  • Zachowanie zgodności z międzynarodowymi sankcjami finansowymi,
  • Szkolenia personelu w zakresie AML i dokumentowanie wiedzy zespołu.

❗ Nieprzestrzeganie tych wymogów może skutkować:

  • karami pieniężnymi do 1 000 000 zł,
  • odpowiedzialnością karną członków zarządu,
  • blokadą rachunków i przerwaniem działalności,
  • brakiem możliwości współpracy z bankami.

Praktyczne wskazówki dla nowych podmiotów

🛠 Jeśli dopiero zaczynasz działalność w sektorze kryptoaktywów, warto od razu wdrożyć:

  • współpracę z kancelarią prawną wyspecjalizowaną w AML i krypto,
  • korzystanie z wyspecjalizowanego oprogramowania do KYC i monitoringu transakcji (np. Chainalysis, Sumsub, TRM Labs),
  • jasne zasady onboardingu klientów i procedury weryfikacji,
  • systematyczną analizę aktualnych wytycznych FATF oraz komunikatów GIIF.

🧑‍🏫 Pamiętaj, że AML to nie tylko przepis – to element zarządzania ryzykiem, który może zdecydować o tym, czy Twoja firma utrzyma stabilność finansową i reputację na rynku.

Podstawa prawna

  • art. 2 ust. 1 pkt 12a–12d, art. 129–134 – ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
  • Rozporządzenie delegowane Komisji (UE) 2019/758 z dnia 31 stycznia 2019 r.
  • Zalecenia FATF (Financial Action Task Force) – Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers,
  • Komunikaty GIIF i KAS dot. obowiązków AML w sektorze walut wirtualnych.

Tematy porad zawartych w poradniku:

  • rejestr walut wirtualnych Katowice,
  • obowiązki AML kryptowaluty 2025,
  • KYC kryptowaluty Polska,
  • MLRO GIIF obowiązki,
  • monitoring transakcji kryptowalutowych.
Ostatnia aktualizacja: 22.05.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: