W 2021 roku Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok (sygn. V SA/Wa 2574/21), który rzuca nowe światło na sposób, w jaki instytucje obowiązane powinny rozumieć i realizować obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa o p.p.p.f.t.).
Sąd rozpoznawał skargę na wyniki kontroli przeprowadzonej przez Generalnego Inspektora Informacji Finansowej (GIIF), a jego orzeczenie podkreśla, że samo formalne posiadanie procedur AML/CFT nie wystarcza. Kluczowe znaczenie ma bowiem realna, merytoryczna analiza ryzyka – zarówno na poziomie instytucjonalnym, jak i indywidualnym wobec klienta.
Znaczenie wyroku dla praktyki instytucji obowiązanych
Wyrok WSA stanowi ważny punkt odniesienia dla wszystkich instytucji obowiązanych, w tym banków, biur rachunkowych, pośredników nieruchomości, doradców podatkowych czy kancelarii prawnych.
Sąd jednoznacznie wskazał, że obowiązki dotyczące oceny ryzyka, określone w art. 27 oraz art. 33 ustawy o p.p.p.f.t., mają charakter merytoryczny i systemowy, a nie wyłącznie formalny.
Instytucja obowiązana ma obowiązek nie tylko opracować i posiadać dokumentację oceny ryzyka, lecz także stosować ją w praktyce, zapewniając, że procedury działają jak realny instrument ochrony przed wykorzystaniem instytucji do procederu prania pieniędzy (ML) lub finansowania terroryzmu (FT).
Ocena ryzyka instytucjonalnego – fundament systemu AML/CFT
Zgodnie z wyrokiem, punktem wyjścia dla skutecznego systemu AML jest prawidłowo przeprowadzona ocena ryzyka instytucjonalnego, o której mowa w art. 27 ustawy o p.p.p.f.t.
Zgodnie z tym przepisem:
„Instytucje obowiązane identyfikują i oceniają ryzyko prania pieniędzy oraz finansowania terroryzmu związane z ich działalnością, uwzględniając czynniki ryzyka dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji oraz kanałów ich dostaw.”
WSA zwrócił uwagę, że każdy z wymienionych czynników ryzyka może stanowić potencjalny nośnik zagrożenia – ale równie istotne jest, by instytucja potrafiła identyfikować także te czynniki, które nie zostały literalnie wymienione w ustawie.
Sąd podkreślił, że źródło ryzyka istnieje ontologicznie – in abstracto – w każdym z elementów działalności instytucji, a jego materializacja może nastąpić w dowolnym momencie (in concreto). Dlatego instytucja musi być przygotowana na jego wystąpienie i mieć narzędzia do jego neutralizacji.
Wewnętrzna procedura AML jako narzędzie reagowania
W ocenie sądu, instytucja obowiązana nie może ograniczyć się do sporządzenia formalnego dokumentu procedury AML, lecz musi zapewnić, że jej treść i sposób wdrożenia rzeczywiście odpowiadają wymogom ustawy.
Jak wskazał WSA, „wewnętrzna procedura powinna działać jak instrukcja na wypadek zidentyfikowania niebezpiecznego zdarzenia”.
Oznacza to, że procedura z art. 50 ust. 1 ustawy o p.p.p.f.t. musi nie tylko zawierać ogólne reguły postępowania, ale też konkretne działania, które należy podjąć w razie wykrycia podejrzanej aktywności, w tym:
- przypisanie odpowiedzialności poszczególnym pracownikom,
- określenie sposobu eskalacji informacji o zagrożeniu,
- opisanie metod weryfikacji źródeł pochodzenia środków,
- zasady raportowania do GIIF.
Compliance i odpowiedzialność pracowników
W praktyce WSA zwrócił uwagę, że właściwa ocena ryzyka instytucjonalnego i jej konsekwencje w postaci wdrożenia adekwatnych procedur zbliżają działanie instytucji do standardów compliance.
Celem jest nie tylko eliminacja możliwości wykorzystania instytucji do przestępczego procederu, lecz także ochrona samych pracowników przed nieświadomym udziałem w takich działaniach.
📄 Przykład praktyczny:
Spółka „FinPartners” prowadząca działalność doradztwa finansowego sporządziła formalną procedurę AML, w której jednak nie zdefiniowano sposobu oceny ryzyka geograficznego ani procedury weryfikacji nietypowych transakcji klientów z państw wysokiego ryzyka. W czasie kontroli GIIF ustalono, że firma co prawda „posiadała procedurę”, lecz nie potrafiła wykazać, w jaki sposób ocenia ryzyko konkretnych klientów ani jak reaguje na zmianę poziomu ryzyka.
W świetle omawianego wyroku taka sytuacja stanowi naruszenie obowiązków z art. 27 ustawy – bowiem posiadanie dokumentu nie jest równoznaczne z jego realnym stosowaniem.
Ocena ryzyka indywidualnego – analiza klienta w praktyce art. 33 ustawy
Drugim kluczowym zagadnieniem poruszonym przez sąd jest ocena ryzyka indywidualnego (operacyjnego), dokonywana w odniesieniu do konkretnego klienta – na podstawie art. 33 ustawy o p.p.p.f.t.
Zgodnie z tym przepisem:
„Instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadkach nawiązania stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnej.”
Sąd wskazał, że aby dobrać odpowiednie środki bezpieczeństwa, instytucja obowiązana musi najpierw dokonać oceny ryzyka indywidualnego klienta.
To ryzyko ma charakter zindywidualizowany (ad specifica persona) i różni się od ryzyka instytucjonalnego, które jest bardziej uogólnione (ad genera).
Różnice między art. 27 a art. 33 ustawy
WSA wyraźnie podkreślił, że choć w obu przepisach mowa o „kliencie”, to należy interpretować to pojęcie odmiennie:
- w art. 27 ust. 1 chodzi o ogólny zbiór klientów instytucji,
- w art. 33 – o konkretną osobę lub podmiot, z którym instytucja wchodzi w relację gospodarczą.
W praktyce oznacza to, że:
- analiza z art. 27 ma charakter strategiczny i dotyczy całej działalności instytucji,
- analiza z art. 33 ma charakter operacyjny i odnosi się do konkretnej relacji biznesowej lub transakcji.
Sąd zaznaczył również, że obowiązki z obu przepisów dotyczą wszystkich instytucji obowiązanych – zarówno dużych banków, jak i małych biur rachunkowych. Jednak zgodnie z art. 27 ust. 1 zd. 2, działania identyfikujące i oceniające ryzyko muszą być proporcjonalne do charakteru i wielkości instytucji obowiązanej.
Dokumentowanie analizy ryzyka – obowiązki z art. 27 ust. 3 ustawy o p.p.p.f.t.
Trzecia teza wyroku WSA w Warszawie odnosi się do niezwykle ważnej kwestii: czy dokumentowanie analizy ryzyka instytucjonalnego może być częścią wewnętrznej procedury AML, o której mowa w art. 50 ustawy.
Sąd uznał, że ustawa nie wyklucza takiego rozwiązania, jednak wprowadza konkretne warunki, które muszą być wówczas spełnione.
Zgodnie z art. 27 ust. 3 ustawy o p.p.p.f.t.:
„Oceny ryzyka, o których mowa w ust. 1, instytucje obowiązane sporządzają w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, aktualizują, w szczególności w związku ze zmianami czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw.”
WSA wskazał, że analiza ryzyka instytucjonalnego może stanowić integralną część wewnętrznej procedury AML, pod warunkiem, że jej treść odpowiada w pełni wymaganiom wynikającym z powyższego przepisu – w szczególności dotyczącym:
- formy dokumentu (papierowa lub elektroniczna),
- częstotliwości aktualizacji (nie rzadziej niż co 2 lata),
- zakresu aktualizacji (zmiany czynników ryzyka dotyczących klientów, państw, produktów, transakcji, kanałów dostaw).
Integracja analizy ryzyka z wewnętrzną procedurą AML
W praktyce oznacza to, że instytucja obowiązana może:
- przygotować oddzielny dokument analizy ryzyka instytucjonalnego (np. raport AML),
- lub zintegrować tę analizę bezpośrednio w wewnętrznej procedurze AML.
W tym drugim przypadku musi jednak zadbać, aby procedura zawierała wszystkie elementy wskazane w art. 27 ust. 3.
Jeżeli więc dokument „Procedura AML/CFT” łączy zarówno opis ryzyka instytucjonalnego, jak i indywidualnego, jego treść musi spełniać wymogi formalne dotyczące oceny ryzyka z art. 27 – w tym obowiązek dokumentowania i aktualizacji.
Sąd zwrócił uwagę, że taka integracja nie jest zakazana, lecz wymaga szczególnej staranności, ponieważ łączy w sobie dwa odrębne poziomy oceny ryzyka:
- Ryzyko instytucjonalne (art. 27) – dotyczy całej działalności instytucji,
- Ryzyko indywidualne (art. 33) – odnosi się do konkretnego klienta lub transakcji.
Znaczenie pojęć „stosunki gospodarcze” i „transakcja okazjonalna”
WSA zaznaczył, że użycie w art. 33 sformułowań takich jak „stosunki gospodarcze” oraz „transakcja okazjonalna” ma znaczenie nie tylko praktyczne, lecz również interpretacyjne dla rozróżnienia rodzajów ryzyka.
Oznacza to, że:
- „stosunki gospodarcze” to długotrwałe relacje z klientem (np. obsługa rachunku, umowa o świadczenie usług),
- „transakcja okazjonalna” to jednorazowe zdarzenie (np. pojedynczy przelew, zakup instrumentu finansowego).
Dla każdej z tych relacji instytucja obowiązana musi przeprowadzić odrębną analizę ryzyka – w ramach ryzyka indywidualnego.
Jednocześnie z punktu widzenia instytucji (art. 27) te różne relacje z klientami tworzą zróżnicowany obraz ryzyka instytucjonalnego.
Wnioski praktyczne z wyroku WSA (V SA/Wa 2574/21)
Wyrok ten stanowi jasny sygnał, że GIIF oraz sądy administracyjne oczekują od instytucji obowiązanych nie tylko formalnego wdrożenia procedur AML/CFT, ale przede wszystkim realnego działania w oparciu o analizę ryzyka.
Najważniejsze wnioski, które wynikają z orzeczenia, to:
✅ Formalne posiadanie procedury AML nie wystarcza.
Musi ona mieć realny, merytoryczny charakter i być skutecznie wdrożona w praktyce.
✅ Ryzyko instytucjonalne i indywidualne to dwa odrębne poziomy analizy.
Nie można ich traktować jednakowo – instytucjonalne ma charakter generalny, indywidualne – szczegółowy.
✅ Dokumentowanie analizy ryzyka jest obowiązkowe.
Należy ją prowadzić w formie papierowej lub elektronicznej i aktualizować co najmniej raz na 2 lata.
✅ Można zintegrować analizę ryzyka z procedurą AML, ale tylko wtedy, gdy dokument spełnia wszystkie wymogi formalne art. 27 ust. 3.
✅ Ocena ryzyka ma charakter proporcjonalny.
Zakres obowiązków instytucji zależy od jej charakteru i wielkości, ale sam obowiązek oceny dotyczy każdego podmiotu zobowiązanego ustawą.
📚 Przykład praktyczny:
Biuro rachunkowe „KsięgaPro” obsługuje zarówno małych przedsiębiorców, jak i klientów zagranicznych. W swojej procedurze AML zawarło część poświęconą analizie ryzyka instytucjonalnego, opisującą ogólne czynniki ryzyka (np. obsługa klientów spoza UE, gotówkowe formy płatności).
Jednocześnie w tym samym dokumencie przewidziano zasady oceny ryzyka indywidualnego – np. osobne formularze analizy dla nowych klientów oraz skalę oceny ryzyka w punktach.
Podczas kontroli GIIF instytucja była w stanie wykazać, że procedura spełnia wymogi z art. 27 ust. 3 i 50 ustawy, ponieważ była aktualizowana co roku i uwzględniała zmieniające się czynniki ryzyka.
Taki sposób prowadzenia dokumentacji zostałby uznany za zgodny z interpretacją wyrażoną przez WSA.
Znaczenie wyroku dla budowy systemu AML/CFT w organizacji
Wyrok WSA w Warszawie (V SA/Wa 2574/21) ma charakter precedensowy w zakresie praktyki nadzorczej i kontrolnej GIIF.
Sąd zwrócił uwagę, że instytucje obowiązane muszą przejść od formalizmu do realnej kultury compliance, w której analiza ryzyka jest fundamentem całego systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
Oznacza to konieczność:
- bieżącego monitorowania zmian czynników ryzyka,
- okresowej aktualizacji analizy instytucjonalnej,
- dostosowania procedur AML do zmian w strukturze klientów, usług i kanałów dostaw,
- dokumentowania każdej aktualizacji (np. w formie raportu AML).
Tylko w ten sposób instytucja może wykazać przed GIIF lub sądem, że realizuje ustawowe obowiązki w sposób zgodny z duchem ustawy o p.p.p.f.t.
Podstawa prawna
- art. 27 ust. 1–3 – ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2024 r., poz. 1224 z późn. zm.)
- art. 33 – ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
- art. 50 ust. 1 – ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
Tematy zawarte w poradniku
- analiza ryzyka AML/CFT w instytucjach obowiązanych
- obowiązki z art. 27 i 33 ustawy o p.p.p.f.t.
- dokumentowanie i aktualizacja analizy ryzyka
- integracja procedury AML z oceną ryzyka
- praktyczne wnioski z wyroku WSA w Warszawie (V SA/Wa 2574/21)