Z najnowszego stanowiska UKNF z dnia 19 marca 2026 roku jasno wynika, że procedura AML/CFT ma być praktycznym narzędziem wykorzystywanym przez podmioty obowiązane, a nie dokumentem przygotowanym wyłącznie „na potrzeby kontroli”. W praktyce oznacza to, że dokument powinien opisywać nie tylko ogólne obowiązki wynikające z ustawy, ale przede wszystkim sposób ich wykonywania w danej instytucji obowiązanej, z uwzględnieniem specyfiki jej działalności, klientów, produktów, kanałów dystrybucji, struktury organizacyjnej i poziomu ryzyka.
Czego dotyczy stanowisko UKNF?
Stanowisko UKNF wskazuje, jakie procesy AML/CFT powinny zostać uregulowane w procedurach wewnętrznych instytucji obowiązanych nadzorowanych przez KNF. Nie chodzi więc wyłącznie o samo posiadanie procedury, ale o przygotowanie jej w sposób zrozumiały oraz spójny z dokumentacją wewnętrzną instytucji obowiązanej, która zapewni możliwość jej praktycznego zastosowania przez pracowników. Procedura powinna być na bieżąco weryfikowana, a jej przyjęcie lub aktualizacja powinny zostać zatwierdzone przez kadrę kierowniczą wyższego szczebla. Brak takiego zatwierdzenia albo posiadanie procedury, która nie odpowiada rzeczywistemu modelowi działania instytucji, może zostać uznane za naruszenie obowiązków ustawowych.
Procedura AML/CFT nie może być dokumentem ogólnym
UKNF wyraźnie podkreśla, że procedura powinna odzwierciedlać faktyczny sposób działania instytucji obowiązanej. W praktyce nie wystarczy powtórzenie przepisów ustawy ani posługiwanie się uniwersalnym wzorem. Procedura powinna odpowiadać na pytania, które pojawiają się w codziennej pracy, np.:
- kto odpowiada za dany etap procesu AML/CFT,
- jak identyfikowany jest klient,
- jak ustalany jest beneficjent rzeczywisty,
- kiedy klient otrzymuje określoną kategorię ryzyka,
- jakie dokumenty należy pozyskać od klienta,
- kiedy stosuje się środki uproszczone, podstawowe lub wzmożone,
- jak dokumentuje się decyzje i analizy,
- kiedy sprawa powinna zostać przekazana do komórki AML/CFT.
Procedura powinna być zrozumiała nie tylko dla AMLRO czy działu compliance, ale również dla pracowników mających kontakt z klientem.
Ocena ryzyka jako punkt wyjścia
Jednym z kluczowych elementów stanowiska jest ocena ryzyka. Instytucja obowiązana powinna posiadać własną ocenę ryzyka AML/CFT, dostosowaną do rodzaju i skali prowadzonej działalności. Ocena ta powinna uwzględniać m.in. ryzyka związane z klientami, państwami i obszarami geograficznymi, produktami, usługami, transakcjami oraz kanałami dostaw. UKNF zwraca również uwagę na potrzebę uwzględnienia dodatkowych czynników, takich jak outsourcing, systemy IT, struktura organizacyjna, skuteczność kontroli wewnętrznej czy dostępność szkoleń. Istotne jest także rozróżnienie między ryzykiem inherentnym a ryzykiem rezydualnym. Instytucja powinna najpierw określić ryzyko występujące naturalnie w jej działalności, a następnie ocenić, czy stosowane mechanizmy ograniczające są wystarczające.
Matryca ryzyka klienta musi działać w praktyce
Procedura AML/CFT powinna zawierać jasne zasady rozpoznawania i oceny ryzyka związanego z konkretnym klientem, stosunkiem gospodarczym albo transakcją okazjonalną. UKNF oczekuje, że instytucja obowiązana opisze praktyczny przebieg klasyfikowania klientów do poszczególnych kategorii ryzyka. Sama kategoryzacja nie jest jednak celem samym w sobie. Od przyznanej kategorii powinien zależeć zakres i intensywność stosowanych środków bezpieczeństwa finansowego. W praktyce najczęściej wyróżnia się kategorie niskiego, normalnego, wysokiego oraz nieakceptowalnego ryzyka. Zaklasyfikowanie klienta do kategorii ryzyka nieakceptowalnego powinno prowadzić do powstrzymania się od nawiązania relacji albo zakończenia relacji już istniejącej. Ważne jest również to, że ocena ryzyka nie jest jednorazowa. Kategoria ryzyka przyznana danemu klientowi może ulec zmianie w trakcie trwania relacji, np. w związku ze zmianą profilu działalności, zmianą struktury właścicielskiej, nowymi kierunkami transakcji albo ujawnieniem informacji mających znaczenie z perspektywy AML/CFT, w wyniku przeprowadzanych okresowych przeglądów.
Środki bezpieczeństwa finansowego powinny wynikać z ryzyka
Stanowisko UKNF przypomina, że środki bezpieczeństwa finansowego powinny być stosowane z intensywnością odpowiadającą rozpoznanemu ryzyku. Procedura powinna więc wskazywać, kiedy instytucja obowiązana powinna zastosować środki podstawowe, środki uproszczone lub środki wzmożone.
Instytucja obowiązana powinna szczególną uwagę zwrócić m.in. na:
- relacje z osobami zajmującymi eksponowane stanowiska polityczne,
- relacje z klientami powiązanymi z państwami trzecimi wysokiego ryzyka,
- relacje korespondenckie,
- transakcje nietypowe,
- relacje nawiązywane bez fizycznej obecności klienta.
W takich przypadkach procedura powinna wskazywać na konkretne działania jakie instytucja powinna podjąć, a nie tylko na ogólne odesłanie do ustawy. Może to obejmować np. ustalenie źródła majątku, ustalenie źródła pochodzenia wartości majątkowych, zwiększoną częstotliwość przeglądów, pogłębiony monitoring transakcji albo uzyskanie dodatkowej akceptacji kadry kierowniczej.
Beneficjent rzeczywisty i CRBR – samo sprawdzenie rejestru nie wystarczy
Ważnym obszarem jest identyfikacja beneficjenta rzeczywistego. UKNF wskazuje, że instytucja obowiązana powinna podejmować uzasadnione czynności w celu weryfikacji jego tożsamości oraz ustalenia struktury własności i kontroli klienta.
W praktyce oznacza to, że samo sprawdzenie danych w CRBR może być niewystarczające. Procedura powinna określać, jakie dokumenty i informacje należy pozyskać, sposób w jakim analizowana jest struktura właścicielska oraz co należy zrobić w przypadku rozbieżności pomiędzy informacjami z rejestru a ustaleniami instytucji. Istotne jest również dokumentowanie trudności w identyfikacji beneficjenta rzeczywistego. Brak odpowiedniego udokumentowania procesu może utrudnić wykazanie, że instytucja rzeczywiście zastosowała wymagane środki bezpieczeństwa finansowego.
Monitoring transakcji powinien być powiązany z profilem klienta
Procedura AML/CFT powinna regulować zasady bieżącego monitorowania stosunków gospodarczych.
Monitoring nie powinien ograniczać się do formalnego sprawdzania pojedynczych transakcji. Instytucja powinna oceniać, czy aktywność klienta jest zgodna z posiadaną wiedzą o nim, jego działalnością, deklarowanym celem relacji, typową skalą obrotów oraz kierunkami transakcji. W większych organizacjach monitoring powinien być wspierany przez systemy informatyczne, reguły alertowe i scenariusze wykrywania nietypowych zachowań. Same alerty nie wystarczą jednak bez ich analizy, dokumentowania decyzji oraz okresowej weryfikacji skuteczności stosowanych reguł.
Szkolenia AML/CFT nie mogą być samokształceniem
UKNF zwraca również uwagę na obowiązek szkoleniowy. Szkolenia powinny być dostosowane do charakteru, rodzaju i rozmiaru działalności instytucji. Powinny obejmować osoby wykonujące obowiązki AML/CFT, w tym nowych pracowników przed dopuszczeniem ich do samodzielnego wykonywania czynności. Co istotne, samo zapoznanie się z komunikatami GIIF, stanowiskami UKNF albo materiałami wewnętrznymi nie powinno być traktowane jako prawidłowa realizacja obowiązku szkoleniowego. Samokształcenie może być uzupełnieniem wiedzy, ale nie zastępuje profesjonalnego szkolenia. Instytucja powinna również dokumentować, kto, kiedy, w jakim zakresie i przez kogo został przeszkolony.
Co powinny zrobić instytucje obowiązane?
W praktyce stanowisko UKNF powinno skłonić instytucje obowiązane do przeglądu swoich procedur AML/CFT. Warto zweryfikować w szczególności:
- czy procedura odpowiada aktualnemu modelowi działalności,
- czy została formalnie zatwierdzona,
- czy zawiera aktualną ocenę ryzyka,
- czy opisuje matrycę ryzyka klienta,
- czy wskazuje konkretne środki bezpieczeństwa finansowego,
- czy reguluje identyfikację beneficjenta rzeczywistego,
- czy opisuje monitoring transakcji,
- czy uwzględnia zasady raportowania do GIIF,
- czy reguluje przechowywanie dokumentacji,
- czy obejmuje szkolenia, kontrolę wewnętrzną i zgłaszanie naruszeń,
- czy uwzględnia obowiązki związane z sankcjami.
Nieprawidłowości w procedurach AML/CFT nie są problemem wyłącznie formalnym. UKNF wskazuje, że naruszenie obowiązku wprowadzenia prawidłowej procedury może prowadzić nie tylko do zaleceń pokontrolnych, ale również do wszczęcia postępowania w związku z naruszeniem przepisów ustawy.
Najważniejsze wnioski
Procedura AML/CFT powinna być praktycznym narzędziem zarządzania ryzykiem, a nie dokumentem przygotowanym jedynie dla spełnienia wymogu formalnego. Instytucje obowiązane powinny sprawdzić, czy ich procedury są aktualne, kompletne i możliwe do zastosowania w codziennej działalności. Szczególne znaczenie ma spójność między oceną ryzyka, klasyfikacją klientów, stosowanymi środkami bezpieczeństwa finansowego, monitoringiem transakcji i dokumentowaniem podejmowanych decyzji.
W praktyce największym ryzykiem może być nie tylko brak procedury, ale również procedura fasadowa, czyli taka, która istnieje, ale nie pozwala pracownikom prawidłowo wykonywać obowiązków AML/CFT.
