×
MACURA | Unikalna wiedza ekspercka

Kancelaria MACURA.
ul. Odyńca 7/13
02-606 Warszawa

T: (+48) 696-011-713
M: monika.macura@kancelariamacura.pl

Zobacz nas na:
powrót more
19 marca 2026

UKNF przeciwko fasadowym procedurom AML/CFT

19 marca 2026 r. Urząd Komisji Nadzoru Finansowego opublikował stanowisko doprecyzowujące oczekiwania nadzorcze wobec instytucji obowiązanych w zakresie projektowania i stosowania procedur AML/CFT. Dokument ten porządkuje sposób realizacji obowiązków wynikających z ustawy z dnia 1 marca 2018 r. i stanowi wyraźny punkt odniesienia dla oceny funkcjonowania rozwiązań przyjętych w organizacjach.

Stanowisko Urzędu Komisji Nadzoru Finansowego z dnia 19 marca 2026 r. stanowi kompleksowe doprecyzowanie oczekiwań wobec instytucji obowiązanych w zakresie projektowania i stosowania procedury AML/CFT. Dokument nie wprowadza nowych obowiązków ustawowych, lecz porządkuje sposób ich realizacji i wyznacza standardy, które w praktyce należy traktować jako punkt odniesienia dla oceny zgodności. Ma to bezpośrednie znaczenie dla sektora fintech, banków oraz instytucji płatniczych, w szczególności w obszarze odpowiedzialności zarządczej, zarządzania ryzykiem oraz operacyjnego stosowania środków bezpieczeństwa finansowego.

Architektura odpowiedzialności i rola AMLRO

UKNF jednoznacznie akcentuje konieczność formalnego i faktycznego rozdzielenia ról w systemie AML/CFT. Odpowiedzialność kadry kierowniczej wyższego szczebla za wykonywanie obowiązków ustawowych musi znajdować odzwierciedlenie w dokumentach wewnętrznych oraz w praktyce działania. Kluczowe znaczenie ma wyznaczenie członka zarządu odpowiedzialnego za wdrażanie polityk i mechanizmów kontrolnych, przy czym jego umocowanie powinno wynikać wprost z uchwał lub regulaminów.

Szczególny nacisk położono na funkcję AMLRO. UKNF podkreśla wymóg jej niezależności, co wyklucza łączenie tej roli z funkcją członka zarządu wyznaczonego na podstawie art. 7 ustawy. W praktyce oznacza to konieczność takiego zaprojektowania struktury organizacyjnej, aby zapewnić realne oddzielenie funkcji nadzorczych od zarządczych. Jednocześnie oczekuje się zapewnienia ciągłości działania poprzez wyznaczenie stałych zastępców dla kluczowych ról.

W przypadku podmiotów funkcjonujących w grupach kapitałowych UKNF przypomina, że obowiązek wdrożenia procedury grupowej spoczywa na każdej instytucji obowiązanej. Jeżeli inicjatywa nie wychodzi od jednostki dominującej, podmiot zależny działający w Polsce powinien ją podjąć. Procedura musi uwzględniać zasadę stosowania wyższego standardu, co w praktyce oznacza konieczność stosowania wymogów polskich w przypadku mniej rygorystycznych regulacji w państwach trzecich.

Ocena Ryzyka Instytucji jako punkt wyjścia

Stanowisko UKNF porządkuje podejście do Oceny Ryzyka Instytucji jako fundamentu całego systemu AML/CFT. Proces identyfikacji ryzyka powinien rozpoczynać się od określenia ryzyka inherentnego, a następnie prowadzić do ustalenia ryzyka rezydualnego po uwzględnieniu skuteczności stosowanych zabezpieczeń. Takie podejście wymusza nie tylko identyfikację czynników ryzyka, lecz także ocenę realnej efektywności wdrożonych mechanizmów kontrolnych.

Dokument podkreśla obowiązek aktualizacji ORI co najmniej raz na dwa lata oraz każdorazowo w przypadku zmiany profilu działalności, na przykład w związku z uruchomieniem kanałów zdalnych. Każda aktualizacja wymaga formalnego zatwierdzenia przez wyznaczonego członka zarządu, a sam dokument podlega ochronie jako dane wrażliwe. Dodatkowo UKNF wskazuje na konieczność uwzględnienia ryzyka sankcyjnego.

W obszarze oceny ryzyka klienta kluczowe znaczenie ma właściwie zaprojektowana matryca ryzyka oraz cykliczność przeglądów. Przyjęta praktyka, akceptowana przez UKNF, zakłada przeglądy roczne dla klientów wysokiego ryzyka, trzyletnie dla klientów o ryzyku normalnym oraz pięcioletnie dla klientów niskiego ryzyka. Wskazuje to na oczekiwanie proporcjonalności, ale jednocześnie systematyczności w aktualizacji danych i ocen.

Środki bezpieczeństwa finansowego i ich stosowanie

UKNF wyraźnie wskazuje, że stosowanie środków bezpieczeństwa finansowego nie może opierać się wyłącznie na ogólnych kategoriach ryzyka. Każdy przypadek podwyższonego ryzyka wymaga indywidualnej analizy, co w praktyce oznacza konieczność dokumentowania decyzji oraz uzasadnienia przyjętych środków.

Szczegółowo doprecyzowano obowiązki związane ze wzmożonymi środkami bezpieczeństwa finansowego. W przypadku osób zajmujących eksponowane stanowiska polityczne wymagane jest uzyskanie zgody kadry kierowniczej wyższego szczebla przed nawiązaniem lub kontynuacją relacji. UKNF rozróżnia przy tym obowiązek ustalenia źródła całego majątku klienta oraz źródła pochodzenia wartości majątkowych wykorzystywanych w konkretnej transakcji. Po utracie statusu PEP środki wzmożone powinny być stosowane przez co najmniej 12 miesięcy.

Analogicznie, powiązania z krajami trzecimi wysokiego ryzyka wymagają udokumentowanej analizy oraz zastosowania dodatkowych środków, w tym potencjalnie ograniczeń lub rozszerzonych obowiązków raportowych. W odniesieniu do transakcji nietypowych UKNF oczekuje określenia katalogu działań, takich jak pozyskiwanie dodatkowej dokumentacji potwierdzającej ekonomiczne uzasadnienie operacji.

Beneficjent rzeczywisty i relacja z CRBR

W obszarze identyfikacji beneficjenta rzeczywistego stanowisko UKNF podkreśla konieczność prowadzenia analizy do skutku. Beneficjentem zawsze pozostaje osoba fizyczna, a uznanie osoby zajmującej wyższe stanowisko kierownicze jest dopuszczalne wyłącznie po udokumentowaniu braku możliwości ustalenia faktycznej struktury właścicielskiej.

Istotne znaczenie ma podejście do Centralnego Rejestru Beneficjentów Rzeczywistych. Instytucje obowiązane nie mogą opierać się wyłącznie na danych z rejestru i są zobowiązane do identyfikowania oraz dokumentowania rozbieżności. Proces wyjaśnienia uznaje się za zakończony dopiero po faktycznej aktualizacji wpisu przez klienta. W przypadku potwierdzonych rozbieżności konieczne jest ich zgłoszenie wraz z uzasadnieniem i dokumentacją.

Monitorowanie, raportowanie i retencja danych

Bieżące monitorowanie stosunków gospodarczych zostało wskazane jako najbardziej dynamiczny element systemu AML/CFT. UKNF oczekuje wykorzystania systemów informatycznych z odpowiednio skalibrowanymi regułami oraz pełnej archiwizacji procesu analizy alertów. Każdy alert powinien prowadzić do jednoznacznego wniosku wraz z uzasadnieniem przyjętej kwalifikacji.

Jednocześnie stanowisko precyzuje ramy czasowe dla obowiązków raportowych wobec GIIF. Informacje o określonych transakcjach powinny być przekazywane w terminie 7 dni, natomiast zawiadomienia o podejrzeniu prania pieniędzy – nie później niż w ciągu 2 dni roboczych od potwierdzenia podejrzenia. W przypadku transakcji jeszcze nieprzeprowadzonych wymagane jest niezwłoczne zawiadomienie wraz z wstrzymaniem transakcji lub blokadą rachunku.

Uzupełnieniem tych obowiązków jest wymóg przechowywania dokumentacji przez okres 5 lat od zakończenia relacji lub przeprowadzenia transakcji okazjonalnej, co obejmuje zarówno dokumenty identyfikacyjne, jak i wyniki analiz.

System kontroli, szkolenia i ryzyko sankcyjne

UKNF zwraca uwagę na konieczność budowania spójnego systemu kontroli wewnętrznej, w którym funkcje operacyjne i kontrolne pozostają rozdzielone. Niedopuszczalne jest kontrolowanie własnych działań, nawet w sposób czasowy. W przypadku istotnych naruszeń wymagane jest ich niezwłoczne raportowanie, a naruszenia krytyczne powinny być eskalowane bezpośrednio do zarządu i rady nadzorczej.

W obszarze szkoleń podkreślono obowiązek formalnego i udokumentowanego procesu edukacji wszystkich osób zaangażowanych w AML/CFT, w tym współpracowników i agentów. Samokształcenie nie jest uznawane za spełnienie wymogu ustawowego, a szkolenia uzupełniające powinny być prowadzone co najmniej co dwa lata.

Stanowisko odnosi się również do procedur whistleblowing, które muszą zapewniać anonimowość, ochronę przed działaniami represyjnymi oraz niezależność funkcji przyjmującej zgłoszenia od operacyjnych procesów AML/CFT.

Na tle tych wymogów UKNF jednoznacznie wskazuje na ryzyko stosowania tzw. procedur fasadowych. Brak kompletnej i dostosowanej do skali działalności procedury stanowi podstawę do nałożenia sankcji administracyjnych. Dane z kontroli nadzorczych wskazują na rosnący udział nieprawidłowości w tym obszarze, który w 2024 r. osiągnął poziom 19,39 procent wszystkich stwierdzonych uchybień.

Perspektywa dalszych działań

Opublikowane stanowisko porządkuje oczekiwania nadzorcze w sposób, który wymaga od instytucji obowiązanych przeglądu nie tylko dokumentacji, lecz także faktycznego funkcjonowania procesów AML/CFT. Szczególnego znaczenia nabiera weryfikacja rozdziału ról, aktualności Oceny Ryzyka Instytucji, sposobu dokumentowania decyzji w obszarze środków bezpieczeństwa finansowego oraz zgodności praktyki operacyjnej z przyjętymi procedurami.

Materiał wskazuje również na konieczność bieżącego monitorowania obszarów związanych z raportowaniem do GIIF, identyfikacją beneficjenta rzeczywistego oraz funkcjonowaniem systemu kontroli wewnętrznej. W świetle rosnącej liczby stwierdzanych nieprawidłowości należy zakładać zwiększoną intensywność działań nadzorczych w tym obszarze.