Ramy prawne przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu

System przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) oparty jest na wielopoziomowym porządku prawnym – obejmuje przepisy krajowe, regulacje unijne oraz standardy międzynarodowe. Instytucje finansowe, a zwłaszcza banki, muszą działać zgodnie z tymi regulacjami, które określają szczegółowe obowiązki i procedury służące wykrywaniu oraz zapobieganiu nielegalnym przepływom finansowym.

Prawo krajowe

W Polsce podstawowym aktem prawnym regulującym kwestie AML/CFT jest ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2024 r., poz. 342, t.j.). Ustawa ta określa:

• katalog instytucji obowiązanych, czyli podmiotów mających określone obowiązki w zakresie AML/CFT (w tym banki),
• zasady identyfikacji i weryfikacji klientów (KYC),
• sposób oceny ryzyka,
• obowiązki w zakresie zgłaszania transakcji podejrzanych do Generalnego Inspektora Informacji Finansowej (GIIF),
• obowiązki dokumentacyjne i szkoleniowe.

Ustawa przewiduje również sankcje administracyjne (np. kary pieniężne), cywilne i karne za naruszenie przepisów.

Prawo unijne i międzynarodowe

Polskie przepisy AML/CFT są zgodne z regulacjami Unii Europejskiej, które ulegają ciągłej ewolucji. Kluczowe znaczenie mają:

• Dyrektywy AML – od I do VI (VI dyrektywa AML z 2021 r. wprowadza m.in. rozszerzenie katalogu przestępstw pierwotnych oraz nowe zasady odpowiedzialności karnej osób prawnych),
• Rozporządzenia i wytyczne EBA, ESMA i EIOPA, które doprecyzowują techniczne aspekty stosowania przepisów AML/CFT przez instytucje finansowe,
• Projekt nowego rozporządzenia AML Regulation (AMLAR), które ma na celu ujednolicenie przepisów w całej UE oraz wzmocnienie nadzoru na poziomie wspólnotowym poprzez utworzenie nowego organu – Anti-Money Laundering Authority (AMLA).

Na poziomie globalnym najważniejsze są Rekomendacje FATF (Financial Action Task Force) – organizacji międzynarodowej wyznaczającej standardy AML/CFT. Choć rekomendacje nie mają charakteru wiążącego prawa, państwa członkowskie, w tym Polska, zobowiązują się do ich wdrażania.

Ramy prawne przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu są więc złożone i wielowarstwowe, co wymaga od banków nie tylko znajomości przepisów, ale też umiejętności ich praktycznego wdrażania i aktualizacji procedur zgodnie ze zmieniającym się otoczeniem regulacyjnym.

Obowiązki banków wynikające z przepisów AML/CFT

Zgodnie z ustawą AML oraz odpowiednimi aktami prawa unijnego, banki jako instytucje obowiązane mają szereg konkretnych obowiązków służących przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Obowiązki te obejmują zarówno działania podejmowane na etapie nawiązywania relacji z klientem, jak i stały monitoring w toku współpracy.

Weryfikacja tożsamości i znajomość klienta (KYC – Know Your Customer)

Jednym z kluczowych obowiązków banku jest identyfikacja i weryfikacja tożsamości klienta – zarówno osoby fizycznej, jak i podmiotu gospodarczego. W ramach procedury KYC banki zobowiązane są do:

• ustalenia tożsamości klienta i beneficjenta rzeczywistego (tj. osoby, która faktycznie kontroluje dany podmiot lub czerpie korzyści z jego działalności),
• oceny celu i charakteru planowanej relacji biznesowej,
• przypisania klienta do odpowiedniego poziomu ryzyka AML (niski, średni, wysoki),
• stosowania środków bezpieczeństwa finansowego proporcjonalnie do poziomu tego ryzyka.

W przypadku klientów wysokiego ryzyka, takich jak osoby zajmujące eksponowane stanowiska polityczne (PEP), stosuje się tzw. środki wzmożonej staranności.

Monitorowanie transakcji

Banki muszą prowadzić bieżący nadzór nad transakcjami klientów i ich zachowaniami finansowymi. W szczególności zobowiązane są do:

• identyfikowania transakcji nietypowych pod względem wartości, częstotliwości lub charakteru (np. niewyjaśnione przelewy z rajów podatkowych),
• analizy transakcji podejrzanych i oceny ich związku z praniem pieniędzy lub finansowaniem terroryzmu,
• zgłaszania transakcji podejrzanych do Generalnego Inspektora Informacji Finansowej (tzw. raport STR – Suspicious Transaction Report),
• zawieszania transakcji i blokowania rachunków w razie uzasadnionego podejrzenia udziału w nielegalnej działalności (w określonych przypadkach, na podstawie art. 86 ustawy AML).

Obowiązki dokumentacyjne i szkoleniowe

Aby zapewnić skuteczne działanie systemu AML, banki muszą także:

• dokumentować i archiwizować dane związane z identyfikacją klientów oraz transakcjami – przez co najmniej 5 lat,
• opracować i wdrożyć wewnętrzne procedury AML, dostosowane do rodzaju i skali działalności,
• wyznaczyć osobę odpowiedzialną za nadzór nad realizacją obowiązków AML (często tzw. AML Officer),
• regularnie szkolić pracowników w zakresie rozpoznawania ryzyk i stosowania procedur zgodnych z przepisami.

Te obowiązki nie mają charakteru jednorazowego – bank musi je realizować w sposób ciągły, z zachowaniem należytej staranności i w oparciu o zasadę podejścia opartego na ryzyku (risk-based approach). Naruszenie tych obowiązków może prowadzić nie tylko do nałożenia sankcji administracyjnych, ale także do odpowiedzialności karnej i utraty zaufania klientów.

Sankcje i odpowiedzialność banków za naruszenia

Naruszenie przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu może prowadzić do poważnych konsekwencji dla banków – zarówno na poziomie administracyjnym, cywilnym, jak i karnym. Odpowiedzialność ta może dotyczyć nie tylko samej instytucji, lecz także członków zarządu oraz osób odpowiedzialnych za realizację obowiązków AML.

Sankcje administracyjne

Zgodnie z ustawą AML, w przypadku stwierdzenia naruszenia obowiązków ustawowych, Generalny Inspektor Informacji Finansowej (GIIF) może nałożyć na bank m.in.:

• karę pieniężną – do 5 mln euro lub do 10% rocznego obrotu instytucji obowiązanej,
• zakaz wykonywania określonych czynności lub świadczenia usług,
• czasowe zawieszenie członka zarządu odpowiedzialnego za naruszenia,
• upublicznienie informacji o naruszeniu i sankcji, co wiąże się z istotnym ryzykiem reputacyjnym.

W praktyce coraz częściej sankcje mają także charakter prewencyjny – GIIF nakazuje wdrożenie dodatkowych procedur, przeprowadzenie audytów czy podjęcie działań naprawczych.

Odpowiedzialność karna

Zarówno osoby fizyczne działające w imieniu banku, jak i sama instytucja mogą ponieść odpowiedzialność karną za:

• umyślne niewykonanie obowiązków AML,
• utrudnianie lub uniemożliwianie wykrywania prania pieniędzy,
• udział w procederze prania pieniędzy lub finansowania terroryzmu.

Zgodnie z przepisami kodeksu karnego i ustawy AML, osobom tym mogą grozić kary grzywny, ograniczenia wolności, a nawet pozbawienia wolności (np. art. 299 k.k. – do 10 lat).

Ustawa AML przewiduje też możliwość nałożenia sankcji na osoby pełniące funkcje kierownicze, jeśli dopuściły do naruszeń przez zaniedbanie lub brak nadzoru.

Odpowiedzialność cywilna i reputacyjna

Nieprzestrzeganie przepisów AML/CFT może prowadzić również do:

• roszczeń klientów lub partnerów biznesowych (np. z tytułu szkody powstałej w wyniku nieuzasadnionego zablokowania rachunku),
• utraty licencji lub ograniczenia zakresu działalności przez organy nadzorcze,
• spadku zaufania rynku i klientów, co w przypadku sektora bankowego ma kluczowe znaczenie.

W ostatnich latach banki w Europie i USA zapłaciły miliardowe kary za niedopełnienie obowiązków AML – znane są przypadki kar wobec dużych instytucji, takich jak Danske Bank, HSBC czy ING, co pokazuje, że konsekwencje są nie tylko formalne, ale także wymiernie finansowe i wizerunkowe.

W świetle powyższego banki muszą prowadzić działania zgodne z zasadą należytej staranności, stale aktualizować procedury wewnętrzne oraz inwestować w systemy i personel odpowiedzialny za AML/CFT. Zaniedbania w tym zakresie mogą bowiem prowadzić do skutków porównywalnych z udziałem w działalności przestępczej.

Dylematy prawne i praktyczne wyzwania

Mimo rozbudowanego systemu regulacji i coraz bardziej zaawansowanych narzędzi technologicznych, banki napotykają w praktyce szereg trudności przy stosowaniu przepisów AML/CFT. Wynikają one nie tylko z niejasności przepisów, ale również z konieczności godzenia interesów prawnych, operacyjnych i etycznych. Poniżej przedstawiono najważniejsze wyzwania i kontrowersje.

Balans między prywatnością a obowiązkami AML

Wymogi dotyczące identyfikacji klienta, ustalania beneficjentów rzeczywistych i monitorowania transakcji często wchodzą w kolizję z konstytucyjnym prawem do prywatności oraz ochroną danych osobowych. Problemem jest m.in.:

• zakres danych, których bank może (lub musi) żądać,
• granice przetwarzania danych osobowych zgodnie z RODO (np. zgoda vs. obowiązek ustawowy),
• obowiązek informowania klienta o zgłoszeniu podejrzanej transakcji – w większości przypadków jest on zniesiony, co może budzić wątpliwości prawne i zastrzeżenia etyczne.

Ryzyko tzw. „de-riskingu”

Aby uniknąć potencjalnego ryzyka kar i obowiązków związanych z klientami wysokiego ryzyka (np. cudzoziemcy z państw objętych sankcjami, firmy z rajów podatkowych), banki coraz częściej decydują się na tzw. de-risking – czyli prewencyjne wypowiadanie umów lub odmawianie otwarcia rachunków. To zjawisko rodzi kontrowersje, ponieważ:

• może prowadzić do wykluczenia finansowego legalnych podmiotów,
• często nie jest oparte na konkretnym ryzyku, lecz na arbitralnej polityce wewnętrznej,
• może naruszać zasadę proporcjonalności i uczciwości w relacjach z klientem.

Trudności w identyfikacji beneficjenta rzeczywistego

Mimo obowiązku ustalania struktury właścicielskiej klienta, banki mają realny problem z:

• pozyskaniem rzetelnych i aktualnych danych,
• weryfikacją informacji w przypadku skomplikowanych struktur kapitałowych (np. fundusze, spółki offshore),
• ograniczoną dostępnością danych z zagranicznych rejestrów UBO (Ultimate Beneficial Owner).

W wielu przypadkach banki zmuszone są polegać na oświadczeniach klienta, co obniża skuteczność procesu due diligence.

Implementacja przepisów i rozbieżności interpretacyjne

Banki mierzą się także z problemem niejednolitego stosowania przepisów AML/CFT:

• brak jasnych wytycznych nadzorczych prowadzi do zróżnicowanej interpretacji pojęć (np. „transakcja podejrzana”),
• różnice w poziomie rygoru wymagań w zależności od państwa członkowskiego UE,
• konieczność dostosowywania systemów wewnętrznych do stale zmieniającego się otoczenia prawnego (np. kolejne dyrektywy AML, nowe rozporządzenia).

Te dylematy pokazują, że system przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu – choć niezbędny – musi uwzględniać również realia działalności gospodarczej i prawa jednostki. Konieczne jest tu zarówno doskonalenie przepisów, jak i rozwój dobrych praktyk oraz dialog między nadzorcami a sektorem finansowym.

Nowe kierunki i reformy

System przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu nieustannie ewoluuje – zarówno w reakcji na nowe metody działań przestępczych, jak i w celu ujednolicenia i zwiększenia skuteczności stosowanych regulacji. Zarówno Unia Europejska, jak i instytucje międzynarodowe podejmują liczne inicjatywy legislacyjne i organizacyjne, które będą miały istotny wpływ na funkcjonowanie banków w najbliższych latach.

Nowa architektura nadzoru w UE – AMLA

Jednym z najważniejszych projektów reformy w Unii Europejskiej jest utworzenie Europejskiego Urzędu ds. Przeciwdziałania Praniu Pieniędzy (AMLA – Anti-Money Laundering Authority). Zgodnie z projektem rozporządzenia AMLR:

• AMLA ma pełnić funkcję centralnego nadzorcy AML/CFT w UE,
• otrzyma kompetencje do bezpośredniego nadzoru nad instytucjami finansowymi wysokiego ryzyka,
• będzie mogła nakładać sankcje administracyjne oraz koordynować działania krajowych organów nadzorczych,
• ma dążyć do ujednolicenia praktyk i interpretacji przepisów AML w całej Unii.

Rozpoczęcie działalności AMLA planowane jest na 2026 r., a jej siedzibą ma być Frankfurt nad Menem.

AML Package – jednolite rozporządzenie AMLR

W ramach tzw. pakietu AML, Komisja Europejska przygotowała rozporządzenie AMLR (Anti-Money Laundering Regulation), które zastąpi część przepisów dotychczasowych dyrektyw. Główne zmiany to:

• pełna harmonizacja przepisów AML/CFT w całej UE (zamiast dyrektyw – które państwa wdrażają samodzielnie),
• jednolity katalog instytucji obowiązanych,
• ujednolicenie środków due diligence, raportowania i procedur kontrolnych,
• rozszerzenie obowiązków na nowe kategorie podmiotów (np. platformy kryptowalutowe, branża luksusowa).

Nowe rozporządzenie będzie bezpośrednio stosowane we wszystkich państwach członkowskich.

Nowe technologie w służbie AML

Rosnąca liczba transakcji i coraz bardziej wyrafinowane metody ukrywania przestępczych środków wymuszają wykorzystanie nowoczesnych narzędzi technologicznych w systemach AML. Obserwuje się rosnącą rolę:

• sztucznej inteligencji i uczenia maszynowego do wykrywania wzorców transakcji podejrzanych,
• systemów typu real-time monitoring (monitorowanie w czasie rzeczywistym),
• regtechów – firm oferujących rozwiązania z zakresu zgodności i automatyzacji procesów AML,
• biometrii i cyfrowej identyfikacji tożsamości w procedurach KYC.

Choć technologia znacząco zwiększa skuteczność nadzoru, jej wdrażanie wiąże się również z wyzwaniami dotyczącymi kosztów, cyberbezpieczeństwa oraz zgodności z przepisami o ochronie danych.

Większa przejrzystość właścicielska

Unia Europejska wzmacnia również reżim jawnościowy poprzez rozwój rejestrów beneficjentów rzeczywistych (UBO). Celem jest:

• utrudnienie korzystania z fikcyjnych struktur właścicielskich,
• umożliwienie łatwego dostępu do informacji dla organów państwowych i instytucji finansowych,
• zwiększenie skuteczności procesów weryfikacyjnych i kontroli krzyżowej.

Wyzwaniem pozostaje zapewnienie interoperacyjności rejestrów między państwami członkowskimi oraz ich aktualności i wiarygodności.

Nowe kierunki rozwoju w zakresie AML/CFT zmierzają w stronę centralizacji, harmonizacji i cyfryzacji. Dla banków oznacza to konieczność dalszych inwestycji w technologie, dostosowania procedur oraz jeszcze ściślejszej współpracy z regulatorami krajowymi i unijnymi.