Ponad 11 000 podmiotów zgłosiło podejrzane transakcje do GIIF w 2023 roku — Generalnego Inspektora Informacji Finansowej. Tymczasem szacuje się, że co roku przez polski system finansowy przepływa od 30 do 80 miliardów złotych pochodzących z przestępstw. Ustawa AML (o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu) nakłada na setki tysięcy podmiotów — nie tylko banki — konkretne obowiązki compliance, których niedopełnienie grozi karami do 5 milionów euro lub równowartością 10% rocznego obrotu. Wiele firm wciąż nie wie, że jest instytucją obowiązaną.
Kto jest instytucją obowiązaną — pełna lista podmiotów
Katalog instytucji obowiązanych w polskiej ustawie AML z 2018 roku (z późniejszymi zmianami implementującymi kolejne dyrektywy UE) jest szeroki i obejmuje m.in.:
- Instytucje finansowe: banki, SKOK-i, firmy ubezpieczeniowe, domy maklerskie, towarzystwa funduszy inwestycyjnych, instytucje płatnicze
- Zawody zaufania publicznego: notariusze, radcowie prawni i adwokaci (w zakresie określonych czynności), doradcy podatkowi, biegli rewidenci, rzecznicy patentowi
- Pośrednicy: agenci nieruchomości (zarówno przy zakupie, jak i wynajmie powyżej progu), pośrednicy kredytowi
- Handel: podmioty przyjmujące płatności gotówkowe powyżej 10 000 EUR (lub równowartości), kantory walut, lombardy
- Usługi korporacyjne: podmioty świadczące usługi tworzenia i obsługi spółek, usługi powiernicze, usługi wirtualnego biura
- Kryptowaluty: dostawcy usług związanych z kryptoaktywami (CASP) — od nowelizacji MiCA 2024
Radcowie prawni i adwokaci są instytucjami obowiązanymi wyłącznie przy ściśle określonych czynnościach: transakcje nieruchomościami, zarządzanie majątkiem klienta, tworzenie i zarządzanie spółkami, przeprowadzanie transakcji finansowych w imieniu klienta. Przy świadczeniu pomocy prawnej w sprawach spornych obowiązki AML nie mają zastosowania.
Pięć filarów systemu AML — co firma musi wdrożyć
Obowiązki instytucji obowiązanej sprowadzają się do pięciu podstawowych elementów systemu przeciwdziałania praniu pieniędzy:
- 1. Ocena ryzyka — identyfikacja i analiza ryzyk prania pieniędzy właściwych dla działalności firmy, sporządzana na piśmie i aktualizowana co najmniej raz w roku
- 2. Procedury wewnętrzne — pisemna procedura AML opisująca zasady identyfikacji klientów, weryfikacji, monitorowania transakcji i zgłaszania podejrzanych operacji
- 3. Środki należytej staranności (CDD) — identyfikacja i weryfikacja tożsamości klienta, beneficjenta rzeczywistego, ustalenie struktury właścicielskiej i celu relacji
- 4. Monitorowanie transakcji — bieżące śledzenie transakcji klienta i zgłaszanie podejrzanych do GIIF
- 5. Szkolenia pracowników — regularne szkolenia wszystkich pracowników mających kontakt z klientami lub transakcjami finansowymi
Identyfikacja beneficjenta rzeczywistego — CRBR i praktyczne trudności
Jednym z najtrudniejszych obowiązków AML jest prawidłowa identyfikacja beneficjenta rzeczywistego (beneficial owner, BO). Beneficjentem rzeczywistym jest każda osoba fizyczna sprawująca bezpośrednią lub pośrednią kontrolę nad klientem lub w imieniu której przeprowadzana jest transakcja. W przypadku spółek — to zazwyczaj osoby fizyczne posiadające ponad 25% udziałów lub głosów, ewentualnie osoby sprawujące kontrolę w inny sposób.
Instytucja obowiązana musi nie tylko zapytać klienta o beneficjenta rzeczywistego, ale też zweryfikować tę informację w dostępnych źródłach — Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR), KRS, rejestrach zagranicznych, dokumentach korporacyjnych. Rozbieżność między deklaracją klienta a informacjami w CRBR wymaga wyjaśnienia.
CRBR, funkcjonujący od 2019 roku, gromadzi informacje o beneficjentach rzeczywistych polskich spółek i fundacji. Podmioty zobowiązane do wpisu muszą aktualizować dane w ciągu 14 dni od każdej zmiany. Brak wpisu lub wpis nieprawidłowy grozi karą administracyjną do 1 000 000 zł.
Osoby zajmujące eksponowane stanowiska polityczne (PEP) — szczególna ostrożność
Osoby zajmujące eksponowane stanowiska polityczne (PEP — politically exposed persons) to m.in. głowy państw, ministrowie, posłowie, senatorowie, ambasadorowie, szefowie instytucji publicznych, osoby zarządzające przedsiębiorstwami państwowymi, a także ich bliscy współpracownicy i rodziny. Relacje z PEP wymagają stosowania wzmocnionych środków należytej staranności.
Wzmocniona staranność wobec PEP oznacza: uzyskanie zgody wyższego kierownictwa na nawiązanie relacji, ustalenie źródeł majątku i środków, wzmożony monitoring transakcji. Status PEP wygasa — co do zasady — po 12 miesiącach od zakończenia zajmowania eksponowanego stanowiska, choć w praktyce ryzyko pozostaje dłużej.
- Transakcja budzi uzasadnione podejrzenie, że środki pochodzą z przestępstwa lub mają związek z finansowaniem terroryzmu
- Klient odmawia podania danych niezbędnych do identyfikacji lub weryfikacji
- Tożsamość klienta lub beneficjenta rzeczywistego budzi wątpliwości i nie można ich rozwiać
- Transakcja jest skomplikowana, o niezwykłej wartości lub przebiegu, nieuzasadnionej działalnością klienta
- Klient figuruje na listach sankcyjnych (OFAC, UN, UE)
Sankcje za naruszenie obowiązków AML — kary administracyjne i karne
Kontrolę przestrzegania przepisów AML prowadzą różne organy nadzorcze w zależności od sektora: KNF (banki, ubezpieczenia), GIIF (wszystkie instytucje obowiązane), izby zawodowe (prawnicy, notariusze, doradcy podatkowi), urzędy celno-skarbowe. Za naruszenia instytucja obowiązana może zostać ukarana administracyjnie.
Katalog kar administracyjnych obejmuje: publiczne ogłoszenie o naruszeniu (reputacyjna kara), nakaz zaprzestania naruszeń, czasowy zakaz pełnienia funkcji przez osoby zarządzające, karę pieniężną do wysokości 5 000 000 EUR lub do 10% całkowitego rocznego obrotu — w zależności, która kwota jest wyższa.
Odpowiedzialność karna za pranie pieniędzy (art. 299 k.k.) grozi zarówno osobom uczestniczącym w transakcjach, jak i pracownikom instytucji obowiązanych, którzy umyślnie umożliwili takie transakcje. Kara pozbawienia wolności wynosi od 6 miesięcy do 8 lat, a w typach kwalifikowanych — do 15 lat.
Audyt i aktualizacja systemu AML — obowiązek ciągły
System AML w firmie to nie jednorazowy projekt, lecz ciągły proces. Procedury wewnętrzne muszą być aktualizowane co najmniej raz w roku lub przy każdej istotnej zmianie ryzyk. Ocena ryzyka powinna uwzględniać zmiany legislacyjne, nowe produkty lub usługi, nowe rynki i nowe typy klientów. Szkolenia dla pracowników powinny być regularnie przeprowadzane i dokumentowane.
Audyt systemu AML — wewnętrzny lub zewnętrzny — pozwala wykryć luki przed kontrolą organu nadzorczego. Wiele firm, szczególnie z sektora MŚP, popełnia te same błędy: brak lub nieaktualna ocena ryzyka, ogólna i nieadaptowana procedura, brak dokumentacji z weryfikacji klientów, nieszkalone kadry.
Brak zgodności z AML to nie tylko ryzyko kary — to też ryzyko wizerunkowe i reputacyjne, które może okazać się bardziej kosztowne niż najwyższa kara administracyjna. Coraz więcej banków zamyka rachunki firmom, które nie wdrożyły rzetelnych procedur AML.
Jeśli Twoja firma jest instytucją obowiązaną i nie wiesz, od czego zacząć, lub chcesz zweryfikować, czy Twoje procedury AML są zgodne z aktualnymi przepisami — Kancelaria Radcy Prawnego Joanna Cenkier w Lublinie przeprowadza audyty AML i wdraża kompletne systemy compliance dla firm z różnych branż. Umów konsultację: tel. +48 792 911 906, e-mail: kancelaria@cenkier.pl, ul. Krótka 4/3, 20-077 Lublin.
Powiązane strony