27 sty 2026

AML w 2026 roku – wyzwania i przewidywania

AML w 2026 roku to nowe wyzwania regulacyjne i operacyjne związane m.in. z AI Act, RTS i sankcjami

Rok 2026 postawi przed instytucjami obowiązanymi nowe, istotne wyzwania w obszarze AML. Coraz bardziej precyzyjne wymagania nadzorcze oraz rosnące oczekiwania wobec skuteczności systemów AML sprawiają, że działania reaktywne przestają być wystarczające. Rozpoczynający się rok będzie wymagał między innymi świadomego podejścia do planowania, analizy ryzyka oraz dostosowania procesów.

Kluczowe tematy związane z AML w 2026 roku omawiane w artykule:

Wyzwania związane z AI Act (rozporządzeniem o sztucznej inteligencji)
Wyzwania wynikające z RTS (regulacyjnych standardów technicznych)
Wyzwania dotyczące zmieniających się sankcji
Inne wyzwania na rok 2026 odnoszące się do AML
Rekomendacje eksperckie na rok 2026 w obszarze AML

AI Act w 2026 i 2027 – Rozporządzenie o sztucznej inteligencji

Unijny akt o sztucznej inteligencji – tzw. AI Act – będzie w pełni obowiązywać od sierpnia 2026 roku, a od sierpnia 2027 roku dla systemów wysokiego ryzyka. Instytucje obowiązane, które w swojej działalności wykorzystują systemy sztucznej inteligencji – np. do profilowania klientów w zakresie analizy ryzyka – mogą wpisywać się w krąg podmiotów zobowiązanych do stosowania AI Act. Regulacja ta obejmuje bowiem nie tylko dostawców systemów AI wprowadzających je do obrotu lub oddających do użytku, ale także podmioty stosujące systemy AI i mające siedzibę lub znajdujące się w Unii Europejskiej, producentów produktów zawierających systemy AI, a także osoby, na które systemy AI wywierają wpływ i które znajdują się na terytorium Unii Europejskiej.

Co zmienia AI Act w odniesieniu do systemów wysokiego ryzyka?

AI Act wprowadza podejście oparte na ocenie ryzyka, dzieląc systemy AI na cztery kategorie: systemy stwarzające ryzyko nieakceptowalne, systemy wysokiego ryzyka, systemy objęte obowiązkami w zakresie przejrzystości oraz systemy minimalnego ryzyka. Dla instytucji obowiązanych szczególne znaczenie ma fakt, że do systemów wysokiego ryzyka mogą być zaliczone m.in. systemy wykorzystujące AI i służące do profilowania osób fizycznych w celu oceny potencjalnego ryzyka prania pieniędzy lub finansowania terroryzmu.

Jakie obowiązki wynikają z AI Act?

Zakwalifikowanie systemu AI jako wysokiego ryzyka wiąże się z koniecznością spełnienia szeregu rygorystycznych obowiązków organizacyjnych i technicznych. Podmioty stosujące takie systemy, zgodnie z art. 26 AI Act, są zobowiązane m.in. do wdrożenia odpowiednich środków zapewniających, że systemy AI są wykorzystywane zgodnie z dołączoną do nich instrukcją obsługi. Ważnym elementem jest też zapewnienie skutecznego nadzoru przez człowieka, realizowanego przez osoby fizyczne posiadające niezbędne kompetencje, przeszkolenie, uprawnienia oraz odpowiednie wsparcie organizacyjne.

Istotnym wyzwaniem dla instytucji obowiązanych będzie także kontrola nad danymi wejściowymi wykorzystywanymi przez systemy AI. AI Act wymaga bowiem zapewnienia, aby dane te były adekwatne, wystarczające oraz reprezentatywne, co w praktyce oznacza konieczność przeglądu i dostosowania procesów zarządzania danymi stosowanych w ramach systemów AML.

Dodatkowo zarówno dostawcy, jak i podmioty stosujące systemy AI zostali zobowiązani do podjęcia działań zapewniających odpowiedni poziom kompetencji w zakresie AI wśród personelu oraz innych osób działających w ich imieniu. Dla instytucji obowiązanych oznacza to inwestycję w szkolenia oraz budowę wewnętrznych kompetencji umożliwiających zgodne z prawem i bezpieczne wykorzystywanie systemów sztucznej inteligencji.

RTS od 2026 – Regulacyjne standardy techniczne

Rok 2026 przyniesie instytucjom obowiązanym wyzwania w obszarze praktycznego stosowania regulacyjnych standardów technicznych (RTS). Są to szczegółowe akty wykonawcze, których celem jest doprecyzowanie przepisów ramowych obowiązujących określone instytucje obowiązane (w unijnych aktach “instytucje obowiązane” definiowane są jako “podmioty zobowiązane”), w tym zasad nadzoru, oceny ryzyka czy stosowania należytej staranności wobec klientów.

RTS opublikowane przez AMLA

Opublikowany przez Urząd ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (Anti-Money Laundering Authority – AMLA) projekt regulacyjnych standardów technicznych (RTS) dotyczących oceny profilu ryzyka inherentnego i rezydualnego podmiotów zobowiązanych na mocy art. 40 ust. 2 dyrektywy (UE) 2024/1620 łączy w sobie informacje dotyczące podmiotów podlegających nadzorowi AMLA oraz metodologię klasyfikacji profilu ryzyka prania pieniędzy i finansowania terroryzmu pozostałych podmiotów nadzorowanych.

Z tych dwóch spraw AMLA skupia się w RTS przede wszystkim na ocenie ryzyka podmiotów zobowiązanych. Wytyczne w obecnym kształcie w pierwszej kolejności dotyczyć będą konkretnych podmiotów zobowiązanych, tj. instytucji finansowych i kredytowych, a docelowo również instytucji niefinansowych.

Istotną zmianą w stosunku do RTS od EBA jest nowe podejście do metody szacowania oceny ryzyka, które co do zasady ma charakter ilościowy i opiera się na stałych punktach zaproponowanych przez urząd. Podejście eksperckie zostało przewidziane wyłącznie dla organów krajowych współpracujących z AMLA w zakresie nadzorowania przepisów AML w danym kraju członkowskim, po spełnieniu konkretnych wymagań. AMLA w RTS dopuszcza możliwość podejścia eksperckiego w ramach niektórych instytucji obowiązanych, jednakże tekst RTS wskazuje wyraźnie, że sytuacja taka dopuszczona jest jedynie incydentalnie i będzie wymagała ze strony instytucji obowiązanych silnego, przekonującego uzasadnienia popartego konkretnymi dowodami.

Ponadto, rozszerzony zostaje zakres oceny ryzyka. Oprócz czterech dotychczasowych kategorii – klientów, obszaru geograficznego, produktów i usług oraz kanałów dostaw – wprowadzono dodatkową kategorię istotnych informacji dotyczących samego podmiotu. Obejmuje ona m.in. ład korporacyjny, procedury i szkolenia, audyt, monitorowanie należytej staranności, transakcje i zgłoszenia SAR/STR oraz ramy obowiązujące na poziomie całej grupy.

RTS dotyczące należytej staranności wobec klienta

Kolejnym kluczowym obszarem RTS w 2026 roku są regulacyjne standardy techniczne EBA dotyczące należytej staranności wobec klienta, o których mowa w art. 28 ust. 1 rozporządzenia AMLR.

Standardy te doprecyzowują zakres danych wymaganych przy identyfikacji i weryfikacji zarówno osób fizycznych, jak i prawnych, a także aspekty techniczne weryfikacji, w tym w odniesieniu do dokumentów tożsamości, nawiązywania stosunków gospodarczych na odległość oraz korzystania z wiarygodnych i niezależnych źródeł informacji.

RTS obejmują również rozsądne środki weryfikacji beneficjentów rzeczywistych, zrozumienie struktury własnościowej i kontrolnej klienta, gromadzenie informacji o członkach kierownictwa wyższego szczebla oraz identyfikację beneficjentów trustów i podobnych porozumień prawnych.

Standardy te regulują także obowiązek określenia i zrozumienia celu oraz zamierzonego charakteru stosunku gospodarczego i transakcji okazjonalnych, zasady należytej staranności wobec PEP i RCA, a także realizację należytej staranności w ramach środków uproszczonych, wzmożonych oraz w kontekście sankcji.

RTS dotyczące kar pieniężnych

W 2026 roku trzeba również pamiętać o regulacyjnych standardach technicznych EBA dotyczących sankcji pieniężnych, środków administracyjnych oraz okresowych kar pieniężnych, o których mowa w art. 51 ust. 10 AMLD.

Wprowadzają one jednolite zasady oceniania naruszeń przepisów AML i CFT, przy założeniu, że stosowane środki mają być proporcjonalne, skuteczne i odstraszające. Te RTS zapewniają jasną podstawę wyboru środków nadzorczych i administracyjnych oraz obliczania wysokości grzywien, a także wprowadzają czterostopniową klasyfikację wagi naruszeń, wraz z określeniem czynników oceny dla każdej kategorii. W tych standardach przewidziano również ramy stosowania okresowych kar pieniężnych, z zachowaniem spójnego podejścia w państwach członkowskich.

Rozporządzenia sankcyjne w 2026

Rok 2026 przynosi również kolejne istotne wyzwanie w postaci konieczności działania zgodnie z wciąż wprowadzanymi zmianami w obowiązujących rozporządzeniach sankcyjnych. Aktualizacji podlegają w szczególności rozporządzenia nr 269/2014, 833/2014 oraz 765/2006, co ma bezpośredni wpływ na sposób realizacji obowiązków w zakresie sankcji.

Zmiany obejmują m.in. rozszerzenie list osób i podmiotów objętych sankcjami, a także poszerzenie kategorii towarów i usług objętych ograniczeniami. W konsekwencji instytucje obowiązane muszą dostosować swoje procesy identyfikacji i monitorowania do zaktualizowanego zakresu podmiotowego i przedmiotowego rozporządzeń sankcyjnych.

Istotnym elementem zmian podanym w rozporządzeniu 269/2014 jest zmiana w art. 1 lit. i dotyczącym doprecyzowania zasad identyfikacji i weryfikacji powiązań w ramach struktur własnościowych podmiotów objętych sankcjami. Wprowadzona zostaje precyzyjna definicja pozwalająca określić, na ile dana osoba fizyczna lub dany podmiot są powiązane z podmiotem wymienionym na liście sankcyjnej bądź też na ile dana osoba fizyczna lub dany podmiot wymienione na liście sankcyjnej są powiązane z podmiotem niewystępującym w załączniku nr 1 rozporządzenia 269/2014.

W celu oceny wystąpienia powiązania, rozporządzenie podaje dwa kryteria wymagające oceny: własność oraz kontrolę. Własność oznacza posiadanie 50% lub więcej praw własności albo posiadanie większościowego udziału w danym podmiocie, organie lub osobie prawnej.

Kontrolowanie podmiotu lub organu obejmuje m.in. posiadanie prawa lub faktyczne wykonywanie uprawnień do mianowania lub odwoływania większości członków organu administrującego, zarządzającego lub nadzorczego. Za kontrolowanie uznaje się również sytuację, w której większość członków tych organów została mianowana wyłącznie w wyniku wykonywania praw głosu przez dany podmiot, zarówno w bieżącym, jak i poprzednim roku obrotowym.

Zakres kontrolowania obejmuje m.in. wyłączne dysponowanie większością praw głosu na podstawie umów zawartych z innymi akcjonariuszami lub wspólnikami, posiadanie prawa do korzystania z całości lub części aktywów osoby prawnej, podmiotu lub organu, a także posiadanie prawa do wywierania dominującego wpływu na osobę prawną, podmiot lub organ na mocy umowy, statutu lub umowy spółki, o ile właściwe prawo na to zezwala.

Inne wyzwania stojące przed instytucjami obowiązanymi w 2026

Poza opisanymi powyżej zmianami, instytucje obowiązane w 2026 roku będą mierzyć się z szeregiem innych wyzwań wpływających na funkcjonowanie systemów AML. Jednym z nich pozostaje konflikt na Ukrainie i jego oddziaływanie na ryzyka związane z praniem pieniędzy oraz obchodzeniem sankcji.

Istotnym problemem są również nowe oraz rozwijające się metody działania przestępców, w tym model Fraud-as-a-Service (FaaS) i inne mechanizmy wykorzystywane do prania pieniędzy. Jednocześnie obserwowany jest rosnący wpływ przestępczości realizowanej zarówno z wykorzystaniem nowych technologii, w tym sztucznej inteligencji, jak i przy użyciu tradycyjnych metod, które nadal pozostają skuteczne.

Dodatkowym wyzwaniem jest funkcjonowanie instytucji obowiązanych w okresie przejściowym, charakteryzującym się rosnącym znaczeniem tzw. soft law i regulacji technicznych przy jednoczesnym braku nowelizacji głównych regulacji. Towarzyszy temu wzrastający wpływ ustawodawstwa europejskiego na krajowy porządek prawny w obszarze sankcji oraz AML, przy jednoczesnej niepewności co do kierunku i tempa działań krajowego ustawodawcy.

Wyzwania operacyjne wynikają także z implementacji narzędzi opartych na sztucznej inteligencji przez organy nadzorcze, których celem jest lepsze zarządzanie zawiadomieniami o podejrzanych transakcjach i podejrzanej działalności. Równolegle problemem brak regulacji branży krypto w krajowym porządku prawnym pomimo dostrzegania ryzyk w kontekście obecnego funkcjonowania niektórych podmiotów w zakresie działalności walut wirtualnych.

Rekomendacje dla instytucji obowiązanych na rok 2026

Monitorowanie zmian prawnych: W obliczu opisanych wcześniej wyzwań najważniejsze jest systematyczne monitorowanie działań polskiego i europejskiego ustawodawcy oraz śledzenie komunikatów GIIF, AMLA i innych organów nadzorczych, w szczególności EBA, ESMA oraz EIOPA.
Planowanie działań dostosowawczych: Istotnym elementem przygotowania do wyzwań 2026 roku powinno być planowanie działań dostosowawczych w sposób umożliwiający rozłożenie prac i kosztów w czasie, z uwzględnieniem wszystkich miesięcy pozostałych do wejścia w życie większości przepisów pakietu AML. Planowanie to powinno obejmować dostosowanie dokumentów, systemów, zadań oraz organizacji, ujęcie zadań w procesach i zarządzanie tymi procesami, a także bieżące monitorowanie i optymalizację wdrożonych rozwiązań.
Zapewnienie wyjaśnialności i audytowalności: W przypadku stosowania nowych technologii, w tym narzędzi wykorzystywanych do screeningu klientów w procesie KYC, rekomendowane jest zapewnienie, aby uzyskiwane wyniki mogły być w łatwy sposób wyjaśnione, w szczególności na potrzeby ewentualnych kontroli organu nadzorczego. Istotne jest również, aby dane oraz wyniki były przechowywane w lokalnych zasobach podmiotu lub w chmurze należącej do podmiotu, a nie wyłącznie u dostawcy technologii.
Stałe aktualizowanie i poszerzanie wiedzy: Uzupełnieniem powyższych działań powinny być regularne szkolenia, wspierające budowę i utrzymanie odpowiednich kompetencji w obszarze AML oraz sankcji.

Dostosowanie działalności instytucji obowiązanych do wymogów prawnych kluczowych w 2026 roku będzie nie tylko wyzwaniem prawnym, ale również organizacyjnym i operacyjnym.

Zapraszamy do skorzystania z usług i narzędzi iAML, aby mieć pewność działania w pełni zgodnie z obowiązującym prawem!

Audyt AML wskazuje obszary wymagające zmiany, szkolenia AML aktualizują i poszerzają wiedzę, a narzędzia iAML do weryfikacji klientów na listach PEP oraz listach sankcyjnych usprawniają i zwiększają rzetelność procesów KYC.

FAQ, czyli AML w 2026 roku w pigułce:

1. Czy AI Act w 2026 i 2027 roku dotyczy AML i instytucji obowiązanych?

To zależy. Instytucje obowiązane przed wdrożeniem systemu wykorzystującego AI lub używające takiego systemu powinny przeanalizować, czy AI Act dotyczy ich systemu. AI Act w zakresie systemów wysokiego ryzyka będzie obowiązywał m.in. te instytucje obowiązane, które stosują systemy wykorzystujące sztuczną inteligencję do profilowania klientów np. w zakresie oceny ryzyka AML. Instytucje obowiązane podlegające AI ACT będą zobowiązane do spełnienia m.in. wymogów organizacyjnych i technicznych, a także odnoszących się do nadzoru człowieka oraz kompetencji personelu.

2. Czym są RTS? Jak zmieniają się w 2026 roku w kontekście AML?

RTS, czyli regulacyjne standardy techniczne, są to przepisy doprecyzowujące w zakresie aktu europejskiego, np. dyrektywy lub rozporządzenia, które – zgodnie z dyspozycją wymienioną wprost w danym akcie prawnym – są doprecyzowane przez organ taki jak np. EBA czy AMLA. Przepisy w ramach danego RTS dotyczą tych podmiotów zobowiązanych (w polskiej ustawie AML określanych jako „instytucje obowiązane”), które są wymienione w danym RTS. W 2026 roku kluczowe będą nowe pakiety RTS dotyczące m.in. oceny ryzyka podmiotów zobowiązanych oraz należytej staranności wobec klienta.

3. Czy w 2026 roku zmienią się sankcje? Czego będą dotyczyć zmiany?

Tak. Sankcje są cały czas na bieżąco zmieniane i dostosowywane do panującej sytuacji. Oprócz dodawania i usuwania z list sankcyjnych podmiotów, osób i sektorów gospodarki, należy zwrócić uwagę na przepisy kształtujące dodatkowe obowiązki po stronie wszystkich przedsiębiorców zobowiązanych do stosowania sankcji, np. doprecyzowanie definicji w zakresie osób i podmiotów powiązanych z listą osób fizycznych i podmiotów zawartych w danej sankcji.

4. Jak instytucje obowiązane mogą przygotować się do wyzwań AML w 2026?

Kluczowe jest monitorowanie działań europejskich i krajowych ustawodawców oraz organów nadzorczych, planowanie działań dostosowawczych z wyprzedzeniem, inwestowanie w szkolenia oraz zapewnienie przejrzystych i możliwych do wyjaśnienia narzędzi wykorzystywanych w procesach AML.

Źródła:

AI Act:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689

AMLR:
https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX:32024R1624

AMLAR:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02024R1620-20251110

RTS AMLA:
https://www.amla.europa.eu/document/download/c8782141-45bf-4ef9-9d66-33e2f90e607e_en?filename=1.1_20251216_FINAL%20REPORT%20RTS%2040%282%29%20AMLD%20financial%20only_Final.pdf

RTS EBA:
https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/anti-money-laundering-and-countering-financing-terrorism/regulatory-technical-standards-package-compliance-institutions-and-supervisors-their-amlcft

Rozporządzenie 269/2014:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02014R0269-20251215

Rozporządzenie 833/2014:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02014R0833-20251219

Rozporządzenie 765/2006:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02006R0765-20251217

Zobacz również

Bazylejski Indeks AML za rok 2025

Jak Polskę i inne kraje klasyfikuje Basel AML Index 2025 – niezależny raport oceniający ryzyko prania pieniędzy i finansowania terroryzmu na świecie?

Czytaj dalej

Obowiązki instytucji obowiązanych w zakresie AML

Jakie obowiązki dot. przeciwdziałania praniu pieniędzy są nałożone na instytucje obowiązane? Sprawdź, czy Twoja firma działa w pełni zgodnie z ustawą AML!

Czytaj dalej