Analiza najnowszego stanowiska UKNF dotyczącego AML/CFT z dnia 19 marca 2026

Urząd Komisji Nadzoru Finansowego w dniu 19 marca 2026 roku opublikował „Stanowisko UKNF dotyczące procesów realizowanych przez instytucje obowiązane w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, które powinny zostać uregulowane w procedurach wewnętrznych”.

Dokument ten należy uznać za istotny zarówno dla instytucji finansowych objętych nadzorem UKNF, jak i dla pozostałych instytucji obowiązanych. Co istotne, nie stanowi on wyłącznie kolejnej interpretacji regulacyjnej, lecz wpisuje się w szerszy trend zmiany podejścia organów nadzorczych do systemów przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

Komunikat UKNF wyraźnie nawiązuje do komunikatu zaprezentowanego przez Europejski Urząd Nadzoru Bankowego (European Banking Authority, EBA), do którego odwoływał się Narodowy Bank Polski w swoich publikacjach dotyczących AML/CFT (komunikat NBP wydany 14 września 2023 roku). Stanowisko UKNF pozostaje także spójne z rozwiązaniami przewidzianymi w rozporządzeniu AMLR oraz z projektowanymi standardami technicznymi (RTS) opracowywanymi przez AMLA. Komunikat odwołuje się ponadto do dotychczasowych stanowisk Generalnego Inspektora Informacji Finansowej i – jak wskazuje sam UKNF – został z GIIF uzgodniony.

Nowe stanowisko UKNF dotyczące AML/CFT może mieć istotny wpływ na sposób projektowania i dokumentowania procesów AML/CFT, w szczególności w zakresie należytej staranności, oceny ryzyka oraz konstrukcji procedur wewnętrznych. Warto więc poznać kluczowe wnioski płynące z najnowszego stanowiska UKNF i zadbać o prawidłowe zaimplementowanie zmian w swojej firmie.

Kluczowe elementy stanowiska UKNF w zakresie AML/CFT omawiane w tym artykule:

• Należyta staranność według UKNF – czy wykracza poza standardowe KYC? W swoim stanowisku UKNF akcentuje m.in. szersze, procesowe rozumienie należytej staranności, wykraczające poza samo zebranie danych klienta.
• Ocena ryzyka według UKNF – nowy akcent czy konsekwentna kontynuacja dotychczasowego podejścia? Stanowisko UKNF m.in. rozwija dotychczasową linię nadzorczą, ale jednocześnie wzmacnia oczekiwanie realnego, dynamicznego zarządzania ryzykiem AML/CFT.
• Procedura AML/CFT według UKNF – jakie procesy powinny zostać w niej ujęte? UKNF wskazuje m.in., że procedura AML/CFT powinna obejmować nie tylko wymagania ustawowe, lecz także praktyczne mechanizmy działania organizacji i odpowiedzialności poszczególnych członków jej personelu.

Które podmioty powinny mieć grupową procedurę AML/CFT i co powinna ona zawierać?

W swoim stanowisku UKNF podkreśla, że obowiązek posiadania grupowej procedury AML/CFT dotyczy podmiotów funkcjonujących w ramach grup kapitałowych lub struktur objętych wymogami ustawy AML. Celem tej procedury jest zapewnienie spójnego systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w szczególności przez wdrożenie mechanizmów wymiany informacji zgodnie z art. 54 ustawy AML.

Stanowisko UKNF wskazuje również minimalny zakres merytoryczny dla grupowej procedury AML, obejmujący m.in. zasady stosowania środków bezpieczeństwa finansowego, wymiany informacji oraz zarządzania ryzykiem AML/CFT w ramach całej grupy.

Zgodne z rekomendacjami UKNF, inicjatywa opracowania procedury grupowej powinna co do zasady wychodzić od jednostki dominującej, jednak w przypadku braku jej działań w tym zakresie obowiązek ten może zostać przejęty przez podmiot podległy.

Jaką funkcję w procesach AML/CFT powinna pełnić kadra kierownicza i AMLRO?

UKNF wskazuje, że w podmiotach, w których funkcjonuje kadra kierownicza, konieczne jest wyznaczenie osoby odpowiedzialnej za wdrażanie obowiązków wynikających z ustawy AML. Funkcja ta powinna być odpowiednio umocowana organizacyjnie (np. w regulaminach lub uchwałach), a osoba ją pełniąca powinna posiadać adekwatną wiedzę, doświadczenie i kompetencje.

Niezależnie od tego, instytucja obowiązana powinna ponadto wyznaczyć AMLRO, czyli osobę zajmującą kierownicze stanowisko odpowiedzialną za zapewnienie zgodności działalności instytucji oraz jej pracowników z przepisami AML/CFT. UKNF podkreśla znaczenie odpowiednich kwalifikacji AMLRO, w tym znajomości ryzyk prania pieniędzy i finansowania terroryzmu, stażu i doświadczenia zawodowego. Szczegółowe wymagania dotyczące AMLRO zostały przedstawione w stanowisku UKNF dotyczącym AMLRO z 1 grudnia 2022 roku. Komunikat UKNF ponownie akcentuje natomiast znaczenie corocznej sprawozdawczości przygotowywanej przez AMLRO, zgodnie z załącznikiem nr 1 do wspomnianego wyżej stanowiska.

Jakie czynniki ryzyka AML/CFT powinna uwzględniać Ocena Ryzyka Instytucji?

Zgodnie ze stanowiskiem UKNF, Ocena Ryzyka Instytucji (ORI) stanowi podstawę budowy procesów służących do identyfikacji oraz zarządzania ryzykiem AML/CFT. Dokument ORI nie powinien mieć wyłącznie formalnego charakteru, ale realnie wspierać instytucję obowiązaną w podejmowaniu decyzji dotyczących stosowanych mechanizmów kontrolnych i środków bezpieczeństwa finansowego.

Najnowsze wytyczne nawiązują też do stanowiska UKNF dotyczącego oceny ryzyka instytucji obowiązanej z 15 kwietnia 2020 roku. Zgodnie z nim, ORI powinna opierać się na jasno określonej metodologii, być regularnie aktualizowana oraz aktywnie zarządzana przez kadrę kierowniczą i AMLRO.

UKNF wskazuje ponadto, że ustawowy katalog czynników ryzyka określony w art. 27 ustawy AML ma charakter jedynie bazowy i nie wyczerpuje obowiązków instytucji obowiązanej. Oprócz czynników ustawowych podmioty powinny uwzględniać również dodatkowe ryzyka wewnętrzne, takie jak wykorzystywane systemy i narzędzia, struktura organizacyjna, outsourcing czy efektywność kontroli i szkoleń, a także ryzyka operacyjne związane z nowymi technologiami, produktami lub zmianami procesów. Istotne pozostają również czynniki zewnętrzne, w szczególności sankcje krajowe i międzynarodowe oraz dokumenty publikowane przez organy nadzorcze, w tym Krajową Ocenę Ryzyka (KOR) i Ponadnarodową Ocenę Ryzyka (Supranational Risk Assessment, SNRA).

Jak powinna być przeprowadzana Ocena Ryzyka Klienta, zgodnie z zasadą należytej staranności?

Stanowisko UKNF wskazuje, że Ocena Ryzyka Klienta (ORK) powinna być przeprowadzana zarówno w oparciu o przesłanki ustawowe, jak i wewnętrzną metodykę oraz matrycę ryzyka przyjętą przez daną instytucję obowiązaną. ORK nie może mieć charakteru wyłącznie formalnego, ale powinna stanowić praktyczne narzędzie zarządzania ryzykiem związanym z klientami danej instytucji, a co istotne – umożliwiać odpowiednie dopasowanie zastosowania środków bezpieczeństwa finansowego do danego klienta na podstawie ORK, a także narzędzie monitorowania ryzyka AML/CFT związanego z klientem.

Z perspektywy UKNF, ORK powinna być mierzalna i weryfikowalna, co oznacza konieczność odpowiedniego dokumentowania zebranych danych oraz wyciąganych wniosków. Jednocześnie ocena musi pozostawać aktualna i podlegać cyklicznej aktualizacji w ramach procesu zarządzania ryzykiem. UKNF podkreśla również, że zasady dokonywania ORK powinny zostać jasno opisane w procedurze AML/CFT oraz dostosowane zarówno do profilu klienta, jak i skali oraz charakteru działalności instytucji.

Podejście takie wynika również z interpretacji ustawy AML przez UKNF, która wskazuje rozróżnienie środków bezpieczeństwa finansowego – na obligatoryjne (ujęte w art. 44-46 ustawy AML), czyli takie, które instytucja obowiązana musi zawsze zastosować w określonej sytuacji opisanej ustawą, a także nieobligatoryjne (art. 42 i 43 ustawy AML), czyli takie, które instytucja może zastosować w określonych przypadkach szczegółowo opisanych w procedurze. Jak podaje komunikat, wynik ORK wpływa na możliwość stosowania nieobligatoryjnych środków bezpieczeństwa finansowego.

Jak należy projektować i stosować środki bezpieczeństwa finansowego?

Według UKNF, środki bezpieczeństwa finansowego powinny być szczegółowo opisane w procedurze AML/CFT i obejmować rzeczywiste czynności wykonywane przez instytucję obowiązaną, z uwzględnieniem możliwości zmiany częstotliwości lub zakresu stosowanych działań w zależności od zidentyfikowanego poziomu ryzyka. Środki te powinny być dostosowane do etapu relacji z klientem – zarówno przy nawiązywaniu i utrzymywaniu relacji gospodarczej, realizacji transakcji okazjonalnej, jak i przy zakończeniu współpracy.

UKNF akcentuje również procesowe podejście do zasady zachowania należytej staranności. Instytucja obowiązana powinna jasno określić moment rozpoczęcia relacji, zakres i czas pozyskiwania danych oraz sposób oceny stosunków gospodarczych. Możliwe jest korzystanie z różnych źródeł informacji, jednak opieranie oceny wyłącznie na komunikatach wskazujących potencjalne zagrożenia, np. praniem pieniędzy, jest niewystarczające.

Obligatoryjne środki bezpieczeństwa finansowego

W odniesieniu do obligatoryjnych środków bezpieczeństwa finansowego komunikat UKNF zwraca uwagę na relacje z osobami zajmującymi eksponowane stanowiska polityczne (PEP), członkami rodzin PEP-ów oraz osobami znanymi jako ich bliscy współpracownicy (RCA). UKNF wskazuje, że odpowiedzialność za ustalenie statusu PEP spoczywa na instytucji obowiązanej – niezależnie od informacji uzyskanych od klienta. Cały proces weryfikacji powinien opierać się na jasno określonej procedurze, przy czym możliwa jest zarówno samodzielna weryfikacja, jak również z wykorzystaniem systemów informatycznych.

Szczególne wymagania dotyczą także relacji korespondenckich, współpracy z klientami z państw trzecich wysokiego ryzyka oraz transakcji nietypowych wskazanych w art. 43 ust. 4 ustawy AML. W przypadku relacji korespondenckich kluczowe jest zidentyfikowanie klientów wysokiego ryzyka i zastosowanie odpowiednich środków bezpieczeństwa finansowego. Natomiast w kontekście klientów z krajów trzecich wysokiego ryzyka UKNF oczekuje udokumentowanej analizy uwzględniającej zarówno powiązania klienta z tym państwem, jak i całokształt wiedzy o kliencie.

Nieobligatoryjne środki bezpieczeństwa finansowego

Komunikat UKNF odnosi się również do nieobligatoryjnych środków bezpieczeństwa finansowego. Rozróżnia środki wymagane ustawowo (art. 44–46 ustawy AML) od działań stosowanych na podstawie art. 42 i 43, które powinny wynikać z Oceny Ryzyka Klienta (ORK).

Zastosowanie dodatkowych środków wymaga nie tylko odpowiedniej podstawy wynikającej z ORK, ale także określenia konkretnych czynności i scenariuszy działania w procedurach wewnętrznych. Punktem odniesienia powinien być profil klienta, obejmujący poziom ryzyka, działania mitygujące oraz czynniki przedmiotowe i podmiotowe związane z ryzykiem klienta i sposobem jego ograniczania. UKNF nawiązuje przy tym do podejścia prezentowanego również w stanowiskach EBA.

Jakie wytyczne i zasady muszą spełniać szkolenia z zakresu AML/CFT?

UKNF potwierdza wymagania wynikające z komunikatu GIIF, UKNF i NBP nr 92 w sprawie obowiązku szkoleniowego określonego w ustawie AML, jednocześnie rozszerzając je o dodatkowe oczekiwania dotyczące organizacji procesu szkoleniowego.

Procedura AML/CFT powinna wprost określać kluczowe zasady prowadzenia szkoleń, w tym ich częstotliwość, sposób dokumentowania ukończenia szkolenia oraz osoby odpowiedzialne za realizację obowiązków szkoleniowych, monitoring i sprawozdawczość w tym zakresie.

Stanowisko UKNF podkreśla również konieczność zapewnienia cykliczności szkoleń. Powinny być one przeprowadzane każdorazowo w przypadku zmian przepisów prawa, stwierdzenia istotnych nieprawidłowości w wyniku kontroli wewnętrznych lub zewnętrznych, a także przy istotnej zmianie profilu działalności instytucji obowiązanej. Niezależnie od powyższego, UKNF oczekuje organizowania szkoleń nie rzadziej niż raz na dwa lata, w celu utrwalenia wiedzy z zakresu AML/CFT.

Jak powinien działać system kontroli wewnętrznej w instytucji obowiązanej?

UKNF wskazuje, że system kontroli wewnętrznej powinien zapewniać możliwość weryfikacji prawidłowości funkcjonowania procesów AML/CFT, zarówno w zakresie procedur, jak i działań operacyjnych. Kontrola ta obejmuje również powiązanie z procesami sprawozdawczości finansowej oraz raportowaniem AML, realizowanymi przez zadania kontroli wewnętrznej i audytu.

Istotnym elementem systemu kontroli wewnętrznej powinna być ocena skuteczności i efektywności działań instytucji obowiązanej oraz ich zgodności z przepisami prawa, regulacjami wewnętrznymi, rekomendacjami nadzorczymi i standardami rynkowymi, z uwzględnieniem zasad zarządzania ryzykiem.

Zakres oraz częstotliwość działań kontrolnych powinny być dostosowane do charakteru i skali działalności danej instytucji obowiązanej. Minimalne standardy w tym zakresie wynikają z par. 45–52 Zasad Ładu Korporacyjnego dla instytucji nadzorowanych lub – w zależności od sektora – z właściwych rekomendacji Komisji Nadzoru Finansowego (w szczególności dla banków i SKOK-ów) oraz innych regulacji sektorowych.

Jakie inne wymagania wprowadza stanowisko UKNF dotyczące procesów AML/CFT?

UKNF w swoim stanowisku przypomina również o obowiązkach ustawowych instytucji obowiązanych, podkreślając konieczność ich zgodności z dotychczasowymi komunikatami GIIF. Dotyczy to w szczególności obowiązków raportowych, w tym zgłoszeń podejrzeń prania pieniędzy i finansowania terroryzmu (Suspicious Activity Report, SAR i Suspicious Transaction Report, STR), zgłoszeń transakcji ponadprogowych oraz obowiązków związanych ze sporządzaniem raportów kwartalnych. Dokument przypomina też konieczności zgłaszania rozbieżności między CRBR a ustaleniami instytucji obowiązanej.

Stanowisko UKNF w części odnosi się również do zasad funkcjonowania procedur anonimowego zgłaszania naruszeń przez sygnalistów (tzw. whistleblowing), wskazując na konieczność zapewnienia ich skuteczności, poufności oraz dostępności dla pracowników i innych osób wykonujących prace oraz czynności na rzecz instytucji obowiązanej.

UKNF porusza także kwestię relacji między szczególnymi środkami ograniczającymi a innymi reżimami sankcyjnymi, podkreślając konieczność ich prawidłowego rozróżnienia oraz zapewnienia spójnego stosowania obowiązujących regulacji w tym zakresie.

***

Chcesz mieć pewność, że w swojej firmie działasz zgodnie nie tylko ustawą AML, ale też ze wszystkimi najnowszymi wytycznymi polskich i europejskich organów nadzoru?

Skontaktuj się z nami i skorzystaj ze wsparcia naszych ekspertów AML, którzy w formie audytu AML sprawdzą procesy i zarekomendują zmiany, a podczas szkolenia AML nauczą, jak w praktyce realizować obowiązki i wytyczne AML!

FAQ, czyli stanowisko UKNF dotyczące AML/CFT w pigułce:

1. Jakie najważniejsze zmiany wprowadza stanowisko UKNF dotyczące AML/CFT z 19 marca 2026?

UKNF w tym stanowisku doprecyzowuje wybrane przepisy ustawy AML, w obszarach które nie zostały wprost szczegółowo uregulowane przez ustawodawcę. W szczególności podkreśla znaczenie zarządzania ryzykiem przez ścisłe powiązanie profilu klienta oraz Oceny Ryzyka Instytucji i Oceny Ryzyka Klienta z adekwatnym stosowaniem środków bezpieczeństwa finansowego.

Widoczny jest również wyraźny zwrot od podejścia czysto formalistycznego do podejścia opartego na rzeczywistym zastosowaniu i uzasadnieniu przyjmowanych działań, w szczególności w obszarze należytej staranności oraz systemu kontroli. UKNF akcentuje, że kluczowe znaczenie mają faktyczne procesy oraz sposób zarządzania ryzykiem w praktyce operacyjnej instytucji.

Całość stanowiska wpisuje się w trend podnoszenia standardów AML/CFT oraz ich dostosowania do wymogów wynikających z nowych regulacji europejskich, w tym ram tworzonych przez AMLA.

2. Jakie znaczenie dla instytucji obowiązanych ma stanowisko UKNF dotyczące AML/CFT z 19 marca 2026?

Choć stanowisko UKNF formalnie dotyczy instytucji finansowych nadzorowanych przez UKNF, jego znaczenie dla pozostałych instytucji obowiązanych również jest mocno praktycznie. Wynika to z tego, że dokument doprecyzowuje sposób rozumienia obowiązków AML/CFT wynikających z ustawy AML oraz wyznacza standard interpretacyjny, do którego w praktyce mogą odnosić się również GIIF i inne organy. Ponadto, stanowisko to pokazuje kierunek zmiany nadzoru w AML/CFT – odejście od podejścia formalnego na rzecz realnego zarządzania ryzykiem.

3. Od kiedy obowiązują wytyczne zawarte w stanowisku UKNF dotyczące AML/CFT z 19 marca 2026?

Analizowane stanowisko UKNF co do zasady obowiązuje od dnia jego publikacji, czyli od 19 marca 2026 roku. W przypadku takich komunikatów nie ma klasycznego vacatio legis, czyli nie wchodzą one formalnie w życie jak akt prawny, ale od momentu publikacji stają się punktem odniesienia nadzorczego i są uwzględniane w praktyce kontrolnej przy ocenie zgodności z obowiązującym prawem. W praktyce oznacza to, że instytucje powinny traktować je jako natychmiastowy standard oczekiwany przez nadzór, a nie dokument do wdrożenia w przyszłości.