Jak skutecznie realizować proces KYC w obszarze AML i sankcji?

System przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu wdrożony i stosowany na poziomie indywidualnej firmy lub instytucji nie może istnieć bez skutecznego procesu KYC, czyli Know Your Customer. To właśnie KYC tworzy swoisty filtr bezpieczeństwa, który umożliwia organizacji rozpoznanie ryzyka zanim stanie się ono realnym zagrożeniem. W praktyce to fundament, na którym opiera się cała architektura działań umożliwiających poznanie klienta i charakteru jego działalności, a także zrozumienie ryzyka, jakie dla organizacji niesie zawarcie stosunków gospodarczych lub przeprowadzenie transakcji z danym klientem.

Biorąc pod uwagę rosnącą złożoność struktur właścicielskich, globalnych sankcji i procederów przestępczych, właściwe wdrożenie procesu KYC decyduje o tym, czy organizacja jest jedynie formalnie zgodna z przepisami, czy faktycznie odporna na nadużycia finansowe.

Kluczowe tematy dotyczące procesu KYC omawiane w tym artykule:

• Definicja i podstawy prawne procesu KYC w kontekście AML i sankcji.
• Powszechne błędy popełniane w czasie przeprowadzania procesu KYC.
• Narzędzia i dobre praktyki wspierające skuteczny i rzetelny proces KYC.

Definicja: Czym jest proces KYC?

KYC to skrót od angielskiego określenia Know Your Customer, które na język polski tłumaczy się jako Poznaj Swojego Klienta (PSK).

Proces KYC to działania związane ze stosowaniem należytej staranności wobec klienta (customer due diligence), na które składają się m.in. identyfikacja klienta, potwierdzanie jego wiarygodności oraz uzyskiwanie na jego temat informacji potrzebnych do przeprowadzenia transakcji w zgodzie z prawem (w tym m.in. weryfikacja prowadzonej przez niego działalności oraz sprawdzenie źródeł funduszy będących przedmiotem konkretnej transakcji).

Proces KYC a AML i sankcje

Terminy „KYC” oraz “należyta staranność” (due diligence) używane są często zamiennie w kontekście wymagań nakładanych w obszarze poznania i zrozumienia ryzyka związanego z klientem w kontekście ryzyka prania pieniędzy i finansowania terroryzmu. Należy jednak zauważyć, że due diligence jest terminem szerszym, odnoszącym się głównie do badania wiarygodności biznesowej, finansowej, technologicznej czy reputacyjnej klienta będącego podmiotem lub organizacją. W tym artykule skupiamy się jednak wyłącznie na tych elementach procesu KYC, które bezpośrednio wiążą się z AML i sankcjami.

Jakie są podstawy prawne procesu KYC w kontekście AML i sankcji?

Koncepcja KYC wywodzi się z amerykańskiego prawa bankowego. Pochodzi z ustawy o nazwie Bank Secrecy Act z 1970 roku, w której pojawia się termin „customer due diligence” (CDD), czyli należyta staranność wobec klienta. Termin ten został następnie rozwinięty w regulaminie FINRA – prywatnego regulatora ze Stanów Zjednoczonych, który w swoim wyjaśnieniu na temat tego, jak należy rozumieć kluczowe fakty dotyczące należytej staranności wobec klienta, użył właśnie określenia „knowing the customer”.

Podobnie jak w przypadku amerykańskiego prawa, tak w rekomendacjach FATF (10. rekomendacja) oraz w dokumentach urzędowych Unii Europejskiej proces KYC jest definiowany jako należyta staranność (customer due diligence). Termin ten pojawia się m.in. w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 roku w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniającej rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylającej dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (IV Dyrektywa AML) oraz w Rozporządzeniu Parlamentu Europejskiego i Rady UE 2024/1624 z dnia 31 maja 2024 roku w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (Rozporządzenie AML). Należyta staranność w dokumentacji Unii Europejskiej nie ma konkretnej definicji, ale ma zestaw warunków, które określają wypełnienie tego obowiązku wobec klienta. W podobny sposób zostało to również opisane w polskiej ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1 marca 2018 roku (zwanej dalej polską ustawą AML).

W przeciwieństwie do regulacji dotyczących AML, rozporządzenia Unii Europejskiej nakładające sankcje (m.in. rozporządzenia 269/2014, 833/2014 czy 765/2006) oraz ustawa z dnia 13 kwietnia 2022 roku o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (zwana dalej polską ustawą sankcyjną) wskazują, że przedsiębiorcy, którzy dopuszczają się naruszeń przepisów regulacji, podlegają karom. Aby uniknąć tych kar, przedsiębiorcy powinni podjąć wszelkie możliwe działania, aby tych kar uniknąć. W dokumencie technicznym dotyczącym często zadawanych pytań (“Circumvention and due diligence related articles: article 12 of council regulation 833/2014; article 9 of council regulation 269/2014; articles 2c and 5 of council regulation 692/2014; and articles 5 and 8 of council regulation 2022/263 frequently asked questions – as of 11 december 2024”) Unia Europejska wprost wskazuje nie tylko na obowiązek zastosowania należytej staranności jako podstawy zgodności z regulacją, ale ponadto w przykładach podaje, jak powinno wyglądać zastosowanie środków należytej staranności.

Dlaczego KYC jest procesem ciągłym?

Jednym z najczęstszych błędnych założeń w organizacjach jest traktowanie KYC jako jednorazowej czynności wykonywanej wyłącznie podczas rozpoczynania współpracy z nowym klientem. Tymczasem, zgodnie z obowiązującymi regulacjami i wytycznymi instytucji nadzorczych, KYC to proces ciągły, który musi być realizowany przez cały czas trwania relacji z klientem oraz realizowania transakcji z nim lub na jego rzecz.

Podejście to potwierdzają wytyczne różnych regulatorów – zarówno europejskich (Europejski Urząd Nadzoru Bankowego – EBA), jak i polskich (KNF, GIIF czy NBP). Ponadto wyraźne wskazanie KYC jako procesu można też znaleźć w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 roku w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (m.in. preambuła pkt 68 i 69, art. 20 i 26).

Jakie działania składają się na proces KYC?

Proces KYC ma na celu zidentyfikowanie ryzyka prawnego i biznesowego związanego z nawiązaniem stosunku gospodarczego lub przeprowadzeniem transakcji okazjonalnej. W związku z tym działania wchodzące w jego skład nie kończą się z chwilą określenia poziomu ryzyka, ale muszą być kontynuowane w ramach stałego monitoringu klienta, transakcji i stosunków gospodarczych. Co więcej, proces KYC powinien również podlegać ewaluacji i optymalizacji, m.in na podstawie kontroli (wewnętrznej lub zewnętrznej) oraz w wyniku cyklicznej aktualizacji oceny ryzyka organizacji.

Na proces KYC regulowany polską ustawą AML składają się następujące działania:

1. dokonanie oceny ryzyka klienta pod kątem zagrożeń związanych z AML i sankcjami;
2. zastosowanie odpowiednich środków bezpieczeństwa finansowego;
3. nawiązanie stosunków gospodarczych lub realizacja transakcji okazjonalnej;
4. monitoring oraz ewaluacja klienta i transakcji przez cały okres relacji gospodarczej.

Natomiast proces KYC w kontekście przestrzegania sankcji powinien uwzględniać:

1. identyfikację i weryfikację klienta i jego beneficjentów rzeczywistych, w tym sprawdzenie ich na listach sankcyjnych i w źródłach OSINT, a także poznanie ich struktury powiązań;
2. stosowanie takich elementów należytej staranności jak poznanie celu i charakteru oraz monitoring stosunków gospodarczych i transakcji, a także sprawdzenie źródeł pochodzenia majątku;
3. stosowanie odpowiednich mechanizmów, klauzul umownych i procedur wewnętrznych, które pomagają przedsiębiorcom unikać nieświadomego zaangażowania się w działania sankcjonowane;
4. zaprojektowanie procesu na wypadek wykrycia klienta będącego na liście sankcyjnej oraz wykrycia powiązań klienta z osobami lub organizacjami objętymi sankcjami.

Warto podkreślić, że w praktyce proces KYC jest stale weryfikowany – zarówno wewnętrznie (np. przez audyty AML czy działania AMLRO), jak i zewnętrznie (w ramach nadzoru i kontroli przez właściwe organy, takie jak Generalny Inspektor Informacji Finansowej).

Za brak lub niewłaściwe zrealizowanie obowiązków z zakresu KYC na mocy polskiej ustawy AML grozi kara administracyjna. Spośród kar administracyjnych wymienionych w art. 150 tej ustawy najczęściej wymierzanymi karami (chociaż nie jedynymi) są publikacja informacji o instytucji obowiązanej oraz zakresie naruszenia przepisów tej ustawy przez daną instytucję w Biuletynie Informacji Publicznej na stronie GIIF oraz kara pieniężna. Wysokość kary jest ustalana odpowiednio do naruszenia i w przypadku osoby fizycznej może wynieść nawet do 20.868.500 zł, a w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej do wysokości równowartości kwoty 5.000.000 euro albo do wysokości 10% obrotu wykazanego w ostatnim zatwierdzonym sprawozdaniu finansowym za rok obrotowy lub w ostatnim skonsolidowanym sprawozdaniu finansowym za rok obrotowy – w przypadku instytucji objętych skonsolidowanym sprawozdaniem finansowym grupy kapitałowej. Ustalając rodzaj i wysokość kary, właściwy organ uwzględnia m.in. wagę naruszenia i czas jego trwania, zakres odpowiedzialności instytucji obowiązanej, skalę korzyści osiągniętych lub strat unikniętych przez instytucję obowiązaną (o ile korzyści lub straty można ustalić), a także uprzednie naruszenia przepisów polskiej ustawy AML przez daną instytucję obowiązaną.

Natomiast w przypadku polskiej ustawy sankcyjnej zakres kary pieniężnej nakładanej zarówno na podmiot, jak i osobę fizyczną zależy od kategorii naruszenia. Wśród kar, którymi dysponuje urząd (m.in. naczelnik urzędu celno-skarbowego) ustawa ta wymienia: karę pieniężną w wysokości do 20.000.000 zł, zajęcie i przepadek mienia objętego zakazem wwozu na terytorium Rzeczpospolitej Polskiej (zakaz obejmuje również tranzyt) na podstawie art. 8 polskiej ustawy sankcyjnej. Ponadto na osobę, która narusza zakaz, o którym mowa w art 15 i 16 tej ustawy sankcyjnej, może zostać nałożona kara grzywny lub pozbawienia wolności nawet do lat 5.

Jakie wyzwania i błędy często towarzyszą procesowi KYC w obszarze AML i sankcji?

W praktyce proces KYC często okazuje się nie lada wyzwaniem – bywa jednym z najtrudniejszych i najbardziej wymagających elementów systemu AML w organizacji. Wynika to z jego wielowarstwowego i skomplikowanego charakteru – działania realizowane w procesie KYC obejmują m.in. analizę prawną, biznesową, technologiczną i operacyjną, a jednocześnie wymagają interpretacji danych w dynamicznie zmieniającym się otoczeniu. Dla wielu organizacji prawidłowe zrozumienie i wdrożenie zasad KYC to nie tylko kwestia stworzenia odpowiednich procedur, ale także pozyskania umiejętności zarządzania ryzykiem i informacją.

Wśród najczęstszych błędów popełnianych przez organizacje w procesie KYC należy wymienić:

1. ocena ryzyka klienta – brak aktualizacji oceny w oparciu o zastosowane środki bezpieczeństwa finansowego; brak uwzględnienia wniosków z corocznej analizy ryzyka dokonywanej na poziomie całej organizacji;
2. tożsamość klienta i jego beneficjentów rzeczywistych – brak udokumentowania procesu weryfikacji tożsamości; brak spójności podejmowanych działań z procesem ujętym w procedurach obowiązujących w danej organizacji;
3. beneficjenci rzeczywiści i osoby upoważnione – brak analizy powiązań pośrednich w skomplikowanych strukturach właścicielskich; brak sprawdzenia umocowania reprezentantów;
4. ocena zamierzonego celu i charakteru stosunków gospodarczych – brak weryfikacji przy zmianach charakteru działalności; brak zgodności transakcji z deklarowanym profilem klienta;
5. bieżące monitorowanie stosunków gospodarczych – brak weryfikowania ekonomicznego uzasadnienia transakcji; brak sprawdzania źródeł pochodzenia środków przy nietypowych celach stosunków gospodarczych lub transakcjach okazjonalnych.

Co istotne, każdy z powyższych błędów może prowadzić do naruszenia przepisów, a tym samym narażać organizację na dotkliwe kary opisane we wcześniejszej części tego artykułu.

Narzędzia wspierające proces KYC w zakresie AML i sankcji

Skuteczny proces KYC wymaga zarówno odpowiednich procedur, jak i dobrze dobranych rozwiązań technologicznych oraz organizacyjnych. To nie tylko zestaw formularzy i instrukcji, lecz spójny system działań wspierających realizację obowiązków w zakresie należytej staranności wobec klienta. Odpowiednio zaprojektowane narzędzia i środki pozwalają organizacjom zachować równowagę między efektywnością operacyjną a zgodnością regulacyjną.

Do kluczowych narzędzi wspierających proces KYC w obszarze AML należą:

1. ocena ryzyka AML organizacji – pozwala m.in. zidentyfikować słabe punkty procesu KYC oraz dobrać adekwatne środki zaradcze, takie jak właściwy podział obowiązków czy odpowiednia częstotliwość szkoleń;
2. procedura AML – pomaga m.in. określić sposób realizacji procesów KYC i AML, a także wskazuje środki bezpieczeństwa finansowego, które powinny być stosowane w ramach danej organizacji;
3. szkolenia AML – ich celem jest eliminowanie zidentyfikowanych luk w procesach KYC i AML oraz wzmacnianie świadomości ryzyka, ale muszą być dostosowane do potrzeb organizacji i poziomu wiedzy pracowników;
4. systemy technologiczne AML – ułatwiają weryfikację klientów, a przez to usprawniają codzienną realizację obowiązków w procesach KYC i AML; przykładem są listy restrykcyjne AML oraz system analityczno-raportujący AML.

Dobre praktyki w procesie KYC

Skuteczny proces KYC opiera się nie tylko na zgodności z przepisami, ale też na wykorzystaniu dobrych praktyk. To one pozwalają przekuć obowiązki regulacyjne w realne narzędzie zarządzania ryzykiem i budowania zaufania wobec klientów. Dobre praktyki w procesie KYC wspierają nie tylko efektywność operacyjną, ale także kulturę zgodności i odpowiedzialności w całej organizacji.

Dobre praktyki rekomendowane w celu zwiększenia rzetelności procesu KYC to przede wszystkim:

1. ewaluacja procesu KYC – sprawdzenie, co jest robione, dlaczego i jak, a także w jaki sposób dotychczasowe działania mogą być poprawione;
2. ewaluacja narzędzi używanych w procesie KYC – ocena, czy obecne rozwiązania są przydatne, zrozumiałe i efektywne, a także co można w nich poprawić;
3. ewaluacja formularzy – weryfikacja ich aktualności i użyteczności oraz możliwości ich dalszej optymalizacji i dostosowania do potrzeb organizacji oraz użytkowników;
4. usprawnianie procesów – analiza potrzeb w kontekście m.in. narzędzi automatyzujących i wspierających proces KYC oraz planowanie konkretnych wdrożeń;
5. edukacja i komunikacja – wspieranie pracowników w poszerzaniu wiedzy i nabywaniu umiejętności oraz zachęcanie do współpracy między działami (np. compliance, sprzedaż, IT).

KYC to nie tylko wymóg prawny, ale strategiczny proces zarządzania ryzykiem

Znajomość i właściwe stosowanie zasad KYC stanowi nie tylko obowiązek wynikający z przepisów, ale przede wszystkim element strategicznego zarządzania ryzykiem w każdej organizacji. Prawidłowo zaprojektowany proces KYC pozwala organizacji skutecznie chronić się przed nadużyciami finansowymi, wzmacniać reputację i budować zaufanie klientów. To także istotne narzędzie wspierające podejmowanie świadomych decyzji biznesowych w oparciu o rzetelną analizę ryzyka.

Zapraszamy do kontaktu z nami, aby dzięki audytowi AML sprawdzić zgodność z przepisami w swojej firmie oraz wdrożyć narzędzia iAML wspierające proces weryfikacji klientów i beneficjentów rzeczywistych.

FAQ, czyli informacje o procesie KYC w pigułce:

1. Co to jest proces KYC?

Proces KYC (Know Your Customer) to procedura należytej staranności wobec klienta, obejmująca m.in. ustalenie jego tożsamości, weryfikację wiarygodności oraz zebranie informacji niezbędnych do realizacji transakcji zgodnie z obowiązującymi przepisami.

2. Jak proces KYC wiąże się z AML i sankcjami?

Proces KYC jest elementem systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Pomaga także w przestrzeganiu sankcji, ponieważ umożliwia identyfikację podmiotów objętych środkami ograniczającymi.

3. Czy KYC jest jednorazowym działaniem czy procesem?

KYC nie jest jednorazowym działaniem, ale ciągłym procesem. Obejmuje nie tylko wstępną weryfikację klienta przy nawiązywaniu relacji gospodarczej, ale także regularne aktualizowanie i monitorowanie klienta w trakcie trwania tej relacji. Dzięki temu organizacje mogą na bieżąco wykrywać podejrzane działania i zapewniać zgodność z przepisami.

4. Czy proces KYC można zautomatyzować?

Tak. Można wykorzystać narzędzia takie jak Listy Restrykcyjne iAML czy System iAML służące m.in. do weryfikacji klientów i transakcji, analizy danych i monitorowania ryzyka. Automatyzacja przyspiesza proces i zmniejsza ryzyko błędów, jednocześnie pozwalając na utrzymanie zgodności z wymogami prawnymi.