Po pierwsze, standardy międzynarodowe takiego podziału nie znają. FATF w swoich rekomendacjach i wytycznych (RBA Guidance) operuje jednolicie pojęciem risk factors, dzieląc je co najwyżej na kategorie (customer, product, geographic, channel) i opisując, kiedy wskazują na wyższe albo niższe ryzyko. Wolfsberg Group, Bazylea, BCBS — wszystkie używają zbiorczego terminu risk factors / risk indicators bez wprowadzania pojęcia risk variables. Polski ustawodawca w ustawie AML r. też mówi wyłącznie o „czynnikach ryzyka". Rozporządzenie 2024/1624 wprowadza więc dychotomię, której wcześniej w polskim systemie AML nie było.

Po drugie, treść Załącznika I AMLR nakłada się merytorycznie na II i III. „Jurysdykcje, w których klient ma siedzibę" (zmienna, Zał. I) i „klienci będący rezydentami obszarów geograficznych o podwyższonym ryzyku" (czynnik, Zał. III) opisują dokładnie ten sam obszar oceny — różnica polega tylko na poziomie abstrakcji. „Charakter i zachowanie klienta" (zmienna) vs „stosunki gospodarcze zachodzą w nietypowych okolicznościach" (czynnik) — to samo, tylko jedno ogólniej, drugie konkretniej. Można było to opisać jako jeden katalog czynników ryzyka z różnym poziomem szczegółowości albo z wewnętrznymi podkategoriami.

Po trzecie, sam tekst rozporządzenia traktuje oba pojęcia jako tandem. Art. 10 ust. 1 i art. 20 ust. 2 AMLR zawsze wymieniają zmienne ryzyka i czynniki ryzyka razem („zmienne ryzyka […] oraz czynniki ryzyka"), żaden przepis nie przewiduje odrębnej procedury, innej wagi prawnej czy odrębnych konsekwencji wynikających z tego, że coś jest zmienną a nie czynnikiem. 

Po czwarte, terminologia jest myląca. Słowo „zmienna" sugeruje coś parametrycznego, mierzalnego, jak w statystyce czy modelach matematycznych — tymczasem Załącznik I to po prostu lista cech jakościowych. Tłumaczenie z angielskiego risk variables tej dwuznaczności nie rozwiązuje, bo w polskim „zmienna" ma jeszcze silniejsze konotacje techniczne. Dodaje to szumu pojęciowego bez jakiejkolwiek wartości dodanej.

Po piąte, AMLA dostała zadanie wydania wytycznych „w sprawie zmiennych ryzyka i czynników ryzyka" (art. 20 ust. 3). To dość wymowne — gdyby rozróżnienie było intuicyjne, doprecyzowywanie go w wytycznych nie byłoby potrzebne. To raczej przyznanie, że tekst rozporządzenia sam tej dychotomii nie definiuje wystarczająco jasno.

Wydaje się, że Załącznik I miał być w intencji ustawodawcy unijnego wyczerpującą mapą obszarów oceny (żeby podmiot zobowiązany niczego strukturalnie nie pominął), a Załączniki II i III — niewyczerpującymi listami sygnałów alarmowych (red/green flags). Oba załączniki rzeczywiście mają inną strukturę — Załącznik I jest zorganizowany podmiotowo (klient/produkt/kanał), Załączniki II i III dodatkowo są różnicowane przez kierunek ryzyka. Dzięki takiemu rozróżnieniu pracownicy compliance powinni najpierw mapować sytuację według określonych wymiarów (zmienne), a następnie nakładają na nie konkretne scenariusze (czynniki), co pozwala na uzasadnione i proporcjonalne przypisanie klienta do grupy uproszczonego, standardowego lub podwyższonego ryzyka. Miało to ułatwić instytucji wykazanie przed organami nadzoru, że zastosowane środki weryfikacji są w pełni odpowiednie i adekwatne do zidentyfikowanych zagrożeń.

Ale to samo można było osiągnąć w jednym załączniku z dwiema kolumnami albo z adnotacjami „neutralna kategoria oceny / czynnik obniżający / podwyższający ryzyko". Jak się zdaje, rozróżnienie na zmienne/czynniki ryzyka jest po prostu legislacyjną manierą unijnego prawodawcy, prawdopodobnie odziedziczoną z wcześniejszych aktów (już w 4AMLD i 5AMLD figurowały załączniki o tej strukturze), a nie wyrazem jakiejś głębokiej analizy konceptualnej tej kwestii. W praktyce nadzorczej i compliance będzie się je zapewne traktować łącznie i mało kto będzie operować tym podziałem w codziennej pracy — w macierzach ryzyka mówić się będzie po prostu o czynnikach ryzyka.