Na podstawie analizy wyroków Naczelnego Sądu Administracyjnego oraz Wojewódzkiego Sądu Administracyjnego w Warszawie można zrekonstruować podejście kontrolerów GIIF do weryfikacji instytucji obowiązanych. Poniżej znajduje się opracowanie, które może posłużyć jako praktyczna checklista przygotowawcza do kontroli.

Zakres i metodyka doboru próby kontrolnej

Podczas kontroli GIIF nie stosuje czysto statystycznego lub losowego doboru klientów, lecz opiera się na podejściu zorientowanym na ryzyko (risk-based approach). Kontrolerzy celowo wybierają segmenty działalności i klientów, którzy generują najwyższe ryzyko systemowe.

W analizowanych przypadkach próby obejmowały od 35 klientów (w tym podział na 15 firmowych, 16 indywidualnych i 4 PEP) do 105 klientów (w przypadku branży hazardowej).

Kategorie klientów zawsze typowane do próby:

• klienci o statusie PEP;
• nierezydenci (np. obywatele Ukrainy, Rosji, Cypru) otwierający rachunki w Polsce bez wyraźnych powiązań gospodarczych z RP;
• podmioty typu offshore (zarejestrowane w rajach podatkowych);
• klienci zakwalifikowani na wewnętrzne „czarne listy” lub listy podwyższonego ryzyka;
• klienci realizujący wysoki wolumen transakcji gotówkowych (wpłaty i wypłaty w punktach stacjonarnych/wpłatomatach);
• klienci wykazujący tzw. smurfing – liczne, regularne transakcje tuż poniżej progu raportowania (np. wpłaty gotówkowe rzędu kilkunastu/kilkudziesięciu tysięcy złotych).

Checklista pytań kontrolnych i wymogów dokumentacyjnych

Obszar I: Wyznaczenie osób odpowiedzialnych (art. 7 i 8 ustawy AML)

Kontrolerzy badają, czy w strukturze instytucji realnie i prawidłowo umocowano kadrę kierowniczą ds. zgodności (compliance).

Pytania kontrolne:

• czy dokument wyznaczenia osoby odpowiedzialnej za zapewnienie zgodności (art. 8) odwołuje się do aktualnie obowiązującej ustawy z 2018 r., czy do przepisów archiwalnych (np. ustawy z 2000 r.)?
• czy w wewnętrznej dokumentacji (zakresy czynności pracowniczych, aneksy do umów, uchwały zarządu) precyzyjnie rozgraniczono role pomiędzy osobą odpowiedzialną za wdrażanie obowiązków (art. 7) a osobą odpowiedzialną za zapewnienie zgodności i raportowanie (art. 8)?
• czy z posiadanych dokumentów jednoznacznie wynika, jakie konkretnie obowiązki z zakresu AML/CFT realizuje wyznaczona osoba i za co osobiście odpowiada?

Choć NSA wskazał, że akt wyznaczenia nie musi mieć skrajnie sformalizowanej postaci (liczy się faktyczne powierzenie zadań w dokumentacji pracowniczej), kontrolerzy odrzucą dokumenty, w których jako podstawę prawną wpisano nieaktualny stan prawny.

Obszar II: Ocena ryzyka instytucji obowiązanej (art. 27 ustawy)

Weryfikacji podlega realność i operacyjność dokumentu ogólnej oceny ryzyka. Pytania kontrolne:

• czy zdefiniowane w macierzy ryzyka środki kontrolne nie mają charakteru iluzorycznego? (np. czy dla ryzyka ekstremalnego „środki pochodzą z przestępstwa” jedynym środkiem kontrolnym nie jest tylko oświadczenie klienta przy rejestracji, że środki są legalne?);
• czy dokument oceny ryzyka jest w pełni spójny z procedurą wewnętrzną? (czy nie występują rozbieżności, np. procedura nakazuje natychmiastowe zamknięcie konta przy braku zgodności danych, a ocena ryzyka mówi jedynie o trybie tymczasowym?);
• czy w dokumencie wprost zdefiniowano kryteria kwalifikacji klientów do poszczególnych kategorii ryzyka (niski, średni, wysoki) oraz zasady prowadzenia tzw. „czarnej listy”?

W ocenie kontrolujących, ocena ryzyka musi proponować środki zaradcze, które w realny i dający się zweryfikować sposób obniżają prawdopodobieństwo zmaterializowania się ryzyka.

Obszar III: Identyfikacja i weryfikacja beneficjenta rzeczywistego (art. 34 ust. 1 pkt 2 ustawy AML)

Kontrolerzy sprawdzają, czy instytucja dociera do osób sprawujących faktyczną kontrolę. Pytania kontrolne:

• czy w przypadku struktur skomplikowanych lub zagranicznych pozyskano dokumenty źródłowe (umowy spółki, rejestry akcjonariuszy), czy poprzestano wyłącznie na samym oświadczeniu klienta lub odpisie z CRBR?
• Czy w przypadku klientów będących osobami fizycznymi prowadzącymi działalność (np. w formie spółki cywilnej lub wspólnego biznesu z małżonkiem) zbadano, czy inne osoby fizyczne (np. żona/wspólnik) nie wywierają decydującego wpływu i nie powinny być wpisane jako dodatkowi beneficjenci rzeczywiści?

Obszar IV: Ocena celu i charakteru stosunków gospodarczych (art. 34 ust. 1 pkt 3 ustawy AML)

Weryfikacja wiedzy instytucji o tym, po co klient zakłada relację i jakich transakcji można się po nim spodziewać. Pytania kontrolne:

• czy instytucja nie przyjęła niedopuszczalnego a priori domniemania, że cel i charakter relacji wynika wyłącznie z natury oferowanego produktu (np. „skoro to konto osobiste, to służy do celów konsumpcyjnych” lub „skoro to bukmacher, to służy do rozrywki”)?
• czy dla każdego klienta stworzono/udokumentowano tzw. profil transakcyjny, zawierający informacje o: przewidywanej wartości transferowanych środków, częstotliwości transakcji, rodzaju operacji, przedmiocie działalności i kierunkach geograficznych kontrahentów?
• czy w przypadku nierezydentów pozyskano jasne i udokumentowane informacje wyjaśniające cel otwarcia rachunku w polskim banku (zwłaszcza przy braku powiązań osobistych i biznesowych z RP)?

Obszar V: Bieżące monitorowanie transakcji (art. 34 ust. 1 pkt 4 lit. a ustawy AML)

Najczęstszy punkt sporu – kontrolerzy sprawdzają, jak instytucja analizuje codzienne operacje. Pytania kontrolne:

• czy instytucja posiada dowody źródłowe (notatki, raporty z analiz, logi systemowe z wnioskami) potwierdzające, że pracownicy manualnie analizowali alerty i sprawdzali transakcje pod kątem ich zgodności z wiedzą o kliencie?
• czy system zautomatyzowany (reguły systemowe) służy wyłącznie do wyłapywania transakcji podejrzanych (co jest błędem metodologicznym), czy realizuje też funkcję badania spójności obrotów z deklarowanym profilem działalności klienta?
• czy w elektronicznych teczkach klientów znajdują się udokumentowane analizy historii rachunku dla transakcji, które w oczywisty sposób odbiegały od profilu (np. nagły napływ środków na rachunek uśpiony)?

Obszar VI: Badanie źródła pochodzenia wartości majątkowych (art. 34 ust. 1 pkt 4 lit. b ustawy AML)

Weryfikacja pochodzenia pieniędzy klienta w sytuacjach uzasadnionych okolicznościami. Pytania kontrolne:

• czy w przypadku wykrycia u klientów wysokokwotowych, regularnych wpłat gotówkowych, żądano dokumentów potwierdzających źródło pochodzenia gotówki (np. deklaracji podatkowych PIT, umów sprzedaży, faktur), czy opierano się wyłącznie na cyfrowym oświadczeniu z etapu onboardingu?
• czy w przypadku zidentyfikowania klientów o statusie PEP lub powiązanych ze spółkami typu offshore, obligatoryjnie wdrożono procedurę głębokiego badania źródła majątku (Source of Wealth) i źródła funduszy (Source of Funds)?

Obszar VII: Procedury wewnętrzne (art. 50 ustawy AML)

Ocena kompletności instrukcji postępowania dla pracowników. Pytania kontrolne/sprawdzenie:

• czy procedura zawiera wszystkie obligatoryjne elementy z art. 50 ust. 2, ze szczególnym uwzględnieniem czynności i działań podejmowanych w celu mitygowania i zarządzania zidentyfikowanym ryzykiem (pkt 1), zasad kontroli wewnętrznej lub nadzoru zgodności działalności instytucji z przepisami AML (pkt 9)?
• czy zasady odnotowywania rozbieżności między danymi z CRBR a stanem faktycznym są precyzyjnie opisane?
• czy dokument określa precyzyjnie (a nie tylko ogólnikowo) ramy czasowe, momenty i zakres dokumentów pozyskiwanych od klientów indywidualnych oraz firmowych w celu weryfikacji ryzyka?

Obszar VIII: Raportowanie i zawiadomienia (art. 74 ustawy AML)

Weryfikacja, czy instytucja przekazuje informacje o podejrzeniach przestępstwa. Pytania kontrolne:

• czy w przypadku wykrycia u klienta anomalii transakcyjnych (np. drastycznie wyższa liczba operacji dziennie niż u innych klientów, nietypowy obrót gotówką) wysłano zawiadomienie w trybie art. 74 (podejrzenie prania pieniędzy), czy poprzestano wyłącznie na automatycznym raportowaniu transakcji ponadprogowych (art. 72)?
• czy spełnienie wewnętrznych kryteriów typowania transakcji jako podejrzane (np. wykonanie ponad 10 operacji dziennie) skutkuje automatycznym wszczęciem wewnętrznego procesu analitycznego, kończącego się jednoznacznym wnioskiem (raportem)?

Uwagi końcowe.

Podczas przygotowywania się do kontroli i ewentualnego formułowania zastrzeżeń do protokołu, należy także pamiętać o przełomowych dla instytucji obowiązanych tezach sformułowanych przez Naczelny Sąd Administracyjny w wyroku z dnia 29 stycznia 2026 r. (więcej na ten temat pisałem we wpisie z dnia 17 kwietnia 2026 r. - Granice soft law. Uwagi do wyroku NSA ws. STS):

• wada treściowa to nie brak dokumentu: GIIF ma tendencję do uznawania, że jeśli ocena ryzyka (art. 27) lub procedura wewnętrzna (art. 50) zawierają błędy, braki lub są „iluzoryczne”, to oznacza to, że instytucja w ogóle nie dopełniła obowiązku ich sporządzenia/wprowadzenia. NSA kategorycznie to odrzucił. Zgodnie z zasadą nullum crimen sine lege certa, wdrożenie wadliwej lub niekompletnej procedury/oceny ryzyka nie może być karane na podstawie przepisów sankcyjnych penalizujących całkowity brak (niewprowadzenie) tych dokumentów;
• automatyzacja to za mało: samo posiadanie zaawansowanych systemów informatycznych z zaszytymi regułami antyfraudowymi nie jest dla kontrolerów dowodem na realizację bieżącego monitorowania (art. 34 ust. 1 pkt 4 lit. a). Instytucja musi udowodnić, że wyniki działania tych systemów podlegają realnej ocenie ludzkiej pod kątem wiedzy o profilu klienta;
• wyznaczenie compliance officera: przy ocenie, czy prawidłowo wyznaczono pracownika na podstawie art. 8, organy państwowe mają obowiązek badać tę kwestię przez pryzmat unijnej zasady proporcjonalności, tj. z uwzględnieniem wielkości i specyfiki (charakteru) działalności instytucji.