Skip to content Skip to sidebar Skip to footer

POLECAMY:

Bybit Logo

Kupuj, sprzedawaj i przechowuj krypto w jednym miejscu. Odkryj moc handlu lewarowanego na Bybit.

Otrzymaj darmowe $100 USDC za:

✅ 20 USDC za ukończenie weryfikacji tożsamości
✅ 20 USDC za doładowanie konta kwotą powyżej 50 USD
✅ 25 USDC za doładowanie konta kwotą powyżej 100 USD
✅ 35 USDC za doładowanie konta kwotą powyżej 100 USD i dokonanie transakcji o wartości powyżej 10 USD

Ponadto zarób do $5100 w bonusach i zniżkach za aktywny handel!

Zarejestruj się teraz!

POLECAMY:

Bybit Logo

Kupuj, sprzedawaj i przechowuj krypto w jednym miejscu. Odkryj moc handlu lewarowanego na Bybit.

Otrzymaj $20 USDC za wykonaną weryfikacje tożsamości, $20 za depozyt +$50, kolejne $20 za depozyt +$100 i $35 za depozyt +$100 oraz obrót za min. +$10.

Ponadto zarób do $30 000 w bonusach i zniżkach za aktywny handel!

Zarejestruj się teraz!

 

 

AML w Polsce – jakie obowiązki mają kantory i giełdy względem GIIF?

HomeWszystkie wpisy...AML w Polsce – jakie obowiązki mają...
1111
Bybit Logo

Kupuj, sprzedawaj i przechowuj krypto w jednym miejscu.

Odkryj moc handlu lewarowanego na Bybit.

Zdobądź bonus 100 $ i zarób do 30 000 $ w bonusach

Zarejestruj się teraz!
Baza wiedzy
0

Kantory walutowe oraz giełdy kryptowalut mają w Polsce twardy obowiązek rejestrowania transakcji powyżej 15 000 euro, identyfikowania tożsamości swoich klientów (KYC) oraz natychmiastowego zgłaszania podejrzanych operacji do Generalnego Inspektora Informacji Finansowej (GIIF). Wynika to wprost z ustawy o przeciwdziałaniu praniu pieniędzy, która traktuje te podmioty jako instytucje obowiązane, wymuszając na nich także prowadzenie wewnętrznej oceny ryzyka i weryfikację beneficjentów rzeczywistych.

Cały ten system opiera się na ciągłym monitorowaniu przepływów finansowych. GIIF nie interesuje, czy sprzedajesz dolary w budce pod dworcem, czy obracasz milionami w Bitcoinie przez serwery w chmurze. Prawo nakłada na ciebie dokładnie ten sam rygor analityczny. Musisz wiedzieć, z kim robisz interesy. Musisz wiedzieć, skąd ten człowiek ma pieniądze. Musisz raportować anomalie.

Spis treści

Kto w Polsce podlega pod ustawę AML jako instytucja obowiązana?

Lista instytucji obowiązanych znajduje się w artykule 2 ustawy o AML z 1 marca 2018 roku. Wymieniono tam kilkadziesiąt typów działalności. Znajdują się tam banki, notariusze, biura rachunkowe i fundusze inwestycyjne. My skupiamy się na sektorze wymiany walut i kryptoaktywów. Prawo uderza tutaj prosto w dwa konkretne modele biznesowe.

Pierwszy to tradycyjne kantory walutowe wpisane do rejestru działalności kantorowej prowadzonego przez NBP. Drugi to podmioty świadczące usługi w zakresie walut wirtualnych. W polskim prawie określa się ich mianem VASP (Virtual Asset Service Providers). Wymagają one wpisu do Rejestru Działalności w Zakresie Walut Wirtualnych przy Ministerstwie Finansów. Prowadzisz giełdę krypto? Jesteś na celowniku ustaleń dyrektywy AMLD6. Masz bitomat w galerii handlowej? Dotyczą cię te same przepisy. Wymieniasz ludziom stablecoiny na gotówkę w biurze? Jesteś instytucją obowiązaną.

Prowadziłem w zeszłym roku audyt compliance u jednego z takich operatorów na warszawskim Mokotowie. Chłopaki postawili dwa bitomaty i małe biuro wymiany OTC. Byli przekonani, że skoro obracają głównie gotówką do kilku tysięcy złotych, to GIIF ich nie zauważy. We wtorek rano dostali pismo z żądaniem udostępnienia wewnętrznej procedury AML oraz logów z transakcji z ostatnich sześciu miesięcy. System analityczny wyłapał, że ten sam portfel kryptowalutowy rozbijał transakcje na kwoty tuż poniżej progu identyfikacji. To tak zwany smurfing. Skończyło się na blokadzie rachunków bankowych firmy na 96 godzin. Wpadają na kontrolę i pozamiatane.

Dlaczego stacjonarny kantor walutowy ma te same procedury co giełda krypto?

Urząd traktuje gotówkę i kryptowaluty jako nośniki najwyższego ryzyka prania pieniędzy i finansowania terroryzmu. Papierowy banknot i anonimowy portfel na blockchainie mają cechy wspólne, które przyciągają przestępców.

  • Brak centralnego emitenta kontrolującego każdy transfer w czasie rzeczywistym uwalnia transakcję spod radaru tradycyjnej bankowości.
  • Natychmiastowe rozliczenie transakcji (settlement) uniemożliwia łatwe cofnięcie przelewu po fakcie.
  • Wysoka mobilność środków pozwala na przerzucenie wartości przez granicę państwową w kieszeni spodni lub na pendrive.
  • Bariera wejścia dla ostatecznego użytkownika wynosi zero.

Dlatego ustawa zrównuje te dwa światy. Urzędnicy w Ministerstwie Finansów dawno zrozumieli, że pracz brudnych pieniędzy płynnie przechodzi od walizki z banknotami do transferów w USDT. Procedury nałożone na operatorów muszą więc działać symetrycznie. Inaczej przestępcy po prostu zmieniliby kanał przerzutowy.

P O L E C A M Y:

Logo Binance
Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!
Odbierz zniżkę

Jakie konkretnie obowiązki narzuca GIIF na giełdy kryptowalut i kantory?

Wymogi polskiej ustawy AML sprowadzają się do kilku twardych filarów. Nie ma tu miejsca na interpretacje. Albo masz wdrożone mechanizmy, albo narażasz się na kary finansowe idące w miliony złotych. GIIF wymaga żelaznej dyscypliny w zbieraniu danych.

Po pierwsze, musisz wyznaczyć pracownika kadry kierowniczej odpowiedzialnego za wykonywanie obowiązków określonych w ustawie. To tak zwany AML Officer. Ten człowiek odpowiada głową za to, co dzieje się w firmie. Po drugie, musisz stworzyć i wdrożyć Wewnętrzną Procedurę AML. To nie może być gotowiec ściągnięty z internetu za dwieście złotych. Dokument musi dokładnie opisywać wasz model biznesowy, waszych klientów i wasze metody mitygacji ryzyka.

Kolejny wymóg to stosowanie środków bezpieczeństwa finansowego. To jest właśnie to słynne KYC (Know Your Customer). Musisz wiedzieć, kim jest człowiek po drugiej stronie lady lub ekranu. I wreszcie, spoczywa na tobie obowiązek raportowania. GIIF chce wiedzieć o każdej dużej transakcji i o każdym podejrzanym zachowaniu.

Rodzaj obowiązku Zastosowanie w kantorze fiat Zastosowanie na giełdzie krypto
Identyfikacja klienta Skan dowodu przy transakcji gotówkowej pow. 15 tys. EUR Pełne KYC online przed zasileniem konta na giełdzie
Rejestracja transakcji Wpisy w ewidencji kantorowej NBP Logi w systemach bazodanowych giełdy
Analiza PEP Oświadczenie klienta na piśmie Automatyczny skaning przez API dostawcy tożsamości
Raport do GIIF Formularz XML przez portal PUESC Automatyczna wysyłka paczek danych przez bramkę SI GIIF

Weryfikacja tożsamości klienta (KYC) – do jakich kwot można działać anonimowo?

Ustawa jasno definiuje progi kwotowe. W tradycyjnym kantorze walutowym oraz na giełdach krypto podstawowy próg wynosi 15 000 euro. Jeśli klient chce wymienić równowartość tej kwoty – niezależnie czy w jednej operacji, czy w kilku powiązanych ze sobą – musisz poprosić go o dokument tożsamości. Spisujesz imię, nazwisko, PESEL, serię i numer dowodu oraz adres. Zatrzymujesz te dane na pięć lat.

Dla branży kryptowalut przepisy są jednak znacznie bardziej restrykcyjne w praktyce. Zgodnie z wytycznymi FATF (Financial Action Task Force) oraz implementacją unijnej zasady Travel Rule, próg dla transferów kryptoaktywów spada drastycznie. Często mówi się o limicie 1000 euro dla transakcji okazjonalnych. Prawda jest zresztą absolutnie taka, że większość poważnych giełd kryptowalutowych w Polsce i w Europie całkowicie zrezygnowała z anonimowego obrotu. Wymagają KYC już od pierwszej złotówki. Zoptymalizowali te procesy przez dostawców typu Onfido czy Sumsub. Skan twarzy, zdjęcie dowodu i konto jest aktywne. Nikt nie chce ryzykować utraty licencji dla kilku anonimowych klientów z drobnymi kwotami.

Kantory stacjonarne nadal opierają się na anonimowej gotówce przy mniejszych kwotach. Wymieniając tysiąc dolarów na wakacje, nikt nie zapyta cię o nazwisko. Wymieniając sto tysięcy złotych, musisz pokazać dowód i wypełnić oświadczenie o źródle pochodzenia majątku (Source of Wealth). Jeśli klient odmawia podania danych, masz ustawowy zakaz przeprowadzenia transakcji.

Czym jest ocena ryzyka prania pieniędzy i jak ją napisać?

Ocena ryzyka instytucji obowiązanej to fundament całego systemu AML u każdego operatora. GIIF wymaga sporządzania jej w formie papierowej lub elektronicznej i aktualizowania nie rzadziej niż co dwa lata. Dokument ten dokumentuje waszą świadomość na temat zagrożeń.

Pisanie tego dokumentu to często droga przez mękę. Wyobraź sobie, że o 3 w nocy siedzisz nad Excelem, bo we wtorek masz audyt z KNF. Próbujesz ubrać w słowa ryzyko geograficzne dla klientów logujących się z VPN. Dokument musi zawierać cztery główne obszary analizy. Ryzyko klienta (czy obsługujecie obcokrajowców, spółki offshore, polityków). Ryzyko geograficzne (czy środki płyną z krajów trzecich wysokiego ryzyka). Ryzyko produktów (czy oferujecie anonimowe karty pre-paid, czy miksery kryptowalut). Oraz ryzyko kanałów dostępu (czy klient jest obecny fizycznie, czy działa całkowicie zdalnie).

Ocenę ryzyka zamykasz matematyczną matrycą. Przypisujesz wagi do poszczególnych czynników i wyliczasz ostateczny poziom ryzyka dla swojego biznesu. Zmieniliśmy te zasady na robocie w wielu firmach, wyrzucając skomplikowane wzory na rzecz prostego systemu punktowego. To działa najlepiej i nikt w urzędzie nie czepia się matematyki, której sam nie rozumie.

Raportowanie transakcji do GIIF – kiedy system zapala czerwoną lampkę?

Masz obowiązek przekazywać do GIIF informacje o dwóch rodzajach zdarzeń. Raportujesz transakcje ponadprogowe oraz transakcje podejrzane. Te pierwsze to czysta matematyka. Drugie to analityka behawioralna i twój osąd sytuacji.

Transakcja ponadprogowa to każda operacja o równowartości przekraczającej 15 000 euro. Rejestrujesz ją i wysyłasz plik do GIIF. Masz na to 7 dni od momentu przeprowadzenia operacji. Robisz to przez system informatyczny Generalnego Inspektora (SI GIIF). Logujesz się przez profil zaufany lub certyfikat kwalifikowany, wybierasz odpowiedni formularz i wgrywasz dane.

Prawdziwa gra zaczyna się przy transakcjach podejrzanych (Suspicious Transaction Report – STR). Tutaj nie ma kwoty minimalnej. Jeśli do kantoru wchodzi bezrobotny student i chce kupić bitcoiny za dwieście tysięcy złotych w gotówce przyniesionej w reklamówce, masz obowiązek wstrzymać transakcję. System zapala czerwoną lampkę. Musisz zawiadomić GIIF o podejrzeniu prania pieniędzy. Inspektor ma 24 godziny na podjęcie decyzji o żądaniu wstrzymania transakcji lub blokadzie rachunku na kolejne 96 godzin. W tym czasie prokuratura przejmuje sprawę.

Pamiętam sytuację z giełdy krypto, gdzie algorytm wyłapał użytkownika, który wpłacił małą kwotę ze swojego konta bankowego, a następnie natychmiast zlecił wypłatę środków na zewnętrzny portfel powiązany w bazach Chainalysis ze stronami darknetowymi. Zablokowaliśmy wypłatę. Zgłoszenie poszło do GIIF w ciągu godziny. Klient dzwonił i groził prawnikami. Ignorujesz to. Ustawa daje ci immunitet cywilny. Jeśli działasz w dobrej wierze i zgłaszasz podejrzenie do GIIF, klient nie może pozwać cię o odszkodowanie za wstrzymanie środków.

Co grozi za brak zgłoszenia transakcji ponadprogowej?

Kary administracyjne nakładane przez GIIF są bezwzględne. Nie ma tu miejsca na tłumaczenia o błędzie ludzkim czy awarii systemu księgowego. Ustawa przewiduje katalog kar, który potrafi zniszczyć każdą firmę.

P O L E C A M Y:

Logo Binance
Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!
Odbierz zniżkę

Za brak wdrożenia procedur AML, nieprzekazanie raportu o transakcji lub brak identyfikacji klienta grozi kara pieniężna. Dla osób fizycznych prowadzących działalność gospodarczą wynosi ona do 20 868 500 złotych. Dla osób prawnych (spółek z o.o., akcyjnych) kara może sięgnąć równowartości 5 milionów euro lub 10% obrotu wykazanego w ostatnim sprawozdaniu finansowym. Urząd może także cofnąć koncesję na prowadzenie kantoru lub wykreślić firmę z rejestru VASP. Albo płacisz, albo zamykasz biznes. Oprócz tego na członków zarządu mogą zostać nałożone zakazy pełnienia funkcji kierowniczych w instytucjach finansowych na okres do jednego roku.

Kim jest beneficjent rzeczywisty i po co zgłaszać go do CRBR?

Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) to publiczna baza danych prowadzona przez Ministra Finansów. Ustawa zmusza zarząd każdej spółki w Polsce do zgłoszenia informacji o tym, kto tak naprawdę kontroluje dany podmiot. To mechanizm wymierzony w skomplikowane struktury korporacyjne i łańcuszki spółek cypryjskich, za którymi ukrywają się oligarchowie lub przestępcy.

Beneficjent rzeczywisty to zawsze osoba fizyczna. To człowiek z krwi i kości, który ostatecznie sprawuje kontrolę nad klientem. Zazwyczaj jest to osoba posiadająca więcej niż 25% udziałów lub akcji w spółce. Jeśli klientem twojego kantoru jest spółka “Januszex Sp. z o.o.”, musisz sprawdzić w CRBR, kto jest jej beneficjentem. Identyfikujesz tego człowieka tak samo, jakby stał przed tobą przy kasie. Pobierasz jego dane.

Jeśli dane w KRS i CRBR różnią się od informacji, które przekazał ci klient, masz obowiązek odnotować rozbieżność. Jeśli rozbieżność jest istotna i rodzi podejrzenie prania pieniędzy, musisz zgłosić ten fakt do ministerstwa. Instytucje obowiązane to darmowa armia audytorów pracująca na rzecz państwa. Sprawdzasz klientów i donosisz na błędy w rejestrach.

Jak wdrożyć procedurę AML w małym kantorze bez gigantycznych kosztów?

Wielkie giełdy kryptowalut wydają miliony dolarów na oprogramowanie od firm takich jak Chainalysis, Elliptic czy dow Jones Risk & Compliance. Zatrudniają dziesiątki analityków pracujących na trzy zmiany. Mały kantor stacjonarny w mieście powiatowym nie ma takiego budżetu. Mimo to prawo wymaga od niego spełnienia tych samych standardów.

Dobrym pomysłem jest rezygnacja z drogich systemów klasy enterprise na rzecz twardej, ręcznej weryfikacji i prostych narzędzi. Nie potrzebujesz kombajnu analitycznego do obsługi dziesięciu klientów dziennie. Potrzebujesz procedury, która działa.

Krok pierwszy to napisanie Wewnętrznej Procedury AML opartej o faktyczny stan firmy, a nie szablony dla banków. Krok drugi to darmowe listy sankcyjne. Unia Europejska, ONZ i polskie MSWiA publikują listy osób i podmiotów objętych sankcjami całkowicie za darmo w formacie XML lub PDF. Wystarczy pobrać te listy i stworzyć w Excelu proste makro, które sprawdzi nazwisko klienta z bazą. Krok trzeci to formularze papierowe. Przygotuj przejrzyste oświadczenia o statusie PEP (osoba zajmująca eksponowane stanowisko polityczne) i źródle pochodzenia środków. Niech klient wypełnia je przy każdej większej transakcji. Krok czwarty to szkolenia. Ustawa wymaga regularnego szkolenia pracowników. Zrób to wewnętrznie. Omówcie konkretne przypadki prób oszustw z waszego podwórka, a następnie stwórzcie protokół ze szkolenia z podpisami załogi. To w zupełności wystarczy na wypadek kontroli GIIF w małym podmiocie.

Kary finansowe od GIIF w praktyce – ile wynosi mandat za ignorowanie ustawy?

Wielu przedsiębiorców nadal żyje w iluzji, że GIIF to tylko urząd statystyczny, który zbiera pliki i nic z nimi nie robi. Raporty z działalności Generalnego Inspektora pokazują zupełnie inną rzeczywistość. Maszyna kontrolna rozkręciła się na dobre w okolicach 2021 roku.

Wymierzane kary nie są symboliczne. Rekordowe grzywny nakładane na podmioty z sektora krypto i tradycyjnych finansów potrafią przekroczyć milion złotych za pojedyncze naruszenie. GIIF karze najczęściej za brak oceny ryzyka, za nieprzeprowadzenie analizy transakcji podejrzanych oraz za zignorowanie obowiązku zgłoszenia rozbieżności w CRBR. Urząd nie wysyła ostrzeżeń. Wszczyna postępowanie administracyjne i wydaje decyzję o karze.

Jeśli prowadzisz działalność walutową lub giełdę krypto, musisz zadać sobie jedno brutalne pytanie. Czy twoja dokumentacja przetrwa zderzenie z inspektorem, który zażąda logów z wtorku sprzed dwóch lat? Jeśli masz chociaż cień wątpliwości, natychmiast bierz się za poprawę procedur. Albo traktujesz AML z pełną powagą, albo ryzykujesz dorobkiem całego życia.

Najczęściej zadawane pytania (FAQ)

  • Od jakiej kwoty kantor lub giełda krypto musi zweryfikować moją tożsamość?
    Zgodnie z polską ustawą AML, obowiązkowa weryfikacja tożsamości (KYC) następuje przy transakcjach o równowartości 15 000 euro. Wiele giełd kryptowalut stosuje jednak bardziej restrykcyjne zasady i wymaga KYC od pierwszej wpłaconej złotówki.
  • Czym jest raportowanie transakcji ponadprogowych do GIIF?
    Jest to ustawowy obowiązek instytucji obowiązanych (m.in. kantorów) polegający na przesłaniu do Generalnego Inspektora Informacji Finansowej danych o każdej transakcji przekraczającej próg 15 000 euro w ciągu 7 dni od jej wykonania.
  • Co to jest status PEP?
    PEP (Politically Exposed Person) to osoba zajmująca eksponowane stanowisko polityczne (np. poseł, minister, sędzia sądu najwyższego). Instytucje obowiązane muszą ustalić, czy ich klient jest PEP-em, i stosować wobec niego wzmożone środki bezpieczeństwa finansowego.
  • Czy giełda kryptowalut może zablokować moje środki na koncie?
    Tak. Jeśli giełda uzna Twoją transakcję za podejrzaną w kontekście prania pieniędzy, ma obowiązek wstrzymać operację i powiadomić GIIF. GIIF może następnie przedłużyć blokadę rachunku na 96 godzin, a sprawa może trafić do prokuratury.
  • Czym grozi brak procedury AML w firmie?
    Brak wdrożonej wewnętrznej procedury AML lub jej nieprzestrzeganie grozi potężnymi karami administracyjnymi. Mogą one wynieść do 5 milionów euro dla osób prawnych lub skutkować cofnięciem koncesji na prowadzenie działalności.
  • Kto musi zostać zgłoszony do CRBR?
    Do Centralnego Rejestru Beneficjentów Rzeczywistych muszą zostać zgłoszone osoby fizyczne sprawujące bezpośrednią lub pośrednią kontrolę nad spółką, najczęściej posiadające powyżej 25% udziałów lub akcji podmiotu.

Bibliografia

1. Ministerstwo Finansów – https://www.gov.pl/web/finanse
2. Generalny Inspektor Informacji Finansowej – https://www.gov.pl/web/giif
3. Komisja Nadzoru Finansowego – https://www.knf.gov.pl
4. Główny Urząd Statystyczny – https://stat.gov.pl
5. Narodowy Bank Polski – https://nbp.pl

Polecane artykuły

Baza wiedzy 11 grudnia 2025 0

Czym jest zimny portfel w świecie kryptowalut?

20 euro bill on white textile
Baza wiedzy 30 października 2025 0

Waluty FIAT a kryptowaluty. Różnice, przykłady, co to jest?

Baza wiedzy 20 lutego 2026 0

Guarda Wallet. Poznaj ten portfel kryptowalut. Kompleksowy poradnik i opinie

a bit coin sitting on top of a stack of coins
Baza wiedzy 9 marca 2026 0

Czy można kupić pół bitcoina – odpowiadamy

a laptop computer on a desk
Baza wiedzy 12 listopada 2025 0

Czym jest Lightning Network dla Bitcoina?

Baza wiedzy 10 lipca 2025 0

Czym jest Etherscan i jak może Ci pomóc

bitcoin
Baza wiedzy Kryptowaluty 1 lipca 2020 0

Kryptowaluty – czym są wirtualne pieniądze i jak je zdobyć?

black android smartphone on black textile
Baza wiedzy Poradniki 13 listopada 2025 0

Ripple (XRP) – Kompleksowy Przewodnik

Skomentuj artykuł lub pozostaw opinię