W erze zaawansowanych systemów przeciwdziałania praniu pieniędzy nie sposób wyobrazić sobie wydajnego funkcjonowania bez dostępu do rzetelnych informacji o beneficjentach rzeczywistych. System przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) stanowi kluczowy element bezpieczeństwa i stabilności systemu finansowego, a fundamentem tego systemu jest identyfikacja Beneficjenta Rzeczywistego (UBO).

Czym jest Beneficjent Rzeczywisty i dlaczego jego identyfikacja stanowi wyzwanie?

Beneficjent Rzeczywisty to osoba fizyczna lub grupa osób, która faktycznie sprawuje kontrolę nad danym podmiotem, wywierając decydujący wpływ na jego działania – niezależnie od formalnych wpisów w rejestrach. Choć często utożsamia się go z osobą posiadającą ponad 25% udziałów, w przypadku złożonych struktur właścicielskich jego identyfikacja może stanowić znaczące wyzwanie dla działów compliance.

Nasze doświadczenie pokazuje, że sam proces identyfikacji beneficjentów rzeczywistych nie jest zadaniem łatwym i często wymaga wielokrotnych analiz już po wdrożeniu procedur due diligence.

Jak funkcjonuje obecnie Centralny Rejestr Beneficjentów Rzeczywistych?

W Polsce jednym z kluczowych narzędzi w walce z praniem pieniędzy i finansowaniem terroryzmu jest Centralny Rejestr Beneficjentów Rzeczywistych (CRBR). Celem tego rejestru, prowadzonego przez ministra właściwego do spraw finansów publicznych, jest gromadzenie i przetwarzanie informacji o beneficjentach rzeczywistych określonych podmiotów.

Dotychczasowa ustawa AML stanowiła, że Rejestr jest jawny, co oznaczało nieodpłatny i ogólnodostępny dostęp do zgromadzonych w nim informacji za pomocą środków komunikacji elektronicznej. Łatwo wyobrazić sobie, że taki poziom dostępności budził obawy o prywatność osób fizycznych.

Dlaczego nadchodzą zmiany – co wymusiło rewizję dotychczasowych przepisów?

W związku z nowymi przepisami Unii Europejskiej polska ustawa AML zostanie zmieniona. Przedstawiony projekt ustawy z 31 marca 2025 r. wprowadza szereg modyfikacji wynikających z wdrożenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2024/1640 z dnia 31 maja 2024 r.

Jaka była rola wyroku Trybunału Sprawiedliwości UE w tym procesie?

Zmiany wprowadzone przez dyrektywę 2024/1640 są bezpośrednią reakcją na orzeczenie TSUE z 22 listopada 2022 r. w sprawach połączonych C-37/20 i C-601/20. Trybunał uznał, że przepis dotychczasowej V Dyrektywy AML nakazujący państwom członkowskim zapewnienie publicznego dostępu do rejestrów beneficjentów rzeczywistych jest niezgodny z prawem Unii Europejskiej.

TSUE stwierdził, że nieograniczony dostęp do danych beneficjentów rzeczywistych przez każdego członka społeczeństwa stanowi nadmierną ingerencję w prawa podstawowe. Celem jaki powinien przyświecać regulatorom na tym etapie jest wyważenie potrzeb transparentności z ochroną prywatności.

Jak będzie wyglądał dostęp do CRBR po zmianach – kto i na jakich zasadach?

Projekt polskiej ustawy wycofuje zasadę pełnej jawności CRBR, wprowadzając system, w którym dostęp do pełnych informacji z Rejestru będzie możliwy dla trzech kategorii podmiotów:

Kategoria 1: Organy i instytucje – kto otrzyma pełny dostęp bez ograniczeń?

Szeroka lista obejmuje:

• Organy informacji finansowej (GIIF)
• Prokuratora Krajowego i prokuratorów regionalnych
• Policję i służby specjalne (CBA, ABW, AW, SWW, SKW)
• Żandarmerię Wojskową, Straż Graniczną, SOP
• Krajowe Centrum Informacji Kryminalnych
• KAS i organy podatkowe
• Organy unijne (AMLA, Prokuratura Europejska, OLAF, Europol, Eurojust)

Przyczyna tak szerokiego dostępu dla tych podmiotów jest oczywista – realizacja ich ustawowych zadań w zakresie przeciwdziałania przestępczości finansowej.

Kategoria 2: Instytucje obowiązane – dlaczego zachowują uprzywilejowany dostęp?

Instytucje obowiązane otrzymają dostęp w celu stosowania środków bezpieczeństwa finansowego. W tym miejscu warto zwrócić uwagę na fakt, że parametry dostępu mogą być zarówno względne jak i bezwzględne, w zależności od potrzeb konkretnej instytucji.

Kategoria 3: Podmioty z uzasadnionym interesem – kto i jak będzie mógł wykazać potrzebę dostępu?

To kluczowa zmiana wynikająca z implementacji nowej dyrektywy. Organ właściwy w sprawach Rejestru będzie udostępniał określone dane identyfikacyjne po wykazaniu uzasadnionego interesu.

Które podmioty będą miały domniemanie uzasadnionego interesu?

Projekt ustawy szczegółowo określa kategorie podmiotów, które nie będą musiały szczegółowo uzasadniać swojego interesu:

Sektor medialny i naukowy:

• Dziennikarze związani z zapobieganiem lub zwalczaniem prania pieniędzy
• Organizacje pozarządowe prowadzące działalność pożytku publicznego związaną z AML/CFT
• Pracownicy podmiotów naukowych zajmujących się problematyką AML/CFT

Sektor gospodarczy:

• Podmioty prawdopodobnie zawierające transakcję z danym podmiotem
• Podmioty z państw trzecich podlegające wymogom AML/CFT
• Dostawcy produktów AML/CFT (pod warunkiem dostarczania wyłącznie instytucjom obowiązanym)

Sektor publiczny:

• Sądy rejonowe prowadzące KRS
• Ministrowie w odniesieniu do beneficjentów środków unijnych
• Zamawiający w rozumieniu Prawa zamówień publicznych

Jak będzie wyglądał proces oceny uzasadnionego interesu?

Organ właściwy będzie oceniał uzasadniony interes na podstawie informacji i dokumentów od wnioskodawcy, biorąc pod uwagę jego funkcję lub zawód oraz związek z podmiotem. W przypadku odmowy wydawana będzie decyzja administracyjna.

Czy będzie można wyłączyć dostęp do swoich danych – jakie są możliwości ochrony prywatności?

Projekt przewiduje możliwość wyłączenia dostępu do całości lub części danych dotyczących Beneficjenta Rzeczywistego, jeżeli wykaże on, że udostępnienie naraziłoby go na niewspółmierne ryzyko stania się ofiarą przestępstwa. Podobne wyłączenie dotyczy osób nieposiadających pełnej zdolności do czynności prawnych.

Jak zapobiegać nadużyciom w dostępie do danych – redukcja ryzyka false positive?

Wyłączenie to nie będzie jednak dotyczyło organów ścigania i innych organów administracji publicznej, co ma zapobiec sytuacjom, w których przestępcy mogliby uniknąć kontroli poprzez wykazanie fikcyjnego zagrożenia.

Jakie inne zmiany wprowadza projekt ustawy AML?

Projekt wprowadza również szereg innych modyfikacji:

Rozszerzenie zakresu ustawy:

• Zasady stosowania szczególnych środków ograniczających w celu przeciwdziałania rozprzestrzenianiu broni masowego rażenia
• Nowe definicje dotyczące stosowania szczególnych środków ograniczających

Zmiany organizacyjne:

• Modyfikacje w zadaniach GIIF i Komitetu Bezpieczeństwa Finansowego
• GIIF będzie prowadził listę osób objętych szczególnymi środkami ograniczającymi

Nowe obowiązki proceduralne:

• Doprecyzowanie obowiązków instytucji obowiązanych w zakresie identyfikacji i oceny ryzyka
• Obowiązek przekazywania formularza identyfikującego przed nawiązaniem pierwszych stosunków gospodarczych
• Szczegółowe zasady przekazywania informacji przez jednostki współpracujące

Jak długo potrwa okres przejściowy – kiedy zmiany wejdą w pełni w życie?

W okresie od wejścia w życie ustawy do 30 czerwca 2026 r. dostęp do informacji w CRBR będzie udostępniany na wniosek każdego, kto wykaże uzasadniony interes. Organ będzie mógł wszcząć postępowanie w celu wyjaśnienia, czy uzasadniony interes został rzeczywiście wykazany.

Nasze doświadczenie pokazuje, że sam proces implementacji nowych przepisów nie jest zadaniem łatwym i często wymaga wielokrotnych poprawek i usprawnień już po wdrożeniu rozwiązania.

Czym będzie skutkować zmiana dla praktyki compliance?

Planowane zmiany wynikające z dostosowania polskiego prawa do nowych wymogów unijnych przede wszystkim ograniczą dotychczasowy nieograniczony publiczny dostęp do CRBR. Celem jaki powinien przyświecać instytucjom obowiązanym na tym etapie jest przygotowanie się do nowych procedur weryfikacji beneficjentów rzeczywistych.

Łatwo wyobrazić sobie, że zupełnie inne procedury będą musiały być wdrożone w małych instytucjach finansowych niż w dużych bankach uniwersalnych – w obu przypadkach wolumen i charakter weryfikacji będą diametralnie różne.