Matryca ryzyka klienta jest „silnikiem" całej Procedury AML/CFT — od niej zależą zakres i intensywność środków bezpieczeństwa finansowego, częstotliwość okresowych przeglądów, decyzje o nawiązaniu lub rozwiązaniu relacji oraz priorytetyzacja monitoringu transakcji. Stanowisko UKNF poświęca temu obszarowi cały drugi blok i odsyła do trzech Komunikatów GIIF (nr 31, 45, 73) oraz art. 26 rozporządzenia PE i Rady (UE) 2024/1624.

W tym artykule pokazujemy: jakie czynniki ryzyka muszą być w matrycy, jak działa system czterech kategorii, co znaczy „dynamiczna ocena ryzyka", jakie są ramy okresowych przeglądów i co Stanowisko mówi o niedopuszczalności zbiorowego derisking-u.

Jakie czynniki ryzyka muszą być w matrycy?

Art. 33 ust. 3 Ustawy AML wymienia czynniki, które IO musi uwzględnić przy rozpoznaniu ryzyka. Stanowisko UKNF traktuje je jako minimum:

  • rodzaj klienta (osoba fizyczna, osoba prawna, jednostka organizacyjna, NGO, fundusz, podmiot zagraniczny);
  • obszar geograficzny (siedziba klienta, kraje powiązane, państwa trzecie wysokiego ryzyka);
  • przeznaczenie rachunku;
  • rodzaj produktów, usług i sposobów ich dystrybucji;
  • poziom wartości majątkowych deponowanych przez klienta lub wartość przeprowadzonych transakcji;
  • cel, regularność lub czas trwania stosunków gospodarczych.

UKNF oczekuje, że Procedura AML/CFT zawiera opis praktycznego przebiegu procesu klasyfikowania klientów, czyli opis matrycy ryzyka wraz ze wskazaniem czynników determinujących ocenę ryzyka oraz sposobem jego wyliczenia. To nie wystarczy spis czynników — musi być widoczna reguła, która z czynników buduje pojedynczą ocenę ryzyka.

Cztery kategorie ryzyka — standard akceptowany przez UKNF

Stanowisko UKNF wprost wskazuje, że najczęściej nadawanymi klientom IO kategoriami ryzyka ML/TF są:

Niskie
Klient spełnia kryteria z art. 42 ust. 2 Ustawy i ocena ryzyka potwierdziła niższe ryzyko ML/TF.
Normalne
Klient nie generuje wysokiego ani niskiego ryzyka. Najliczniejsza grupa klientów w większości IO.
Wysokie
Klient spełnia parametry matrycy wskazujące na podwyższone ryzyko albo Ustawa nakazuje stosować wzmożone środki (art. 43 ust. 2 oraz art. 44–46).
Nieakceptowalne
IO nie nawiązuje relacji albo rozwiązuje istniejącą. Każdy przypadek wymaga indywidualnej analizy.

Kategorie z art. 42 ust. 2 i art. 43 ust. 2 Ustawy (niższe / wyższe ryzyko) mają charakter otwarty i nieobligatoryjny — sam fakt zaistnienia okoliczności z tych przepisów nie obliguje ani nie upoważnia automatycznie IO do stosowania uproszczonych lub wzmożonych środków bezpieczeństwa finansowego. Pełną analizę środków wzmożonych prezentujemy w artykule Wzmożone środki bezpieczeństwa finansowego.

Risk-based approach to nie tylko kategoryzacja

Stanowisko UKNF wprost ostrzega: podejście oparte na ryzyku nie polega wyłącznie na samej kategoryzacji klientów i nadaniu im określonej oceny ryzyka. To jest dopiero pierwszy element procesu. Od przyznanej kategorii zależy:

  • jakie środki bezpieczeństwa finansowego są stosowane;
  • z jaką intensywnością te środki są realizowane;
  • jak często klient podlega okresowemu przeglądowi;
  • jakie kryteria uruchamiają wzmożoną analizę transakcji.

Procedura AML/CFT musi pokazywać tę kaskadę — od kategorii ryzyka do konkretnego pakietu środków stosowanych do danego klienta.

Co znaczy „dynamiczna ocena ryzyka"?

Stanowisko UKNF zaznacza: proces nadawania oceny ryzyka ma charakter dynamiczny. Klient zaklasyfikowany do określonej kategorii ryzyka może w trakcie stosunków gospodarczych spełnić kryteria, które zobligują IO do przypisania mu innej kategorii ryzyka.

W praktyce oznacza to, że Procedura AML/CFT musi opisywać:

  • triggery zmiany kategorii (np. wystąpienie transakcji nietypowej, zmiana statusu PEP, wpis do listy sankcyjnej, zmiana danych klienta wpływająca na ocenę);
  • sposób udokumentowania zmiany;
  • zakres weryfikacji wszystkich informacji o kliencie po zaistnieniu triggera.

Wynikiem weryfikacji powinno być nie tylko sprawdzenie, czy nadana w przeszłości ocena jest prawidłowa, ale również analiza, czy istnieją przesłanki za obniżeniem lub podwyższeniem dotychczasowej oceny ryzyka klienta.

Okresowe przeglądy klientów — praktyka rynkowa akceptowana przez UKNF

Stanowisko UKNF wprost akceptuje praktykę rynkową:

Kategoria ryzykaPraktyka rynkowa akceptowana przez UKNFMaksimum z art. 26 rozp. 2024/1624
Klient ryzyka wysokiego (PEP, podwyższone ryzyko)co rokrok
Klient ryzyka normalnegoco 3 lata5 lat
Klient ryzyka niskiegoco 5 lat5 lat
Klient ryzyka nieakceptowalnegonie nawiązujemy / rozwiązujemy relacjęn/d

Określając zasady weryfikacji i aktualizacji oceny ryzyka, IO powinny mieć na względzie art. 26 rozporządzenia PE i Rady (UE) 2024/1624. Zgodnie z nim okres między aktualizacjami informacji o klientach zależy od ryzyka i w żadnym przypadku nie może przekraczać:

  • roku w przypadku klientów o podwyższonym ryzyku;
  • pięciu lat w przypadku wszystkich innych klientów.

Z naszego doświadczenia procesu kontroli KNF widzimy, że IO często mają przyjętą praktykę „raz na X lat", ale brak im triggerów zmiany kategorii w międzyczasie — co oznacza, że klient np. z normalnego mógł od dawna kwalifikować się do wysokiego, a IO tego nie zauważyła aż do następnego cyklicznego przeglądu.

Co robi Procedura AML/CFT z brakiem możliwości zastosowania środków bezpieczeństwa finansowego?

Stanowisko UKNF i Komunikat GIIF nr 45 z 22 marca 2022 r. wskazują: jeśli IO nie może zastosować któregokolwiek ze środków bezpieczeństwa finansowego (art. 41 Ustawy), w zależności od sytuacji ma obowiązek:

  • nie nawiązać stosunku gospodarczego,
  • nie przeprowadzić transakcji okazjonalnej,
  • nie przeprowadzać transakcji za pośrednictwem rachunku bankowego,
  • rozwiązać stosunek gospodarczy.

Komunikat GIIF nr 73 z 25 stycznia 2024 r. dodaje istotne zastrzeżenie: rezygnacja z nawiązania stosunku gospodarczego lub decyzja o rozwiązaniu relacji nie może być podyktowana tym, że podmiot należy do grupy klientów o podwyższonym ryzyku ML/TF. Każda decyzja powinna być oparta na indywidualnej analizie.

To bardzo ważne — UKNF i GIIF konsekwentnie sprzeciwiają się zbiorowemu derisking-owi (np. „nie obsługujemy całej kategorii klientów"). Procedura AML/CFT musi pokazywać, że decyzje o nieuwiązaniu lub rozwiązaniu relacji są zawsze efektem indywidualnej oceny.

Profil klienta i monitoring transakcji

Z punktu widzenia matrycy ryzyka — Komunikat GIIF nr 31 z 22 czerwca 2021 r. wskazuje, że IO są zobligowane do precyzyjnego ustalenia profilu klienta, który będzie wykorzystywany do bieżącego monitorowania stosunków gospodarczych. Profil klienta składa się z: wartości transferowanych środków, częstotliwości transakcji, rodzaju transakcji, przedmiotu transakcji oraz kierunku/kraju transakcji.

To zagadnienie omawiamy szczegółowo w artykule Środki bezpieczeństwa finansowego — identyfikacja klienta, beneficjent rzeczywisty i monitoring stosunków gospodarczych.

Najważniejsze działania do podjęcia

  1. Audyt matrycy ryzyka klienta pod kątem zgodności z art. 33 ust. 3 Ustawy + Komunikatem GIIF nr 31.
  2. Test triggerów zmiany kategorii — czy Procedura AML/CFT wskazuje konkretne sytuacje uruchamiające zmianę kategorii i czy procesy operacyjne IO te triggery wychwytują.
  3. Weryfikacja harmonogramu okresowych przeglądów — zgodność z art. 26 rozporządzenia 2024/1624 (max rok / 5 lat).
  4. Audyt procesu nieakceptowalnego ryzyka — Procedura AML/CFT i operacja muszą pokazywać indywidualną analizę zgodnie z Komunikatem GIIF nr 73.
  5. Dokumentowanie zmian kategorii — historia zmian, podstawa, osoba zatwierdzająca.

Jak możemy Ci pomóc?

W Legal Geek wspieramy instytucje obowiązane w opracowaniu matrycy ryzyka klienta zgodnej ze Stanowiskiem UKNF, art. 33 Ustawy AML i Komunikatami GIIF nr 31, 45, 73. Pomagamy przy projektowaniu reguł monitoringu transakcji w spójności z matrycą oraz przy obronie decyzji o klasyfikacji klienta przed organami nadzoru. Skontaktuj się z nami przez formularz kontaktowy.

Co dalej w cyklu?

Źródła

  • Stanowisko UKNF dotyczące procesów AML/CFT, sekcja „Zasad rozpoznawania i oceny ryzyka ML/TF" — KNF
  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j.), art. 33, 34 ust. 1 pkt 4 lit. c, 41, 42, 43 — ISAP
  • Rozporządzenie PE i Rady (UE) 2024/1624 z 31 maja 2024 r., art. 26 — EUR-Lex
  • Komunikat GIIF nr 31 z 22 czerwca 2021 r. — GIIF
  • Komunikat GIIF nr 45 z 22 marca 2022 r. — GIIF
  • Komunikat GIIF nr 73 z 25 stycznia 2024 r. — GIIF
  • Wytyczne EBA/GL/2021/02 z 1 marca 2021 r. (czynniki ryzyka) — EBA