AML i biznes regulowany — fakty przed decyzją
Ostatnia aktualizacja: czerwiec 2026
Po co regulacja?
Regulacja może dawać zaufanie, dostęp do partnerów, możliwość skalowania i rozmowy z bankami, inwestorami albo klientami instytucjonalnymi. Ale tylko wtedy, gdy model jest ustawiony przed startem.
Czego nie załatwia sam regulamin?
Regulamin nie rozstrzyga, czy firma świadczy usługę płatniczą, przechowuje aktywa, pośredniczy w inwestowaniu, udziela finansowania albo staje się instytucją obowiązaną AML.
Kiedy trzeba się zatrzymać?
Przed onboardingiem klientów, pierwszą transakcją, przyjęciem środków, uruchomieniem portfela, platformy, produktu inwestycyjnego albo kampanii marketingowej.
AML i instytucja obowiązana
AML nie zaczyna się od procedury. Zaczyna się od pytania, czy model biznesowy w ogóle wchodzi w ustawę AML i czy klient, transakcja albo produkt tworzą ryzyko prania pieniędzy albo finansowania terroryzmu.
| Pytanie | Dlaczego ma znaczenie |
|---|---|
| Czy jesteś instytucją obowiązaną? | Nie każdy biznes ma AML. Ale płatności, krypto, inwestowanie, pożyczki, waluty, określone usługi profesjonalne albo obsługa wartości klienta mogą zmienić kwalifikację. |
| Kto jest klientem? | Inaczej wygląda AML dla konsumenta, inaczej dla spółki, funduszu, trustu, zagranicznej struktury, marketplace albo klienta wysokiego ryzyka. |
| Skąd pochodzą środki? | Source of funds i source of wealth nie są dodatkiem dla banku. Przy niektórych modelach muszą być częścią procesu onboardingu. |
| Jaki produkt oferujesz? | Portfel, wymiana, płatność, pożyczka, inwestycja, token, rachunek, karta, escrow albo marketplace mogą mieć różne konsekwencje AML. |
| Jakie kraje występują w modelu? | Państwo klienta, beneficjenta rzeczywistego, banku, emitenta, spółki i przepływu środków może zmienić poziom ryzyka. |
| Czy da się odmówić klientowi? | AML musi przewidywać sytuacje, w których nie można nawiązać relacji, trzeba ją zakończyć albo trzeba odmówić transakcji. |
AML nie powinno być dokumentem doklejonym do produktu. Jeżeli klient, pieniądz, aktywo albo inwestor są częścią modelu, AML trzeba zaprojektować razem z produktem.
KYC, sankcje i monitoring
KYC to nie tylko zebranie dokumentu. To proces, który ma pokazać, kim jest klient, kto go kontroluje, czy występuje PEP, czy są sankcje i czy transakcje pasują do profilu ryzyka.
| Obszar | Co sprawdzić |
|---|---|
| Identyfikacja klienta | Jakie dane zbierasz, kiedy je weryfikujesz, czy robisz to przed transakcją i co dzieje się, gdy klient nie dostarcza danych. |
| Beneficjent rzeczywisty | Kto faktycznie kontroluje klienta: udziałowiec, osoba decyzyjna, fundacja, trust, spółka holdingowa albo inna struktura. |
| Struktura własności | Przy spółkach, funduszach, trustach i podmiotach zagranicznych trzeba rozumieć własność i kontrolę, nie tylko pierwszy dokument rejestrowy. |
| PEP | Trzeba mieć sposób ustalania, czy klient albo beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne, członkiem rodziny albo bliskim współpracownikiem. |
| Sankcje | Screening list sankcyjnych powinien działać przy onboardingu i w trakcie relacji. Sankcje mogą dotyczyć osoby, spółki, kraju, branży albo transakcji. |
| Monitoring transakcji | Trzeba wiedzieć, co jest normalnym zachowaniem klienta, a co wymaga wyjaśnienia, blokady, eskalacji albo zgłoszenia. |
| Zawiadomienia i eskalacja | Procedura powinna pokazywać, kto decyduje o zgłoszeniu, kto dokumentuje sprawę i kiedy relacja z klientem nie może być kontynuowana. |
| Szkolenia i odpowiedzialność | Zespół musi wiedzieć, co robić w praktyce. AML bez osoby odpowiedzialnej, szkoleń i dokumentów zwykle nie działa pod presją. |
Najgorszy AML to taki, który działa tylko w pliku PDF. Przy realnym produkcie trzeba wiedzieć, kto sprawdza klienta, kto widzi alert, kto podejmuje decyzję i co zostaje w dokumentach.
Płatności i pieniądz elektroniczny
W płatnościach najważniejsze pytanie brzmi: czy firma tylko korzysta z infrastruktury płatniczej, czy sama świadczy usługę regulowaną wobec klienta.
| Model | Co sprawdzić |
|---|---|
| Przyjmowanie płatności | Czy jesteś tylko sprzedawcą korzystającym z operatora płatności, agentem, pośrednikiem, platformą czy dostawcą usługi płatniczej. |
| MIP | Mała instytucja płatnicza może być sposobem na start w ograniczonej skali, ale wymaga wpisu do rejestru i ma ograniczenia zakresu oraz wolumenu. |
| KIP | Krajowa instytucja płatnicza pozwala na szerszy model, ale oznacza pełniejszy proces zezwoleniowy, dokumenty, kapitał, organizację i nadzór. |
| PIS | Inicjowanie płatności wymaga sprawdzenia, czy produkt tylko przekierowuje użytkownika, czy faktycznie inicjuje transakcję płatniczą. |
| AIS | Dostęp do informacji o rachunku może być usługą regulowaną, nawet jeśli produkt wygląda jak analityka finansowa albo dashboard. |
| Pieniądz elektroniczny | Saldo, portfel, prepaid, stored value albo wydawanie wartości pieniężnej może wejść w reżim pieniądza elektronicznego. |
| Agent albo partner regulowany | Model z partnerem może skrócić start, ale trzeba sprawdzić odpowiedzialność, marketing, AML, dane, reklamację i relację z klientem. |
Nie każdy fintech potrzebuje od razu pełnej licencji. Ale każdy fintech powinien wiedzieć, gdzie kończy się korzystanie z infrastruktury, a zaczyna własna usługa regulowana.
CASP i kryptoaktywa
W krypto nie wystarczy zapytać, czy projekt ma token. Trzeba sprawdzić, czy świadczy usługę na kryptoaktywach wobec klienta.
| Usługa | Co sprawdzić |
|---|---|
| Custody | Czy projekt przechowuje kryptoaktywa klienta, kontroluje klucze albo ma realny dostęp do aktywów. |
| Wymiana | Czy model obejmuje wymianę krypto na fiat, fiat na krypto albo krypto na krypto. |
| Transfer | Czy projekt wykonuje transfery kryptoaktywów w imieniu klienta. |
| Platforma obrotu | Czy projekt prowadzi miejsce, w którym strony mogą zawierać transakcje na kryptoaktywach. |
| Doradztwo | Czy rekomendacje dotyczące kryptoaktywów są elementem produktu, marketingu albo obsługi klienta. |
| Zarządzanie portfelem | Czy klient przekazuje decyzje inwestycyjne albo zarządzanie ekspozycją na krypto projektowi. |
| MiCA i okres przejściowy | Dla podmiotów działających w Polsce szczególnie ważne jest, czy mogą działać przejściowo i co stanie się po 1 lipca 2026 r. |
| Passporting | Jeżeli usługi mają być świadczone w kilku państwach UE, trzeba zaplanować zakres autoryzacji, notyfikację i kraje działania. |
CASP to nie jest pytanie o technologię. To pytanie o usługę świadczoną klientowi: kto trzyma aktywa, kto wykonuje transfer, kto prowadzi obrót i kto odpowiada za relację z użytkownikiem.
ASI, inwestorzy i crowdfunding
Nie każda spółka zbierająca pieniądze od inwestorów jest zwykłą spółką projektową. Jeżeli kapitał jest zbierany od wielu osób i inwestowany według określonej polityki, trzeba sprawdzić, czy model nie wchodzi w regulację inwestycyjną.
| Model | Co sprawdzić |
|---|---|
| ASI / ZASI | Czy zbierasz kapitał od inwestorów i inwestujesz według polityki inwestycyjnej. Jeżeli tak, może pojawić się temat alternatywnej spółki inwestycyjnej i zarządzającego ASI. |
| Klub inwestorski | Sama nazwa „klub” nie przesądza, że nie ma regulacji. Trzeba sprawdzić, kto decyduje, kto inwestuje i czy uczestnicy oczekują wspólnej polityki inwestycyjnej. |
| SPV inwestycyjne | Spółka celowa może być zwykłym wehikułem transakcyjnym albo w praktyce modelem zbiorowego inwestowania. |
| Crowdfunding | Jeżeli platforma łączy przedsiębiorców i inwestorów w celu finansowania projektów, trzeba sprawdzić, czy nie jest potrzebne zezwolenie dostawcy usług finansowania społecznościowego. |
| Real estate / private credit | Modele nieruchomościowe, pożyczkowe i dłużne często wyglądają prosto biznesowo, ale mogą łączyć inwestowanie, pośrednictwo, pożyczki i marketing do inwestorów. |
| Tokenizacja inwestycji | Token nie usuwa regulacji inwestycyjnej. Może tylko dodać warstwę krypto, AML i MiCA do problemu funduszowego. |
| Marketing do inwestorów | Pitch deck, strona, webinar, newsletter albo community mogą stać się elementem oferty inwestycyjnej, nawet jeśli projekt mówi o „społeczności”. |
Samo nazwanie modelu klubem, społecznością, SPV albo tokenizacją nie rozstrzyga sprawy. Ważne jest, czy zbierasz kapitał, kto nim zarządza, według jakiej polityki i co obiecujesz inwestorom.
Pożyczki, konsumenci i dane
Modele lendingowe i konsumenckie często wyglądają jak produkt technologiczny. W praktyce mogą łączyć kredyt konsumencki, płatności, dane, scoring, reklamę, ochronę konsumenta i obowiązki sprawozdawcze.
| Model | Co sprawdzić |
|---|---|
| Pożyczki konsumenckie | Czy firma musi być wpisana do rejestru instytucji pożyczkowych i czy spełnia wymogi kapitałowe, organizacyjne i sprawozdawcze. |
| BNPL | Odroczona płatność może dotykać kredytu konsumenckiego, płatności, pośrednictwa, kosztów pozaodsetkowych i informacji dla klienta. |
| Marketplace finansowy | Czy platforma tylko pokazuje oferty, czy pośredniczy, rekomenduje, scoringuje, przekazuje wnioski albo wpływa na decyzję finansową. |
| Scoring | Jeżeli produkt ocenia klienta, trzeba sprawdzić dane, profilowanie, automatyczne decyzje, przejrzystość i możliwość zakwestionowania wyniku. |
| RODO i dane finansowe | Dane o rachunkach, transakcjach, dochodzie, ryzyku, zadłużeniu albo zachowaniu klienta wymagają jasnej podstawy, retencji i bezpieczeństwa. |
| Ochrona konsumenta | Regulaminy, reklamy, opłaty, formularze, odstąpienie, reklamacje i jasność kosztów trzeba ustawić przed kampanią marketingową. |
| Zmiana modelu | Nowa grupa klientów, nowy kraj, nowa funkcja albo nowy partner może zmienić kwalifikację regulacyjną. |
W biznesie konsumenckim ryzyko pojawia się często przed pierwszą reklamacją. To, co marketing nazywa prostym produktem, prawnie może być połączeniem finansowania, danych, płatności i ochrony konsumenta.
Najważniejsze odpowiedzi
Czy każda firma fintech potrzebuje zezwolenia?
Nie. Ale trzeba sprawdzić, czy model obejmuje usługę płatniczą, pieniądz elektroniczny, kredyt, inwestowanie, kryptoaktywa, pośrednictwo albo AML.
Czy MIP wystarczy zamiast KIP?
Czasem tak, jeżeli skala i zakres działalności mieszczą się w ograniczeniach MIP. Jeżeli model ma szybko rosnąć, trzeba wiedzieć, kiedy MIP przestaje wystarczać.
Czy AML dotyczy tylko banków?
Nie. AML może dotyczyć wielu podmiotów, w tym płatności, krypto, inwestowania, walut, pożyczek, określonych usług profesjonalnych i modeli obsługujących wartość klienta.
Czy można działać na licencji partnera?
Czasem tak, ale partner regulowany nie rozwiązuje wszystkiego. Trzeba sprawdzić odpowiedzialność, marketing, AML, dane, reklamacje i relację z klientem.
Kiedy potrzebny jest CASP?
Gdy projekt świadczy usługi na kryptoaktywach, takie jak custody, wymiana, transfer, platforma obrotu, doradztwo albo zarządzanie portfelem krypto.
Czy ASI dotyczy tylko klasycznych funduszy?
Nie tylko. Ryzyko ASI albo ZASI może pojawić się, gdy zbierasz kapitał od inwestorów i inwestujesz według określonej polityki.
Czy crowdfunding wymaga zezwolenia?
Jeżeli platforma świadczy usługi finansowania społecznościowego na cele gospodarcze, trzeba sprawdzić, czy potrzebne jest zezwolenie i czy model mieści się w regulacji crowdfundingowej.
Co sprawdzić przed startem biznesu regulowanego?
Najpierw AML, kwalifikację usługi, wpis albo zezwolenie, przepływ pieniędzy, klienta, dane, partnerów, marketing i odpowiedzialność zarządu.
Zanim zdecydujesz, porozmawiajmy.
Opisz produkt, klientów, przepływ pieniędzy, kraje działania, partnerów, onboarding i planowany model regulacyjny.
Wrócimy z informacją, co warto sprawdzić najpierw: AML, MIP, KIP, CASP, ASI, crowdfunding, pożyczki, e-money, dane albo model z partnerem regulowanym.