KYC krok po kroku: jak prawidłowo zidentyfikować klienta i nie narazić się na karę

Know Your Customer - "poznaj swojego klienta" - to fundament każdego systemu AML. W teorii proste. W praktyce pełne pułapek: kiedy wystarczy podstawowa weryfikacja, kiedy trzeba stosować rozszerzoną, co zrobić z klientem, który odmawia podania dokumentów. Przewodnik krok po kroku dla wszystkich instytucji obowiązanych.

Wprowadzenie

KYC to nie jednorazowe sprawdzenie dokumentu przy otwarciu konta. To ciągły proces - od pierwszego kontaktu z klientem, przez całą relację biznesową. Instytucje, które traktują KYC jako "jednorazową formalność przy onboardingu", popełniają błąd, który może kosztować je miliony złotych kary.

Oto jak KYC powinno działać w praktyce - krok po kroku, dla klientów indywidualnych i korporacyjnych.

Krok 1: Identyfikacja - zebranie danych

Dla klienta indywidualnego minimalne dane to: imię i nazwisko, obywatelstwo, data i miejsce urodzenia, numer PESEL (lub inny numer identyfikacyjny), seria i numer dokumentu tożsamości, adres zamieszkania.

Dla klienta będącego osobą prawną (spółką): nazwa firmy, forma prawna, numer KRS/CEIDG, NIP, adres siedziby, dane osób reprezentujących i - kluczowe - dane beneficjentów rzeczywistych.

Co ważne: dane muszą być nie tylko zebrane, ale i zweryfikowane. Weryfikacja może nastąpić przez okazanie oryginału dokumentu, przez porównanie z danymi w rejestrach publicznych (KRS, CEIDG, CRBR) lub - coraz częściej - przez systemy biometrycznej weryfikacji online.

Krok 2: Ocena ryzyka - CDD, SDD i EDD

Po zebraniu danych następuje ocena ryzyka klienta. To decyduje, jakie środki należy zastosować:

SDD (Simplified Due Diligence - uproszczona należyta staranność): stosowana wobec klientów niskiego ryzyka - np. instytucji publicznych, spółek giełdowych z regulowanych rynków.

CDD (Customer Due Diligence - standardowa należyta staranność): podstawowa procedura dla większości klientów. Weryfikacja danych, ustalenie celu relacji biznesowej, ocena profilu ryzyka.

EDD (Enhanced Due Diligence - rozszerzona należyta staranność): obowiązkowa dla klientów wysokiego ryzyka. Kiedy stosować EDD? Przy klientach z krajów trzeciego ryzyka (lista FATF), przy PEP (osobach zajmujących eksponowane stanowiska polityczne), przy transakcjach niezwykłych lub skomplikowanych bez oczywistego uzasadnienia.

EDD oznacza głębszą weryfikację: źródło majątku i środków, dodatkowe referencje, zatwierdzenie przez wyższe kierownictwo, wzmożony monitoring transakcji.

Krok 3: Ustalenie beneficjenta rzeczywistego - najtrudniejszy element

Beneficjent rzeczywisty to osoba fizyczna, która faktycznie sprawuje kontrolę nad klientem - poprzez bezpośrednie lub pośrednie posiadanie udziałów, prawa głosu lub inne środki kontroli. To nie zawsze jest oczywiste, szczególnie przy skomplikowanych strukturach właścicielskich.

Polska ustawa AML definiuje beneficjenta rzeczywistego jako osobę posiadającą ponad 25% udziałów lub praw głosu - bezpośrednio lub pośrednio. Jeśli nie można zidentyfikować takiej osoby, beneficjentem jest wyższe kierownictwo (np. zarząd).

Pułapka: nie wystarczy wziąć danych z rejestru CRBR (Centralny Rejestr Beneficjentów Rzeczywistych). Nowe przepisy - i już teraz dobre praktyki - wymagają weryfikacji, czy dane w CRBR są aktualne i zgodne z rzeczywistością. Znane są przypadki, gdzie rejestr zawierał nieaktualne dane, a instytucja, która się na nim oparła bezkrytycznie, poniosła odpowiedzialność.

Krok 4: Monitorowanie ciągłe - KYC nie kończy się przy onboardingu

Po zawarciu relacji biznesowej obowiązek KYC nie wygasa. Konieczne jest:

regularne odświeżanie danych klienta (częstotliwość zależy od kategorii ryzyka),
monitoring transakcji pod kątem zgodności z profilem klienta,
reagowanie na zmiany w statusie klienta (np. objęcie PEP, nałożenie sankcji),
dokumentowanie wszystkich kroków.

Co do dokumentacji: ustawa wymaga przechowywania dokumentów przez 5 lat od zakończenia relacji biznesowej. W nowym rozporządzeniu AML UE ten wymóg jest potwierdzony i doprecyzowany.

Krok 5: Co zrobić, gdy klient odmawia współpracy

Jeśli klient odmawia podania wymaganych informacji - nie wolno nawiązać relacji biznesowej. Jeśli klient już jest w portfelu i odmawia odświeżenia danych - należy rozważyć zakończenie relacji i zgłoszenie do GIIF.

Brzmi radykalnie? Jest to wymóg prawny. Instytucja, która utrzymuje relację z klientem, którego nie może zidentyfikować, naraża się na poważne sankcje.

Podsumowanie

KYC to proces, nie formularz. Wymaga zbierania danych, weryfikowania ich, oceniania ryzyka i ciągłego monitorowania. Błędy kosztują - finansowo i reputacyjnie.

Kluczowe pytanie dla każdej instytucji obowiązanej: czy masz udokumentowane, powtarzalne procesy KYC - czy polegasz na indywidualnym osądzie pracownika, który może jutro zmienić pracę?