CRBR po prawie 5 latach: 650 tys. podmiotów, 376 kar w 2023 r., reforma dostępu od 2025 r.

Najważniejsze fakty

• Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) działa od 13 października 2019 roku na podstawie ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu
• W rejestrze znajduje się ponad 650 000 podmiotów, w tym ponad 480 000 spółek z ograniczoną odpowiedzialnością, ponad 50 000 stowarzyszeń i ponad 23 000 fundacji
• W 2023 roku dokonano 247 726 zgłoszeń do rejestru
• W 2023 roku nałożono 376 kar pieniężnych na łączną kwotę 4 363 900 zł, z czego maksymalna kara wyniosła 150 000 zł
• 371 kar (98,7%) nałożono za brak wpisu, jedynie 5 kar za dane niezgodne ze stanem faktycznym
• Od 2022 roku do połowy 2024 zweryfikowano ponad 50 000 zgłoszeń, wysłano ponad 15 000 pism wzywających do korekty
• 7 kwietnia 2025 roku przedstawiono projekt zmian ustawy AML, a 10 lipca 2025 roku oczekiwany jest termin wdrożenia zmian zgodnie z prawem UE
• Dostęp do rejestru będzie wymagał wykazania uzasadnionego interesu - to reakcja na wyrok TSUE z 22 listopada 2022 roku

Podstawa prawna i zarządzanie CRBR

Centralny Rejestr Beneficjentów Rzeczywistych funkcjonuje na podstawie ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz.U. 2025 poz. 644), konkretnie art. 55 i następnych. System rozpoczął działalność 13 października 2019 roku jako system teleinformatyczny zarządzany przez Ministerstwo Finansów. Rejestr pozostaje bezpośrednio do dyspozycji Krajowej Administracji Skarbowej (KAS) i Generalnego Inspektora Informacji Finansowej (GIIF), którzy wykorzystują go w działaniach kontrolnych i analitycznych. To kluczowe narzędzie w walce z praniem pieniędzy, finansowaniem terroryzmu i innymi przestępstwami finansowymi.

Imponujące statystyki - ponad 650 tysięcy podmiotów w rejestrze

Po prawie pięciu latach działania CRBR zgromadził dane o ponad 650 000 podmiotach. Struktura rejestru pokazuje wyraźną dominację określonych form prawnych. Ponad 480 000 stanowią spółki z ograniczoną odpowiedzialnością, co odpowiada najpopularniejszej formie prowadzenia działalności gospodarczej w Polsce. Na dalszych pozycjach znajdują się ponad 50 000 stowarzyszeń wpisanych do KRS oraz ponad 23 000 fundacji. Pozostałe wpisy dotyczą innych spółek - akcyjnych, komandytowych, jawnych, a także trustów i innych struktur prawnych objętych obowiązkiem rejestracji. Sam 2023 rok przyniósł 247 726 zgłoszeń do rejestru, co świadczy o dynamicznym rozwoju polskiej gospodarki i świadomości obowiązków prawnych wśród przedsiębiorców.

Kontrole i kary - dane z lat 2022-2024

Od 2022 roku do połowy 2024 zweryfikowano ponad 50 000 zgłoszeń, co stanowi około 7,7% wszystkich wpisów w rejestrze. Kontrole ujawniły liczne nieprawidłowości - w wyniku weryfikacji wysłano ponad 15 000 pism wzywających do korekty danych. Najpoważniejsze przypadki zaniedbań skutkowały wszczęciem postępowań administracyjnych. Przeprowadzono ponad 1 000 postępowań administracyjnych zakończonych nałożeniem kar, a dodatkowo ponad 100 postępowań wyjaśniających w sprawach wymagających dodatkowej analizy. W samym 2023 roku wszczęto 51 postępowań na podstawie art. 61b ustawy AML, które zakończyły się nałożeniem 376 kar pieniężnych. Suma wszystkich kar wyniosła 4 363 900 zł, przy czym maksymalna nałożona kara osiągnęła 150 000 zł. Warto podkreślić, że maksymalna możliwa kara według art. 153 ustawy AML wynosi 1 000 000 zł - może być nałożona za niedopełnienie obowiązku zgłoszenia lub zgłoszenie nieprawdziwych danych. Struktura kar pokazuje główny problem: 371 kar (98,7% wszystkich) nałożono za całkowity brak wpisu w rejestrze, a jedynie 5 kar za dane niezgodne ze stanem faktycznym. To wskazuje, że największym wyzwaniem pozostaje niska świadomość obowiązku rejestracji, a nie celowe podawanie fałszywych informacji.

Kto musi się zgłosić i w jakim terminie

Obowiązek zgłoszenia beneficjentów rzeczywistych do CRBR spoczywa na szerokiej grupie podmiotów. Należą do nich spółki kapitałowe (z o.o., S.A., proste spółki akcyjne), spółki osobowe (jawne, komandytowe, komandytowo-akcyjne, partnerskie), a także fundacje i stowarzyszenia wpisane do KRS. Od 31 października 2021 roku obowiązek objął również spółdzielnie i trusty, a także europejskie zgrupowania interesów gospodarczych. Kluczowy jest termin dokonania zgłoszenia: podmiot ma 7 dni roboczych od wpisu do KRS lub od momentu zmiany danych beneficjenta rzeczywistego. W przypadku wykrycia błędu obowiązuje 14-dniowy termin na dokonanie korekty. Informacja o beneficjencie rzeczywistym (BO) musi zawierać: imię i nazwisko, obywatelstwo, państwo zamieszkania, numer PESEL (lub datę urodzenia dla cudzoziemców), charakter relacji własnościowych z podmiotem oraz wielkość i charakter posiadanego udziału lub uprawnień.

Zmiany w dostępie do rejestru - od publicznego do ograniczonego

Pierwotnie CRBR zakładał dostęp publiczny dla wszystkich zainteresowanych, co miało służyć przejrzystości obrotu gospodarczego. Sytuacja uległa jednak radykalnej zmianie po wyroku Trybunału Sprawiedliwości Unii Europejskiej z 22 listopada 2022 roku (sprawa C-37/20 i C-601/20). TSUE stwierdził, że przepisy 5. dyrektywy AML dotyczące publicznego dostępu naruszają prawo do prywatności i ochrony danych osobowych. W odpowiedzi na ten wyrok w lipcu 2024 roku Ministerstwo Finansów zapowiedziało zmiany wymagające wykazania uzasadnionego interesu przy dostępie do danych. 7 kwietnia 2025 roku przedstawiono projekt zmian ustawy AML, a 10 lipca 2025 roku oczekiwany jest termin wdrożenia zmian zgodnie z prawem UE. Nowe przepisy oznaczają, że dostęp nie będzie już automatyczny - konieczne będzie uzasadnienie, dlaczego dana osoba lub instytucja potrzebuje informacji o beneficjentach rzeczywistych.

Reforma CRBR w kontekście przepisów unijnych

Zmiany w polskim CRBR wpisują się w szerszą reformę przepisów AML na poziomie Unii Europejskiej. Kluczowe są regulacje AMLD6 Preventive (dyrektywa 2024/1640), które ustanawiają nowe ramy funkcjonowania rejestrów beneficjentów rzeczywistych. 10 lipca 2026 roku wejdą w życie przepisy dotyczące rejestrów BO w UE, a 10 lipca 2027 roku nastąpi pełne wdrożenie wszystkich wymogów dyrektywy. Istotną nowością jest połączenie krajowych rejestrów przez Europejską Centralną Platformę (ECP), która umożliwi transgraniczną wymianę informacji. Nowe wymogi koncentrują się na koncepcji uzasadnionego interesu. Dostęp do danych będą miały przede wszystkim podmioty obowiązane (banki, instytucje finansowe), ale także dziennikarze i organizacje pozarządowe - pod warunkiem wykazania konkretnego powodu zapytania. Nie wystarczy już proste złożenie wniosku - konieczne będzie ujawnienie powodu zapytania i wykazanie związku z działalnością wnioskodawcy.

Wyzwania i problemy polskiego CRBR

Mimo imponujących statystyk CRBR boryka się z poważnymi wyzwaniami dotyczącymi jakości danych. Zweryfikowano tylko około 50 000 z 650 000 zgłoszeń, czyli 7,7% całego rejestru. Co więcej, w około 30% sprawdzanych zgłoszeń wykryto błędy, co stawia pod znakiem zapytania wiarygodność pozostałych, niezweryfikowanych wpisów. Szczególnym problemem jest trudność weryfikacji beneficjentów zagranicznych, gdzie polskie organy mają ograniczone możliwości kontroli prawdziwości danych. Identyfikacja realnego beneficjenta trustów off-shore i rozplątywanie sztucznych struktur własnościowych wymaga współpracy międzynarodowej i zaawansowanych narzędzi analitycznych. Niska świadomość obowiązków prawnych pozostaje największym wyzwaniem. Wielu przedsiębiorców przez kilka miesięcy nie zgłasza beneficjentów rzeczywistych po zarejestrowaniu firmy, a jeszcze częściej dochodzi do zaniedbania obowiązku korekty przy zmianach w strukturze właścicielskiej. Niewystarczające informowanie o sankcjach powoduje, że część podmiotów traktuje obowiązek zgłoszenia jako opcjonalny. Instytucje obowiązane, takie jak banki i pośrednicy finansowi, traktują CRBR jako główne źródło weryfikacji beneficjentów rzeczywistych w ramach procedur KYC (Know Your Customer). Jednak przepisy wymagają obowiązku skrzyżowania danych z innymi źródłami, gdyż niedoszacowanie ryzyka przy poleganiu wyłącznie na CRBR może prowadzić do nieprawidłowej oceny klienta i narażenia na odpowiedzialność regulacyjną.