Wprowadzenie. Europejski Urząd Nadzoru Bankowego (EBA) w piątej opinii dotyczącej ryzyk prania pieniędzy i finansowania terroryzmu (ML/TF) przedstawił kompleksową analizę zagrożeń w sektorze finansowym UE za lata 2022–2024. Opinia uwzględnia dane z EuReCA, ankiety od organów nadzoru AML/CFT i wyniki prac EBA. Raport ma charakter wiążących wskazówek nadzorczych i powinien być traktowany przez instytucje obowiązane jako dokument referencyjny dla oceny ryzyka i planowania działań naprawczych.
1. Główne obszary podwyższonego ryzyka
a. FinTech i RegTech
- Instytucje FinTech nadal przedkładają rozwój nad zgodność z AML/CFT.
- Wysokie ryzyka obejmują brak nadzoru nad outsourcingiem, nieadekwatne CDD oraz ekspozycję na cyberprzestępczość.
- RegTech nie spełnia oczekiwań ze względu na brak testowania, niedostosowanie do profilu instytucji i niedobór kompetencji w zespołach AML.
b. Crypto i CASP
- Liczba podmiotów CASP w UE wzrosła 2,5-krotnie.
- Częste braki w zakresie identyfikacji beneficjentów rzeczywistych, nadzoru właścicielskiego oraz CDD.
- Rosnące ryzyko użycia stablecoinów w finansowaniu terroryzmu i przestępstwach podatkowych.
- Ryzyka przenikają także do instytucji płatniczych i e-money poprzez usługi typu fiat-crypto-fiat.
c. Sztuczna inteligencja i fraud
- AI wykorzystywana do fałszowania tożsamości i tworzenia „deepfake” na etapie onboardingu.
- Instytucje zgłaszają braki kadrowe i kompetencyjne w zakresie AI, co utrudnia jej bezpieczne wdrożenie.
- EBA sygnalizuje konieczność wprowadzenia AI w sposób kontrolowany, z silnym nadzorem wewnętrznym.
d. Środki ograniczające (sankcje)
- Duża liczba pakietów sankcyjnych i ich złożoność zwiększają ryzyko niezgodności.
- Ryzyko wzmacnia się w przypadku natychmiastowych przelewów SEPA oraz kart płatniczych, gdzie infrastruktura nie pozwala na skuteczny screening beneficjentów.
- Obowiązywać będą nowe wytyczne EBA (EBA/GL/2024/14 i EBA/GL/2024/15) od 30 grudnia 2025 r.
2. Ryzyka sektorowe i skuteczność kontroli
W sektorach instytucji kredytowych, zakładów ubezpieczeń na życie oraz funduszy inwestycyjnych odnotowano poprawę skuteczności systemów AML/CFT. Najwyższe poziomy ryzyka rezydualnego nadal dotyczą CASP, instytucji płatniczych oraz e-money institutions, zwłaszcza nowych podmiotów. Ponad 60% naruszeń AML wynika z nieprawidłowego CDD.
3. Dodatkowe obserwacje
Ryzyko związane z PEP pozostaje aktualne, a działania naprawcze są nadal wymagane. Coraz większe znaczenie zyskują przestępstwa środowiskowe – zwłaszcza w kontekście handlu odpadami – mimo że wiele państw członkowskich ich nie identyfikuje. Zjawisko unwarranted de-risking wyraźnie maleje dzięki wdrożeniu wytycznych EBA z 2023 r.
4. Rekomendacje dla instytucji obowiązanych
a. Zaktualizować wewnętrzne oceny ryzyka z uwzględnieniem: FinTech, RegTech, CASP, AML AI oraz sankcji.
b. Przeglądnąć i dostosować systemy CDD i monitoringu transakcji – zwłaszcza w zakresie onboardingów zdalnych.
c. Przeprowadzić testy efektywności systemów wykrywania transakcji podejrzanych z wykorzystaniem scenariuszy fraud i AI.
d. Ocenić skuteczność polityk dotyczących PEP, beneficjentów rzeczywistych i zarządzania outsourcingiem AML.
Podsumowanie. Opinia EBA wskazuje, że choć świadomość ryzyk ML/TF rośnie, poziom skuteczności kontroli AML pozostaje nierównomierny. Dla instytucji obowiązanych oznacza to konieczność wzmocnienia systemów AML/CFT, zwłaszcza tam, gdzie wdrażane są nowe technologie lub usługi. W kontekście zbliżających się obowiązków wynikających z AMLR i MiCA, przygotowanie instytucji do zgodności powinno być priorytetem na II połowę 2025 r. i 2026 r.