Joanna Grynfelder
compliance/ aml/ sankcje/ data protection/ risk management
12 czerwca 2026
„Zachodni” LinkedIn żył wczoraj wyrokiem TSUE, a w przestrzeni publicznej pojawiły się komentarze, że „banki nie mogą odmawiać nawiązania relacji z klientami z listy OFAC”.
Temat deriskingu wrócił ze zdwojoną mocą, ale wspomniany wyrok z 11 czerwca 2026 r. nie odbiera instytucjom finansowym prawa do odmowy otwarcia rachunku klientowi z listy sakcyjnej OFAC ale oznacza zmianę nie tyle apetytu na ryzyko, ile sposobu, w jaki decyzja odmowna musi zostać wyprowadzona, udokumentowana i obroniona.
Sprawa C-81/24 dotyczyła konkretnej sytuacji: bank odmówił otwarcia podstawowego rachunku płatniczego konsumentowi legalnie przebywającemu w UE, ponieważ jego nazwisko znajdowało się na liście sankcyjnej OFAC. Zakres wyroku jest więc węższy, niż wynikałoby z części wczorajszych komentarzy, ale jego znaczenie może być jednak znacznie szersze, bowiem TSUE przypomniał istotę podejścia opartego na analizie ryzyka: czynnik ryzyka nie jest jeszcze wynikiem oceny, a kategoria klienta nie może automatycznie zastąpić analizy danej relacji.[1]
Warto przy tym spojrzeć również z perspektywy banków. W praktyce można dziś obserwować odmowy nawiązywania relacji z osobami powiązanymi z państwami trzecimi wysokiego ryzyka, a także automatyczne wykluczanie osób posiadających status PEP, członków ich rodzin i bliskich współpracowników (RCA). Obsługa takich relacji wymaga stosowania wzmożonych środków bezpieczeństwa finansowego, pozyskiwania dodatkowych informacji, ustalania źródła majątku i środków, uzyskiwania zgód wyższego szczebla oraz prowadzenia intensywniejszego monitoringu. To oznacza większe koszty, bardziej złożone procesy i wyższą odpowiedzialność regulacyjną. Banki oraz inne instytucje obowiązane działają przy tym w warunkach wyraźnej asymetrii ryzyka: przyjęcie klienta może skutkować zarzutem niedostatecznego wykonania obowiązków AML/CFT, sankcjami oraz problemami w relacjach korespondenckich. Odmowa często wydaje się więc rozwiązaniem bezpieczniejszym, a takie ryzyko braku zgodności jest przez banki akceptowane.
Indywidualna analiza klientów, dodatkowe poziomy eskalacji, udział analityków i MLRO, częstsza aktualizacja danych, wzmożony monitoring oraz przebudowa modeli scoringowych oznaczają konkretne nakłady organizacyjne, finansowe, technologiczne i kadrowe.
Banki już dziś ponoszą coraz większe koszty uczestnictwa w systemie AML/CFT, a wymagania regulacyjne nadal rosną. Z tej perspektywy automatyzacja procesów jest zrozumiała, a często wręcz niezbędna. Przy dużej skali działalności każda indywidualna analiza zwiększa koszt obsługi klienta, który nie zawsze jest możliwy do odzyskania ekonomicznie. Można więc zrozumieć, dlaczego część instytucji wybiera prostszy model: automatyczną odmowę i zaakceptowanie ryzyka skargi lub sporu z klientem, zarzutu wykluczenia finansowego czy szkody reputacyjnej. Z biznesowego punktu widzenia ryzyka te mogą być oceniane jako mniej dotkliwe niż ryzyko naruszenia obowiązków AML/CFT, sankcji nadzorczych albo utraty ważnej relacji korespondenckiej. To tłumaczy, dlaczego powstają automatyczne reguły wykluczające, ale nie zawsze je uzasadnia. Właśnie tutaj przebiega granica wskazana przez TSUE i EBA: rygorystyczne wymogi mogą uzasadniać wzmożoną kontrolę, a w konkretnych przypadkach również odmowę, lecz nie powinny prowadzić do automatycznego wykluczania całych kategorii klientów bez indywidualnej oceny.
Stan faktyczny: lista OFAC zamiast oceny klienta
W 2022 r. słoweński bank odmówił konsumentowi otwarcia podstawowego rachunku płatniczego z powodu umieszczenia jego nazwiska w wykazie amerykańskiego Office of Foreign Assets Control. Klient nie był objęty sankcjami Organizacji Narodów Zjednoczonych, Unii Europejskiej ani Słowenii i nie został skazany za czyn, który legł u podstaw wpisu na listę OFAC. Zwrócił się więc do sądu o nakazanie bankowi otwarcia rachunku.
Pytanie prejudycjalne dotyczyło relacji między prawem konsumenta do podstawowego rachunku płatniczego a obowiązkami AML/CFT. Dyrektywa 2014/92/UE przyznaje konsumentom legalnie przebywającym w Unii prawo do otwarcia i używania takiego rachunku. Jednocześnie nakazuje odmowę, gdy jego otwarcie prowadziłoby do naruszenia przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Bank musi więc pogodzić dwa obowiązki: zapewnić realny dostęp do podstawowej usługi oraz nie nawiązać relacji, której prowadzenie byłoby niezgodne z AML/CFT.[2]
To nie jest konflikt między ochroną konsumenta a bezpieczeństwem systemu finansowego. Oba cele są elementami prawa Unii oraz przepisów krajowych. Spór dotyczy sposobu ustalenia, kiedy ryzyko rzeczywiście prowadzi do prawnego obowiązku albo dopuszczalności odmowy, a kiedy pozostaje ryzykiem, którym należy zarządzać.
Co TSUE powiedział o OFAC
Sankcje OFAC nie obowiązują bezpośrednio w danym państwie UE. Nie oznacza to jednak, że europejskie banki mogą je ignorować. Jeżeli korzystają z amerykańskiego systemu finansowego, rozliczeń dolarowych, banków korespondentów lub usług podmiotów podlegających jurysdykcji USA, muszą liczyć się z wymaganiami OFAC. W praktyce respektowanie amerykańskich sankcji może być warunkiem utrzymania dostępu do tych usług i relacji.
Jednak najważniejsza teza wyroku jest precyzyjna: samo umieszczenie klienta na liście OFAC lub podobnym wykazie sporządzonym przez państwo trzecie nie powoduje automatycznego zakazu nawiązania relacji przez bank. Wpis może być natomiast jednym z istotnych czynników, które należy uwzględnić w indywidualnej ocenie ryzyka prania pieniędzy i finansowania terroryzmu.
Trybunał nie uznał więc informacji z OFAC za nieistotną ani niewiarygodną. Zakwestionował automatyzm decyzyjny: przejście bez dodatkowego rozumowania od wyniku screeningu do odmowy. Różnica ma znaczenie praktyczne. Screening identyfikuje sygnał wymagający analizy; nie powinien sam pełnić funkcji decyzji prawnej.
Ryzyko braku zgodności wynikające z deriskingu
Przez lata derisking był przedstawiany niemal wyłącznie jako sposób ograniczania ryzyka. Wyrok C-81/24 pokazuje drugą stronę tego mechanizmu: nadmiernie uproszczony model odmowy może sam generować ryzyko prawne, konsumenckie, nadzorcze i reputacyjne. Nie oznacza to, że bank ma przyjmować ryzyko, którym nie potrafi zarządzać. Oznacza, że powinien umieć wykazać różnicę między ryzykiem podwyższonym, a nieakceptowalnym oraz pomiędzy trudnością obsługi, a rzeczywistą niemożnością zastosowania skutecznych i proporcjonalnych środków bezpieczeństwa finansowego.
Granica między skutecznym zarządzaniem ryzykiem a nieuzasadnionym deriskingiem przebiega przez indywidualizację oceny, proporcjonalność środków i możliwość odtworzenia rzeczywistych powodów decyzji. EBA posługuje się pojęciem „zmniejszania ekspozycji na ryzyko” i obejmuje nim zarówno odmowę lub zakończenie relacji z indywidualnym klientem, jak i wykluczanie kategorii klientów powiązanych z wyższym ryzykiem AML/CFT, a także odmowę wykonania transakcji o wyższym ryzyku. Sama odmowa nie jest zatem synonimem naruszenia. Problemem staje się dopiero odmowa schematyczna, nieproporcjonalna albo niepoprzedzona rzeczywistą oceną dostępnych sposobów ograniczenia ryzyka.[3]
Kiedy odmowa nadal jest dopuszczalna
Wyrok nie zamyka bankowi drogi do odmowy nawiązania relacji z klientem. Trybunał przyjął, że po konkretnej, zindywidualizowanej ocenie instytucja może dojść do wniosku, iż nie jest w stanie skutecznie zarządzać ryzykiem AML/CFT związanym z relacją z osobą z listy OFAC za pomocą środków proporcjonalnych do charakteru i wielkości banku. Dopiero w takim przypadku odmowa może być prawnie uzasadniona. [4]
Podwyższone ryzyko nie jest jednak tym samym co brak możliwości zastosowania środków bezpieczeństwa finansowego.
Jak tym zarządzić? W praktyce test zgodności decyzji odmownej o nawiązaniu stosunków gospodarczych z klientem powinien obejmować trzy podstawowe kwestie. Po pierwsze, jaki poziom ryzyka inherentnego wiąże się z danym czynnikiem ryzyka (tu umieszczenie na liście OFAC)? Po drugie, jakie proporcjonalne środki i mechanizmy mogą to ryzyko ograniczyć? Po trzecie, jak wygląda ryzyko rezydualne dla takiej relacji I dlaczego zastosowane środki mitygujące ryzyko są niewystarczające lub niemożliwe do zastosowania?
EBA: kategoria ryzyka jest początkiem analizy
Wytyczne EBA/GL/2023/04 tworzą dla wyroku ważny kontekst. Instytucje powinny odróżniać ryzyko związane z kategorią klientów od ryzyka konkretnej osoby należącej do tej kategorii. Ich strategie, procedury i mechanizmy kontrolne nie powinny prowadzić do ogólnej odmowy albo zakończenia relacji z całymi kategoriami klientów uznanymi za bardziej ryzykowne.[5]
Przed odmową lub zakończeniem relacji instytucja powinna rozważyć i odrzucić wszystkie środki ograniczające ryzyko, które można racjonalnie zastosować w danym przypadku. EBA wymienia dostosowanie intensywności monitoringu oraz, jeżeli pozwala na to prawo krajowe, ukierunkowane ograniczenia produktów lub usług. W odniesieniu do podstawowego rachunku płatniczego należy dodatkowo uwzględnić, że jego ograniczone funkcje same zmniejszają możliwość nadużycia. Przy czym szczegółowy katalog limitów z pkt 21 wytycznych EBA nie jest uniwersalną listą środków dla każdego klienta. Punkt ten dotyczy klientów szczególnie podatnych na zagrożenia, opisanych w pkt 19, i odsyła do ograniczeń z pkt 20. Ogólna zasada pozostaje jednak szersza: zamiast automatycznego wykluczenia należy rozważyć indywidualne i proporcjonalne dostosowanie monitoringu, produktu lub sposobu korzystania z usługi.[6]
EBA wymaga także dokumentowania każdej decyzji o odmowie lub zakończeniu relacji wraz z uzasadnieniem, która powinna zawierać informacje o ocenionych czynnikach, jakie środki rozważono i dlaczego ich nie zastosowano lub były nieskuteczne.[7]
Czego wyrok nie rozstrzyga
Nie ustanawia obowiązku akceptacji każdego klienta wysokiego ryzyka. Bank może odmówić, gdy po indywidualnej ocenie wykaże, że nie potrafi skutecznie zarządzać konkretnym ryzykiem za pomocą proporcjonalnych środków.
Nie obejmuje bezpośrednio wszystkich produktów i wszystkich klientów. Rozstrzygnięcie dotyczy konsumenta i podstawowego rachunku płatniczego. Przenoszenie jego tez na kredyt, bankowość prywatną, usługi inwestycyjne albo rachunki przedsiębiorców wymaga dodatkowej podstawy w przepisach AML/CFT, wytycznych EBA lub prawie sektorowym.
Nie zakazuje automatyzacji. Systemy screeningowe i scoringowe mogą wykrywać ryzyko, porządkować sprawy i inicjować eskalację. Problem pojawia się wtedy, gdy techniczny sygnał staje się ostateczną odmową bez możliwości merytorycznej weryfikacji. EBA odnosi ten zakaz automatycznego odrzucania wprost do cyfrowego onboardingu podstawowych rachunków płatniczych.[8]
Nie znosi apetytu na ryzyko. Instytucja nadal może definiować ryzyko akceptowalne i nieakceptowalne. Apetyt na ryzyko jest jednak wewnętrznym narzędziem zarządzania, a nie samodzielną ustawową przesłanką odmowy tam, gdzie prawo przyznaje klientowi dostęp do podstawowej usługi.
PEP, geografia i sektory wysokiego ryzyka
Argumentacja z omawianego wyroku TSUE ma znaczenie dla innych kategorii klientów, ale należy wyraźnie oddzielić analogię od bezpośredniego skutku wyroku.
W przypadku PEP kierunek regulacyjny jest szczególnie czytelny. Obecne przepisy wymagają wzmożonych środków, a przyszłe rozporządzenie AMLR stwierdza w motywie 98 wprost, że odmowa relacji wyłącznie z powodu statusu PEP, członka rodziny lub bliskiego współpracownika jest sprzeczna z literą i duchem rozporządzenia. Trzeba jednak pamiętać o dacie: AMLR będzie co do zasady stosowane od 10 lipca 2027 r., a więc w dniu publikacji wyroku nie jest jeszcze podstawą bieżącego obowiązku.[9]
Podobna ostrożność jest potrzebna wobec klientów z branży aktywów wirtualnych, organizacji pozarządowych, dostawców usług płatniczych lub podmiotów powiązanych z określonym regionem. EBA sprzeciwia się ogólnemu wykluczaniu kategorii, ale nie pozbawia instytucji prawa do odmowy po analizie indywidualnej. Komunikat GIIF nr 73 z 25 stycznia 2024 r. wpisuje się w tę samą logikę. GIIF zwrócił uwagę na skargi klientów oraz na praktykę wykluczania określonych kategorii klientów z możliwości nawiązywania stosunków gospodarczych. Tu, podobnie jak TSUE, GIIF stoi na stanowiski, że podwyższone ryzyko, czy też określone czynniki ryzyka nie powinny same w sobie prowadzić do odmowy; instytucja powinna przeprowadzić analizę indywidualną, rozważyć wzmożony monitoring lub ograniczenie oferty do podstawowych produktów, a niemożność zastosowania środków bezpieczeństwa finansowego odpowiednio udokumentować.[10]
Stanowisko UKNF dotyczące procedur AML/CFT dopełnia ten obraz od strony governance. Procedura powinna określać czynniki ryzyka, sposób dokonywania oceny oraz konsekwencje przypisania określonego poziomu ryzyka. Kategoria ryzyka nieakceptowalnego może prowadzić do odmowy lub zakończenia relacji, ale powinna być wynikiem działającego i udokumentowanego procesu oceny, nie prostą listą cech automatycznie wykluczających klienta.[11]
Co powinno zmienić się w praktyce instytucji obowiązanych?
Największym wyzwaniem jest dziś automatyzm podejmowania decyzji. W wielu instytucjach wpis na listę OFAC, powiązanie z państwem trzecim wysokiego ryzyka, status PEP/RCA albo negatywny wynik scoringu powodują automatyczne odrzucenie klienta. Proces kończy się, zanim ktokolwiek oceni konkretną relację i możliwości ograniczenia ryzyka.
Potrzebne są realne rozwiązania alternatywne. Instytucja powinna sprawdzić, czy zamiast odmowy można zastosować wzmożony monitoring, zgodę kierownictwa wyższego szczebla, ograniczenie funkcjonalności produktu, limity transakcyjne, ograniczenia geograficzne lub częstszą aktualizację danych. Środki te muszą odpowiadać ryzyku konkretnego klienta, a nie istnieć wyłącznie jako katalog w procedurze.
Przeglądu wymagają same systemy. Bank powinien ustalić, które reguły onboardingowe i monitoringowe prowadzą do twardego odrzucenia, z czego wynikają oraz czy dopuszczają kontrolę człowieka. W przeciwnym razie decyzja nie jest faktycznie podejmowana przez analityka czy MLRO. Została wcześniej zaszyta w modelu, często bez mechanizmu pozwalającego uwzględnić okoliczności konkretnej sprawy.
Prawidłowa komunikacja z klientem. Dyrektywa 2014/92/UE wymaga co do zasady poinformowania konsumenta o odmowie, jej konkretnej przyczynie i dostępnej ścieżce skargowej, z wyjątkami wynikającymi z bezpieczeństwa, porządku publicznego i przepisów AML. EBA również oczekuje informacji o możliwości wniesienia skargi.[12]
Zapraszam do dyskusji!
j.grynfelder@lexrisk.pl
Najważniejsze źródła
TSUE, sprawa C-81/24, Jenec – karta sprawy i dokumenty
TSUE, komunikat prasowy nr 84/26 z 11 czerwca 2026 r.
Opinia rzecznika generalnego w sprawie C-81/24 z 4 września 2025 r.
Dyrektywa 2014/92/UE dotycząca m.in. podstawowego rachunku płatniczego
Dyrektywa (UE) 2015/849 – tekst skonsolidowany z 30 grudnia 2024 r.
EBA/GL/2023/04 – zarządzanie ryzykiem ML/TF i dostęp do usług finansowych
GIIF, komunikat nr 73 dotyczący deriskingu
UKNF, stanowisko dotyczące procedur AML/CFT
Rozporządzenie (UE) 2024/1624 (AMLR)
*Stan prawny i źródła: 12 czerwca 2026 r.)
[1]Wyrok Trybunału Sprawiedliwości z 11 czerwca 2026 r., C-81/24, Jenec; zob. także komunikat prasowy TSUE nr 84/26. Nazwa sprawy jest fikcyjna.
[2]Dyrektywa 2014/92/UE, art. 15 oraz art. 16 ust. 2-4 i 7. Odesłanie dyrektywy do wcześniejszego aktu AML należy odczytywać w aktualnym kontekście dyrektywy (UE) 2015/849.
[3]EBA/GL/2023/04, pkt 7, definicja „zmniejszania ekspozycji na ryzyko”.
[4]Dyrektywa (UE) 2015/849 w wersji skonsolidowanej z 30 grudnia 2024 r. (CELEX 02015L0849-20241230), art. 13 ust. 1-4 i art. 14 ust. 4.
[5]EBA/GL/2023/04, pkt 9-12.
[6]EBA/GL/2023/04, pkt 19-21. Ogólne możliwości ukierunkowanego ograniczania produktów i usług opisuje pkt 20; pkt 21 dotyczy klientów szczególnie podatnych na zagrożenia.
[7]EBA/GL/2023/04, pkt 14.
[8]EBA/GL/2023/04, pkt 15-17, w szczególności pkt 16 dotyczący cyfrowego onboardingu podstawowych rachunków płatniczych.
[9]Rozporządzenie (UE) 2024/1624, motyw 98, art. 42 i art. 90. Rozporządzenie będzie co do zasady stosowane od 10 lipca 2027 r.
[10]GIIF, komunikat nr 73 z 25 stycznia 2024 r. w sprawie wykluczania niektórych kategorii klientów z nawiązywania stosunków gospodarczych (derisking) oraz skarg klientów instytucji obowiązanych.
[11]UKNF, Stanowisko Urzędu Komisji Nadzoru Finansowego dotyczące procedur AML/CFT, dokument udostępniony na stronie KNF.
[12]Dyrektywa 2014/92/UE, art. 16 ust. 7; EBA/GL/2023/04, pkt 22.