AI, kryptoaktywa i DeFi w AML - jak AMLA zmienia wymagania wobec CDD i EDD w 2026 r.

Sztuczna inteligencja, deepfake, syntetyczne tożsamości, kryptoaktywa, zdecentralizowane finanse - to wszystko zmienia sposób, w jaki przestępcy obchodzą system AML. AMLA wprost mówi: dotychczasowy model CDD oparty na sprawdzeniu paszportu i weryfikacji online może okazać się niewystarczający. W tym artykule pokazujemy, jakie konkretne ryzyka technologiczne wskazuje AMLA, jak powinno wyglądać dynamiczne CDD, co zmienić w EDD i monitoringu transakcji - oraz jak nie wpaść w pułapkę „kupimy narzędzie AML i będzie OK".

TL;DR. Podczas ACAMS General Assembly we Frankfurcie członek Zarządu AMLA, Rikke-Louise Petersen, wskazała, że sztuczna inteligencja, kryptoaktywa, DeFi i platformy online tworzą nowe wyzwania dla CDD i monitorowania transakcji. Klasyczne CDD oparte na statycznym dokumencie tożsamości nie wystarczy. Compliance musi przejść od checklisty do dynamicznej oceny ryzyka, monitorowania zachowań cyfrowych i analizy przepływów krypto.

Najważniejsze fakty - co AMLA powiedziała o AI, crypto i DeFi

Gdzie: ACAMS General Assembly we Frankfurcie.
Kto: Rikke-Louise Petersen, członek Zarządu AMLA.
Główna teza: technologie zmieniają sposób działania przestępców szybciej, niż dostosowują się procedury AML.
Cztery obszary nowych ryzyk:

AI - synthetic identity, deepfake, automatyzacja oszustw;
Kryptoaktywa - portfele, mixery, P2P, stablecoiny;
DeFi - protokoły bez pośrednika, anonimowe pule płynności;
Platformy online - skala, prędkość, transgraniczność.

Konsekwencja dla compliance: CDD musi być dynamiczne, EDD bardziej zaawansowane, monitoring oparty na danych behawioralnych.

Technologia jako test dojrzałości AML

Nowe technologie nie są same w sobie problemem AML. Problemem jest to, że mogą być wykorzystywane do przyspieszania, ukrywania lub skalowania nadużyć. AMLA zwraca uwagę, że:

sztuczna inteligencja może podważać tradycyjne procesy weryfikacji tożsamości;
kryptoaktywa, DeFi i platformy online tworzą nowe kanały prania środków;
przestępcy używają tych samych narzędzi co biznes, ale do innych celów.

Dla instytucji obowiązanych oznacza to konieczność wyjścia poza checklistowe CDD. Jeżeli proces identyfikacji klienta opiera się wyłącznie na statycznych dokumentach i prostych deklaracjach, może nie wystarczyć w środowisku deepfake, syntetycznych tożsamości, zautomatyzowanych kont i transgranicznych przepływów cyfrowych.

Ryzyko 1 - AI i synthetic identity, jak działa w praktyce

Synthetic identity to tożsamość, która łączy realne dane (np. prawdziwy PESEL, czasem osoby zmarłej lub dziecka) z fikcyjnymi (zdjęcie wygenerowane przez AI, fikcyjny adres). Klasyczna weryfikacja KYC sprawdza dokument tożsamości - i synthetic identity dostaje pozytywną weryfikację, bo „dokument" technicznie istnieje.

Deepfake w onboardingu zdalnym to nagrania wideo, w których AI nakłada na siebie twarz klienta (lub osobę spreparowaną) podczas wideoweryfikacji. Jakość deepfake w 2026 r. przekracza próg dostrzegalności dla niewytrenowanego operatora.

Automatyzacja - jeden „operator" może zarządzać setkami fikcyjnych kont w różnych instytucjach, używając AI do generowania dokumentów, wypełniania formularzy i prowadzenia konwersacji z chatbotami banków.

Czerwone flagi związane z AI

niezwykle szybkie wypełnianie formularzy KYC (boty);
powtarzalne wzorce w danych (te same adresy IP, urządzenia, ścieżki zachowania);
zdjęcia z subtelnymi artefaktami AI (zniekształcenia tła, niespójność oświetlenia);
dokumenty tożsamości z drobnymi błędami typograficznymi lub formatowymi;
niespójność między deklarowanym profilem klienta a aktywnością transakcyjną od pierwszego dnia.

Ryzyko 2 - kryptoaktywa, mixery i nowe typologie prania

Kryptoaktywa są w AML od dawna, ale ich rola się zmienia. W 2026 r. głównymi wektorami ryzyka są:

Mixery i tumblers (np. Tornado Cash, ChipMixer - choć sankcjonowane, pojawiają się następcy);
Stablecoiny używane do prania - duże transfery USDT/USDC, często przez tańsze blockchainy (Tron);
DEX-y (Uniswap, dYdX, PancakeSwap) bez pośrednika;
Bridge'e między łańcuchami ukrywające ślad transakcji;
P2P bez KYC - bezpośrednie transakcje między portfelami;
NFT jako sposób prania - kupno i sprzedaż „dzieł sztuki cyfrowej" po sztucznie zawyżonych cenach.

Co compliance musi umieć w 2026 r.

Analiza on-chain - korzystanie z narzędzi typu Chainalysis, Elliptic, TRM Labs do śledzenia portfeli.
Identyfikacja adresów wysokiego ryzyka - portfele związane z sankcjami, kradzieżami, hakami, ransomware.
Rozumienie warstw DeFi - co to jest pool płynności, jak działa staking, czym jest yield farming.
Monitoring źródła środków cyfrowych - czy klient deklaruje BTC z giełdy, czy z portfela nieznanego pochodzenia.

Ryzyko 3 - DeFi i zdecentralizowane finanse

W tradycyjnym AML analizowano relację klienta, rachunek i transakcje w ramach znanych instytucji. W środowisku DeFi część aktywności odbywa się poza klasycznymi pośrednikami:

protokoły smart-contract nie mają „compliance officera";
pule płynności pozwalają zarabiać bez ujawniania tożsamości;
mosty między blockchainami przekierowują środki przez wiele warstw.

Dla compliance pozostają trzy obszary kontroli:

On-ramp i off-ramp - moment wejścia środków fiat do krypto i wyjścia z krypto na fiat. To tu instytucje obowiązane (VASP, CASP, banki) mają obowiązek CDD i monitoringu.
Wallet screening - sprawdzanie portfeli klientów wobec list wysokiego ryzyka (FATF, OFAC, listy wewnętrzne).
Behawior analizy - czy klient deklaruje legalną aktywność cyfrową, czy jego transakcje pasują do typowego użytkownika DeFi czy do schematu prania.

Co zmienia rozporządzenie MiCA i nowy reżim CASP

Od 30 grudnia 2024 r. obowiązuje rozporządzenie MiCA (Markets in Crypto-Assets), które zastępuje krajowe rejestry VASP unijnym reżimem licencjonowania CASP (Crypto-Asset Service Provider). W Polsce nadzór nad CASP sprawuje KNF. Do 1 lipca 2026 r. dotychczasowe VASP muszą uzyskać licencję CASP - inaczej tracą prawo działalności.

Dla compliance oznacza to:

pełne CDD dla wszystkich klientów CASP (nie ma już „małych" wyjątków);
raportowanie do KNF i GIIF;
minimum operacyjne na poziomie regulowanej instytucji finansowej.

Ryzyko 4 - platformy online i nowe modele oszustw

Platformy P2P (handel, aukcje, dropshipping), platformy gamingowe (skin betting, gry hazardowe), portfele cyfrowe (Revolut, Wise, Monzo) - wszystkie mogą być wykorzystywane do prania środków na skalę. Charakterystyczne wzorce:

duża liczba małych transakcji (microlaundering);
transakcje na cienkiej granicy między handlem a praniem;
aktywność młodych klientów (15-25 lat) z dużymi przepływami z portfeli krypto;
powiązania z platformami hazardowymi off-shore.

Co oznacza to dla CDD - przejście od checklisty do dynamiki

CDD w erze AMLA i nowych technologii powinno być dynamiczne, a nie jednorazowe. Identyfikacja klienta na początku relacji nie wystarcza, jeżeli późniejsza aktywność istotnie odbiega od deklarowanego profilu.

Cykl CDD w nowym modelu

Faza	Co robimy klasycznie	Co dochodzi w erze AI/crypto/DeFi
Onboarding	Dokument tożsamości, oświadczenie	Liveness check, weryfikacja urządzenia, screening IP, ryzyko geograficzne
Identyfikacja UBO	KRS, CRBR	Analiza struktur offshore, weryfikacja przez bazy zewnętrzne
Profil klienta	Deklaracja źródła środków	Weryfikacja faktycznych przepływów, w tym cyfrowych
Monitoring	Limity, alerty na progi	Wzorce behawioralne, anomalie, analiza on-chain
EDD dla wysokiego ryzyka	Dodatkowe dokumenty	SoW + SoF + media research + analiza portfeli krypto
Aktualizacja	Co 3 lata	Co 12 miesięcy + ad hoc po zdarzeniach

EDD dla klientów wysokiego ryzyka w 2026 r.

EDD (Enhanced Due Diligence) to obowiązkowy poziom środków bezpieczeństwa dla:

PEP i RCA (osoby zajmujące eksponowane stanowiska polityczne);
klientów z państw wysokiego ryzyka FATF;
klientów z istotnym profilem krypto (znaczne portfele, aktywność DeFi);
klientów z niezgodnością KYC vs aktywność;
klientów anonimowych lub onboardowanych zdalnie z czerwonymi flagami AI.

EDD wymaga:

Source of Wealth - skąd cały majątek klienta;
Source of Funds - skąd środki w konkretnej transakcji;
Struktura właścicielska - drzewo UBO z dokumentami;
Adverse media research - sprawdzenie czy klient pojawia się w mediach w kontekście negatywnym;
Akceptacja kierownictwa - decyzja o nawiązaniu / utrzymaniu relacji podjęta przez członka zarządu;
Wzmożony monitoring - dedykowane alerty, częstszy review.

Szczególne znaczenie ma dokumentowanie uzasadnienia. Jeżeli organizacja akceptuje klienta lub transakcję pomimo sygnałów podwyższonego ryzyka, musi umieć pokazać, jakie źródła sprawdzono, jakie ryzyka zidentyfikowano, jakie środki mitygujące zastosowano i kto zatwierdził decyzję.

Czerwone flagi 2026 - katalog dla MLRO

Warto rozbudować wewnętrzny katalog czerwonych flag o nowe wektory:

Technologiczne

onboarding zdalny zakończony w mniej niż 90 sekund;
ten sam fingerprint urządzenia używany przez wielu klientów;
IP z VPN / Tor / publicznych proxy;
dokumenty tożsamości z artefaktami AI;
liveness check z niespójnymi gestami / oświetleniem.

Krypto

klient deklaruje BTC „kupione kilka lat temu" bez dokumentów;
transakcje z portfeli na czarnych listach;
aktywność z mixerami, tumblerami, prywatnymi monetami (Monero, Zcash);
konwersje stablecoin ↔ fiat bez ekonomicznego sensu;
bridge'e między łańcuchami i szybkie ruchy między exchange'ami.

DeFi

duże depozyty USDT/USDC pojawiające się na rachunkach klienta nagle;
mała aktywność detaliczna połączona z dużymi transferami DeFi;
udział w „nowych" protokołach lub poolach bez audytu.

Online platform

młody klient (18-25) z dużymi przepływami z platform gamingowych;
BLIK / Revolut / Wise jako jedyne źródło środków przy deklarowanym dochodzie tradycyjnym;
powtarzające się małe wpłaty od różnych nadawców z platform e-commerce.

Rekomendacje dla compliance - co zrobić w 2026 r.

Przegląd procedur CDD pod kątem ryzyk technologicznych - czy procedura uwzględnia AI, deepfake, syntetyczne tożsamości?
Aktualizacja katalogu czerwonych flag - dodanie wektorów technologicznych, krypto, DeFi.
Liveness check w onboardingu zdalnym - jeśli organizacja prowadzi zdalne onboardingi, należy mieć rozwiązanie weryfikacji żywej obecności.
Wallet screening - dla instytucji obsługujących krypto: zintegrowanie z Chainalysis / Elliptic / TRM Labs.
Adverse media - automatyczny screening klientów wysokiego ryzyka w mediach.
Szkolenie analityków - jak rozpoznać deepfake, jak czytać typologie krypto, jak interpretować alerty behawioralne.
Komitet ds. nowych ryzyk - kwartalny przegląd, jakie nowe typologie pojawiają się na rynku.
Współpraca z fraud - granica między AML a fraud zaciera się w technologii.

Pułapka „kupimy narzędzie AML i będzie OK"

W 2025-2026 r. rynek narzędzi AML eksplodował. Każdy dostawca obiecuje „AI-driven detection", „behavioral analytics", „one-click compliance". To kuszące, ale niebezpieczne, bo:

narzędzie nie zastąpi metodologii - musisz wiedzieć, czego szukasz;
alerty bez analityka są bezwartościowe (kto czyta tysiące alertów dziennie?);
AI w AML wymaga wyjaśnialności (decyzje analityczne muszą być dokumentowalne i obronne w postępowaniu administracyjnym);
RODO i AI Act nakładają obowiązki transparencji algorytmów.

Najlepsze praktyki:

narzędzia używaj jako wsparcia, nie jako finalnego decydenta;
każda istotna decyzja musi przejść przez analityka;
dokumentuj, dlaczego ufasz wynikom narzędzia (testy, ewaluacje, false positive rate).

FAQ - najczęstsze pytania o AI, crypto i DeFi w AML

Czy moja instytucja musi już dziś używać narzędzi AI w AML? Nie ma takiego obowiązku. Ale AMLA i krajowi nadzorcy oczekują adekwatnej reakcji na ryzyka technologiczne. Jeśli prowadzisz onboarding zdalny - przynajmniej liveness check. Jeśli obsługujesz klientów krypto - przynajmniej wallet screening.

Czy klient krypto wymaga automatycznie EDD? Nie automatycznie, ale wysokie wolumeny krypto, transakcje z portfelami na listach wysokiego ryzyka lub korzystanie z mixerów - tak. To są red flags wymagające pogłębionej analizy.

Czy mogę odmówić obsługi klienta tylko dlatego, że ma krypto? Sama posiadanie krypto nie jest podstawą odmowy. Podstawą jest niemożność zastosowania CDD (klient nie podaje źródła środków, odmawia weryfikacji UBO, używa anonimizatorów). Wtedy art. 41 nakazuje odmowę.

Co to jest CASP i kogo dotyczy? CASP (Crypto-Asset Service Provider) to dostawca usług w zakresie kryptoaktywów w rozumieniu rozporządzenia MiCA. W Polsce dotyczy dotychczasowych VASP, którzy muszą uzyskać licencję CASP od KNF do 1 lipca 2026 r.

Czy deepfake naprawdę przeszły przez weryfikację KYC? Tak, udokumentowane przypadki w 2024-2025 r. Najlepsze deepfake przekraczają standardowy poziom weryfikacji wideo. Stąd potrzeba liveness check z dodatkowymi czynnikami (ruch gałek ocznych, mowa na żądanie, zmiana oświetlenia).

Jaki budżet AML jest realistyczny w 2026 r. dla średniej instytucji? Trudno podać jedną liczbę. Dla średniego banku - dziesiątki milionów rocznie. Dla średniej kancelarii lub biura rachunkowego - kilkanaście do kilkudziesięciu tysięcy zł rocznie na narzędzia + szkolenia + procedury. Kluczowe to proporcjonalność do ryzyka - nie więcej, niż jest potrzebne.

Czy narzędzie AI w AML musi być zgodne z AI Act? Tak, od sierpnia 2026 r. AI Act traktuje systemy AML jako „high-risk" - wymaga oceny ryzyka, dokumentacji, wyjaśnialności, nadzoru ludzkiego, transparencji wobec klienta.

Wnioski - dynamiczne CDD jako standard 2026

AMLA wysyła jasny sygnał: przestępczość finansowa będzie coraz bardziej technologiczna, a compliance musi być zdolne do pracy na danych, wzorcach i dynamicznych scenariuszach ryzyka. Organizacje, które nadal traktują CDD jako jednorazowe zebranie dokumentów, będą coraz bardziej narażone na luki kontrolne, a w konsekwencji - na sankcje administracyjne i straty reputacyjne.

Nie chodzi o to, by wdrożyć każde modne narzędzie. Chodzi o to, by mieć metodologię - świadomość ryzyk, jasne procedury, kompetentnych analityków i ścieżkę dowodową. Technologia jest narzędziem; metodologia jest podstawą.

Czytaj także w serii AMLA / FATF maj 2026

Źródła

Autor: Klaudia Pokrzywko-Weremjewicz · Opracowanie: BizNews Academy · www.biznewsacademy.pl · info@biznewsacademy.pl