Pogłębiona weryfikacja partnerów biznesowych
Kompleksowa analiza due diligence obejmująca powiązania kapitałowo-osobowe, weryfikację w krajowych i międzynarodowych rejestrach, wykrywanie wycieków danych, monitoring dark web oraz pełną zgodność z wymogami AML/KYC. Niniejszy dokument stanowi przewodnik metodologiczny dla działów compliance, zespołów ds. ryzyka oraz specjalistów due diligence w instytucjach finansowych i kancelariach prawnych.
Due Diligence
AML/KYC
Compliance
Analiza powiązań kapitałowo-osobowych
Identyfikacja rzeczywistej struktury właścicielskiej podmiotu stanowi fundament każdego procesu weryfikacyjnego. Analiza powiązań kapitałowo-osobowych pozwala ujawnić ukryte zależności między podmiotami gospodarczymi, osobami fizycznymi pełniącymi funkcje zarządcze oraz beneficjentami rzeczywistymi, którzy mogą nie figurować bezpośrednio w oficjalnych dokumentach rejestrowych.
Proces ten wymaga wielopoziomowego mapowania struktury właścicielskiej — od bezpośrednich udziałowców, przez kolejne warstwy holdingowe, aż do ostatecznych beneficjentów rzeczywistych zgodnie z definicją zawartą w dyrektywie AML. Szczególną uwagę należy zwrócić na podmioty kontrolowane pośrednio, gdzie próg własności wynosi poniżej 25%, co może być celowo skonstruowaną strategią zaciemniania struktury.
Struktura właścicielska
Mapowanie wielopoziomowych powiązań udziałowych, identyfikacja podmiotów dominujących i zależnych, analiza łańcuchów kontroli korporacyjnej.
Powiązania osobowe
Identyfikacja osób pełniących funkcje w organach zarządzających i nadzorczych, analiza historii zawodowej, wykrywanie powiązań krzyżowych między podmiotami.
Beneficjenci rzeczywiści
Weryfikacja tożsamości UBO (Ultimate Beneficial Owner), analiza mechanizmów kontroli formalnej i nieformalnej, zgodność z wymogami CRBR.
Kluczowym elementem analizy jest weryfikacja krzyżowa danych z wielu źródeł jednocześnie — rozbieżności między deklarowaną a faktyczną strukturą właścicielską są jednym z najczęstszych sygnałów ostrzegawczych wskazujących na potencjalne próby obejścia regulacji AML lub ukrywanie majątku przed organami podatkowymi i regulacyjnymi.
Weryfikacja w KRS, CRBR i bazach międzynarodowych
Systematyczna weryfikacja podmiotów w oficjalnych rejestrach krajowych i bazach międzynarodowych stanowi obligatoryjny element procedury należytej staranności. W Polsce podstawowymi źródłami są Krajowy Rejestr Sądowy (KRS) oraz Centralny Rejestr Beneficjentów Rzeczywistych (CRBR), jednak pełna weryfikacja wymaga sięgnięcia do znacznie szerszego ekosystemu rejestrów i baz danych.
Rejestry krajowe
  • KRS — struktura korporacyjna, zmiany rejestrowe, postępowania upadłościowe
  • CRBR — beneficjenci rzeczywiści, rozbieżności z KRS
  • REGON / GUS — dane statystyczne i klasyfikacje działalności
  • CEiDG — weryfikacja działalności jednoosobowej i spółek cywilnych
  • Rejestr Dłużników BIG — historia zobowiązań i zaległości płatniczych
  • KRZ — Krajowy Rejestr Zadłużonych, postępowania restrukturyzacyjne
Bazy międzynarodowe
  • OpenCorporates — dane o podmiotach z ponad 140 jurysdykcji
  • Orbis / Bureau van Dijk — globalna baza powiązań korporacyjnych
  • World-Check / Refinitiv — listy sankcyjne i PEP
  • OFAC SDN List — sankcje Departamentu Skarbu USA
  • EU Consolidated Sanctions — unijne listy sankcyjne
  • FATF Blacklist/Greylist — jurysdykcje wysokiego ryzyka
Szczególne znaczenie w kontekście weryfikacji międzynarodowej mają bazy danych ujawniające wycieki dokumentów z rajów podatkowych — Panama Papers, Pandora Papers, FinCEN Files oraz LuxLeaks dostarczyły bezprecedensowej ilości danych o ukrytych strukturach właścicielskich. Narzędzia takie jak ICIJ Offshore Leaks Database umożliwiają przeszukiwanie tych zasobów w sposób systematyczny i zintegrowany z procesem due diligence.
Spółki offshore, raje podatkowe i przepływy kryptowalutowe
Analiza powiązań z podmiotami zarejestrowanymi w jurysdykcjach offshore oraz rajach podatkowych stanowi jeden z najbardziej wymagających elementów rozszerzonej weryfikacji. Sama obecność w strukturze właścicielskiej spółki zarejestrowanej na Kajmanach, Brytyjskich Wyspach Dziewiczych czy w Panamie nie jest dowodem nielegalnej działalności, jednak znacząco podnosi poziom ryzyka i wymaga pogłębionej analizy uzasadnienia biznesowego takich struktur.
🏝️ Jurysdykcje offshore
Identyfikacja podmiotów powiązanych zarejestrowanych w jurysdykcjach z listy FATF, OECD i UE. Analiza uzasadnienia biznesowego, historii transakcji i przepływów finansowych między podmiotami w grupie.
📊 Struktury holdingowe
Dekonstrukcja wielopoziomowych struktur holdingowych wykorzystujących podmioty offshore. Identyfikacja rzeczywistych beneficjentów ukrytych za kolejnymi warstwami spółek w różnych jurysdykcjach.
₿ Przepływy kryptowalutowe
Analiza blockchain z wykorzystaniem narzędzi Chainalysis, Elliptic lub Crystal Blockchain. Identyfikacja portfeli powiązanych z podmiotami sankcjonowanymi, giełdami wysokiego ryzyka lub usługami miksowania.
🔗 Ślad transakcyjny
Rekonstrukcja historii transakcji kryptowalutowych, identyfikacja wzorców typowych dla prania pieniędzy — layering, structuring oraz wykorzystanie zdecentralizowanych protokołów DeFi.
Analiza przepływów kryptowalutowych nabrała szczególnego znaczenia w kontekście rosnącego wykorzystania aktywów cyfrowych w schematach prania pieniędzy i obchodzenia sankcji. Metodologia analizy blockchain pozwala na śledzenie przepływów środków nawet przez wiele tysięcy transakcji, identyfikację klastrów portfeli kontrolowanych przez ten sam podmiot oraz ocenę ekspozycji na adresy umieszczone na listach OFAC i innych rejestrach sankcyjnych. Kluczowym wyzwaniem pozostaje analiza transakcji obejmujących prywatne kryptowaluty (Monero, Zcash) oraz protokoły zapewniające anonimowość, takie jak Tornado Cash.
Wykrywanie wycieków danych i monitoring dark web
Monitoring dark webu stanowi coraz bardziej istotny element kompleksowej weryfikacji partnerów biznesowych. Przestrzeń ta jest miejscem obrotu skradzionymi danymi uwierzytelniającymi, dokumentami tożsamości, danymi kart płatniczych oraz wrażliwymi informacjami korporacyjnymi. Obecność danych podmiotu lub jego kluczowych pracowników w zasobach dark webu może świadczyć o wcześniejszym naruszeniu bezpieczeństwa danych lub aktywnym zainteresowaniu środowisk przestępczych.
Zakres monitoringu dark web
Systematyczne przeszukiwanie zasobów dark webu obejmuje kilka kluczowych obszarów. Po pierwsze, fora i marketplace'y służące handlem skradzionymi danymi — weryfikujemy, czy dane pracowników, klientów lub infrastruktury technicznej badanego podmiotu nie są przedmiotem obrotu. Po drugie, serwisy udostępniające wycieki baz danych — porównujemy znane wycieki z historią incydentów bezpieczeństwa weryfikowanego podmiotu.
Szczególną uwagę poświęcamy platformom komunikacyjnym (Telegram, dedykowane fora), gdzie przestępcze grupy APT (Advanced Persistent Threat) ogłaszają przeprowadzone ataki lub zapowiadają przyszłe działania. Wzmianki o konkretnej organizacji lub jej kluczowych pracownikach w tych zasobach stanowią sygnał ostrzegawczy najwyższej kategorii wymagający natychmiastowej eskalacji.
  • Bazy skradzionych danych uwierzytelniających (credential dumps)
  • Ransom-blogi grup ransomware — weryfikacja ofiar historycznych i aktualnych
  • Fora carding i handel danymi kart płatniczych
  • Platformy sprzedaży dostępów initial access brokers (IAB)
  • Telegram i komunikatory — kanały grup cyberprzestępczych

Sygnały ostrzegawcze
Aktywne wzmianki w dark web wymagają natychmiastowej eskalacji i mogą wskazywać na:
• Aktywne naruszenie bezpieczeństwa
• Planowany atak ransomware
• Sprzedaż dostępów do infrastruktury
• Eksfiltrację wrażliwych danych
• Zainteresowanie grup APT

Narzędzia analityczne
Profesjonalne platformy threat intelligence:
• Recorded Future
• DarkOwl
• Flashpoint
• Intel 471
• Have I Been Pwned (weryfikacja wycieków e-mail)
Analiza reputacji: organizacja, zarząd i zagrożenia personalne
Analiza reputacyjna stanowi wielowymiarowe badanie obejmujące zarówno organizację jako całość, jak i poszczególne osoby pełniące kluczowe funkcje — ze szczególnym uwzględnieniem członków zarządu, rady nadzorczej oraz głównych udziałowców. Celem jest identyfikacja negatywnych wzmianek medialnych, postępowań sądowych i regulacyjnych, powiązań z osobami politycznie eksponowanymi (PEP) oraz potencjalnych zagrożeń dla reputacji partnera biznesowego.
Weryfikacja medialna i OSINT
Systematyczne przeszukiwanie źródeł otwartych obejmuje analizę mediów tradycyjnych i cyfrowych w wielu językach, monitoring mediów społecznościowych, analizę wypowiedzi publicznych zarządu, weryfikację historii zawodowej przez LinkedIn i inne platformy profesjonalne. Szczególną wartość analityczną mają materiały w językach lokalnych, często niedostępne w anglojęzycznych bazach danych.
Postępowania sądowe i regulacyjne
Weryfikacja obejmuje krajowe i zagraniczne bazy orzeczeń sądowych, rejestry postępowań egzekucyjnych, decyzje organów regulacyjnych (KNF, UOKiK, UODO), zagraniczne odpowiedniki regulatorów finansowych (FCA, BaFin, SEC, FINRA) oraz bazy danych dotyczące naruszeń przepisów antykorupcyjnych (FCPA, UK Bribery Act).
Analiza zagrożeń dla zarządu
Ocena indywidualnego profilu ryzyka członków zarządu uwzględnia analizę ekspozycji publicznej, identyfikację potencjalnych wektorów socjotechniki i ataków spear-phishing, weryfikację powiązań z podmiotami objętymi sankcjami oraz ocenę ryzyka kompromitacji (Compromat) w kontekście prowadzenia negocjacji biznesowych lub operacji przejęcia.
Status PEP i powiązania polityczne
Identyfikacja osób politycznie eksponowanych zgodnie z definicją dyrektywy AML — obejmuje aktualnych i byłych urzędników państwowych, ich rodziny i bliskich współpracowników. Weryfikacja w bazach World-Check, Dow Jones Risk & Compliance oraz aktualnych wykazach PEP publikowanych przez organy regulacyjne.
Analiza reputacyjna zarządu nabiera szczególnego znaczenia w kontekście coraz powszechniejszego wykorzystania technik socjotechnicznych przez grupy przestępcze i wywiadowcze. Dokładna analiza ekspozycji publicznej kluczowych osób decyzyjnych pozwala na identyfikację potencjalnych wektorów ataku i wdrożenie odpowiednich środków zaradczych przed finalizacją współpracy.
Raport AML/KYC: struktura, zgodność i rekomendacje
Finalnym produktem procesu pogłębionej weryfikacji jest kompleksowy raport AML/KYC spełniający wymogi regulacyjne obowiązujące instytucje zobowiązane na mocy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML z 2018 r. z późn. zm.) oraz europejskich dyrektyw AMLD4, AMLD5 i AMLD6. Raport stanowi dokument o charakterze prawnym, który może być przedmiotem kontroli organów nadzorczych — GIIF, KNF lub organów ścigania.
01
Identyfikacja i weryfikacja tożsamości
Potwierdzenie tożsamości klienta i UBO zgodnie z wymogami CDD (Customer Due Diligence) — dokumentacja, weryfikacja rejestrowa, identyfikacja beneficjentów rzeczywistych powyżej 25% udziałów.
02
Ocena ryzyka
Przypisanie poziomu ryzyka (niskie/podwyższone/wysokie) na podstawie zebranych danych, z uwzględnieniem geografii, sektora, struktury właścicielskiej i wyników weryfikacji reputacyjnej.
03
Enhanced Due Diligence (EDD)
Dla podmiotów z podwyższonym ryzykiem — rozszerzony zakres weryfikacji obejmujący dodatkowe źródła, wywiady środowiskowe, analizę dark web i przepływów kryptowalutowych.
04
Dokumentacja i archiwizacja
Sporządzenie raportu zgodnego z wymogami GIIF, archiwizacja dokumentacji przez wymagany okres (min. 5 lat), przygotowanie do ewentualnej kontroli regulacyjnej lub postępowania sądowego.
05
Monitoring ciągły
Wdrożenie systemu bieżącego monitoringu transakcji i zmian w profilu klienta, automatyczne alerty przy zmianach w rejestrach, listach sankcyjnych lub nowych wzmiankach w mediach i dark web.
Obowiązkowe elementy raportu
  • Pełna identyfikacja podmiotu i UBO
  • Wyniki weryfikacji w KRS, CRBR i bazach sankcyjnych
  • Ocena struktury offshore i ryzyka podatkowego
  • Wyniki monitoringu dark web i wycieków danych
  • Analiza reputacyjna zarządu i kluczowych osób
  • Klasyfikacja ryzyka AML z uzasadnieniem
  • Rekomendacje: akceptacja, EDD lub odrzucenie
Podstawa prawna
  • Ustawa AML z 1 marca 2018 r. (Dz.U. 2018 poz. 723)
  • Dyrektywa AMLD6 (2018/1673/UE)
  • Rozporządzenie ws. informacji towarzyszących transferom środków (2015/847)
  • Wytyczne EBA w zakresie CDD i EDD
  • Rekomendacje FATF dotyczące należytej staranności
  • Rozporządzenie UE 2023/1113 (TFR — Travel Rule)

Wynik weryfikacji — karta podsumowująca
Kompleksowy raport AML/KYC oparty na opisanej metodologii dostarcza instytucjom zobowiązanym pełnej dokumentacji wymaganej przez organy nadzorcze, jednocześnie stanowiąc realną ochronę przed ryzykiem reputacyjnym, regulacyjnym i prawnym wynikającym z nawiązania współpracy z podmiotem o niezidentyfikowanym profilu ryzyka. Regularna aktualizacja raportu (minimum raz w roku lub przy istotnych zmianach) jest warunkiem skuteczności systemu compliance.
Skontaktuj się z nami
Masz pytania dotyczące weryyfikacji partnerów biznesowych, analizy AML/KYC lub due diligence? Napisz do nas.