5 najczęstszych błędów w procesie KYC i jak ich uniknąć

70% instytucji finansowych straciło klientów w ciągu ostatniego roku z powodu nieefektywnego procesu onboardingu.

Tak wynika z raportu Financial Crime Industry Trends 2025 przygotowanego przez Fenergo na podstawie badania 600 decydentów z banków, firm zarządzających aktywami i administratorów funduszy.

Co więcej, badanie Fenergo pokazuje, że skala problemu rośnie. W 2024 r. odsetek ten wynosił 67%, a w 2023 r. 48%.

Jednym z głównych powodów tych trudności jest złożoność procesów związanych z KYC (Know Your Customer) i błędów w nim popełnianych.

Kluczowe wnioski

• 70% instytucji finansowych traci klientów przez nieefektywny onboarding, m.in. związany z procesami KYC.
• Najczęstsze błędy, które obserwujemy to między innymi: nieaktualna lub powierzchowna ocena ryzyka, nieprawidłowa weryfikacja tożsamości, brak zgodności z RODO, traktowanie KYC jako jednorazowego procesu oraz brak spójnej kultury compliance.
• W ponad połowie instytucji finansowych od 31% do 60% zadań związanych z procesami KYC wciąż wykonywanych jest ręcznie. Jednocześnie instytucje coraz częściej dostrzegają potrzebę automatyzacji – 62% organizacji wskazuje inwestycje w technologie jako jeden z głównych priorytetów w obszarze KYC i AML.
• Nieprawidłowe procesy związane z KYC, a często również związane z jednoczesnym przestrzeganiem przepisów RODO mogą prowadzić do kar (w tym finansowych). Jak w przypadku banku ING, gdzie wysokość kary została ustalona na ponad 18 milionów złotych.
  
• Automatyzacja i cyfrowe narzędzia do weryfikacji tożsamości (np. Autenti) zmniejszają te ryzyka i zwiększają efektywność.

Co to jest KYC i dlaczego ma takie znaczenie?

KYC obejmuje weryfikację tożsamości klienta oraz ocenę ryzyka związanego z nawiązaniem relacji.

Jest to podstawowy element systemów przeciwdziałania praniu pieniędzy (AML) i finansowaniu terroryzmu, ponieważ pozwala instytucjom zrozumieć, z kim współpracują oraz czy działalność klienta odpowiada deklarowanemu profilowi.

Błędy w tym obszarze mogą prowadzić do poważnych konsekwencji, zaczynając od ryzyka regulacyjnego, przez utratę reputacji, utratę klientów (patrz raport Fenergo) aż po sytuacje, w których dana instytucja nieświadomie staje się narzędziem prania pieniędzy lub innych przestępstw.

Duża część tych konsekwencji wynika z powtarzających się błędów w procesie KYC.

W dalszej części artykułu omawiamy pięć najczęstszych błędów pojawiających się w procesie KYC oraz wskazujemy, jak można ich skutecznie uniknąć.

1. Nieaktualna lub powierzchowna ocena ryzyka klienta

Na czym polega błąd

Jednym z najczęstszych problemów w procesie KYC jest brak aktualizacji oceny ryzyka klienta po zastosowaniu środków bezpieczeństwa finansowego.

Oznacza to sytuację, w której profil ryzyka tworzony jest jedynie na etapie onboardingu, a następnie przez długi czas pozostaje niezmieniony. Często nie uwzględnia się zmian w profilu klienta, nawet tak prostych jak adres zamieszkania.

Ocena ryzyka bywa traktowana jako jednorazowa formalność, zamiast jako elementu ciągłego procesu zarządzania relacją z klientem.

Z czego to wynika

Jedną z przyczyn jest zdecydowanie ograniczony czas i zasoby zespołów compliance. Dodatkowo, w wielu organizacjach procesy KYC nadal w dużej mierze opierają się na pracy manualnej.

Z badań Fenergo wynika, że w ponad połowie instytucji finansowych od 31% do 60% zadań związanych z procesami KYC wciąż wykonywanych jest ręcznie. Jednocześnie instytucje coraz częściej dostrzegają potrzebę automatyzacji – 62% organizacji wskazuje inwestycje w technologie jako jeden z głównych priorytetów w obszarze KYC i AML. (źródło)

Dlaczego to problem

Profil ryzyka klienta nie jest niezmienny.

Jeśli instytucja nie aktualizuje tej oceny, istnieje ryzyko nieprawidłowej klasyfikacji klienta, a w konsekwencji zastosowania niewłaściwych środków bezpieczeństwa.

Jak tego uniknąć

Aby ograniczyć to ryzyko, organizacje powinny:

• regularnie aktualizować ocenę ryzyka klienta, np, raz na kwartał,
• powiązać ocenę ryzyka z cyklicznymi przeglądami AML oraz monitorowaniem relacji z klientem,
• automatyzować proces aktualizacji danych w systemach compliance,
• wykorzystywać rozwiązania umożliwiające cyfrową weryfikację i potwierdzanie tożsamości klientów, np. poprzez platformy elektronicznej weryfikacji takie jak Autenti.

2. Nieprawidłowa weryfikacja tożsamości klienta

Na czym polega błąd

Drugim częstym problemem w procesach KYC jest nieprawidłowa weryfikacja tożsamości klienta lub niewłaściwy dobór metody identyfikacji.

Pojawia się to w różnych metodach weryfikacji. Przykładowo:

• wideoweryfikacja: błędem może być brak weryfikacji „żywotności” (liveness detection, czyli ocena wykonywanych ruchów głowy), niewyraźne zdjęcia dokumentu lub brak porównania wizerunku z dokumentem tożsamości,
  
  
• weryfikacja przy użyciu e-dowodu lub innego dokumentu z warstwą elektroniczną: problemem bywa brak odczytu danych z warstwy elektronicznej dokumentu lub pominięcie kryptograficznego potwierdzenia autentyczności dokumentu,
  
  
• weryfikacja poprzez bankowość elektroniczną: zdarza się, że nie sprawdza się zgodności danych właściciela rachunku z danymi klienta lub dopuszcza się przelewy z rachunków należących do innych osób,
  
  
• identyfikacja przy użyciu podpisu kwalifikowanego lub Profilu Zaufanego: błędem może być brak weryfikacji ważności certyfikatu lub brak powiązania podpisu z konkretną osobą, której dane znajdują się w systemie,
  
  
• weryfikacja dokumentu klienta przy osobistej wizycie w placówce organizacji: brak wykonania prawidłowej weryfikacji dokumentu klienta, np. nie zwrócenie uwagi na datę ważności dokumentu.

Problemy pojawiają się również wtedy, gdy metoda weryfikacji nie jest dopasowana do poziomu ryzyka klienta albo gdy proces nie jest odpowiednio udokumentowany i nie pozostawia jasnej ścieżki audytowej.

Tutaj przeczytasz więcej o poszczególnych metodach weryfikacji tożsamości klienta, jak się do nich przygotować, jak przez nie prawidłowo przejść oraz którą z tych metod wybrać w danej sytuacji.

Z czego to wynika

Przyczyn nieprawidłowej weryfikacji tożsamości może być wiele. Często są to zwykłe błędy ludzkie, wynikające z dużej liczby obsługiwanych procesów lub presji czasu.

Problemem bywa również niejednoznacznie opisany proces weryfikacji, w którym nie mamy jasnych wytycznych, jakie kroki należy wykonać i w jaki sposób dokumentować poszczególne etapy weryfikacji.

Dodatkowym wyzwaniem mogą być narzędzia wykorzystywane do zdalnej weryfikacji, które nie są intuicyjne lub nie integrują się dobrze z systemami organizacji.

Nie można też pominąć sytuacji, w których problem wynika z celowego działania użytkownika. Próby podszywania się pod inne osoby czy wykorzystania cudzych danych należą dziś do jednych z najczęstszych form nadużyć w usługach cyfrowych.

Według danych Sumsub z 2025 roku liczba prób oszustw związanych z weryfikacją tożsamości wzrosła globalnie o 48%, choć w regionie Azji i Pacyfiku odnotowano spadek, częściowo przypisywany postępowi regulacyjnemu w zakresie identyfikacji cyfrowej (dane dotyczą rynku kryptowalut).

Dlaczego to problem

Nieprawidłowa weryfikacja klienta podważa jeden z podstawowych celów procesu KYC, czyli pewność, że instytucja wie, z kim nawiązuje relację.

Braki w tym zakresie zwiększają ryzyko naruszeń regulacyjnych oraz utrudniają audyt lub kontrolę.

Jak tego uniknąć

Aby ograniczyć ryzyko błędów w weryfikacji tożsamości klienta, warto zadbać o kilka elementów:

• precyzyjne określenie metod weryfikacji dopuszczonych w organizacji oraz sytuacji, w których należy je stosować,
• dokumentowanie każdego etapu procesu weryfikacji, tak aby możliwe było jego odtworzenie podczas audytu,
• ujednolicenie procedur w całej organizacji, zwłaszcza jeśli proces obsługiwany jest przez kilka zespołów lub systemów,
• wykorzystanie narzędzi do zdalnej weryfikacji tożsamości, które automatyzują weryfikację klienta, zapisują przebieg procesu oraz integrują wynik weryfikacji z systemami compliance.

3. Brak zgodności z RODO i niewłaściwe zarządzanie danymi klienta

Na czym polega błąd

Proces KYC wiąże się z przetwarzaniem dużej ilości danych osobowych, w tym danych wrażliwych.

Błędy w tym obszarze obejmują m.in.:

• przechowywanie danych bez odpowiednich zabezpieczeń,
• brak kontroli dostępu do dokumentów tożsamości,
• przetwarzanie danych bez jasno określonego celu,
• brak odpowiedniej polityki retencji danych.

Z czego to wynika

Najczęściej wynika to z niedostosowania systemów do wymogów RODO lub traktowania KYC wyłącznie jako obowiązku AML, bez uwzględnienia aspektów ochrony danych.

Dlaczego to problem

Naruszenia w zakresie ochrony danych mogą prowadzić do:

• wycieków danych osobowych,
• kar administracyjnych wynikających z RODO,
• utraty zaufania klientów.

Naruszenia w zakresie ochrony danych mogą prowadzić do wycieków danych osobowych, kar administracyjnych wynikających z RODO oraz utraty zaufania klientów.

Realnym przykładem jest przypadek ING Banku Śląskiego, który został ukarany przez Prezesa UODO (Urząd Ochrony Danych Osobowych) kwotą ponad 18 milionów złotych za nieuzasadnione gromadzenie kopii dowodów osobistych klientów.

Organ nadzorczy stwierdził, że bank wprowadził procedury wymagające masowego pozyskiwania dokumentów przy wielu czynnościach, wychodzących poza ustawę AML, bez indywidualnej oceny ryzyka i bez podstawy prawnej.

W ocenie UODO, skanowanie dokumentów „hurtowo” stwarzało wysokie ryzyko naruszenia praw klientów, takich jak kradzież tożsamości czy wyłudzenie pożyczki.

Jak tego uniknąć

• wdrożyć politykę bezpieczeństwa danych i kontroli dostępu,
• stosować zasadę minimalizacji danych,
• jasno określić okresy przechowywania danych,
• korzystać z certyfikowanych rozwiązań spełniających wymogi GDPR.

4. Traktowanie KYC jako jednorazowego procesu

Na czym polega błąd

W wielu organizacjach KYC kończy się na etapie onboardingu, bez dalszej aktualizacji danych klienta.

Nie uwzględnia się zmian takich jak:

• zmiana zachowania klienta,
• zmiana poziomu ryzyka,
• nowe informacje o kliencie.

Z czego to wynika

Powodem jest często brak automatyzacji oraz ograniczone zasoby zespołów compliance.

Dlaczego to problem

Profil klienta zmienia się w czasie. Brak aktualizacji może prowadzić do:

• nieprawidłowej oceny ryzyka,
• stosowania niewłaściwych środków bezpieczeństwa,
• naruszeń AML.

Dla przykładu, spójrzmy na instytucje finansowe.

Brak skutecznego monitorowania relacji z klientem sprawia, że instytucja może nie zauważyć transakcji, które odbiegają od deklarowanego profilu działalności klienta lub nie mają jasnego uzasadnienia ekonomicznego.

Podejrzane operacje, np. nagłe zmiany wolumenów transakcji, transfery do nowych krajów czy nietypowe źródła środków mogą pozostać niewykryte.

Z punktu widzenia regulacyjnego konsekwencje takich zaniedbań mogą być bardzo poważne.

Presja regulatorów szczególnie na instytucje finansowe w zakresie przeciwdziałania praniu pieniędzy systematycznie rośnie. Z analizy kar AML przeprowadzonej przez Fenergo wynika, że globalna wartość kar nałożonych na instytucje finansowe wyniosła 4,6 mld USD w 2024 roku (po rekordowych 6,6 mld USD w 2023 roku), przy czym 94% wszystkich kar w 2024 r. przypadło na Amerykę Północną. W pierwszej połowie 2025 roku regulatorzy nałożyli już 1,23 mld USD kar, co oznacza wzrost o 417% w porównaniu z pierwszą połową 2024 roku. (źródło)

Jak tego uniknąć

• wdrożyć cykliczne przeglądy KYC, np. raz na kwartał,
• automatyzować aktualizację danych,
• powiązać KYC z monitoringiem aktywności klienta.

5. Brak spójnej komunikacji i kultury compliance w organizacji

Na czym polega błąd

Ostatnim, często pomijanym błędem w procesie KYC jest brak spójnej komunikacji wewnętrznej oraz niewystarczające zrozumienie obowiązków compliance przez pracowników.

W praktyce oznacza to, że:

• różne zespoły (np. operacje, onboarding, compliance) działają w oderwaniu od siebie,
• pracownicy nie mają jasności co do swoich obowiązków w procesie KYC,
• procedury istnieją formalnie, ale nie są w rzeczywistości stosowane.

Z czego to wynika

Najczęściej wynika to z braku regularnych szkoleń oraz niedostatecznego zaangażowania organizacji w budowanie kultury compliance.

Problemem bywa także oderwanie zespołów od siebie oraz traktowanie KYC jako obowiązku wyłącznie działu compliance, a nie całej organizacji.

Dlaczego to problem

Nawet najlepiej zaprojektowane procedury KYC nie będą skuteczne, jeśli nie są właściwie rozumiane i stosowane przez pracowników.

Brak spójności w działaniach może prowadzić do:

• niespójnej weryfikacji klientów,
• pomijania istotnych elementów procesu,
• zwiększonego ryzyka błędów i naruszeń regulacyjnych.

Jak tego uniknąć

Aby ograniczyć to ryzyko, warto:

• prowadzić regularne szkolenia z zakresu KYC i AML,
• jasno zdefiniować role i odpowiedzialności w procesie,
• budować współpracę między zespołami (compliance, operacje, IT),
• traktować compliance jako element codziennych działań, a nie jednorazowy obowiązek,
• wykorzystywać narzędzia szkoleniowe (np. moduły online, warsztaty), które pomagają utrzymać aktualną wiedzę w organizacji.

Podsumowanie

Na rynkach europejskich, a szczególnie w Polsce, podstawą prawną działań w zakresie AML jest Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, implementująca dyrektywy UE i określająca obowiązki instytucji finansowych.

Zbieranie danych i dokumentów to jeszcze nie KYC.

Najczęstsze błędy, w tym nieaktualna ocena ryzyka, nieprawidłowa weryfikacja tożsamości, słabe zarządzanie danymi, czy traktowanie procesu jako jednorazowego mogą prowadzić do utraty klientów, a nawet naruszeń regulacyjnych.

Skuteczny proces KYC wymaga ciągłej aktualizacji danych, automatyzacji procesów, dokładnej weryfikacji klientów oraz stałego monitorowania ich działań. Tylko w ten sposób instytucja może faktycznie zminimalizować ryzyko i budować zaufanie klientów.

Stworzenie takiej procedury nie jest jednak najprostszym zadaniem jak pokazuje nam przykład ING.

Jednym z rozwiązań wszystkich tych problemów jest odpowiednie wsparcie ekspertów oraz wybór nowoczesnych, a przede wszystkim bezpiecznych rozwiązań technologicznych.

Jeśli nie jesteś pewny czy Twoje procesy identyfikacji klienta są odpowiednie, skontaktuj się z naszymi ekspertami, pomożemy Ci dobrać właściwe metody weryfikacji tożsamości klienta pasujące do Twoich procedur KYC.

FAQ

Dlaczego moja weryfikacja KYC została odrzucona? I co zrobić po odrzuceniu KYC?

Twoja weryfikacja KYC mogła zostać odrzucona, jeśli dane były nieaktualne, dokumenty nieprawidłowe lub weryfikacja tożsamości nie została przeprowadzona zgodnie z procedurą. W takiej sytuacji najlepiej uzupełnić brakujące informacje i dostarczyć poprawne dokumenty, a w razie wątpliwości skontaktować się z instytucją obsługującą proces.

Jakich błędów unikać w procesie KYC?

Najczęstsze błędy w procesach KYC obejmują nieaktualną lub powierzchowną ocenę ryzyka klienta, nieprawidłową weryfikację tożsamości, brak zgodności z RODO oraz niewłaściwe zarządzanie danymi, traktowanie KYC jako jednorazowego procesu, brak spójnej komunikacji i kultury compliance w organizacji oraz niedostateczne monitorowanie transakcji. Każdy z tych problemów może prowadzić do poważnych konsekwencji, w tym utraty klientów, błędnej klasyfikacji ryzyka oraz naruszeń regulacyjnych.

Jak skutecznie unikać błędów w procesie KYC?

Aby zminimalizować ryzyko błędów, proces KYC powinien być ciągły i systematyczny. Ważne jest regularne aktualizowanie danych i oceny ryzyka klienta, automatyzacja procesów weryfikacji tożsamości z użyciem narzędzi cyfrowych, stałe monitorowanie aktywności i transakcji klientów oraz wprowadzenie spójnej komunikacji i kultury compliance w całej organizacji. Równocześnie należy dbać o bezpieczeństwo danych i zgodność z regulacjami, w tym z RODO, aby chronić zarówno instytucję, jak i klientów.

Jakie narzędzia mogą wspierać KYC?

Automatyzacja i cyfrowe platformy do weryfikacji tożsamości, takie jak Autenti, mogą znacząco zmniejszyć ryzyko błędów, przyspieszyć proces onboardingu i zapewnić pełną ścieżkę audytową. Dzięki nim instytucja może sprawnie zarządzać aktualizacjami danych, weryfikacją dokumentów i monitorowaniem klienta, zachowując zgodność z regulacjami.