AML v ČR a EU: Komplexní přehled legislativy a povinností pro firmy

Rubrika: Právní poradenství pro firmy a podnikatele

Datum: 13.10.2025

Aktualizace: 13.10.2025

Rubriky

Mohlo by Vás zajímat

Potřebujete mít ve firmě AML „v pořádku“, ale nechcete se ztratit v džungli paragrafů? Tento přehledný a praktický článek shrnuje, co dnes v Česku a EU skutečně platí a jaké změny přijdou s novým evropským AML balíčkem. Vysvětlujeme, kdo je „povinnou osobou“, kdy a jak provádět identifikaci a kontrolu klienta (KYC/CDD), jak nastavit ohlašování podezřelých obchodů vůči FAÚ, jak naložit s hotovostí a kryptem (Travel Rule, MiCA), i jaké hrozí sankce. Dostanete také konkrétní tipy, checklisty a 90denní plán, jak uvést vnitřní zásady do souladu bez zbytečné administrativy.

Obsah článku:

  • Co je to AML a proč je důležité pro firmy?

  • Jaká legislativa upravuje boj proti praní peněz v ČR a EU?

  • Kdo jsou tzv. „povinné osoby“ podle AML zákona?

  • Jaké hlavní povinnosti mají firmy jako povinné osoby podle AML?

  • Kdy a jak musí firmy provádět identifikaci klienta (KYC)?

  • Co obnáší kontrola klienta a hodnocení rizik podle AML?

  • Jak funguje ohlašovací povinnost a role Finančního analytického úřadu (FAÚ)?

  • Jak AML regulace nahlíží na platby v hotovosti a virtuální měny (kryptoměny)?

  • Jaké sankce hrozí za porušení AML povinností?

  • Jaké jsou aktuální změny v AML legislativě a na co se připravit do budoucna?

  • Jak mohou firmy zajistit soulad s AML předpisy a minimalizovat rizika?

Co je to AML a proč je důležité pro firmy?

AML – Anti-Money Laundering (opatření proti praní špinavých peněz a financování terorismu) je soubor právních, organizačních a technologických postupů, které brání tomu, aby byla vaše firma – vědomě či nevědomě – zneužita k „vyprání“ nelegálních peněz nebo k obcházení sankcí. AML se netýká jen bank: dopadá na široké spektrum tzv. povinných osob (subjekty vyjmenované zákonem) a čím dál častěji zasahuje i dodavatelské řetězce.

Proč to majitele a manažery zajímá:

  • Regulační riziko: porušení AML povinností může znamenat milionové pokuty a v krajním případě i trestní odpovědnost firmy či jednotlivců.
  • Bankovní a obchodní vztahy: banky a platební instituce vyžadují prokazatelný program AML; nedostatky mohou vést k odepření služeb nebo ukončení spolupráce.
  • Reputace: zapojení do podezřelých transakcí (byť neúmyslné) poškozuje značku a důvěru partnerů i klientů.
  • Byznysová výhoda: dobře nastavené procesy KYC – Know Your Customer („poznej svého klienta“) a CDD – Customer Due Diligence (kontrola/hloubková prověrka klienta) zrychlují onboarding, snižují podvody a podporují kvalitní rozhodování (např. u akvizic).

Co AML ve firmě prakticky znamená:

  • KYC (poznej svého klienta): ověřit identitu klienta a UBO – Ultimate Beneficial Owner (skutečný majitel), porozumět účelu vztahu.
  • CDD (kontrola klienta): přiřadit rizikový profil, přizpůsobit hloubku prověření a průběžně monitorovat transakce; zvýšenou pozornost vyžadují i PEP – Politically Exposed Person (politicky exponovaná osoba).
  • Oznamování podezřelých obchodů: mít jasný postup pro hlášení FAÚ – Finanční analytický úřad a vyhnout se tzv. tipping-off (nepřípustné informování klienta, že byl nahlášen).
  • Vnitřní předpisy, školení, evidence: aktuální interní směrnice, pravidelná školení a řádná archivace záznamů.

Krátký příklad z praxe: Středně velká obchodní firma obdrží neobvykle vysokou hotovostní platbu od nového zákazníka s neprůhlednou vlastnickou strukturou. Díky nastaveným procesům KYC/CDD transakci pozdrží, vyžádá doklady o původu prostředků a vyhodnotí riziko. Včasné odhalení ušetří firmě spor s bankou, možné zmrazení prostředků i reputační škody.

Stručně: AML je dnes nezbytná součást řízení rizik a compliance. Nechrání jen „systém“, ale přímo vaše cash-flow, přístup k financím a pověst.

Jaká legislativa upravuje boj proti praní peněz v ČR a EU?

Základní princip: české povinnosti vyplývají ze zákonů ČR a ze směrnic EU (ty se „překlápí“ do českého práva), zatímco nařízení EU platí přímo a bez úprav. Níže je „kostra“ toho, co skutečně potřebujete znát – včetně zkratek vždy s vysvětlením.

Česká úprava (co platí pro firmy v ČR)

  • Zákon č. 253/2008 Sb. – AML zákon (Anti-Money Laundering, opatření proti praní peněz a financování terorismu): hlavní předpis pro povinné osoby, KYC/CDD, ohlašování FAÚ apod.; významně novelizován k 1. 5. 2024 a dále v roce 2024/2025 (např. „kontaktní osoba“ u některých živností).
  • Vyhláška ČNB č. 67/2018 Sb. (tzv. AML vyhláška) + novely 108/2024 Sb. a 403/2024 Sb.: nastavuje vnitřní systém (zásady, kontrolní opatření, školení, role „kontrolora“ compliance).
  • Zákon č. 37/2021 Sb. – Evidence skutečných majitelů (UBO, Ultimate Beneficial Owner): povinnost evidovat a udržovat údaje o skutečném majiteli.
  • Zákon č. 69/2006 Sb. – Mezinárodní sankce: zákaz obchodů v rozporu se sankčními režimy EU/OSN a související oznamovací povinnosti. (Aktualizace např. 280/2024 Sb.).
  • Zákon č. 254/2004 Sb. – Omezení plateb v hotovosti: limit 270 000 Kč/den; nad limit musí být platba bezhotovostně.
  • Zákon č. 300/2016 Sb. – Centrální evidence účtů (CEÚ): státní registr základních údajů o účtech a bezpečnostních schránkách (pro potřeby vyšetřování).
  • Trestní zákoník č. 40/2009 Sb. (§ 216, § 217): trestný čin legalizace výnosů z trestné činnosti (úmyslně i z nedbalosti).

Evropská úprava (co platí a co se chystá)

  • Nařízení (EU) 2024/1624 – AMLR (Anti-Money Laundering Regulation): „jednotný evropský předpis“ nahrazuje roztříštěnost směrnic a platí přímo; uplatní se od 10. 7. 2027 (části s odkladem).
  • Směrnice (EU) 2024/1640 – tzv. AMLD6 (Sixth Anti-Money Laundering Directive): nastaví mechanismy na úrovni států (dohled, FIU, spolupráce); transpozice do 10. 7. 2027.
  • Nařízení (EU) 2024/1620 – AMLA (Anti-Money Laundering Authority): zřizuje evropský dozorový úřad AMLA se sídlem ve Frankfurtu, spuštění operací od poloviny 2025.
  • Nařízení (EU) 2023/1113 – TFR (Transfer of Funds Regulation): tzv. „travel rule“ – informace musí doprovázet převody peněz i kryptoaktiv.
  • Nařízení (EU) 2023/1114 – MiCA (Markets in Crypto-Assets): licenční a provozní rámec pro kryptoaktiva v EU – doplňuje AML z pohledu krypta.
  • Historické stavební kameny: 4. AMLD (2015/849) a 5. AMLD (2018/843); trestněprávní směrnice 2018/1673 o postihu praní peněz. (Dnes překryto/nahrazeno novým balíčkem.)

Co z toho plyne pro praxi: firmy v ČR dnes jedou primárně podle 253/2008 Sb. a souvisejících předpisů; současně je nutné včas připravit interní procesy na AMLR 2024/1624 (aplikace od 10. 7. 2027) a sledovat metodiku AMLA a českých orgánů (FAÚ/ČNB).

Kdo jsou tzv. „povinné osoby“ podle AML zákona?

Povinná osoba je subjekt, na který se vztahují povinnosti podle českého AML zákona (zákon č. 253/2008 Sb.). Úplný výčet je v § 2 AML zákona; níže jsou nejběžnější skupiny a příklady, podle nichž se většina firem snadno zařadí.

1. Finanční sektor

Banky, spořitelní a úvěrní družstva, platební instituce, poskytovatelé spotřebitelských úvěrů/financování, pojišťovny, obchodníci s cennými papíry, směnárny. Na část z nich dohlíží vedle FAÚ (Finanční analytický úřad) také ČNB.

2. Profesní služby

Auditoři, účetní, daňoví poradci, správci daní; advokáti a notáři v určitých situacích (např. úschovy, zakládání společností, jednání za klienta při obchodech). Patří sem i soudní exekutoři.

3. Nemovitosti a obchod

Realitní zprostředkovatelé a osoby obchodující s nemovitostmi; obchodníci s drahými kovy a drahými kameny; bazary a zastavárny; prodejci vybraného „citlivého“ zboží (často při hotovostních nebo vysokohodnotných transakcích). Nově jsou obchodníci s drahými kovy výslovně vymezena povinná osoba.

4. Hazard a hry

Kasina, sázkové kanceláře a další provozovatelé hazardních her, včetně online loterie/binga podle posledních novel.

5. Správa cizího majetku a zvláštní role

Svěřenští správci (trustees) a osoby v obdobném postavení; dále insolvenční a restrukturalizační správci (doplněno novelami účinnými od konce roku 2024).

6. Virtuální aktiva (krypto)

Poskytovatelé služeb spojených s virtuálními aktivy: směnárny a burzy kryptoaktiv, provozovatelé peněženek, bitcoinmaty apod. (pokrývá i platby virtuální měnou z pohledu AML).

Jak poznat, zda jste povinnou osobou (rychlá orientace)

  • Vykonávám činnost z výše uvedených skupin jako podnikání?
  • Přijímám/obsluhuji transakce s vyšší hodnotou (hotovost, krypto, převody do rizikových zemí)?
  • Poskytuji služby, kde jednám za klienta s jeho penězi či majetkem (správa prostředků, úschovy, zakládání společnosti)?

Pokud alespoň na jednu otázku odpovíte „ano“, velmi pravděpodobně spadáte do režimu AML a máte povinnosti (KYC/identifikace, kontrola klienta, hlášení FAÚ atd.). Přehlednou praktickou pomůcku „krok za krokem“ nabízí FAÚ; pro nejaktuálnější stav se vždy opřete o § 2 AML zákona a metodiku FAÚ.

Nejčastější novinka z praxe: řadě subjektů dnes vzniká i povinnost určit a (u většiny) oznámit FAÚ tzv. kontaktní osobu pro AML agendu – jde o změnu z novel účinných od 30. 12. 2024.

Jaké hlavní povinnosti mají firmy jako povinné osoby podle AML?

Níže je přehled „must-have“ povinností, které dnes v ČR dopadají na většinu povinných osob.

Vypracovat a udržovat systém vnitřních zásad (SVZ) a hodnocení rizik. Písemný dokument popisuje, jak vaše firma brání praní peněz: kdo co dělá, jak se provádí kontroly, jak se hlásí podezřelé obchody a jak se školí lidé. Součástí je hodnocení rizik (kde a jak jste zranitelní) a jeho pravidelná aktualizace. U vybraných sektorů navazuje i vyhláška České národní banky. (Právní základ: § 21 a § 21a zákona č. 253/2008 Sb.; vyhl. ČNB č. 67/2018 Sb. a novely.)

Identifikace klienta (KYC – Know Your Customer / „poznej svého klienta“). K identifikaci dojde při zahájení obchodního vztahu, při podezřelém obchodu a při jednorázovém obchodu od 1 000 EUR výše. Způsob identifikace zákon popisuje; využít lze i elektronické prostředky.

Kontrola klienta (CDD – Customer Due Diligence / kontrola a prověření). Zahrnuje zjištění účelu vztahu, průběžné sledování transakcí, zjištění skutečného majitele – UBO (Ultimate Beneficial Owner) a ověření, zda klient není PEP (Politically Exposed Person / politicky exponovaná osoba) nebo z vysoce rizikové země. Nově platí i institut „neprovedení kontroly klienta“: pokud by kontrola mohla ohrozit šetření podezřelého obchodu, nebo pokud k tomu dá pokyn FAÚ (Finanční analytický úřad), kontrolu neprovedete a podáte oznámení.

Zjišťování a ověřování skutečného majitele (UBO). Povinná osoba musí ověřovat vlastnickou/řídící strukturu klienta, pracovat s Evidencí skutečných majitelů a zaznamenat, jak k závěru došla (rekonstruovatelnost).

Oznamovat podezřelé obchody FAÚ (OPO) a zachovat mlčenlivost. Jakmile vyhodnotíte transakci či chování jako podezřelé, bez odkladu hlásíte FAÚ (existuje i elektronický formulář). Zároveň platí zákaz tzv. „tipping-off“ – klientovi ani třetím osobám nesmíte sdělit, že jste oznámení podali či že se chystá.

Odložit splnění příkazu klienta u podezřelého obchodu (§ 20). Pokud hrozí, že okamžité provedení transakce zmaří zajištění výnosů z trestné činnosti, odložíte plnění až na 24 hodin (nebo dle pokynu FAÚ).

Uchovávat záznamy. Identifikační a kontrolní dokumentace i záznamy o transakcích se uchovávají 10 let (obvykle od konce vztahu či provedení obchodu); u školení vede firma evidenci nejméně 5 let.

Školit zaměstnance a mít jasné role. Prokazatelně a pravidelně školíte všechny, kdo se podílejí na činnostech s AML dopadem; do SVZ zapíšete rozdělení odpovědností a kontrol.

Určit a oznámit FAÚ „kontaktní osobu“. Nová povinnost: každá povinná osoba oznamuje FAÚ jméno své kontaktní osoby (lhůty 30 dnů od vzniku povinné osoby / 15 dnů při změně). Oznámení se podává datovou schránkou.

Respektovat sankční režimy a pravidla EU. Screening proti sankčním seznamům a zvláštní pozornost PEP a vysoce rizikovým třetím zemím; v EU rámec dále sjednocuje nové nařízení (EU) 2024/1624 – AMLR.

Praktický tip: Nestačí „mít papír“. Dozor (FAÚ/ČNB) sleduje, zda SVZ opravdu používáte a umíte doložit, proč jste konkrétní krok udělali/neudělali (rekonstruovatelnost).

Kdy a jak musí firmy provádět identifikaci klienta (KYC)?

KYC (Know Your Customer – „poznej svého klienta“) je povinný krok před nebo při transakci/obchodním vztahu. Níže je praktický přehled kdy identifikovat a jak ji provést.

Kdy je identifikace povinná

  • Jednorázový obchod od 1 000 EUR výše (mimo trvalý obchodní vztah).
  • Vždy při vzniku obchodního vztahu.
  • Vždy při podezřelém obchodu bez ohledu na částku.
  • V zákonem vyjmenovaných situacích (např. některé úschovy, obchod s kulturními památkami, zástavy apod.).
  • Sektorové nuance (např. reality, hazard) mohou přidávat nižší prahy či zvláštní pravidla.

Jaké údaje při identifikaci zjišťujete

  • Fyzická osoba: jména a příjmení, rodné číslo nebo datum narození a pohlaví, místo narození, adresa, státní občanství, číslo a druh průkazu totožnosti, vydávající orgán/stát a doba platnosti; u podnikatele navíc firma/sídlo/IČO.
  • Právnická osoba: název, sídlo, IČO (nebo obdobný identifikátor) a identifikace fyzické osoby, která za ni jedná.
  • Navíc ověření, zda nejde o PEP (Politically Exposed Person – politicky exponovaná osoba) a zda se osoba nevyskytuje na sankčních seznamech.

Jak identifikaci provést (povolené způsoby)

  • Osobně: kontrola dokladu totožnosti a shody podoby; u firem ověření existence a oprávnění jednat.
  • Elektronicky: prostředky pro elektronickou identifikaci (např. bankovní identita) dle zákonných podmínek.
  • Zprostředkovaně: notář nebo Czech POINT vystaví listinu o provedené identifikaci.
  • První platbou (mikroplatba): identifikaci lze provést/převzít první platbou z účtu klienta; nově i z účtů mimo EU/EHP, pokud nejde o vysoce rizikovou zemi.

Časté přehlížené body

  • Ověření, kdo skutečně jedná za klienta (plné moci, zápisy v rejstřících).
  • U klientů s vyšším rizikem (zahraniční struktury, PEP) uplatnit přísnější režim a navazující kontrolu klienta (CDD – Customer Due Diligence).
  • Archivace: identifikační a související záznamy uchovávat 10 let (obvykle od obchodu nebo ukončení vztahu).

Co obnáší kontrola klienta a hodnocení rizik podle AML?

Kontrola klienta neboli CDD – Customer Due Diligence (kontrola/hloubková prověrka klienta) je soubor kroků, kterými si firma ověřuje, s kým obchoduje, proč a za jakých podmínek. Jde o logickou nadstavbu nad identifikací (KYC – „poznej svého klienta“). CDD se vždy pojí s hodnocením rizik – bez něj nejde rozhodnout, jak hluboko prověřovat a jak průběžně monitorovat.

Cíle CDD v praxi

  • pochopit účel a povahu vztahu/obchodu,
  • zjistit a ověřit UBO – Ultimate Beneficial Owner (skutečný majitel),
  • posoudit, zda klient není PEP – Politically Exposed Person (politicky exponovaná osoba) a zda není na sankčních seznamech,
  • přiměřeně ověřit původ prostředků (source of funds) a v odůvodněných případech i původ majetku (source of wealth),
  • nastavit průběžný monitoring transakcí tak, aby odpovídal riziku.

Typy kontroly podle míry rizika

  • SDD – Simplified Due Diligence (zjednodušená kontrola)
    Pro nízké riziko (např. standardní, dobře regulovaní klienti a produkty s nízkou hodnotou). I zde platí monitoring a zákaz použití SDD, kdykoliv se objeví podezření.
  • Standardní CDD
    Základní režim pro většinu klientů a obchodů – zahrnuje identifikaci, ověření UBO, účel vztahu, screening PEP/sankcí a průběžné sledování.
  • EDD – Enhanced Due Diligence (zpřísněná kontrola)
    Pro vyšší riziko (např. PEP, složitá vlastnická struktura, vysokoriziková třetí země, neobvykle vysoké/hotovostní/krypto transakce, anonymizační prvky). Typicky zahrnuje schválení vedením, detailnější doklady k původu prostředků/majetku, těsnější monitoring a nižší limity pro „neobvyklé“ chování.

Kdy CDD provést a jak ji prohlubovat

  • před vznikem obchodního vztahu a při jednorázových obchodech od prahů stanovených zákonem,
  • vždy při podezřelém obchodu – bez ohledu na částku,
  • kdykoliv dojde ke změně okolností (nový business model klienta, skokový nárůst objemu, nový skutečný majitel, zprávy o vyšetřování apod.),
  • u ne-face-to-face vztahů (online onboarding) přidat kompenzační prvky: silnější ověření identity (např. bankovní identita/biometrie), prvotní platba z účtu klienta, doplňkové dokumenty.

Speciální situace: pokud by kontrola klienta mohla zmařit šetření podezřelého obchodu (např. by klienta varovala), zákon umožňuje kontrolu neprovést a místo toho neprodleně oznámit FAÚ – Finanční analytický úřad. Tzv. „tipping-off“ (prozrazení) je zakázán.

Jak dělat hodnocení rizik (firemní i klientské)

Firemní hodnocení rizik (na úrovni povinné osoby) je písemný dokument, který popíše:

  • kdo jste a jaké činnosti nabízíte (produkty/služby),
  • komu je nabízíte (segmenty klientů, včetně zprostředkovatelů),
  • kde působíte (geografie, včetně vysokorizikových zemí),
  • jak distribuujete (kanály: pobočka, online, zprostředkovatel),
  • jaké máte kontroly (screening, monitoring, schvalování, 4-eyes, reporting FAÚ),
  • jak často a na základě čeho vše přehodnocujete (změna zákona, incident, nový produkt).

Rizikový profil klienta/obchodu pak vychází z podobných dimenzí:

  • zákazník (právní forma, UBO, PEP, sankce, reputace),
  • produkt/služba (hotovost/krypto, korespondenční bankovnictví, escrow, cash-intensive odvětví),
  • kanál (osobně vs. vzdáleně),
  • geografie (sídlí/obchoduje s rizikovými zeměmi?),
  • chování a transakční vzorce (frekvence, objemy, načasování, štěpení plateb).

Podle výsledku přiřadíte úroveň (nízké/standardní/vysoké) a zvolíte opatření: rozsah dokumentů, frekvenci přezkoumání, limity a intenzitu monitoringu.

Průběžný monitoring a přezkoumání

  • nastavte scénáře a prahové hodnoty (neobvyklé protistrany, skokové nárůsty, řetězení plateb, platby těsně pod limit),
  • používejte screening (PEP, sankce) při onboardingu i průběžně,
  • definujte kritéria pro eskalaci (kdy zastavit/odložit transakci, kdy podat oznámení FAÚ),
  • mějte přezkum KYC v cyklech odpovídajících riziku (častěji u vyššího rizika),
  • vše dokumentujte tak, aby bylo rozhodnutí zpětně „rekonstruovatelné“.

Reliance, outsourcing a data

  • můžete spoléhat na CDD provedené jinou povinnou osobou (např. bankou), ale odpovědnost zůstává u vás; sjednejte smluvně sdílení podkladů,
  • u externích nástrojů (ověřování identity, screening, monitoring) mějte kontrolu kvality, logy a možnost auditního záznamu,
  • pokud využíváte analytiku nebo umělou inteligenci, přidejte lidský dohled a pravidelnou kalibraci modelů (omezení falešných poplachů i slepých míst).

Nejčastější chyby z dohledu

  • formální „papírové“ CDD bez skutečného pochopení účelu vztahu,
  • průběžný monitoring jen „na oko“ a chybějící reakce na varovné signály,
  • nejasné role a odpovědnosti (kdo schvaluje EDD, kdo podává oznámení FAÚ),
  • slabá evidence rozhodnutí (nelze doložit, proč jste krok udělali/neudělali).

Mini-checklist pro manažery

  1. Máme aktuální hodnocení rizik a je promítnuté do praxe?
  2. U každého nového klienta máme UBO, účel vztahu, PEP/sankce a jasný rizikový profil?
  3. Funguje monitoring a máme definované spouštěče eskalace?
  4. Ví tým, kdy a jak podat oznámení FAÚ a jak se vyhnout „tipping-off“?
  5. Umíme každé rozhodnutí zpětně doložit?

Jak AML regulace nahlíží na platby v hotovosti a virtuální měny (kryptoměny)?

Hotovost i krypto představují z AML pohledu vyšší riziko, protože mohou usnadnit anonymitu, rychlé přesuny a štěpení transakcí. Pravidla proto kladou důraz na identifikaci zákazníka, sledování transakcí a uchování stop.

Hotovostní platby v praxi

  • Národní právo stanovuje limit, nad který se platby musí provést bezhotovostně. V interních pravidlech je vhodné pracovat s nižšími, opatrnostními prahy pro manuální kontrolu.
  • Při jednorázových hotovostních obchodech od zákonných prahů se provádí identifikace a následná kontrola klienta; u rizikových situací se přechází do zpřísněného režimu.
  • Pozornost si zaslouží štěpení plateb těsně pod limity, neobvykle časté vklady a výběry, rychlé „průtoky“ přes účet a transakce bez ekonomického smyslu.
  • U obchodníků s vybraným zbožím vysoké hodnoty (např. drahé kovy, kameny, umění, vozidla) mívají interní politiky zvláštní omezení hotovosti a povinné záznamy o původu prostředků.

Virtuální aktiva a obchodní situace, které řešíte

  • Poskytovatelé služeb kryptoaktiv (směnárny, burzy, custody peněženky, provozovatelé kryptoautomatů) spadají do režimu povinných osob a aplikují plné KYC/CDD, monitoring i ohlašování podezřelých obchodů.
  • Běžné firmy, které přijímají platby v kryptu, by měly s těmito platbami nakládat obdobně opatrně jako s hotovostí: jasné limity, identifikace od stanovených prahů, uchování důkazní stopy a zdůvodnění ekonomického smyslu transakcí.
  • U převodů mezi poskytovateli se uplatňuje princip travel rule: informace o odesílateli a příjemci mají převod doprovázet obdobně jako u bankovních plateb.
  • Při vzdáleném onboardingu pomáhá kombinovat ověření identity s prvotní platbou z bankovního účtu klienta; u krypta navíc dává smysl risk-scoring protistran (adres), ať už interně, nebo přes nezávislý screeningový nástroj.

Specifika, na která si dát pozor

  • Nehladké konverze mezi hotovostí a kryptem bez zjevného důvodu, časté směny mezi více burzami a peněženkami, využívání privacy coinů nebo mixérů, chain-hopping a cross-chain bridge převody.
  • Obchody do a z jurisdikcí se slabším AML dohledem, využívání neregulovaných poskytovatelů a samosprávných peněženek, které klient odmítá připojit k ověřovacímu procesu.
  • Korporátní struktury s neprůhledným vlastnictvím a rychlé změny UBO, které nesedí s profilem podnikání.
  • U velkých transakcí ověřit zdroj prostředků a v odůvodněných případech i zdroj majetku; rozhodnutí vždy zapsat tak, aby bylo rekonstruovatelné.

Minimální interní nastavení pro manažery

  1. Jasné prahy pro hotovost a krypto, při jejich překročení povinná identifikace a kontrola.
  2. Postup pro red-flag situace: kdo zastaví transakci, kdo eskaluje, jak rychle se podává oznámení FAÚ.
  3. Průběžný monitoring s pravidly pro štěpení plateb, neobvyklé směny a pohyb do rizikových jurisdikcí.
  4. Záznamy o všech krocích včetně důvodů rozhodnutí; pravidelný přezkum efektivity.
  5. Školení týmu na typické scénáře z vašeho odvětví a aktualizace při změnách legislativy.

Jaké sankce hrozí za porušení AML povinností?

V Česku se porušení AML povinností postihuje hlavně ve správním řízení podle zákona č. 253/2008 Sb. a v závažných případech také trestněprávně podle trestního zákoníku. Níže je praktický přehled pro manažery a právníky.

Správní pokuty a opatření v ČR

  • Horní hranice pokut za většinu přestupků podle AML zákona je až 10 000 000 Kč. Zákon také umožňuje zveřejnit pravomocné rozhodnutí (naming & shaming) a u vybraných přestupků se uplatní pětiletá promlčecí doba, pokud horní hranice pokuty dosahuje alespoň 1 000 000 Kč.
  • Konkrétní praxe dohledu: FAÚ i sektoroví regulátoři ukládají sankce a nápravná opatření. Například rozhodnutí ČNB vůči Fio bance potvrdilo pokutu 9,5 mil. Kč za nedostatky v systému AML a dodržování sankcí; FAÚ zveřejňuje i pokuty vůči poskytovatelům krypto služeb.
  • Novější povinnosti s tvrdší sankcí: neoznámení kontaktní osoby FAÚ ve lhůtě (30 dnů od vzniku povinné osoby / 15 dnů při změně) může být pokutováno až do 10 000 000 Kč. FAÚ k oznamování publikoval metodické upřesnění po novele účinné od 30. 12. 2024.

Co si pohlídat v praxi: kromě identifikace a kontroly klienta jsou sankcionované i nedostatky v hodnocení rizik, chybějící či neaktuální vnitřní zásady, neohlášení podezřelého obchodu FAÚ, porušení povinnosti odložit plnění a selhání v archivaci a rekonstruovatelnosti rozhodnutí. Při opakovaném porušování může následovat zpřísnění dohledu a reputační dopad zveřejněním rozhodnutí.

Trestní odpovědnost

  • Praní peněz upravují § 216 a § 217 trestního zákoníku (úmyslné a z nedbalosti). Vedle peněžitého trestu a zákazu činnosti přichází v úvahu i trest odnětí svobody; odpovědnost se týká fyzických i právnických osob.

EU rámec a co přijde

  • Nový evropský balíček: nařízení AMLR (EU) 2024/1624 bude přímo použitelné od 10. 7. 2027; směrnice AMLD6 (EU) 2024/1640 má být transponována do stejného data. Oba předpisy sjednocují pravidla včetně katalogu správních opatření.
  • AMLD6 zpřesňuje a zvyšuje rámec pro správní sankce u závažných, opakovaných nebo systematických porušení; v komentářích k implementaci se uvádí maxima až 10 mil. EUR nebo 10 % ročního obratu (podle typu subjektu a porušení). Detaily a konkrétní české sazby určují národní předpisy a dohled.
  • AMLA, nový evropský dohledový úřad, bude od roku 2025 nabíhat a od roku 2028 začne přímo dohlížet vybrané vysoce rizikové finanční instituce napříč EU; má pravomoc ukládat peněžité sankce a průběžné penále vybraným subjektům.

Příklady typických pochybení, která končí pokutou

  • neexistující nebo „papírové“ hodnocení rizik bez návaznosti na praxi,
  • nedostatečný monitoring transakcí a chybné vyhodnocení PEP/sankcí,
  • chybějící nebo neaktuální systém vnitřních zásad a školení,
  • opožděné či vůbec nepodané oznámení podezřelého obchodu FAÚ,
  • neoznámení kontaktní osoby FAÚ ve lhůtách,
  • nevysvětlené rozhodnutí neodložit plnění u podezřelé transakce.

Jak sankční riziko minimalizovat

  • držet krok s novelami a metodikou FAÚ/ČNB a promítat je do vnitřních zásad,
  • jasně popsat role a eskalační šachovnici, včetně rozhodování o EDD a OPO,
  • mít rekonstruovatelné záznamy o identifikaci, kontrole, screeningu a důvodech rozhodnutí,
  • pravidelně školit tým a testovat funkčnost monitoringu na reálných scénářích,
  • u nadnárodních skupin sladit nastavení s evropským rámcem AMLR/AMLD6 a být připraveni na dotazy či kontroly ze strany AMLA.

Jaké jsou aktuální změny v AML legislativě a na co se připravit do budoucna?

Níže je přehled toho, co už dnes platí, a co vaše firma (v ČR a v EU) čeká v nejbližších letech. Zaměřuji se na praktické dopady pro majitele firem, compliance a právníky.

Co platí teď (ČR a EU)

  • Česko novelizovalo AML zákon s účinností od 1. 5. 2024 (zákon č. 253/2008 Sb.). Změny zahrnují rozšíření okruhu povinných osob (např. insolvenční či restrukturalizační správci, obchodníci s drahými kovy při vyšších obchodech), povinnost neprovést kontrolu klienta, pokud by její provedení mohlo zmařit šetření, zrušení ústního ohlašování podezřelých obchodů a oznamovací povinnosti k systému vnitřních zásad pro vybrané subjekty (včetně poskytovatelů služeb spojených s virtuálními aktivy). Současně se zvýšily některé sankční stropy (např. za nedostatky v identifikaci a kontrole klienta až na 10 mil. Kč).
  • FAÚ průběžně vydává aktualizované metodické pokyny (2024–2025) – mj. kopírování dokladů, PEP, kontrola klienta (pokyn č. 9 z 25. 9. 2025) a hodnocení rizik a systém vnitřních zásad (pokyn č. 11 z 3. 9. 2025). Tyto dokumenty jsou praktickým návodem pro nastavení procesů.
  • V EU platí tzv. cestovní pravidlo (Travel Rule) i pro krypto-transakce: Nařízení (EU) 2023/1113 o informacích doprovázejících převody peněžních prostředků a určitých kryptoaktiv se uplatňuje od 30. 12. 2024, včetně směrnic EBA k jeho provádění. Dopad: poskytovatelé služeb s kryptoaktivy musí předávat identifikační údaje o odesílateli/příjemci.
  • MiCA (nařízení o trzích s kryptoaktivy) se uplatňuje od 30. 12. 2024 (část pravidel pro stablecoiny už od 30. 6. 2024). Pro firmy v ČR důležité přechodné termíny: pokud existující podnikání splnilo podmínky, bylo třeba podat žádost o povolení CASP do 31. 7. 2025; pokračovat lze nejdéle do 1. 7. 2026 bez plného povolení. Dohledem je pověřena ČNB (v součinnosti s FAÚ).
  • Limit hotovostních plateb v ČR zůstává 270 000 Kč podle zákona č. 254/2004 Sb.

Co se chystá (EU „AML balíček“ 2024) a kdy

  • AMLR – nové přímo použitelné Nařízení (EU) 2024/1624 stanoví jednotná pravidla AML/CTF v celé EU (definice povinných osob, due diligence, BO transparentnost, povinné hlášky u prodejů vybraného „high-value“ zboží apod.). Začne se obecně uplatňovat od 10. 7. 2027; některé nové kategorie (např. v oblasti sportu) až od 10. 7. 2029. Nařízení rovněž zavádí unijní limit pro platby v hotovosti 10 000 EUR a povinnost „threshold-based“ reportů u prodeje luxusních vozů, plavidel a letadel. Prakticky to bude vyžadovat úpravy českých pravidel a procesů.
  • AMLD6 – nová rámcová směrnice (EU) 2024/1640 o národních mechanismech (FIU, dohled, spolupráce, BO registry atd.). Členské státy ji mají transponovat do 10. 7. 2027 (s dřívějšími termíny pro vybrané články). To přinese další úpravy českých zákonů (např. koordinace dohledu, přístup k BO informacím, výměna údajů mezi orgány).
  • AMLA – evropský úřad pro AML (Regulace (EU) 2024/1620) začne své pravomoci uplatňovat od 1. 7. 2025. Čekejte nové technické standardy, metodiky a koordinovanější sektorový dohled, zejména pro přeshraniční skupiny.

Dopady pro české firmy (na co se připravit)

  1. Revize interních zásad a risk frameworku podle aktuálních metodik FAÚ a novel CNB vyhlášky č. 67/2018 Sb. (např. nová role kontrolora, mediální negativní informace jako rizikový faktor).
  2. Procesy ohlašování FAÚ výhradně písemně/elektronicky; nastavit „neprovedení kontroly klienta“ při zásahu FAÚ tak, aby se nebránilo šetření.
  3. Krypto a Travel Rule: zavést výměnu údajů pro převody kryptoaktiv, ověřování self-hosted peněženek nad stanovené prahy, a sladění s licencováním CASP (MiCA).
  4. Hotovost: plánovat, že od července 2027 EU plošně zastropuje platby hotově na 10 000 EUR (ČR má dnes 270 000 Kč). Interní limity a work-flow plateb nastavte tak, aby byly kompatibilní s budoucím stropem.
  5. Beneficial ownership: připravit se na přísnější a harmonizovaná pravidla vedení a aktualizace údajů o skutečných majitelích a možné sankce za nekvalitní či opožděné údaje.
  6. High-value zboží: obchodníci v segmentech luxusních aut/plavidel/letadel budou posílat „threshold-based“ hlášení FIU; přidejte do ERP a prodejních smluv sběr požadovaných údajů.

Krátký kontrolní seznam pro compliance týmy

  • Aktualizovat SVZ a risk assessment podle FAÚ metodik 2025.
  • Prověřit, zda vaše odvětví spadá do nově rozšířených „povinných osob“ a zda komunikujete s FAÚ (např. ohledně systému vnitřních zásad).
  • U převodů kryptoaktiv implementovat Travel Rule a zhodnotit stav MiCA/CASP povolení vůči ČNB.
  • Připravit plán na rok 2027: cash-limit 10 000 EUR a uplatnění AMLR; revidovat KYC/CDD, monitoring a reporting i v nefinančních segmentech.

Jak mohou firmy zajistit soulad s AML předpisy a minimalizovat rizika?

Níže je praktický rámec, který lze vzít a rovnou převést do interních pravidel. Zkratky vždy při prvním použití vysvětluji.

1. Řízení a odpovědnosti

  • Jmenujte odpovědnou osobu pro AML (Anti-Money Laundering – opatření proti praní peněz) a stanovte zástupce.
  • Určete kontaktní osobu pro FAÚ (Finanční analytický úřad) a eskalační řetězec.
  • Zaveďte RACI matici pro klíčové kroky: onboarding, kontrola klienta, hlášení, odložení plnění, archivace, audit.

2. Hodnocení rizik

  • Zpracujte firemní hodnocení rizik: klienti, produkty/služby, kanály, geografie, využívané technologie.
  • Nastavte risk-scoring a pravidla pro přechod ze standardní kontroly na EDD (Enhanced Due Diligence – zpřísněná kontrola).
  • Minimálně ročně aktualizujte, případně po incidentu či změně byznysu.

3. Systém vnitřních zásad a postupů

  • Vytvořte srozumitelný SVZ (systém vnitřních zásad) s pracovními postupy krok-za-krokem, šablonami a checklisty.
  • Popište scénáře pro neprovedení kontroly klienta, odložení plnění a podání oznámení FAÚ.
  • Ujistěte se, že každé rozhodnutí je rekonstruovatelné z dokumentace.

4. KYC, CDD a EDD v praxi

  • KYC (Know Your Customer – poznej svého klienta): sběr identifikačních dat, ověření totožnosti a zjištění UBO (Ultimate Beneficial Owner – skutečný majitel).
  • CDD (Customer Due Diligence – kontrola klienta): účel vztahu, původ prostředků, screening PEP (Politically Exposed Person – politicky exponovaná osoba) a sankčních seznamů, průběžný monitoring.
  • EDD: pro vyšší riziko přidejte doklady o původu majetku, častější přezkum a schválení vedením.

5. Monitoring transakcí

  • Definujte pravidla a prahy pro typové anomálie: štěpení plateb, rychlé průtoky, neobvyklé protistrany či jurisdikce.
  • Zajistěte lidský dohled nad alerty, měřte podíl falešných poplachů a pravidelně kalibrujte modely a pravidla.

6. Oznamování podezřelých obchodů FAÚ

  • Mějte připravený playbook: kdo vyhodnotí, kdo schválí, kdo odesílá přes datovou schránku, jaké přílohy přiložit.
  • Pevně držte zákaz tipping-off (neinformovat klienta o oznámení).
  • Po ohlášení pokračujte v monitoringu, veďte spis a hlídejte reakční lhůty.

7. Sankce a PEP screening

  • Používejte aktuální sankční a PEP seznamy, nastavte frekvenci přezkumu a logování každého zásahu.
  • Při shodě definujte postup potvrzení, případné blokace a eskalace.

8. Hotovost a krypto

  • Interně stanovte limity pro hotovostní a krypto transakce a prahy pro identifikaci a kontrolu.
  • U krypto plateb a převodů mezi poskytovateli uplatňujte princip travel rule; zvažte risk-scoring adres a prověřování self-hosted peněženek při vyšších částkách.

9. Školení a kultura

  • Povinné vstupní a minimálně roční školení pro relevantní role; krátké refresh moduly při novelách.
  • Trénujte rozpoznávání varovných signálů a správnou reakci včetně odložení plnění.

10. Archivace a ochrana dat

  • Uchovávejte záznamy v zákonných lhůtách, s důrazem na integritu a dohledatelnost.
  • Sladťe AML procesy s požadavky ochrany osobních údajů; minimalizujte přístupové role.

11. Technologie a dodavatelé

  • Před nasazením nástroje ověřte přesnost, auditní stopu a možnost vysvětlení rozhodnutí.
  • Sepsané SLA, plán obnovy, exit strategie, testy odolnosti vůči chybám dat.

12. Kontroly druhé a třetí linie

  • Compliance monitoring podle plánu rizik; nezávislý přezkum klíčových rozhodnutí.
  • Interní audit nebo externí nezávislé ověření účinnosti programu.

13. Metriky a reportování vedení

  • KPI: doby zpracování onboardingů, poměr alertů k potvrzeným případům, dokončená školení, doby eskalace, počet a kvalita OPO (oznámení podezřelých obchodů).
  • Pravidelný report vedení a dozorčí radě, jasné rozhodnutí o nápravných opatřeních.

90denní implementační plán

  • Dny 0–30: jmenování rolí, rychlý gap-assessment, základní SVZ, dočasné prahy monitoringu, šablona OPO.
  • Dny 31–60: risk-assessment, finální workflow KYC/CDD/EDD, výběr a nastavení nástrojů, školení klíčových rolí.
  • Dny 61–90: pilotní provoz, kalibrace pravidel, první interní kontrola, report vedení a plán zlepšení.

Zrychlený checklist pro manažery

  • Máme jmenované role a kontaktní osobu pro FAÚ.
  • Máme aktuální hodnocení rizik a SVZ s praktickými postupy.
  • KYC/CDD/EDD běží podle rizikových profilů a máme jasné spouštěče eskalace.
  • Monitoring generuje zvládnutelný počet alertů a víme, jak je uzavírat.
  • Playbook pro oznámení FAÚ je otestovaný na modelových případech.
  • Evidence a archivace umožní kdykoliv zpětně doložit důvody rozhodnutí.

 

POŽÁDEJTE O ZASLÁNÍ

NABÍDKY JEŠTĚ DNES