W wyroku z dnia 29 stycznia 2026 r. (II GSK 2764/24) NSA stwierdził, że wadliwość treściowa (materialna) dokumentu sporządzonego przez instytucję obowiązaną jako ocena ryzyka, nawet o charakterze rażącym, nie może być kwalifikowana jako naruszenie obowiązku sporządzenia tej oceny. Sąd oparł to stanowisko na odpowiednio stosowanych w sferze szeroko rozumianego prawa penalnego zasadach nullum crimen sine lege stricta oraz nullum crimen sine lege certa, wskazując, że nie jest dopuszczalne stosowanie wykładni regulacji sankcjonującej, która prowadziłaby albo do rozszerzenia zakresu sankcjonowania poza granice językowego brzmienia przepisu, albo do rozstrzygania wątpliwości na niekorzyść podmiotu pociąganego do odpowiedzialności. 

Na tle dominującego podejścia organów nadzoru oraz sądów administracyjnych, zgodnie z którym formalne wykonanie obowiązków określonych w ustawie AML jest niewystarczające o ile nie mieści się w szeroko rozumianym ratio legis tych organów, stanowisko NSA zasługuje na aprobatę. Jego rdzeń stanowi rozróżnienie dwóch zachowań instytucji obowiązanej: zaniechania polegającego na niesporządzeniu dokumentu oraz zachowania polegającego na sporządzeniu dokumentu, który istnieje, lecz jest wadliwy treściowo. Zdaniem sądu, skoro norma sankcjonująca posługuje się formułą „niedopełnienie obowiązku sporządzenia (dokumentu)", co językowo opisuje pierwsze z tych zachowań, to zrównanie obu sytuacji w drodze wykładni stanowiłoby zatem rozszerzenie znamion deliktu administracyjnego ponad tekst ustawy.

Należy w tym miejscu przypomnieć, że zasadniczo zakres obowiązków określonych w przepisach AML mieści się w trzech kategoriach: 1) zakres określony precyzyjnie (np. zakres identyfikacji klienta), 2) zakres uzależniony od oceny ryzyka (np. zakres stosowania środków bezpieczeństwa finansowego) oraz 3) zakres niedookreślony (np. obowiązek szkoleniowy). Wyrok NSA ma szczególne znaczenie w tej trzeciej kwestii, gdyż przeciwstawia się takiemu rozumieniu przepisów niedookreślonych, zgodnie z którym dookreślanie tego typu przepisów jest rolą organu nadzoru, który powinien dążyć do wypełnienia go treścią dążąc do maksymalnej skuteczności w walce z praniem pieniędzy czy finansowaniem terroryzmu. Istnieje jednak alternatywna interpretacja zachowania ustawodawcy - podział na trzy kategorie (zakresu) obowiązków zakłada, że w tym trzecim przypadku, gdzie zakres lub sposób wykonania obowiązku jest zaledwie naszkicowany, decyzja należy wyłącznie do instytucji obowiązanej. Racjonalny ustawodawca rozumie, że zapewnienie 100% skuteczności jest nierealne, i jej nie oczekuje. Zakłada dobrą wolę adresata obowiązku (w pewnym, niewielkim w sumie zakresie), co oznacza także, że w takich przypadkach zgodne z prawem jest zarówno niezwykle staranne, jaki ograniczone wykonanie danego obowiązku.

Stanowisko NSA potwierdza, że nie jest rolą organu kontroli czy nadzoru wypełnianie wg swojego uznania treścią określonego "sygnalizacyjnie" zakresu obowiązku ("tak, jak my ten obowiązek rozumiemy"), co należy ze wszech miar docenić. 

Jednak mimo trafności orzeczenia co do zasady, wymaga ono doprecyzowania, którego sam Sąd nie wyartykułował dostatecznie. Najlepiej do doprecyzowanie wyjaśnić na przykładzie obowiązku sporządzenia określonego dokumentu poprzez rozróżnienie między dwoma rodzajami wadliwości treściowej tego dokumentu.

Po pierwsze, możliwa jest wadliwość polegająca na braku elementów konstytutywnych dokumentu, wymaganych wprost w ustawie. Ilustracją jest art. 50 ust. 2 ustawy AML, który expressis verbis wymienia obligatoryjne elementy procedury wewnętrznej. Jeśli dokument nazwany „procedurą wewnętrzną" pomija którykolwiek z tych elementów, ocena, że obowiązek wprowadzenia procedury w rozumieniu art. 50 ust. 1 nie został wykonany, nie jest wykładnią rozszerzającą — jest prostym zastosowaniem normy ustawowej, która sama definiuje minimum treściowe. (Wyjątkiem jest sytuacja, gdy obligatoryjny element dokumentu nie ma zastosowania w działalności danej instytucji obowiązanej i jego wprowadzenie nie tylko nie miałoby żadnego uzasadnienia, ale wręcz mogłoby osłabić siłę procedur wewnętrznych. Jako przykład należy wskazać wymóg z art. 50 ust. 2 pkt 10 dotyczący zasad odnotowywania rozbieżności między informacjami zgromadzonymi w Centralnym Rejestrze Beneficjentów Rzeczywistych a informacjami o beneficjentach rzeczywistych klienta ustalonymi w związku ze stosowaniem ustawy - w przypadku np. instytucji pożyczkowych w rozumieniu ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, których klientami nie może być żaden podmiot zgłaszany do CRBR). NSA słusznie odrzucił koncepcję „iluzoryczności” dokumentu jako podstawy odpowiedzialności represyjnej, jednak nie zaproponował kryteriów odróżniających dokument wadliwy od dokumentu czysto fasadowego, który jedynie symuluje wykonanie obowiązku ustawowego. Brak takiego rozróżnienia może w praktyce prowadzić do dalszych sporów interpretacyjnych i prób „obejścia” wyroku poprzez kwalifikowanie dokumentów jako nieistniejących w sensie funkcjonalnym. Z perspektywy dogmatyki prawa administracyjnego zasadne byłoby wskazanie, że tylko dokument całkowicie pozbawiony elementów identyfikacyjnych, uniemożliwiających przypisanie mu cech przedmiotowych oceny ryzyka, mógłby — wyjątkowo — zostać uznany za równoważny z niewykonaniem obowiązku formalnego.

Po drugie, możliwa jest wadliwość treściowa polegająca na merytorycznej nietrafności rozwiązań przyjętych w dokumencie, ocenianej według kryteriów pozaustawowych — np. „zbyt niskiej" oceny prawdopodobieństwa wystąpienia ryzyka, „nieefektywności" przyjętych środków kontroli czy braku „spójności" wewnętrznej dokumentu. W tym zakresie zasada nullum crimen sine lege stricta rzeczywiście wyklucza sankcjonowanie, ponieważ ustawodawca nie określił żadnych kryteriów merytorycznej „prawidłowości" oceny ryzyka, pozostawiając tę kwestię profesjonalnej ocenie samej instytucji obowiązanej w ramach risk-based approach.

NSA tej dystynkcji niestety nie dokonał — obie sytuacje potraktował jednakowo, co czyni jego stanowisko zarazem zbyt szerokim w warstwie dogmatycznej (obejmuje przypadki, w których ustawa sama wyznacza wymagania treściowe) i zbyt wąskim w warstwie ochronnej (nie dostarcza instrumentu do różnicowania sytuacji). 

Najbardziej praktycznie doniosłą konsekwencją wyroku NSA II GSK 2764/24 jest  stworzenie podstawy dla oceny granic stosowania soft law w polskim systemie sankcjonowania instytucji obowiązanych. Choć NSA ani o wytycznych Europejskiego Urzędu Nadzoru Bankowego ani o komunikatach krajowych organów nadzoru wprost się nie wypowiedział, sformułowane przez niego tezy znajdują w tej sferze bezpośrednie zastosowanie.

Polski reżim sankcyjny ustanowiony w art. 147 ustawy AML ma charakter zamknięty: każdy z punktów tego przepisu odsyła do konkretnego, indywidualnie wskazanego obowiązku ustawowego. Ustawa nie zawiera blankietowego upoważnienia typu art. 138 prawa bankowego, które pozwalałoby penalizować szeroko pojęte „nieprawidłowości" w funkcjonowaniu instytucji. To strukturalne ukształtowanie reżimu sankcyjnego ma fundamentalne znaczenie: oznacza, że ani wytyczne EBA wydawane na podstawie art. 16 rozporządzenia 1093/2010, ani komunikaty wydawane przez GIIF na podstawie art. 14 ust. 2 ustawy AML, ani wspólne stanowiska organów nadzoru, nie mogą stanowić samodzielnej podstawy sankcji administracyjnej z ustawy AML. Mogą pełnić rolę interpretacyjną i stanowić wzorzec dobrych praktyk, ale ich treść jest wiążąca prawnie tylko o tyle, o ile da się ją wywieść z brzmienia samej ustawy. W tym sensie wyrok NSA w sprawie STS stanowi swoistą tamę dla zjawiska, które w polskiej praktyce nadzorczej staje się coraz bardziej widoczne — traktowania soft law jako quasi-źródła prawa powszechnie obowiązującego.

Komunikat nr 92 jako studium przypadku

Doskonałą ilustracją problemu jest Komunikat nr 92 z dnia 13 lutego 2025 r. w sprawie obowiązku szkoleniowego określonego w ustawie AML, wydany wspólnie przez GIIF, UKNF i NBP. Komunikat ten formalnie określa „dobre praktyki oraz oczekiwania" organów kontroli, lecz w rzeczywistości pełni funkcję quasi-prawodawczą, definiując treściową zawartość obowiązku z art. 52 ustawy AML w sposób znacznie wykraczający poza brzmienie tego przepisu.

Art. 52 ustawy AML nakłada na instytucję obowiązaną obowiązek „zapewnienia udziału" osób wykonujących obowiązki AML/CFT w „programach szkoleniowych dotyczących realizacji tych obowiązków", uwzględniających ochronę danych osobowych. Ustawa nie zawiera definicji programu szkoleniowego, nie określa formy szkolenia, nie wymaga konkretnej dokumentacji ani nie zakazuje samokształcenia. Sankcja z art. 147 pkt 9 ustawy AML wiąże karę pieniężną z naruszeniem obowiązku w jego ustawowym, a więc bardzo ogólnym brzmieniu.

Komunikat nr 92 dodaje natomiast cały szereg konkretnych, weryfikowalnych wymogów — wykluczenie samokształcenia jako formy realizacji obowiązku, wymóg kwalifikacji prowadzących szkolenia wewnętrzne, wymóg testów sprawdzających wiedzę, wymóg dokumentowania w określony sposób, wymóg ujmowania szkoleń w sprawozdawczości zarządu, wymóg zawierania w umowach z podmiotami zewnętrznymi klauzul o obowiązku szkoleniowym, wymóg organizowania szkoleń uzupełniających po każdej istotnej nowelizacji.

W świetle tezy NSA z wyroku II GSK 2764/24 wymogi te można poddać zróżnicowanej ocenie, w której można wyodrębnić trzy warstwy:

1. warstwa interpretacyjna — dopuszczalna i nie tworząca nowych obowiązków sankcjonowanych. Należą do niej te elementy Komunikatu, które stanowią wniosek wykładniczy mieszczący się w językowym brzmieniu art. 52. Przykładem jest stwierdzenie, że obowiązek szkoleniowy obejmuje nie tylko pracowników w stosunku pracy, ale wszystkie osoby wykonujące zadania AML/CFT, niezależnie od podstawy prawnej współpracy z instytucją. Podobnie dopuszczalne jest stwierdzenie, że szkolenia odbyte pod rządami uchylonej ustawy z 16 listopada 2000 r. nie realizują obowiązku z art. 52 obecnie obowiązującej ustawy. Jest to oczywisty wniosek wynikający z istoty zmiany stanu prawnego: ustawa z 2018 r. wprowadziła zasadniczo nowe podejście do AML, transponując dyrektywę 2015/849 i zmieniając praktycznie wszystkie kluczowe obowiązki, których powinno dotyczyć szkolenie. Skoro art. 52 wymaga szkolenia „z zakresu realizacji obowiązków określonych w ustawie", a ustawa wprowadziła nowe obowiązki, to szkolenie z poprzedniej ustawy nie może być uznane za szkolenie z tej ustawy. Komunikat 92 ten skutek jedynie deklaratoryjnie werbalizuje, nie tworzy go normatywnie.
2. warstwa dobrych praktyk — dopuszczalna jako standard rekomendowany, lecz niesankcjonowalna samodzielnie. Należą tu wymogi, które mogą być uznane za rozsądne z perspektywy efektywności realizacji obowiązku ustawowego, ale których brak nie może być kwalifikowany jako naruszenie art. 52. Obejmuje to m.in. wymóg testów sprawdzających wiedzę po szkoleniu, wymóg ujmowania szkoleń w sprawozdawczości zarządu, wymóg organizowania szkoleń z określoną częstotliwością. 
3. warstwa rozszerzająca — niedopuszczalna jako podstawa sankcjonowania. Obejmuje ona wymogi, które wykraczają poza brzmienie art. 52 i wprowadzają nowe obowiązki nieznane ustawie. Należy do nich w szczególności generalny zakaz uznawania samokształcenia za realizację obowiązku szkoleniowego — ustawa nie zawiera takiego zakazu, a w odniesieniu do przedstawicieli zawodów prawniczych będących instytucjami obowiązanymi, których kompetencje zawodowe i obowiązki doskonalenia zawodowego wynikają z odrębnych ustaw, generalne wyłączenie samokształcenia jest szczególnie problematyczne. Należą do tej warstwy także wymogi kwalifikacyjne wobec prowadzących szkolenia wewnętrzne oraz generalna teza, że każda istotna nowelizacja wymaga uzupełnienia szkoleń wszystkich pracowników, niezależnie od tego, czy konkretna nowelizacja dotyczy obowiązków wykonywanych przez danego pracownika i czy realnie zmienia treść jego zadań.

Komunikat 92 nie dokonuje tej trójstopniowej dystynkcji. Posługuje się jednolitą frazeologią „oczekiwań organów kontroli", co sugeruje, że wszystkie sformułowane w nim wymagania mają jednakową doniosłość prawną i jednakowo mogą stanowić podstawę zarzutu naruszenia obowiązku ustawowego. To niedoprecyzowanie należy uznać za wadliwe, ponieważ utrudnia adresatowi normy odróżnienie tego, co wynika z ustawy, od tego, co stanowi pozaustawowe "oczekiwanie nadzorcze". Tym samym pogłębia stan niepewności prawnej, którego eliminacja jest zasadniczym celem zasady nullum crimen sine lege certa.

Wyrok NSA II GSK 2764/24 wnosi do orzecznictwa sądowoadministracyjnego ważną tezę, której znaczenie wykracza daleko poza rozstrzygnięcie konkretnego sporu o karę pieniężną w sektorze zakładów wzajemnych. Sąd przypomniał, że administracyjne kary pieniężne — jako sankcje o charakterze represyjnym — podlegają standardom ścisłej wykładni i określoności, wynikającym z art. 42 ust. 1 Konstytucji RP, oraz że organy nadzoru nie mogą rozszerzać znamion deliktu administracyjnego poza granice językowego brzmienia ustawy.

Stanowisko NSA wymaga jednak doprecyzowania w postaci dystynkcji między wadliwością dokumentu polegającą na braku elementów konstytutywnych określonych ustawą (sankcjonowalną jako niewykonanie obowiązku) a ocenną wadliwością merytoryczną według kryteriów pozaustawowych (niesankcjonowalną z mocy zasady lege stricta). Bez tej dystynkcji argumentacja NSA może prowadzić do nadmiernej luki sankcyjnej tam, gdzie sam ustawodawca określił wymagania treściowe.

Najistotniejsze praktycznie znaczenie wyroku tkwi jednak w stworzeniu podstawy do oceny granic stosowania soft law w polskim systemie sankcjonowania instytucji obowiązanych. W reżimie ustawy AML, w którym katalog deliktów ma charakter zamknięty i odsyła do konkretnych obowiązków ustawowych, ani wytyczne EBA, ani komunikaty GIIF, UKNF i NBP nie mogą samodzielnie stanowić podstawy kary pieniężnej. Mogą pełnić rolę interpretacyjną i wzorca dobrych praktyk, ale ich treść jest wiążąca prawnie tylko o tyle, o ile da się ją wywieść z brzmienia samej ustawy.