CRBR: Co zmienia się w dostępie do danych i jak wpływa to na obowiązki oraz weryfikację kontrahentów

Centralny Rejestr Beneficjentów Rzeczywistych przez lata działał jak szybkie „okno” do sprawdzania, kto realnie stoi za danym podmiotem w obrocie gospodarczym — bez wniosków i bez tłumaczenia celu. To było wygodne, bo Rejestr Beneficjentów Rzeczywistych CRBR wspiera nie tylko weryfikację kontrahentów, ale też cały system przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

W 2025 i 2026 ten model ma się zmieniać: kierunek jest jasny — mniej „pełnej jawności dla każdego”, więcej formalnych zasad i ograniczeń w zakresie danych ujawnianych, a rodzaje dostępu mają zależeć od tego, kim jest wnioskujący (np. instytucje obowiązane, organy publiczne). W pracach legislacyjnych nad nowelizacją ustawy AML, prowadzonych przez Ministerstwo Finansów, pojawia się m.in. sformalizowana procedura udostępnienia informacji oraz zawężenie katalogu podmiotów uprawnionych.

To ważne, bo w praktyce rośnie znaczenie tego, jak dokumentować działania podejmowane w tle: od ustalenia, kim jest beneficjent rzeczywisty (i jak działa definicja beneficjenta rzeczywistego), po spójność danych identyfikacyjnych z wpisami w Krajowym Rejestrze Sądowym i tym, co wynika z dokumentów podmiotu. Gdy dostęp do CRBR nie jest już tak „od ręki”, łatwiej o opóźnienia, rozbieżności i ryzyko, że przeprowadzana transakcja okazjonalna albo nawiązywane stosunki gospodarcze utkną na etapie weryfikacji.

W tym artykule porządkujemy, co oznaczają CRBR 2025 i 2026 dla codziennej pracy: – jak zmienia się dostęp do danych i dlaczego – jak to wpływa na obowiązek zgłoszenia, dokonywanie zgłoszeń oraz aktualizacje – co realnie zmienia się w weryfikacji kontrahentów, gdy trzeba działać w oparciu o więcej źródeł i konkretne okoliczności prawne

Kim jest beneficjent rzeczywisty i dlaczego ma znaczenie przy weryfikacji kontrahentów?

Najprościej: to osoba fizyczna, która sprawuje faktyczną kontrolę nad podmiotem albo ma uprawnienia umożliwiające wywieranie decydującego wpływu. W praktyce to właśnie ta informacja pomaga ocenić, czy relacja biznesowa jest przejrzysta, czy wymaga dodatkowej ostrożności w obrocie gospodarczym. CRBR został wprowadzony jako element systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, żeby ograniczać sytuacje, w których środki mogą stać się przedmiotem prania pieniędzy.

Definicja beneficjenta rzeczywistego w praktyce i typowe nieporozumienia

CRBR to publiczny rejestr prowadzony przy użyciu systemu teleinformatycznego. Organem właściwym w sprawach rejestru jest minister właściwy do spraw finansów publicznych, a wykonywanie zadań w tym zakresie zostało powierzone m.in. Dyrektorowi Izby Administracji Skarbowej w Bydgoszczy.

Najczęstsze nieporozumienie polega na utożsamieniu beneficjenta z „właścicielem na papierze”. Tymczasem definicja działa szerzej i obejmuje również sytuacje, gdy ktoś sprawuje kontrolę pośrednio lub ma narzędzia do sprawowania decydującego wpływu (np. przez prawa głosu, uprawnienia osobiste, zależności w strukturze). W praktyce liczy się to, kto realnie ma wpływ na kluczowe decyzje i kto kontroluje sposób działania podmiotu — nie tylko to, jak wygląda formalny zapis własności.

Do CRBR raportuje się informacje m.in. o podmiotach takich jak: spółki prawa handlowego (np. spółki z ograniczoną odpowiedzialnością, spółki akcyjne z wyjątkiem spółek publicznych, spółki komandytowe, spółki komandytowo-akcyjne, proste spółki akcyjne), a także m.in. spółki europejskie, spółdzielnie europejskie czy europejskie zgrupowania interesów gospodarczych — katalog i wyłączenia opisuje ustawa. Zasady obejmują też szczególne przypadki, w tym przypadki trustów, na zasadach określonych w przepisach AML.

Jakie dane z CRBR są najważniejsze przy ocenie powiązań i kontroli

W CRBR liczą się przede wszystkim dane identyfikacyjne i ich zgodność ze stanem w dokumentach oraz w rejestrach (KRS). Kluczowe są m.in.: – imię i nazwisko beneficjenta rzeczywistego oraz pozostałe dane pozwalające jednoznacznie go zidentyfikować – opis, na czym polega kontrola: czy jest bezpośrednia, czy wykonywana pośrednio, i jaki jest mechanizm decydującego wpływu – informacje o osobach uprawnionych do reprezentacji i dokonania zgłoszenia (rejestr przetwarza także informacje o osobach, które dokonują zgłoszeń w imieniu podmiotu)

Warto pamiętać, że CRBR jest jednym z narzędzi w reżimie AML: dla instytucji obowiązanych rejestr jest realnym wsparciem przy ocenie ryzyka, szczególnie gdy nawiązywane są stosunki gospodarcze lub gdy zachodzi przeprowadzana transakcja okazjonalna. Jeśli dane są niespójne (np. podmiot podał informacje niezgodne albo utrzymuje dane niezgodne ze stanem faktycznym), konsekwencje mogą być dotkliwe — ustawa przewiduje kary pieniężne m.in. za brak zgłoszenia/aktualizacji w terminie lub za niezgodność informacji ze stanem faktycznym.

Czy w 2025 dostęp do danych z CRBR jest taki sam jak wcześniej?

Nie w takim sensie, jak przy „pełnej jawności dla każdego”. W projektowanych przepisach i opracowaniach rynkowych opisuje się odejście od modelu nieograniczonego dostępu na rzecz rozwiązań, w których rodzaje dostępu zależą od tego, kto pyta i na jakiej podstawie. Impulsem do zmian był m.in. wyrok TSUE z 22 listopada 2022 r. (sprawy połączone C-37/20 i C-601/20), który zakwestionował nieograniczony dostęp do danych o beneficjentach rzeczywistych.

Co zmienia się w pozyskiwaniu danych i jak to wpływa na tempo weryfikacji

W praktyce kluczowa zmiana brzmi: udostępnienie informacji nie musi już działać „jak wyszukiwarka”. Opisywany model zakłada, że część podmiotów (np. organy publiczne i instytucje obowiązane) zachowa szeroki dostęp, a inni zainteresowani będą musieli wykazać (lub oświadczyć) „uzasadniony interes” i przejść formalną ścieżkę po stronie organu prowadzącego rejestr.

Z perspektywy procesów oznacza to, że rośnie znaczenie tego, jak szybko jesteś w stanie oprzeć weryfikację na danych „z własnego obiegu”, a nie wyłącznie na szybkim pobraniu z CRBR. Najczęściej wąskim gardłem staje się spójność: dane identyfikacyjne / dokumenty / stan w Krajowym Rejestrze Sądowym oraz to, czy w organizacji jest jasno przypisane, kto odpowiada za dokonywanie zgłoszeń i reakcję na zmiany w strukturze.

W tle jest też harmonogram wdrożenia: opracowania branżowe opisują rozwiązania jako wdrażane etapowo (pierwsza faza od lipca 2025 r., druga od lipca 2026 r.), przy czym w drugiej fazie ma się m.in. zawężać zakres danych ujawnianych i wzmacniać mechanizmy ograniczające nadużycia dostępu.

Jak te zmiany przekładają się na współpracę i bezpieczeństwo transakcji

Weryfikacja kontrahenta przestaje być „kliknięciem w publiczny rejestr”, a staje się elementem spójnego podejścia do ryzyka w stosunkach gospodarczych — zwłaszcza gdy w grę wchodzi przeprowadzana transakcja okazjonalna albo relacja z podmiotem o bardziej złożonej strukturze (np. spółki prawa handlowego, spółki europejskie, europejskie zgrupowania interesów gospodarczych, a czasem także konstrukcje jak w przypadku trustów).

Zmienia się też „język” pytań, które padają w relacjach B2B: częściej pojawią się prośby o potwierdzenie, kto jest wskazany jako beneficjent, kto ma faktyczną kontrolę, kto sprawuje kontrolę pośrednio i jakie są podstawy okoliczności prawnych (np. uprawnienia w organie stanowiącym, zasady reprezentacji, umowy wspólników, uprawnienia osobiste). To wynika z logiki AML: identyfikacja beneficjenta ma ograniczać ryzyko czynów zabronionych związanych z ukrywaniem źródeł majątku lub wykorzystywaniem systemu finansowego do działań sprzecznych z prawem.

Jak weryfikować beneficjentów rzeczywistych CRBR, gdy dostęp do danych jest ograniczony?

W 2026 (w ramach planowanej drugiej fazy reformy) model dostępu do CRBR ma być bardziej sformalizowany: rodzaje dostępu mają zależeć od statusu wnioskującego i podstawy prawnej, a nie od prostego „publicznego podglądu”. To oznacza, że udostępnienie informacji może wymagać dodatkowych kroków po stronie organu prowadzącego rejestr, a czas pozyskania danych w niektórych przypadkach może się wydłużyć. W efekcie weryfikacja częściej będzie opierać się na zestawieniu CRBR z innymi źródłami i dokumentami potwierdzającymi strukturę i kontrolę. Zmiany są opisywane jako wdrażane etapowo: od lipca 2025 r. i od lipca 2026 r.

Jak ograniczyć ryzyko rozbieżności między danymi a dokumentami

Gdy dostęp do danych jest trudniejszy, ryzyko zaczyna się nie od „braku w CRBR”, tylko od niespójności między tym, co wynika z dokumentów, a tym, co jest ujawnione w rejestrze. W AML kluczowy jest stan faktyczny: kto sprawuje faktyczną kontrolę, kto ma uprawnienia umożliwiające wywieranie decydującego wpływu, kto sprawuje kontrolę pośrednio i jak to wynika z okoliczności prawnych (np. prawa głosu, uprawnienia osobiste, zasady powoływania, wpływ na organ stanowiący, ustalenia dotyczące reprezentacji podmiotu).

Najczęściej „rozjeżdża się” to w momentach zmian organizacyjnych: zmiana składu organów, zmiana wpływu, nowy podział uprawnień, przetasowania w strukturze. Dlatego największe znaczenie mają trzy obszary, które muszą być ze sobą spójne: – dokumenty pokazujące, kto ma wpływ i na jakiej podstawie (uchwały, umowy, pełnomocnictwa, zasady reprezentacji) – osoby, które faktycznie podejmują decyzje i sprawują kontrolę: członkowie zarządu, a w niektórych strukturach także osoby na wyższych stanowiskach kierowniczych lub o stanowisku równoważnym (zależnie od tego, kto realnie decyduje) – spójność z rejestrami: wpisy w KRS (w praktyce: sądy rejonowe prowadzące KRS) oraz to, co wynika z dokumentów źródłowych

To ważne, bo w razie rozbieżności (np. gdy zgłoszono dane niezgodne ze stanem faktycznym) wchodzą konsekwencje przewidziane w ustawie AML, a dodatkowo w relacjach B2B rośnie ryzyko blokady współpracy: kontrahent może wstrzymać decyzję do czasu potwierdzenia informacji o beneficjencie i źródłach kontroli.

Jak układać procesy weryfikacyjne, żeby nie blokowały działań operacyjnych

W 2026 częściej może pojawić się sytuacja, w której weryfikacja ma się wydarzyć „tu i teraz”, bo już jest planowana współpraca: nawiązywane są stosunki gospodarcze albo „na stole” jest przeprowadzana transakcja okazjonalna, a druga strona chce potwierdzenia danych. Wtedy praktyczny jest model warstwowy: najpierw potwierdzasz podstawowe informacje o strukturze i osobach kontrolujących z dokumentów i rejestrów, a dopiero później — jeśli to potrzebne — uruchamiasz formalną ścieżkę dostępu do CRBR (w zależności od tego, czy sprawę prowadzą instytucje obowiązane, organy publiczne, czy inny podmiot posiadający podstawę prawną).

Żeby to nie blokowało operacji, kluczowe jest: – jasne wskazanie, kto w organizacji zbiera i przekazuje informacje o strukturze oraz osobach sprawujących rzeczywistą kontrolę – jedno miejsce przechowywania kompletu danych i dokumentów (żeby nie odtwarzać historii z maili przy każdej weryfikacji) – prosta, spójna komunikacja, gdy druga strona pyta o beneficjenta: krótko, rzeczowo, z oparciem o dane i dokumenty (to szczególnie ważne, gdy partnerem są podmioty zobowiązane albo proces idzie po stronie AML)

Kiedy trzeba zgłosić zmianę w CRBR i co najczęściej powoduje opóźnienia?

Co do zasady, zgłoszenia i aktualizacje w CRBR mają ustawowe terminy, a kluczowe jest to, kiedy realnie zmienił się stan faktyczny dotyczący kontroli. Najczęściej opóźnienia biorą się z tego, że zmiana „dzieje się” w dokumentach, ale nikt nie spina jej od razu z aktualizacją danych w rejestrze. Zgłoszenia dokonuje wyłącznie osoba uprawniona do reprezentacji podmiotu, a cały proces odbywa się elektronicznie — przez system udostępniony przez administrację.

Jakie zmiany w strukturze organizacyjnej najczęściej wymagają aktualizacji

W praktyce aktualizacja CRBR jest potrzebna zawsze wtedy, gdy zmienia się to, kto sprawuje faktyczną kontrolę albo pojawiają się nowe mechanizmy decydującego wpływu — nawet jeśli na pierwszy rzut oka „nic się nie zmieniło” w codziennym funkcjonowaniu.

Najczęstsze punkty zapalne to: – zmiany w zasadach reprezentacji podmiotu (np. kto i jak podpisuje, jakie ma umocowania) – zmiany po stronie osób mających realny wpływ na decyzje: członkowie zarządu, a czasem także osoby zajmujące wyższe stanowisko kierownicze lub stanowisko równoważne, jeżeli to one w danym układzie faktycznie kontrolują kluczowe decyzje (zależnie od okoliczności prawnych) – przetasowania w strukturze własności/udziałów, które powodują, że ktoś zaczyna sprawować kontrolę pośrednio albo zyskuje uprawnienia umożliwiające wywieranie decydującego wpływu (np. przez prawa głosu, uprawnienia osobiste, umowy) – zmiany ujawniane w KRS (to ważne, bo CRBR jest powiązany z danymi z Krajowego Rejestru Sądowego)

I bardzo techniczna, ale praktyczna rzecz: jeśli w organizacji nie jest jasno przypisane, kto „zamyka temat” zgłoszenia, łatwo o chaos typu: dokumenty gotowe, decyzja jest, ale brakuje finalnego złożenia aktualizacji w systemie.

Jak utrzymać spójność wpisów z dokumentami i rejestrami

Ustawa przewiduje nie tylko kary, ale też odpowiedzialność cywilną za to, co trafia do rejestru. Osoba dokonująca zgłoszenia lub aktualizacji ponosi odpowiedzialność za szkodę wyrządzoną zgłoszeniem do CRBR nieprawdziwych danych, a także niezgłoszeniem w ustawowym terminie danych i zmian objętych wpisem (z wyjątkami, np. siła wyższa lub wyłączna wina poszkodowanego).

Z perspektywy ryzyka najbardziej „bolą” dwie sytuacje: – gdy podmiot nie dopełnił obowiązku zgłoszenia lub aktualizacji w terminie – gdy podmiot podał informacje niezgodne ze stanem faktycznym (czyli w rejestrze są dane, które nie odzwierciedlają faktycznej kontroli) — w takim przypadku podmioty objęte obowiązkiem mogą podlegać karze pieniężnej do 1 000 000 zł

Żeby utrzymać spójność, w praktyce trzeba pilnować, by „źródła prawdy” były zsynchronizowane: – dane w CRBR ↔ dokumenty korporacyjne (uchwały, umowy, pełnomocnictwa) ↔ wpisy w KRS – identyfikacja osób: dane osobowe i dane identyfikacyjne muszą się zgadzać w całym obiegu, bo inaczej weryfikacja kontrahenta zaczyna się od prostowania oczywistości, a nie od oceny ryzyka – odpowiedzialność: kto składa zgłoszenie (osoba uprawniona do reprezentacji) i kto weryfikuje, czy wpis odpowiada stanowi faktycznemu — bo w razie rozbieżności konsekwencje są realne, a nie „teoretyczne”

Jak CRBR wspiera przeciwdziałanie praniu pieniędzy i dlaczego to ma znaczenie dla współpracy?

CRBR jest elementem systemu, którego celem jest ograniczanie ryzyka prania pieniędzy oraz finansowania terroryzmu poprzez ujawnianie informacji o tym, kto realnie sprawuje kontrolę nad podmiotem. W praktyce z rejestru korzystają nie tylko organy, ale też instytucje obowiązane, bo to ułatwia ocenę ryzyka, gdy są nawiązywane stosunki gospodarcze lub gdy zachodzi przeprowadzana transakcja okazjonalna. Jednocześnie kierunek zmian na lata 2025–2026 jest opisywany jako bardziej sformalizowany dostęp (m.in. w reakcji na wyrok TSUE w sprawach C-37/20 i C-601/20), co może oznaczać, że częściej trzeba będzie potwierdzać informacje „inną drogą” i szybciej odpowiadać na prośby kontrahentów.

Jakie obowiązki wynikają z ustawy o przeciwdziałaniu praniu pieniędzy

Podstawą obowiązków w tym obszarze jest ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która reguluje zasady identyfikowania beneficjentów i funkcjonowanie CRBR jako narzędzia ochrony systemu finansowego.

W praktyce obowiązki kręcą się wokół trzech rzeczy: ustalenia, zgłoszenia i utrzymania aktualności informacji o kontroli. Ustawa przyjmuje szeroką logikę: beneficjentem jest osoba fizyczna (czyli każda osoba fizyczna), która sprawuje faktyczną kontrolę nad podmiotem lub ma rozwiązania umożliwiające wywieranie decydującego wpływu — także wtedy, gdy kontrola jest wykonywana pośrednio.

Najważniejsze obowiązki „operacyjne” wyglądają tak: – pilnowanie obowiązku zgłoszenia i terminowych aktualizacji (w tym dokonywania zgłoszeń) informacji o beneficjencie oraz o sposobie sprawowania kontroli – składanie zgłoszeń i aktualizacji wyłącznie drogą elektroniczną przez system CRBR – podawanie poprawnych danych: obejmujących m.in. dane identyfikacyjne podmiotu oraz dane o beneficjencie (w tym imię i nazwisko beneficjenta rzeczywistego oraz opis mechanizmu wpływu/kontroli) – dbanie o zgodność ze stanem faktycznym — bo w razie gdy podmiot poda informacje niezgodne (lub utrzymują się dane niezgodne), ustawa przewiduje sankcje administracyjne, w tym karę pieniężną, której maksymalny poziom jest wskazywany jako 1 000 000 zł

Z perspektywy AML to ma bardzo konkretny sens: weryfikacja beneficjentów ogranicza ryzyko czynów zabronionych i czynów zabronionych związanych z ukrywaniem pochodzenia środków, które mogą stać się przedmiotem prania pieniędzy.

Jak przygotować się na pytania o strukturę właścicielską i kontrolę

W 2025–2026 rośnie liczba sytuacji, w których druga strona (szczególnie instytucje obowiązane i inni uczestnicy AML) poprosi o potwierdzenie danych „poza rejestrem”, bo dostęp do CRBR jest opisywany jako bardziej sformalizowany, a zakres danych ujawnianych może być ograniczany.

Żeby takie pytania nie zatrzymywały rozmów handlowych, warto przygotować wewnętrznie spójny pakiet informacji oparty na faktach i dokumentach, który odpowiada na typowe wątpliwości: – kto sprawuje kontrolę i na jakiej podstawie (w tym gdy chodzi o kontrolę wykonywaną pośrednio lub mechanizmy decydującego wpływu) – jakie są zasady reprezentacji podmiotu i kto formalnie występuje w imieniu podmiotu (np. członkowie zarządu) – jak to się ma do wpisów w KRS (czyli do danych z Krajowego Rejestru Sądowego) – czy występują szczególne przypadki, np. struktury „w przypadku trustów”, gdzie obowiązki i dane mogą być raportowane w odmiennym trybie

Dodatkowo, w relacjach z partnerami objętymi AML często pojawia się wymóg „kto jest po drugiej stronie” jako element formalny i dowodowy — chodzi o informacje o beneficjentach rzeczywistych podmiotów zobowiązanych i szerzej o wymogi po stronie podmiotów zobowiązanych, bo to na nich spoczywa ciężar wykazania, że przy ocenie ryzyka zostały podjęte właściwe działania.

VI. Podsumowanie

Zmiany w CRBR w latach 2025–2026 zmierzają w stronę bardziej kontrolowanego dostępu do danych: mniej „jawności dla każdego”, więcej zasad zależnych od tego, kto wnioskuje i na jakiej podstawie. Analizy rynkowe opisują te rozwiązania jako wdrażane dwuetapowo (od lipca 2025 r. oraz od lipca 2026 r.) oraz jako model, w którym dla części podmiotów dostęp może wymagać wykazania „uzasadnionego interesu”, a zakres udostępnianych danych może zostać ograniczony.

W praktyce oznacza to dwie rzeczy: – rośnie znaczenie spójności danych (KRS, dokumenty, CRBR) i szybkich aktualizacji, bo rozbieżności blokują współpracę i wydłużają weryfikację – sama „weryfikacja kontrahenta” coraz częściej będzie wymagała lepszej organizacji wewnętrznej i sprawnego obiegu dokumentów, a nie tylko jednego, szybkiego sprawdzenia w rejestrze.