KYC real versus KYC formal: când politica internă nu mai este suficientă

În multe companii, conformarea AML/KYC începe corect și se oprește prea devreme. Se aprobă o politică internă, se preiau modele standard, se întocmește un dosar de client și, formal, pare că obligațiile au fost respectate. În realitate, însă, diferența dintre un KYC formal și un KYC real este esențială. Un sistem formal produce documente. Un sistem real produce control, trasabilitate și capacitatea de a demonstra de ce un client a fost acceptat, cum a fost evaluat riscul și ce s-a făcut atunci când au apărut semnale de alertă.

Această distincție nu este doar una de bună practică, ci rezultă chiar din logica Legii nr. 308/2017 privind prevenirea și combaterea spălării banilor și finanțării terorismului. Regimul legal este construit pe abordarea bazată pe risc, iar entitățile raportoare sunt obligate să identifice și să evalueze riscurile proprii de spălare a banilor și finanțare a terorismului.

În practică, un KYC formal se recunoaște destul de ușor. Compania are o politică internă generală, uneori copiată din alte domenii sau din alte jurisdicții, fără adaptare la activitatea concretă. Formularele de identificare sunt completate mecanic. Beneficiarul efectiv este indicat fără o verificare reală a structurii de proprietate și control. Dosarul clientului este creat la începutul relației, dar nu este actualizat. Tranzacțiile sunt executate, însă fără o monitorizare continuă a coerenței dintre profilul clientului, activitatea declarată și comportamentul efectiv.

Un KYC real funcționează altfel. Procesul începe cu o identificare corectă a clientului și a beneficiarului efectiv, dar nu se oprește aici. Continuă cu evaluarea riscului, stabilirea nivelului de diligență aplicabil, actualizarea periodică a informațiilor, monitorizarea tranzacțiilor și păstrarea dovezilor care justifică deciziile interne.

Aici apare una dintre cele mai frecvente confuzii din practică: companiile cred că au rezolvat conformarea AML în momentul în care au colectat copia actului de identitate și un formular standard semnat. În realitate, acestea sunt doar elemente de început. Întrebarea juridică relevantă este alta: poate compania demonstra, într-un eventual control, de ce a considerat clientul acceptabil, cum a identificat beneficiarul efectiv, ce factori de risc a analizat și ce a făcut ulterior pentru a se asigura că datele rămân actuale și relația de afaceri nu devine una problematică?

Beneficiarul efectiv este unul dintre cele mai sensibile puncte ale acestei diferențe dintre formal și real. Declararea sau notarea într-un formular nu este suficient dacă entitatea raportoare nu înțelege efectiv cine controlează în ultimă instanță clientul sau în interesul cui se desfășoară activitatea ori tranzacția. Tocmai de aceea, verificarea beneficiarului efectiv trebuie privită nu ca o formalitate birocratică, ci ca un instrument central de înțelegere a riscului.

La fel de importantă este actualizarea datelor. Un KYC formal tratează informația despre client ca pe ceva „colectat o dată și suficient”. Un KYC real pornește de la ideea că profilul clientului se poate modifica: structura de proprietate, administratorii, activitatea desfășurată, jurisdicțiile implicate, comportamentul tranzacțional sau sursa fondurilor. Fără o actualizare periodică sau bazată pe evenimente relevante, dosarul clientului devine rapid inutil din punct de vedere al conformării.

Monitorizarea continuă este un alt criteriu care separă cele două modele. Dacă o companie nu urmărește dacă tranzacțiile și comportamentul clientului sunt compatibile cu profilul inițial declarat, atunci KYC-ul său rămâne doar unul declarativ. În schimb, atunci când există controale interne, semnale de alertă, escaladare internă și dovezi ale verificărilor efectuate, se poate vorbi despre un sistem funcțional de conformare.

În final, diferența dintre KYC formal și KYC real este diferența dintre a bifa o obligație și a gestiona un risc. În 2026, pentru entitățile raportoare și pentru companiile expuse cerințelor AML, simpla existență a politicilor interne nu mai este suficientă. Ceea ce contează este dacă aceste politici trăiesc în procedurile zilnice ale companiei, dacă sunt aplicate consecvent și dacă pot fi demonstrate prin documente, analize și urme clare ale deciziilor interne.