AML. Anti money laundering. Alebo po slovensky, boj proti praniu špinavých peňazí.
Znie to ako niečo, čo riešia iba banky, veľké korporáty a ľudia v oblekoch, čo majú na stole tri monitory a štvrtý len na tabuľky. Lenže realita v roku 2026 je taká, že AML sa dotýka už skoro každého, kto pracuje s peniazmi iných ľudí, spracúva platby, robí onboarding klientov, sprostredkúva obchody alebo prevádzkuje platformu, kde sa dá niečo kúpiť, predať, poslať, vybrať.
A hlavne. AML nie je jedna povinnosť. Je to systém. Ak ho máte postavený rozumne, viete spať. Ak ho máte postavený „nejako“, väčšinou sa to prejaví v najhoršej chvíli. Pri kontrole, pri incidente, alebo keď sa niečo pokazí a vy zistíte, že vlastne neviete dokázať, čo ste robili a prečo.
Tento sprievodca je písaný prakticky. Nie právnická prednáška. Skôr taká mapa, čo presne treba mať, ako to spraviť tak, aby to dávalo zmysel, a na čo sa v praxi najčastejšie zabúda.
Čo je AML a prečo sa to vôbec rieši
Pranie špinavých peňazí je snaha „očistiť“ peniaze z trestnej činnosti tak, aby vyzerali legálne. Typicky cez prevody, falošné faktúry, nastrčené firmy, hazard, nehnuteľnosti, crypto, umenie, drahé autá. Nástrojov je veľa. A v roku 2026 platí, že keď sa niekto fakt snaží, vie si nájsť cestu cez hocijaký produkt.
AML je teda súbor pravidiel a procesov, ktoré majú:
- identifikovať a overiť klienta (KYC),
- pochopiť, odkiaľ má peniaze a prečo transakciu robí,
- sledovať transakcie a správanie,
- vyhodnocovať riziko,
- nahlasovať podozrivé aktivity,
- a mať dôkazy, že ste to celé robili primerane.
Nie je cieľom chytiť všetkých zločincov sveta. Cieľ je mať primeraný systém, ktorý znižuje riziko a spĺňa zákonné požiadavky.
Koho sa AML týka na Slovensku (a v EÚ)
Na Slovensku je AML postavené najmä na zákone č. 297/2008 Z. z. (o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu). V praxi sa to netýka len bánk.
Typicky medzi povinné osoby patria napríklad:
- banky a finančné inštitúcie,
- platobné inštitúcie, e-money, fintech,
- poisťovne (v určitých produktoch),
- investičné firmy, správcovia, brokeri,
- zmenárne,
- poskytovatelia služieb spojených s kryptoaktívami (CASP),
- audítori, účtovníci, daňoví poradcovia,
- realitné kancelárie,
- notári, advokáti (v určitých situáciách),
- obchodníci s tovarom pri hotovostných platbách nad limit,
- hazard a podobné sektory.
A teraz tá nepríjemná vec. Aj keď si myslíte, že „my nie sme finančná firma“, môžete spadnúť do povinností cez to, čo reálne robíte. Nie cez to, ako sa nazývate na webe.
Ak neviete, či ste povinná osoba, neoplatí sa hádať. Oplatí sa urobiť rýchly AML gap check. Čo robíte, aké toky peňazí, aké produkty, aké krajiny, kto sú klienti.
AML vs KYC vs CDD. Trochu terminológie, ale ľudsky
V praxi sa to často mieša.
- AML je celý rámec.
- KYC (Know Your Customer) je identifikácia a overenie klienta.
- CDD (Customer Due Diligence) je „náležitá starostlivosť“. Teda KYC plus pochopenie účelu vzťahu, rizika, monitoringu.
- EDD (Enhanced Due Diligence) je zosilnená starostlivosť pri vyššom riziku.
- KUV je konečný užívateľ výhod. Kto reálne kontroluje firmu.
- PEP je politicky exponovaná osoba.
- Sanctions screening je kontrola sankčných zoznamov (OFAC, EÚ, OSN atď.), často paralelne s AML.
Takže keď niekto povie „máme KYC“, ešte to neznamená, že má AML. Môžete mať sken občianskeho a stále byť úplne slepí v monitoringu transakcií.
Základný AML program, ktorý by mal mať každý (aj malá firma)
Toto je jadro. Ak by ste mali mať len 7 vecí, tak tieto:
- AML risk assessment (hodnotenie rizík)
- Interné smernice a procesy
- KYC/CDD onboarding
- Risk scoring klientov a prípadov (a pravidlá pre EDD)
- Transakčný monitoring (primeraný produktu)
- Screening sankcií a PEP (a práca s výsledkami)
- Školenia, auditovateľnosť, evidencia, reportovanie podozrivých obchodov
A teraz to rozoberieme tak, aby sa to dalo reálne spraviť.
1) Risk assessment. Bez toho je všetko len „papier“
Risk assessment nie je dokument na kontrolu. Je to rozhodovací rámec.
Robí sa minimálne na úrovni:
- riziko klienta (kto to je, PEP, KUV, reputácia, odvetvie),
- riziko produktu/služby (ako ľahko sa dá zneužiť),
- riziko kanála (online bez osobného kontaktu je iné než pobočka),
- geografické riziko (krajiny, sankcie, vysoké AML riziko),
- transakčné riziko (objem, frekvencia, vzorce),
- riziko tretích strán (sprostredkovatelia, partneri, dodávatelia KYC).
Prakticky. Zoberiete si, čo robíte a komu to predávate. A urobíte jednoduchú maticu. Nízke, stredné, vysoké. Pre každý typ definujete, čo robíte inak.
Ak máte risk assessment postavený rozumne, potom aj keď príde kontrola, viete obhájiť, prečo niečo robíte tak a nie inak. „Lebo zákon“ nestačí. Očakáva sa primeranosť.
2) Interné smernice. Nie román. Návod
Najčastejšia chyba je, že smernica je 40 strán skopírovaných z internetu. A nikto podľa toho nevie pracovať.
Dobrá AML smernica je skôr pracovný manuál:
- kto je zodpovedná osoba (AML officer) a čo presne robí,
- ako prebieha onboarding krok za krokom,
- aké dokumenty a dáta zbierate,
- ako vyhodnocujete riziko,
- kedy spúšťate EDD,
- ako často robíte refresh KYC (periodická aktualizácia),
- ako vyzerá monitoring a čo sú red flags,
- ako riešite eskalácie a rozhodovanie,
- čo je podozrivý obchod a ako sa reportuje,
- ako sa evidujú úkony a kde sú uložené dôkazy,
- retention, GDPR, prístupy, logy.
A znovu. Primerane. Iná smernica pre realitku s 5 ľuďmi, iná pre fintech s automatizovaným onboardingom.
3) KYC/CDD onboarding. Čo zbierať a čo si overiť
Fyzická osoba (typicky)
- identifikačné údaje (meno, dátum narodenia, adresa, štátna príslušnosť),
- doklad totožnosti a jeho overenie,
- overenie, že osoba existuje a doklad je legit,
- screening sankcií a PEP,
- pochopenie účelu vzťahu (prečo to chce používať),
- zdroj prostriedkov alebo zdroj majetku podľa rizika (pri vyššom riziku viac).
V roku 2026 je veľa onboardingov online. To je ok, len treba mať zvládnuté:
- liveness (že je to živý človek),
- kontrolu falzifikátov,
- kontrolu, že dokument patrí tej osobe,
- logovanie, kedy a ako sa overenie spravilo,
- proces pre výnimky (keď to nejde automaticky).
Právnická osoba (firma)
Tu to býva bolestivejšie.
- základné údaje o firme (obchodný register, sídlo, IČO),
- štatutár, kto podpisuje,
- overenie osoby konajúcej za firmu,
- identifikácia a overenie KUV,
- pochopenie vlastníckej štruktúry (až k fyzickej osobe),
- účel a povaha obchodného vzťahu,
- odvetvie, riziko, krajiny.
A potom realita. Máte firmu s vlastníkom v zahraničí. Alebo trust. Alebo viac vrstiev. Vtedy je EDD skoro istota.
4) Risk scoring. Bez rizika neviete, čo má byť prísnejšie
Risk scoring je spôsob, ako rozumne rozdeliť klientov.
Príklad faktorov (jednoducho):
- PEP = vysoké riziko
- krajina mimo EHP s vysokým rizikom = vyššie riziko
- cash-intensive odvetvie = vyššie riziko
- komplikovaná vlastnícka štruktúra = vyššie riziko
- neštandardné správanie po onboardingu = riziko rastie
A dôležité. Risk scoring nie je jednorazový. Klient môže byť pri vstupe nízkorizikový a o pol roka začne robiť transakcie, ktoré to celé zmenia.
Takže scoring má byť živý. Aktualizovaný udalosťami, monitoringom, zmenou údajov.
5) EDD. Kedy pritvrdiť a čo to znamená
EDD je zosilnená starostlivosť. Nie trest. Je to ochrana.
Spúšťače EDD sú typicky:
- PEP alebo blízke osoby PEP,
- vysokorizikové krajiny,
- nejasný zdroj prostriedkov,
- neštandardne vysoké objemy,
- komplexná štruktúra bez jasného ekonomického dôvodu,
- negatívne správy v médiách (adverse media),
- opakované red flags.
Čo sa robí v EDD?
- viac dokumentácie (napr. potvrdenie o príjme, účtovné výkazy, zmluvy),
- hlbší adverse media check,
- detailnejšie vysvetlenie účelu transakcií,
- schválenie vyšším manažmentom (áno, aj to býva požiadavka),
- častejší monitoring a KYC refresh.
A v praxi, jedna z najlepších vecí je mať EDD checklist. Nie „budeme to riešiť individuálne“, lebo potom to každý rieši inak.
6) Transakčný monitoring. Čo sledovať, keď nemáte tím ako banka
Monitoring nemusí byť mega sofistikovaný systém. Musí byť primeraný.
Najprv si položte otázku: aké zneužitie je pre náš produkt najpravdepodobnejšie?
Príklady typických red flags:
- veľa malých transakcií tesne pod limit (structuring),
- rýchle otočky. príjem a hneď výber,
- náhle zvýšenie objemov bez vysvetlenia,
- transakcie do a z rizikových krajín,
- používanie viacerých účtov, ktoré sa správajú podobne,
- nezhoda medzi profilom klienta a správaním (študent a zrazu vysoké objemy),
- veľa chargebackov alebo podozrivé refundy (pri kartách),
- zmeny údajov tesne pred veľkou transakciou.
Monitoring môže byť:
- pravidlový (rules),
- behaviorálny (vzorce správania),
- kombinovaný s manuálnymi kontrolami.
Dôležité je mať proces: alert vznikne, niekto ho vyhodnotí, výsledok sa zdokumentuje, prípad sa uzavrie alebo eskaluje.
A prosím, nenechávajte alerty „na neskôr“. Neskôr sa to vždy zmení na nikdy.
7) Sankcie a PEP screening. A čo s false positives
Veľa firiem spraví screening, dostane match, a potom panika.
Musíte mať postup:
- ako sa vyhodnocuje zhoda (true match vs false positive),
- aké údaje porovnávate (dátum narodenia, adresa, štát),
- kto rozhoduje o akcii,
- čo sa robí, keď je to skutočný match,
- a ako sa to celé eviduje.
Sankcie sú tvrdé. Tam nie je veľa priestoru na „možno“.
PEP je skôr o zvýšenom riziku a EDD, nie automaticky zákaz.
A ešte. Screening nie je len pri onboardingu. Má byť aj priebežný, lebo zoznamy sa menia.
Podozrivý obchod. Kedy reportovať a prečo to neodkladať
Podozrivý obchod je situácia, kde máte dôvodné podozrenie, že transakcia alebo správanie súvisí s praním peňazí alebo financovaním terorizmu.
Nie je potrebné mať dôkaz ako polícia. Máte mať dôvodné podozrenie a vedieť ho opísať.
V praxi je dobré mať interné pravidlo:
- čo je red flag,
- kedy sa red flags menia na podozrenie,
- ako prebieha interná eskalácia,
- kto komunikuje s orgánmi,
- a čo sa smie a nesmie povedať klientovi (tipping off je reálna vec).
Ak to znie stresujúco, áno, trochu je. Ale keď máte postup, je to zvládnuteľné.
AML školenia. Nie raz ročne a hotovo
Školenie nie je checkbox. Je to ochrana pred tým, že niekto v supporte alebo obchode spraví zlé rozhodnutie.
Minimum, ktoré dáva zmysel:
- onboarding školenie pre nových ľudí,
- ročné refresh školenie,
- ad hoc školenia pri zmenách zákona, produktu, rizík,
- test alebo potvrdenie, že školenie prebehlo,
- špeciálne školenie pre vyššie rizikové roly (compliance, onboarding, risk).
A hlavne. Školenie má byť konkrétne. Na vašich príkladoch. Nie definície z PDF.
Dokumentácia a evidencia. Lebo „nevieme to dohľadať“ je problém
V AML platí jedna tvrdá realita. Keď to nie je zdokumentované, akoby sa to nestalo.
Takže potrebujete:
- uložené KYC dáta a dôkazy,
- logy rozhodnutí (prečo sme klienta prijali, prečo sme uzavreli alert),
- evidenciu EDD,
- evidenciu školení,
- verzie smerníc a dátumy účinnosti,
- audit trail (kto čo zmenil, kedy).
V roku 2026 sa často rieši, či to máte v jednom systéme, alebo v piatich. Ideálne v jednom. Realita je často mix. Nevadí, ak je to pod kontrolou a dohľadateľné.
Najčastejšie chyby, ktoré vídam (a stoja peniaze)
- KYC ako fotka dokladu a nič viac.
- Žiadny risk assessment. Alebo jeden starý a nikto ho neaktualizuje.
- EDD len na papieri. V smernici je, v praxi nie.
- Monitoring nastavený tak prísne, že vzniká 500 alertov denne a nikto to nestíha.
- Screening bez procesu pre matches.
- Žiadna evidencia rozhodnutí.
- Dodávateľ KYC rieši všetko. Zodpovednosť je stále na vás.
- Biznis tlačí na onboarding a compliance je posledná brzda. To je klasika. Ale dá sa to vyriešiť dobrým risk-based prístupom.
AML v 2026. Čo je nové v praxi (a čo sa sprísňuje)
Rok 2026 je už dosť o tom, že regulácia v EÚ ide smerom väčšej jednotnosti a prísnejšieho dohľadu. A firmy sú viac digitálne, rýchlejšie, cez hranice.
Praktické trendy, ktoré cítiť:
- viac dôrazu na skutočné vlastníctvo (KUV) a reálnu kontrolu firiem,
- väčší tlak na priebežný monitoring, nie len onboarding,
- viac sankčných režimov a častejšie aktualizácie zoznamov,
- crypto a krypto služby sú viac „mainstream“ a tým pádom aj viac kontrolované,
- automatizácia je bežná, ale regulátor chce vedieť, ako funguje, čo robí model, ako sa riešia výnimky.
A ešte jedna vec. Keď máte automatizované rozhodovanie, potrebujete mať vysvetliteľnosť. Nech to nie je black box.
Ako začať, keď AML ešte nemáte poriadne postavené
Ak ste malá firma alebo rastúci fintech a máte pocit, že AML je chaos, choďte v tomto poradí. Funguje to.
- Zmapujte toky peňazí a typy klientov.
- Urobte jednoduchý risk assessment.
- Napíšte krátku smernicu, ktorá sedí na realitu.
- Nastavte KYC a risk scoring.
- Dajte aspoň základný monitoring a alert proces.
- Zaveďte sankcie a PEP screening s jasným postupom.
- Spravte školenie a zaveďte evidenciu.
A potom iterujte. AML nie je jednorazový projekt. Skôr taký živý orgán firmy.
Rýchly mini checklist (na kontrolu, či ste aspoň na bezpečnom základe)
- Máme definované, či sme povinná osoba a prečo?
- Máme aktuálny risk assessment (do 12 mesiacov, alebo po zmenách)?
- Vieme pre každého klienta ukázať KYC dôkazy a dátum overenia?
- Máme KUV proces pre firmy a funguje v praxi?
- Máme PEP a sankčný screening a vieme riešiť matches?
- Máme pravidlá pre EDD a reálne sa používajú?
- Máme monitoring a evidenciu alertov?
- Vieme, kto a ako reportuje podozrivé obchody?
- Máme školenia a záznamy?
- Vieme všetko dohľadať do pár hodín, nie dní?
Ak pri viacerých otázkach vychádza „asi“, máte plán práce.
Záver. AML nie je o strachu, je to o kontrole
AML sa dá robiť tak, že vás to dusí. A dá sa robiť tak, že je to normálna súčasť procesov. Nenápadná, ale pevná.
V roku 2026 už väčšina firiem nebude riešiť otázku „či AML potrebujeme“. Skôr „ako to spraviť rozumne, aby sme nebrzdili biznis a zároveň mali krytý chrbát“.
Ak si z tohto článku máte vziať len jednu vec, tak túto. AML má byť primerané vášmu riziku. Ale musí existovať, musí byť živé, a musí byť dohľadateľné.
Keď chcete, môžem vám to aj zjednodušiť na mieru. Napíšete, aký typ firmy ste (sektor, krajiny, typ klientov, priemerné objemy), a viem navrhnúť praktický AML rámec, ktorý nebude prehnaný, ale ani deravý.
Často kladené otázky
Čo znamená AML a prečo je dôležité v roku 2026?
AML, teda Anti Money Laundering alebo boj proti praniu špinavých peňazí, je systém pravidiel a procesov na identifikáciu, sledovanie a znižovanie rizika legalizácie nelegálnych peňazí. V roku 2026 sa AML týka takmer každého, kto pracuje s peniazmi iných ľudí, spracúva platby alebo prevádzkuje platformy na obchodovanie či prevody.
Kto je povinnou osobou podľa AML zákona na Slovensku a v EÚ?
Povinnými osobami sú nielen banky, ale aj platobné inštitúcie, poisťovne, investičné firmy, zmenárne, poskytovatelia služieb spojených s kryptoaktívami, audítori, účtovníci, realitné kancelárie, notári, advokáti v určitých situáciách či obchodníci s tovarom pri hotovostných platbách nad limit. Dôležité je posúdiť reálne aktivity a toky peňazí, nie len názov firmy.
Aký je rozdiel medzi AML, KYC a CDD?
AML je celý rámec boja proti praniu špinavých peňazí. KYC (Know Your Customer) znamená identifikáciu a overenie klienta. CDD (Customer Due Diligence) predstavuje náležitú starostlivosť – teda KYC plus pochopenie účelu klienta a jeho transakcií.
Prečo nestačí mať AML systém postavený „nejako“?
Nedostatočne alebo nesprávne nastavený AML systém často vyjde najavo v najhorších chvíľach – pri kontrole alebo incidente. Môže sa stať, že nebudete vedieť preukázať svoje kroky a dôvody. Rozumne postavený systém umožňuje pokojný spánok a splnenie zákonných požiadaviek.
Aké sú hlavné ciele AML systému?
Cieľom AML systému nie je chytiť všetkých zločincov sveta, ale mať primeraný systém na zníženie rizika legalizácie špinavých peňazí. To zahŕňa identifikáciu klienta (KYC), pochopenie zdroja peňazí a účelu transakcie, sledovanie správania klientov, vyhodnocovanie rizík a nahlasovanie podozrivých aktivít.
Ako zistiť, či sa na mňa vzťahujú povinnosti podľa AML?
Ak si nie ste istí, či ste povinná osoba podľa AML zákona, odporúča sa urobiť rýchly AML gap check – analyzovať vaše produkty, toky peňazí, krajiny pôvodu klientov a typ klientov. Nie je rozhodujúce len označenie firmy na webe, ale skutočné činnosti a finančné operácie.
