KYC i dubinska analiza stranke: kako je provesti (2026.)

"Upoznaj svog klijenta" zvuči jednostavno, ali u praksi je KYC jedan od najčešćih izvora nalaza u nadzoru. Površna provjera identiteta nije dovoljna — zakon traži razumijevanje tko je stranka, tko stoji iza nje i čime se bavi. Ovaj vodič objašnjava kako provesti dubinsku analizu stranke ispravno.

Što je KYC i dubinska analiza stranke

KYC (engl. Know Your Customer) i dubinska analiza stranke (CDD) skup su mjera kojima obveznik upoznaje svoju stranku prije i tijekom poslovnog odnosa. To je temelj cijelog sustava sprječavanja pranja novca: ako ne znate tko je stranka i odakle joj novac, ne možete prepoznati ni sumnjivu aktivnost.

Dubinska analiza obuhvaća četiri ključna elementa:

1. utvrđivanje i provjeru identiteta stranke,
2. utvrđivanje i provjeru stvarnog vlasnika,
3. razumijevanje svrhe i namjeravane prirode poslovnog odnosa,
4. kontinuirano praćenje odnosa i transakcija.

Kada se provodi

Dubinska analiza obavezna je, među ostalim:

• pri uspostavi poslovnog odnosa,
• kod povremenih transakcija iznad zakonskog praga,
• kad postoji sumnja na pranje novca ili financiranje terorizma, neovisno o iznosu,
• kad postoji sumnja u istinitost ranije prikupljenih podataka o stranci.

Tri razine dubinske analize

Opseg analize ovisi o riziku, prema pristupu "temeljenom na riziku":

Pojednostavljena dubinska analiza

Primjenjuje se kad je rizik dokazano nizak (npr. određene javne institucije ili nisko-rizični proizvodi). Mjere su uže, ali se i dalje provode i dokumentiraju — "nizak rizik" mora se opravdati, ne pretpostaviti.

Uobičajena dubinska analiza

Standardni postupak za većinu stranaka: provjera identiteta na temelju pouzdanih dokumenata ili izvora, utvrđivanje stvarnog vlasnika i svrhe odnosa.

Pojačana dubinska analiza (EDD)

Primjenjuje se kod visokog rizika — politički izložene osobe (PEP), stranke iz visokorizičnih zemalja, neuobičajene ili složene transakcije bez jasne ekonomske svrhe. EDD uključuje dodatne korake: utvrđivanje izvora sredstava i izvora imovine, odobrenje višeg rukovodstva i pojačano praćenje.

Utvrđivanje stvarnog vlasnika

Iza pravnih osoba uvijek stoje ljudi. Stvarni vlasnik je fizička osoba koja u konačnici posjeduje ili kontrolira stranku (u pravilu iznad praga udjela ili glasačkih prava, ili kontrolom na drugi način). Obveznik mora "probiti" vlasničku strukturu i ne smije se zadovoljiti time da je vlasnik druga tvrtka. Podaci se provjeravaju i u Registru stvarnih vlasnika.

PEP-ovi i povezane osobe

Politički izložene osobe — osobe na istaknutim javnim dužnostima te njihovi članovi obitelji i bliski suradnici — nose povećan rizik. Za njih je obavezna pojačana analiza: utvrđivanje izvora sredstava, odobrenje rukovodstva i pojačano praćenje. Status PEP-a treba provjeravati i tijekom trajanja odnosa, ne samo na početku.

Kontinuirano praćenje

Dubinska analiza nije jednokratni događaj na početku odnosa. Obveznik mora kontinuirano pratiti transakcije i poslovni odnos kako bi provjerio odgovaraju li poznavanju stranke i njezinu profilu rizika. Neuobičajeno velike, složene ili transakcije bez jasne svrhe pokreću dodatnu provjeru i, ako sumnja ostane, prijavu.

Dokumentacija i čuvanje

Sve korake dubinske analize treba dokumentirati: prikupljene podatke, dokumente, procjenu rizika i odluke. Dokumentacija se čuva propisani broj godina nakon prestanka odnosa. U nadzoru, nedokumentiran postupak praktički znači neprovedeni postupak.

Pristup temeljen na riziku u praksi

Cijela logika dubinske analize počiva na jednoj ideji: ne tretiraju se sve stranke jednako. Pristup temeljen na riziku znači da obveznik usmjerava više pažnje, vremena i provjera na stranke i transakcije koje nose veći rizik, a manje na one koje su dokazano niskorizične. To nije način da se izbjegne posao, nego da se resursi usmjere ondje gdje su najpotrebniji.

U praksi to znači da obveznik mora imati kriterije po kojima razvrstava stranke u kategorije rizika. Na rizik utječu vrsta stranke (fizička ili pravna osoba, složenost vlasničke strukture), djelatnost (neke su izloženije zlouporabi), zemljopisni čimbenici (poslovanje s visokorizičnim zemljama), te vrsta proizvoda i kanala (npr. poslovanje na daljinu nosi veći rizik od osobnog kontakta). Stranka koja kombinira više rizičnih čimbenika — primjerice inozemna pravna osoba složene strukture koja posluje na daljinu — automatski traži pojačanu dubinsku analizu.

Ključno je da je razvrstavanje dokumentirano i dosljedno. U nadzoru se ne provjerava samo jeste li proveli analizu, nego i jeste li primijenili razinu analize primjerenu riziku te možete li to obrazložiti. Obveznik koji svaku stranku tretira jednako — bilo prestrogo, bilo prelagano — odstupa od pristupa temeljenog na riziku.

Sankcijske liste i provjere

Uz utvrđivanje identiteta i stvarnog vlasnika, važan dio provjere jest i usporedba sa sankcijskim listama te listama politički izloženih osoba. Cilj je spriječiti poslovanje s osobama i subjektima pod međunarodnim sankcijama te primijeniti pojačane mjere na osobe s povećanim rizikom. Ove se provjere ne rade samo na početku odnosa — liste se mijenjaju, pa ih treba periodično ponavljati tijekom trajanja poslovnog odnosa.

Za manje obveznike to može biti ručni postupak, dok veći koriste automatizirane alate koji kontinuirano provjeravaju stranke u odnosu na ažurirane liste. U oba slučaja, alat je samo pomoć — odluku o tome kako postupiti s "pogotkom" na listi donosi educirana osoba, jer automatske provjere često daju i lažne podudarnosti koje treba ispravno protumačiti.

Što kad nešto ne štima

Najvažniji trenutak u KYC-u jest onaj kad provjera otkrije nešto neuobičajeno — stranka ne želi otkriti stvarnog vlasnika, dokumenti ne djeluju vjerodostojno, ili svrha odnosa ne odgovara profilu. U takvim situacijama obveznik ne smije jednostavno nastaviti kao da je sve u redu.

Postupak je sljedeći: provesti dodatne provjere (pojačana analiza), zatražiti pojašnjenja i dokumente te, ako sumnja ostane, razmotriti prijavu sumnjive transakcije nadležnom tijelu. Ako se dubinska analiza uopće ne može provesti — primjerice stranka odbija dati nužne podatke — obveznik ne smije uspostaviti niti nastaviti poslovni odnos. Pritom vrijedi zabrana obavještavanja stranke o eventualnoj prijavi. Upravo u ovim trenucima educiranost zaposlenika čini razliku između sustava koji funkcionira i onoga koji postoji samo na papiru.

KYC korak po korak: kako izgleda u praksi

Da bi apstraktna pravila postala primjenjiva, pogledajmo kako dubinska analiza teče za novu poslovnu stranku — pravnu osobu.

Najprije se prikupljaju i provjeravaju osnovni podaci: tvrtka, sjedište, OIB, podaci iz sudskog registra i osoba ovlaštena za zastupanje. Zatim se utvrđuje stvarni vlasnik — fizička osoba koja u konačnici kontrolira stranku — provjerom vlasničke strukture i Registra stvarnih vlasnika. Ako je struktura složena (više razina društava, inozemni vlasnici), ovaj korak traži više pažnje jer je upravo skrivanje stvarnog vlasnika klasičan obrazac zlouporabe.

Slijedi razumijevanje svrhe odnosa: čime se stranka bavi, kakve transakcije očekuje, koje iznose i s kim. Time se gradi "očekivani profil" prema kojem se kasnije ocjenjuje je li neka transakcija neuobičajena. Na kraju se određuje razina rizika stranke, što diktira hoće li se primijeniti pojednostavljena, uobičajena ili pojačana analiza, te koliko često će se podaci ažurirati.

Cijeli postupak mora biti dokumentiran. U nadzoru vrijedi jednostavno pravilo: ono što nije zabilježeno, smatra se da nije ni učinjeno. Uredna dokumentacija ujedno štiti i samog obveznika ako se kasnije pojavi pitanje je li postupio s dužnom pažnjom.

Digitalni KYC i provjera na daljinu

Sve više dubinske analize provodi se na daljinu, bez fizičke prisutnosti stranke — putem video-identifikacije, elektroničke identifikacije (eID) i provjere dokumenata digitalnim alatima. To je praktično i ubrzava uspostavu odnosa, ali nosi i nove rizike: krađu identiteta, lažne dokumente i sve uvjerljivije manipulacije slikom i videom.

Zato digitalni KYC mora koristiti pouzdane metode i izvore te zadržati istu razinu provjere kao i osobni kontakt — ponekad i strožu, ovisno o riziku. Tehnologija pomaže, ali ne preuzima odgovornost: obveznik i dalje mora znati prepoznati kad nešto ne štima, neovisno o tome provjerava li dokument uživo ili putem ekrana.

Veza KYC-a s drugim obvezama

Dubinska analiza nije izolirana — povezuje se s ostalim dijelovima AML sustava i sa zaštitom podataka. Podaci prikupljeni u KYC-u temelj su kasnijeg praćenja transakcija: bez poznavanja stranke ne možete ocijeniti je li transakcija neuobičajena. Istovremeno, KYC podrazumijeva obradu velike količine osobnih podataka, pa se mora uskladiti s GDPR-om — prikupljati samo ono što je nužno, čuvati propisani rok i zaštititi podatke odgovarajućim mjerama. KYC i zaštita podataka tako nisu u sukobu: oba traže urednost, dokumentiranost i svrhovitost.

Zašto educiran tim čini razliku

Najbolji KYC sustav na papiru ne vrijedi ništa ako zaposlenik na šalteru ili u prodaji ne zna prepoznati znak upozorenja ili površno provede provjeru "da ne gnjavi stranku". Dubinska analiza živi u svakodnevnim, naizgled rutinskim interakcijama — i upravo se ondje najčešće propušta. Edukacija pretvara pravila u refleks: zaposlenik koji razumije zašto provjerava stvarnog vlasnika i što znači crvena zastavica obavlja posao temeljitije i sigurnije, a ovlaštena osoba uz dublju edukaciju zna ispravno odlučiti o eskalaciji i prijavi.

Najčešće pogreške

• Provjera identiteta bez utvrđivanja stvarnog vlasnika.
• Tretiranje KYC-a kao jednokratnog koraka, bez kontinuiranog praćenja.
• Neujednačena primjena razina analize bez dokumentirane procjene rizika.
• Propust provjere PEP statusa i visokorizičnih zemalja.
• Površna dokumentacija koja ne izdrži nadzor.

Često postavljana pitanja

Je li dovoljno preslikati osobnu iskaznicu stranke?
Ne. Provjera identiteta je samo jedan element. Morate utvrditi i stvarnog vlasnika, razumjeti svrhu odnosa i pratiti transakcije. KYC je proces, ne preslika dokumenta.

Možemo li se osloniti na dubinsku analizu koju je proveo netko drugi?
Zakon u određenim uvjetima dopušta oslanjanje na treću stranu, ali odgovornost ostaje na obvezniku. Morate osigurati pristup podacima i dokumentaciji.

Što ako stranka odbije dati podatke o stvarnom vlasniku?
Ako ne možete provesti dubinsku analizu, ne smijete uspostaviti niti nastaviti poslovni odnos, a prema potrebi razmatrate prijavu sumnjive aktivnosti.

Koliko često treba ažurirati KYC podatke?
Ovisno o riziku — za visokorizične stranke češće. Podaci se ažuriraju i kad nastupi promjena (npr. promjena vlasništva) ili kad praćenje otkrije neuobičajenost.

Možemo li KYC u potpunosti prepustiti softveru?
Ne u potpunosti. Alati ubrzavaju provjeru identiteta, usporedbu sa sankcijskim listama i praćenje transakcija, ali konačnu prosudbu — osobito kod složenih struktura, lažnih dokumenata ili neuobičajenih obrazaca — donosi educirana osoba. Softver je pomoć, a ne zamjena za odgovornost obveznika.

Koliko dugo čuvamo KYC dokumentaciju?
Dokumentaciju o dubinskoj analizi i transakcijama treba čuvati propisani broj godina nakon prestanka poslovnog odnosa (prema Zakonu o SPNFT-u). Čuvanje mora biti usklađeno i s GDPR-om — podaci se ne smiju zadržavati dulje nego što zakon i svrha traže.

Što ako poslujemo samo s drugim tvrtkama (B2B)?
I tada vrijedi obveza utvrđivanja stvarnog vlasnika i razumijevanja svrhe odnosa. Poslovanje s pravnim osobama često je čak složenije jer zahtijeva "probijanje" vlasničke strukture do fizičkih osoba koje je u konačnici kontroliraju.

Tko u tvrtki treba znati provoditi dubinsku analizu?
Svi zaposlenici u izravnom kontaktu sa strankama trebaju osnovno znanje kako prepoznati znak upozorenja i pravilno prikupiti podatke, a ovlaštena osoba i njezin zamjenik dublje znanje o procjeni rizika i odluci o prijavi. Upravo zato je ciljana edukacija — različita za prvu liniju i za ovlaštenu osobu — temelj sustava koji u praksi funkcionira. Edukacija mora biti i redovita i dokumentirana, jer upravo dokaz o njoj nadzorno tijelo gotovo uvijek traži pri provjeri.

Ravnoteža između temeljitosti i korisničkog iskustva

Jedan od najvećih praktičnih izazova KYC-a jest napetost između dvije legitimne potrebe: temeljite provjere s jedne strane i brzog, ugodnog uspostavljanja odnosa sa strankom s druge. Predug i kompliciran postupak odbija dobre stranke i šteti poslovanju; prebrz i površan postupak izlaže obveznika riziku i nalazima u nadzoru. Cilj nije birati između to dvoje, nego ih uskladiti.

Pristup temeljen na riziku upravo je alat za tu ravnotežu. Niskorizične stranke prolaze brži, jednostavniji postupak, dok se pojačana provjera primjenjuje ondje gdje je doista potrebna. Dobro osmišljeni digitalni alati mogu ubrzati provjeru identiteta i automatski provjeriti sankcijske liste, ostavljajući ljudima samo slučajeve koji traže prosudbu. Time se istodobno čuva i korisničko iskustvo i kvaliteta provjere.

Ključno je da odluku o "rezanju" koraka nikad ne diktira samo želja za brzinom. Svaki izostavljeni korak mora biti opravdan niskim rizikom i dokumentiran — jer u nadzoru se ne gleda jeste li bili brzi, nego jeste li bili primjereni riziku. Educiran zaposlenik zna gdje smije ubrzati, a gdje mora stati i provjeriti dublje, i upravo ta prosudba čini razliku između sustava koji je i učinkovit i usklađen.

Zaključak

Dobar KYC nije birokratska prepreka, nego zaštita: tvrtka koja poznaje svoje stranke teže postaje kanal za pranje novca i lakše prolazi nadzor. Ključ je dosljednost — ista razina pažnje za svaku stranku prema njezinu riziku, uz urednu dokumentaciju i stvarno kontinuirano praćenje.

Ako želite educirati svoj tim i ovlaštenu osobu o ispravnoj provedbi dubinske analize, pogledajte našu edukaciju o sprječavanju pranja novca (AML).