Firma handlowa z Trójmiasta podpisuje kontrakt z nowym dostawcą komponentów. Weryfikacja trwa dwa dni – bo ktoś przejrzał LinkedIn i zadzwonił do znajomego. Trzy miesiące później okazuje się, że za spółką stoi beneficjent rzeczywisty objęty unijnym pakietem sankcji. Konsekwencje są natychmiastowe: zamrożenie płatności, blokada rachunków, dochodzenie KAS i ryzyko odpowiedzialności karnej zarządu.
Screening sankcyjny to ustrukturyzowany proces weryfikacji kontrahentów, pracowników i transakcji pod kątem list sankcyjnych UE, ONZ, OFAC oraz polskiej ustawy z 15 kwietnia 2022 roku o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę. Obowiązek weryfikacji spoczywa na każdym polskim przedsiębiorcy uczestniczącym w obrocie z podmiotami spoza Unii Europejskiej lub działającym w sektorach podwyższonego ryzyka. Naruszenie sankcji grozi karą pozbawienia wolności do 3 lat i administracyjnymi karami finansowymi bez ustawowego limitu górnego.
Ten artykuł analizuje doktrynalne podstawy screeningu, jego związek z AML, CSRD i ochroną sygnalistów, wymiar transgraniczny oraz strategię budowy odpornego programu compliance w polskim przedsiębiorstwie. Struktura opracowania prowadzi od ram prawnych przez pułapki operacyjne po plan wdrożenia.
Jakie przepisy tworzą obowiązek screeningu sankcyjnego w Polsce?
Polski obowiązek screeningu sankcyjnego wynika z kilku nakładających się warstw regulacyjnych. Pierwsza – rozporządzenia UE nakładające sankcje sektorowe i indywidualne, obowiązujące bezpośrednio bez potrzeby implementacji. Druga – polska ustawa sankcyjna z 15 kwietnia 2022 roku, uzupełniająca reżim unijny o krajowe narzędzia egzekucji. Trzecia – ustawa o AML z 2018 roku, nakładająca obowiązek weryfikacji beneficjentów rzeczywistych przez instytucje obowiązane. Razem tworzą system, który KAS i Ministerstwo Finansów traktują jako całość – nie zbiór oddzielnych procedur.
Rozporządzenia unijne działają na zasadzie bezpośredniego skutku. Przedsiębiorca, który przeprowadza transakcję z podmiotem z listy, narusza prawo UE nawet wtedy, gdy nie wiedział o sankcjach. Nieznajomość przepisów nie jest okolicznością wyłączającą odpowiedzialność. To fundament, który odróżnia prawo sankcyjne od większości innych dziedzin compliance.
Polska ustawa sankcyjna z 2022 roku idzie dalej. Wprowadza krajową listę podmiotów objętych zakazami, mechanizm zamrożenia aktywów na decyzję Ministra Spraw Wewnętrznych i Administracji oraz wykluczenie z zamówień publicznych. Dla polskich przedsiębiorców oznacza to podwójną warstwę ryzyka – unijną i krajową – którą trzeba weryfikować niezależnie. CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) staje się tutaj pierwszym narzędziem identyfikacji struktury właścicielskiej krajowych kontrahentów.
W praktyce KAS prowadzi kontrole, opierając się na kryterium „powinien wiedzieć". Firma, która nie wdrożyła procesu screeningowego, nie może twierdzić, że działała w dobrej wierze. Sądy i organy administracyjne oczekują dokumentacji: kto weryfikował, kiedy, na jakich listach i co z wynikami zrobiono. Brak tej dokumentacji to gotowy argument oskarżenia.
Warto zaznaczyć, że polityka ochrony sygnalistów stanowi element uzupełniający screening – pracownicy powinni mieć legalną ścieżkę zgłaszania podejrzeń o naruszenie sankcji bez ryzyka represji. Art. 8 ustawy o sygnalistach nakłada na pracodawców zatrudniających co najmniej 50 osób obowiązek stworzenia wewnętrznego kanału zgłoszeń. Compliance sankcyjny i ochrona sygnalistów to dziś dwie strony tej samej tarczy.
Jak wygląda operacyjny proces screeningu krok po kroku?
Skuteczny screening sankcyjny składa się z pięciu etapów: identyfikacji podmiotu, weryfikacji na listach, oceny ryzyka, decyzji o transakcji oraz dokumentacji wyniku. Każdy etap musi być sformalizowany – nie jako biurokratyczny obowiązek, lecz jako dowód należytej staranności przed KAS lub sądem. Czas na pierwszą weryfikację nowego kontrahenta nie powinien przekraczać 24 godzin roboczych od momentu złożenia oferty.
Etap pierwszy – identyfikacja – wymaga ustalenia pełnej tożsamości podmiotu: nazwy, numeru rejestrowego, jurysdykcji, beneficjentów rzeczywistych i powiązanych osób. Dane z CRBR są punktem wyjścia, nie punktem końcowym. Dla kontrahentów zagranicznych konieczne jest sięgnięcie do lokalnych rejestrów handlowych lub potwierdzenia przez samego kontrahenta.
Etap drugi – weryfikacja na listach – obejmuje co najmniej cztery bazy: skonsolidowaną listę UE, listę ONZ (Consolidated Sanctions List), listę OFAC SDN i polską listę krajową. Firmy działające w branży finansowej lub eksportującej towary podwójnego zastosowania powinny dołączyć listy UK OFSI i BIS Entity List. Ręczna weryfikacja na każdej z tych baz jest możliwa, ale przy ponad 100 transakcjach miesięcznie staje się nieefektywna i podatna na błędy ludzkie.
Etap trzeci – ocena ryzyka – uwzględnia nie tylko trafienie na listę, lecz również powiązania pośrednie. Reguła 50% stosowana przez OFAC oznacza, że podmiot kontrolowany w 50% lub więcej przez osobę objętą sankcjami jest automatycznie objęty tymi samymi ograniczeniami, nawet jeśli sam nie widnieje na żadnej liście. UE stosuje podobne podejście, choć próg i metodologia różnią się w poszczególnych pakietach sankcji.
- Identyfikacja pełnej struktury właścicielskiej kontrahenta (co najmniej dwa poziomy w górę)
- Weryfikacja na minimum czterech listach sankcyjnych (UE, ONZ, OFAC, Polska)
- Zastosowanie reguły 50% dla podmiotów powiązanych
- Dokumentacja każdej weryfikacji z datą, nazwiskiem weryfikującego i wynikiem
- Procedura eskalacji w przypadku wyniku niejednoznacznego (tzw. false positive)
Etap czwarty i piąty – decyzja i dokumentacja – są równie istotne jak sama weryfikacja. Spółka produkcyjna z Lubelszczyzny, która latem 2024 roku wykryła pośrednie powiązanie dostawcy z podmiotem objętym sankcjami rosyjskimi, zdołała uniknąć odpowiedzialności właśnie dlatego, że dysponowała pełną dokumentacją procesu eskalacji i decyzji o odmowie transakcji. KAS przyjęła tę dokumentację jako dowód dobrej wiary.
Jakie są pułapki AML i CSRD w kontekście screeningu sankcyjnego?
AML i screening sankcyjny to dwa odrębne reżimy prawne, które jednak operacyjnie nakładają się w 60–70% zakresu działań. Ustawa o AML nakłada na instytucje obowiązane (banki, firmy inwestycyjne, doradcy podatkowi, notariusze) obowiązek identyfikacji i weryfikacji klienta, oceny ryzyka prania pieniędzy oraz zgłaszania podejrzanych transakcji do GIIF. Screening sankcyjny jest wymagany równolegle – naruszenie sankcji może być jednocześnie czynem prania pieniędzy.
Największa pułapka AML w kontekście sankcji to fałszywe poczucie bezpieczeństwa po wykonaniu procedury KYC (Know Your Customer). Weryfikacja AML przeprowadzona trzy miesiące temu nie chroni przed sankcjami nałożonymi tydzień temu. Listy sankcyjne są aktualizowane w trybie ciągłym – nowe pakiety UE wchodzą w życie z dnia na dzień. Brak mechanizmu monitoringu ciągłego (ongoing screening) to najczęściej wykrywana luka w audytach compliance.
CSRD – Dyrektywa UE 2022/2464 – wprowadza dodatkowy wymiar. Przedsiębiorstwa objęte obowiązkiem raportowania ESG muszą ujawniać ryzyka związane z łańcuchem dostaw, w tym ryzyka naruszenia sankcji i praw człowieka. ESG raportowanie staje się więc pośrednim mechanizmem wymuszającym screening: firma, która nie weryfikuje kontrahentów, nie jest w stanie rzetelnie wypełnić wymogów due diligence opisanych w europejskich standardach raportowania (ESRS). Według aktualnego harmonogramu CSRD, duże podmioty spełniające dwa z trzech kryteriów (aktywa 110 mln PLN, przychody 220 mln PLN, 250 pracowników) są objęte obowiązkiem raportowania za rok 2025 – choć propozycja Omnibus może przesunąć ten termin na 2028 rok.
Kancelaria doradzała spółce technologicznej z Krakowa wiosną 2025 roku przy budowie zintegrowanego systemu łączącego AML, screening sankcyjny i wymogi CSRD w jednym procesie. Efekt: redukcja liczby duplikujących się weryfikacji o 40% przy jednoczesnym zwiększeniu pokrycia monitoringowego. Integracja procesów to nie tylko oszczędność – to lepsza ochrona przed ryzykiem wynikającym z niespójności danych.
Warto też pamiętać o umowach z dostawcami oprogramowania wspierającego compliance. Umowy SaaS na polskim rynku często nie zawierają klauzul gwarantujących aktualność baz sankcyjnych ani odpowiedzialności dostawcy za błędy w danych. To ryzyko, które firma przejmuje na siebie, jeśli nie wynegocjuje odpowiednich SLA i klauzul indemnifikacyjnych.
Jak screening sankcyjny funkcjonuje w wymiarze transgranicznym?
Polskie przedsiębiorstwo działające na rynkach wschodnich, bliskowschodnich lub azjatyckich musi zarządzać jednocześnie kilkoma reżimami sankcyjnymi. UE, USA, UK i ONZ utrzymują odrębne listy, które częściowo się pokrywają, ale w kluczowych przypadkach różnią się zakresem podmiotowym i sektorowym. Firma, która spełnia wymogi unijne, może jednocześnie naruszać przepisy OFAC – i odwrotnie.
Eksterytorialność sankcji USA to zagadnienie, które wiele polskich firm bagatelizuje. OFAC stosuje sankcje wtórne (secondary sanctions) wobec podmiotów z państw trzecich, które dokonują transakcji z podmiotami objętymi sankcjami pierwotnymi. Dla polskiej firmy rozliczającej się w dolarach lub korzystającej z usług amerykańskich banków korespondentów ryzyko jest realne – nawet jeśli transakcja dotyczy wyłącznie towarów i usług w ramach UE.
Dla inwestorów zagranicznych wchodzących na rynek polski sytuacja jest lustrzana. Niemiecki, japoński czy emiracki inwestor musi zrozumieć, że polskie prawo sankcyjne nakłada obowiązki nie tylko na polskie spółki, ale na każdy podmiot prowadzący działalność na terytorium RP lub dokonujący transakcji w PLN lub EUR przez polskie rachunki bankowe. KAS ma kompetencję do wszczęcia postępowania wobec zagranicznego inwestora, który naruszył sankcje przy okazji transakcji w Polsce.
Praktyczne zagadnienie dotyczy też eksportu towarów podwójnego zastosowania. Polska jako państwo członkowskie UE stosuje Rozporządzenie 2021/821, ale równolegle musi respektować własne przepisy karne w zakresie eksportu strategicznego. Departament Kontroli Eksportu w Ministerstwie Rozwoju i Technologii wydaje zezwolenia eksportowe – ale weryfikacja sankcyjna musi nastąpić przed złożeniem wniosku, nie po jego zatwierdzeniu.
Przedsiębiorstwa z sektora finansowego podlegają dodatkowo wymogom DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 roku). Choć DORA dotyczy bezpieczeństwa ICT, pośrednio wpływa na screening: systemy do weryfikacji sankcyjnej muszą spełniać wymogi zarządzania ryzykiem dostawców ICT, a incydenty związane z błędami screeningowymi mogą wymagać raportowania do KNF.
Jak zbudować odporny program screeningu sankcyjnego w polskim przedsiębiorstwie?
Program screeningu sankcyjnego nie jest jednorazowym projektem IT. To żywy system zarządzania ryzykiem, który musi ewoluować wraz z kolejnymi pakietami sankcji, zmianami w strukturach właścicielskich kontrahentów i rozwojem działalności firmy. Uważamy, że bezpieczniejszym rozwiązaniem jest budowa programu warstwowego – od polityki przez procedury po technologię – niż zakup narzędzia screeningowego bez zaplecza organizacyjnego.
Warstwa pierwsza to polityka sankcyjna. Dokument powinien definiować zakres podmiotowy (kto weryfikuje), zakres przedmiotowy (co weryfikuje), listę stosowanych baz sankcyjnych, progi ryzyka i procedurę eskalacji. Polityka musi być zaakceptowana przez zarząd – to element due diligence, który chroni zarząd przed odpowiedzialnością osobistą na podstawie przepisów o odpowiedzialności za naruszenie sankcji.
Warstwa druga to procedury operacyjne. Powinny opisywać krok po kroku działania pracownika działu zakupów, sprzedaży i finansów przy onboardingu kontrahenta, przy każdej transakcji powyżej ustalonego progu wartościowego oraz przy aktualizacji danych kontrahenta. Próg wartościowy warto ustalić na poziomie nie wyższym niż 15 000 EUR – zbieżny z progami AML dla transakcji gotówkowych.
Warstwa trzecia to technologia. Rynek oferuje narzędzia od prostych wtyczek do systemów ERP po zaawansowane platformy z AI, monitoringiem ciągłym i zarządzaniem alertami. Wybór narzędzia powinien uwzględniać liczbę transakcji miesięcznie, liczbę aktywnych kontrahentów, kraje operacyjne i dostępność integracji API. Przy ponad 500 aktywnych kontrahentach ręczna weryfikacja jest niewykonalna bez wsparcia technologicznego.
- Przyjęcie polityki sankcyjnej zatwierdzonej przez zarząd (termin: nie później niż 30 dni od decyzji o wdrożeniu)
- Przegląd istniejącej bazy kontrahentów pod kątem sankcji (retroaktywny screening)
- Wdrożenie narzędzia do monitoringu ciągłego z alertami w czasie rzeczywistym
- Szkolenie pracowników działów zakupów, sprzedaży i finansów (co najmniej raz na 12 miesięcy)
Warstwa czwarta – i często pomijana – to audyt wewnętrzny. Program screeningowy powinien być audytowany co najmniej raz w roku. Audyt sprawdza nie tylko to, czy weryfikacje są przeprowadzane, lecz również jakość dokumentacji, czas reakcji na alerty i skuteczność procedury eskalacji. Wynik audytu powinien trafiać bezpośrednio do zarządu – compliance sankcyjny to kwestia strategiczna, nie tylko operacyjna.
Jaka jest perspektywa rozwoju regulacji sankcyjnych i screening sankcyjny – co nas czeka?
Regulacje sankcyjne będą się zaostrzać. To nie prognoza – to obserwacja trendu widocznego od 2022 roku. Kolejne pakiety sankcji UE wobec Rosji i Białorusi, rozszerzanie list podmiotowych, nowe sektory objęte ograniczeniami eksportowymi – każdy z tych elementów powiększa zakres obowiązków screeningowych. Przedsiębiorstwo, które dziś uważa, że nie jest objęte sankcjami, powinno zweryfikować to przekonanie w perspektywie 12 miesięcy.
Komisja Europejska pracuje nad jednolitym mechanizmem egzekucji sankcji w państwach członkowskich. Projekt dyrektywy przewiduje harmonizację sankcji karnych za naruszenie reżimów ograniczeń w całej UE. Polska, jako kraj z własną ustawą sankcyjną, będzie musiała dostosować przepisy krajowe. Dla przedsiębiorców oznacza to potencjalne zaostrzenie odpowiedzialności – zarówno karnej, jak i administracyjnej.
ESG raportowanie, o którym mowa w kontekście CSRD, stanie się mechanizmem pośredniej weryfikacji programów compliance sankcyjnych. Inwestorzy instytucjonalni i duże korporacje będą wymagać od swoich dostawców dowodów na istnienie programu screeningowego jako warunku współpracy. Screening przestanie być wyłącznie kwestią regulacyjną – stanie się elementem przewagi konkurencyjnej i warunkiem dostępu do rynków finansowania.
AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 roku) wprowadza dodatkową warstwę dla firm używających systemów sztucznej inteligencji do screeningu. Systemy AI stosowane do oceny ryzyka kontrahentów mogą być klasyfikowane jako systemy wysokiego ryzyka, wymagające oceny zgodności przed wdrożeniem. Firmy, które korzystają lub planują korzystać z narzędzi AI do weryfikacji sankcyjnej, powinny już teraz przeanalizować wymogi AI Act pod kątem swojego modelu operacyjnego.
Perspektywa dla polskich przedsiębiorców jest jasna: screening sankcyjny przestał być domeną wyłącznie banków i firm zbrojeniowych. Każda spółka prowadząca działalność międzynarodową lub mająca w łańcuchu dostaw podmioty spoza UE powinna traktować go jako element podstawowej higieny compliance – obok AML, CSRD i ochrony sygnalistów. Koszt wdrożenia programu jest wielokrotnie niższy niż koszt jednego naruszenia.
Konkretna sytuacja Państwa firmy – zakres geograficzny operacji, profil kontrahentów, istniejące procedury AML – wymaga indywidualnej oceny. Brak udokumentowanego procesu screeningowego zamyka drogę do skutecznej obrony przed KAS i naraża zarząd na odpowiedzialność osobistą, której nie da się cofnąć po wszczęciu postępowania.
Jeśli Państwa spółka prowadzi transakcje z podmiotami spoza UE lub działa w sektorach podwyższonego ryzyka – przeprowadzimy audyt istniejących procedur, zaprojektujemy politykę sankcyjną i wesprzemy wdrożenie narzędzia screeningowego: info@kordeckipartners.com.
Często zadawane pytania
P: Czy małe przedsiębiorstwo bez działu compliance musi wdrożyć formalny program screeningu sankcyjnego?
O: Tak – obowiązek przestrzegania sankcji dotyczy każdego przedsiębiorcy, niezależnie od wielkości. Mała firma nie musi wdrażać rozbudowanego systemu IT, ale powinna dysponować pisemną procedurą weryfikacji kontrahentów, listą stosowanych baz sankcyjnych i dokumentacją przeprowadzonych sprawdzeń. Brak procedury nie jest okolicznością łagodzącą – organy traktują ją jako dowód zaniedbania, nie niewinności. Minimalny program można wdrożyć w ciągu 14 dni przy wsparciu zewnętrznego doradcy.
P: Czy wystarczy jednorazowa weryfikacja kontrahenta przy onboardingu?
O: Nie – to najczęstsze błędne przekonanie w zakresie compliance sankcyjnego. Listy sankcyjne są aktualizowane w trybie ciągłym, niekiedy kilka razy w tygodniu. Podmiot, który był czysty w chwili nawiązania współpracy, może zostać objęty sankcjami sześć miesięcy później. Wymagany jest monitoring ciągły (ongoing screening) przez cały czas trwania relacji handlowej. Brak monitoringu ciągłego jest traktowany przez Komisję Europejską jako naruszenie obowiązku należytej staranności.
P: Jakie są koszty wdrożenia programu screeningu sankcyjnego dla średniej firmy?
O: Koszty zależą od liczby kontrahentów, wolumenu transakcji i wybranego narzędzia. Dla firmy z bazą 200–500 aktywnych kontrahentów roczny koszt narzędzia SaaS do screeningu wynosi typowo od kilku do kilkunastu tysięcy złotych. Do tego dochodzą koszty opracowania polityki i procedur (jednorazowo) oraz szkolenia pracowników. Całkowity koszt pierwszego roku wdrożenia dla średniej firmy to zwykle 30 000–80 000 PLN – przy założeniu wsparcia zewnętrznego doradcy. To ułamek potencjalnej kary administracyjnej lub kosztów postępowania karnego.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance sankcyjnego, AML, ESG raportowania i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.