Firma handlowa z Łódzkiego odkrywa w marcu 2026 r., że jej kontrahent z Bliskiego Wschodu trafił na unijną listę sankcyjną trzy miesiące wcześniej. Płatności zostały zrealizowane. Towar dostarczony. Teraz spółka stoi przed ryzykiem zamrożenia aktywów i odpowiedzialnością karną – bo nikt nie uruchomił screeningu sankcyjnego przed podpisaniem umowy.
Screening sankcyjny to proces weryfikacji kontrahentów, pracowników i transakcji pod kątem list sankcyjnych Unii Europejskiej, ONZ, OFAC i polskiej ustawy z 15 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę. Obowiązek dotyczy każdego polskiego przedsiębiorcy prowadzącego działalność transgraniczną. Naruszenie grozi karą do 20 mln euro lub 4% globalnych obrotów rocznych – w zależności od podstawy prawnej.
Ten alert wyjaśnia: co się zmieniło w 2025 i 2026 r., kogo dotyczą nowe progi, jakie działania należy podjąć w ciągu najbliższych 30 dni. Trzy sekcje – trzy konkretne kroki.
Co się zmieniło w reżimie sankcyjnym i kogo dotyczą nowe obowiązki?
Od 17 stycznia 2025 r. obowiązuje rozporządzenie DORA, które nakłada na podmioty finansowe nadzorowane przez KNF obowiązek zarządzania ryzykiem ICT – w tym weryfikacji dostawców pod kątem list sankcyjnych. To nie jest przepis sektorowy dla banków. Dotyczy też firm fintech, ubezpieczycieli i funduszy inwestycyjnych. Jednocześnie kolejne pakiety sankcyjne UE rozszerzyły listy podmiotów objętych ograniczeniami do ponad 2 200 podmiotów i osób fizycznych według stanu na kwiecień 2026 r.
Polska ustawa sankcyjna z 2022 r. nakłada obowiązki na każdego przedsiębiorcę, który zawiera umowy z podmiotami mogącymi mieć powiązania z Rosją lub Białorusią. Próg nie jest kwotowy – obowiązek weryfikacji powstaje przy każdej transakcji handlowej, niezależnie od jej wartości. W praktyce – wiele firm o tym zapomina – ustawa obejmuje też pośredników i podwykonawców, nie tylko bezpośrednich kontrahentów.
Równolegle CRBR, czyli Centralny Rejestr Beneficjentów Rzeczywistych, stał się kluczowym narzędziem weryfikacji struktury właścicielskiej. Brak wpisu lub wpis niezgodny ze stanem rzeczywistym grozi karą do 1 mln zł. Przedsiębiorcy mają obowiązek sprawdzać CRBR kontrahenta przed nawiązaniem współpracy – i dokumentować tę weryfikację. KAS i KNF przeprowadziły w 2025 r. kilkadziesiąt kontroli w tym zakresie.
Zmiany dotknęły też obszaru AML. Ustawa o przeciwdziałaniu praniu pieniędzy nakłada na instytucje obowiązane – w tym biura rachunkowe, doradców podatkowych i notariuszy – obowiązek stosowania środków bezpieczeństwa finansowego przy każdej transakcji powyżej 15 000 euro. Compliance sankcyjny i compliance AML coraz częściej muszą działać jako jeden zintegrowany proces, nie dwa oddzielne silosy.
Kto jest narażony na największe ryzyko i jakie konsekwencje grożą za zaniechanie?
Ryzyko sankcyjne nie rozkłada się równomiernie. Przedsiębiorcy z branży energetycznej, chemicznej, transportowej i IT są narażeni najbardziej – bo ich produkty lub usługi mogą podlegać ograniczeniom eksportowym lub być uznane za towary podwójnego zastosowania. Firma IT z Mazowsza sprzedająca oprogramowanie do zarządzania flotą może nieświadomie dostarczać je podmiotowi objętemu sankcjami, jeśli nie weryfikuje łańcucha dystrybucji.
Konsekwencje zaniechania są nieodwracalne w trzech wymiarach. Po pierwsze – odpowiedzialność karna: naruszenie unijnych rozporządzeń sankcyjnych może skutkować karą pozbawienia wolności do 3 lat dla osób fizycznych odpowiedzialnych za decyzje biznesowe. Po drugie – odpowiedzialność administracyjna: Ministerstwo Finansów i KAS mogą nałożyć karę finansową bez konieczności wykazania winy umyślnej. Po trzecie – reputacja: ujawnienie naruszenia zamyka drogę do przetargów publicznych na okres do 5 lat.
Szczególnie narażone są spółki z udziałem kapitału zagranicznego spoza UE oraz te, które korzystają z pośredników w krajach trzecich. Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie automatycznego screeningu w systemie ERP niż ręczna weryfikacja – bo ta ostatnia jest podatna na błędy i trudna do udokumentowania przed organami kontrolnymi.
Warto też pamiętać o powiązaniu z ESG raportowaniem. CSRD, czyli dyrektywa UE 2022/2464, wymaga od dużych podmiotów ujawniania informacji o ryzykach związanych z łańcuchem dostaw – w tym ryzyk sankcyjnych. Spółki objęte CSRD, które nie wdrożyły screeningu, mogą napotkać problem przy sporządzaniu raportów zrównoważonego rozwoju za rok 2025. Brak procesu screeningowego staje się luką w systemie due diligence, którą audytor zewnętrzny musi odnotować.
Sygnaliści stanowią dodatkowy czynnik ryzyka. Zgodnie z art. 8 ustawy o sygnalistach, każdy pracodawca zatrudniający powyżej 50 pracowników musi posiadać wewnętrzny kanał zgłoszeń. Pracownik, który zauważy naruszenie procedur sankcyjnych, ma prawo zgłosić je anonimowo – zarówno wewnętrznie, jak i do organów publicznych. Brak kanału zgłoszeń grozi karą do 1 080 000 zł i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty. Więcej o budowie polityki ochrony sygnalistów przeczytasz w naszym przewodniku po ustawie o sygnalistach.
Jakie działania podjąć natychmiast – lista kontrolna na 30 dni?
Screening sankcyjny to proces, nie jednorazowe zdarzenie. Wymaga trzech warstw: weryfikacji wstępnej przed nawiązaniem relacji, monitorowania ciągłego w trakcie współpracy i dokumentowania każdego kroku. Brak dokumentacji jest równoznaczny z brakiem procesu – organy kontrolne nie przyjmują ustnych zapewnień.
Działania do wdrożenia w ciągu 30 dni:
- Przeprowadź audyt obecnych kontrahentów pod kątem list sankcyjnych UE, ONZ i polskiej ustawy z 2022 r. – priorytetowo traktuj dostawców z krajów trzecich.
- Zweryfikuj wpisy w CRBR dla 10 największych kontrahentów i udokumentuj wyniki weryfikacji z datą i podpisem osoby odpowiedzialnej.
- Wdróż lub zaktualizuj wewnętrzną politykę compliance sankcyjnego – powinna obejmować procedurę eskalacji, matrycę odpowiedzialności i częstotliwość ponownej weryfikacji (minimum co 6 miesięcy).
- Sprawdź, czy kanał zgłoszeń dla sygnalistów obejmuje zgłoszenia dotyczące naruszeń sankcyjnych – jeśli nie, rozszerz jego zakres.
- Zintegruj screening z procesem onboardingu nowych kontrahentów w systemie ERP lub CRM – ręczna weryfikacja jest dopuszczalna tylko jako rozwiązanie tymczasowe na maksymalnie 90 dni.
Firma logistyczna z Pomorza wdrożyła automatyczny screening w październiku 2025 r. po tym, jak ręczna weryfikacja przeoczyła podmiot powiązany z osobą z listy ONZ. Koszt wdrożenia wyniósł kilkanaście tysięcy złotych. Koszt potencjalnej kary – wielokrotnie więcej. Czas reakcji organów po wykryciu naruszenia wynosi zazwyczaj od 14 do 30 dni od momentu wszczęcia postępowania.
Jeśli Twoja spółka działa w branży objętej podwyższonym ryzykiem sankcyjnym lub prowadzi transakcje z podmiotami spoza UE, skonsultuj się z doradcą przed kolejną transakcją. W przypadku sporu z organem administracyjnym lub postępowania karno-skarbowego – sprawdź nasze wsparcie w zakresie sporów i postępowań w Polsce.
Konkretna sytuacja Państwa firmy może wymagać natychmiastowej oceny – szczególnie jeśli transakcje z podmiotami z krajów trzecich zostały już zrealizowane bez udokumentowanego screeningu. Zaniechanie weryfikacji jest traktowane przez KAS jako naruszenie ciągłe, co oznacza, że każdy dzień bez procesu to osobne ryzyko odpowiedzialności.
Jeśli Państwa spółka prowadzi działalność eksportową lub importową z podmiotami spoza UE i nie posiada udokumentowanego procesu screeningu sankcyjnego – przeprowadzimy audyt compliance, ocenimy luki w dokumentacji i przygotujemy politykę wewnętrzną dostosowaną do Państwa branży: info@kordeckipartners.com.
Często zadawane pytania
P: Czy screening sankcyjny dotyczy tylko dużych firm?
O: Nie – polska ustawa sankcyjna z 2022 r. nie przewiduje progu przychodowego ani zatrudnieniowego. Obowiązek weryfikacji dotyczy każdego przedsiębiorcy zawierającego umowy z podmiotami mogącymi mieć powiązania z Rosją lub Białorusią, niezależnie od wielkości firmy. Małe i średnie przedsiębiorstwa są szczególnie narażone, bo rzadziej dysponują wewnętrznymi procedurami compliance.
P: Jak często należy powtarzać screening kontrahentów?
O: Organy kontrolne oczekują weryfikacji przy każdym nawiązaniu nowej relacji handlowej oraz cyklicznie w trakcie trwającej współpracy – minimum co 6 miesięcy. W przypadku kontrahentów z krajów podwyższonego ryzyka zalecamy weryfikację co 3 miesiące. Dokumentacja każdej weryfikacji powinna zawierać datę, użyte źródła i osobę odpowiedzialną za sprawdzenie.
P: Czy integracja screeningu z CSRD i ESG raportowaniem jest obowiązkowa?
O: Dyrektywa CSRD wymaga ujawniania informacji o ryzykach w łańcuchu dostaw, w tym ryzyk prawnych i regulacyjnych. Brak procesu screeningu sankcyjnego może być odnotowany przez biegłego rewidenta jako istotna luka w systemie due diligence. Dla spółek objętych CSRD oznacza to ryzyko zastrzeżenia w raporcie zrównoważonego rozwoju za rok 2025 lub 2026, co bezpośrednio wpływa na ocenę ESG przez inwestorów i kontrahentów.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance sankcyjnego, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.