Firma handlowa z Mazowsza podpisuje kontrakt z nowym dostawcą. Weryfikacja w rejestrze KRS zajmuje kilka minut. Nikt nie sprawdza list sankcyjnych UE, OFAC ani krajowej ustawy z 15 kwietnia 2022 r. Trzy miesiące później okazuje się, że dostawca figuruje na liście podmiotów objętych zamrożeniem aktywów. Konsekwencje – od odpowiedzialności karnej po wykluczenie z przetargów publicznych – są nieodwracalne.

Screening sankcyjny to systematyczna weryfikacja kontrahentów, pracowników i transakcji pod kątem list sankcyjnych UE, ONZ, OFAC i polskiej ustawy sankcyjnej. Obowiązek stosowania procedur AML i compliance spoczywa na przedsiębiorcach z mocy rozporządzeń unijnych stosowanych bezpośrednio w Polsce. Brak wdrożonego procesu grozi karą do PLN 20 000 000 oraz odpowiedzialnością osobistą zarządu.

Ten alert wyjaśnia, co się zmieniło w otoczeniu regulacyjnym, kogo dotyczą nowe progi i obowiązki oraz jakie działania należy podjąć natychmiast. Struktura: co się zmieniło – kogo to dotyczy – co zrobić teraz.

Co zmieniło się w przepisach sankcyjnych i dlaczego screening stał się obowiązkowy?

Rozporządzenia unijne stosuje się bezpośrednio. Nie wymagają implementacji. Każde polskie przedsiębiorstwo, które zawiera umowę z podmiotem objętym sankcjami, narusza prawo – niezależnie od tego, czy wiedziało o sankcjach. KAS i prokuratura traktują brak procedur weryfikacyjnych jako okoliczność obciążającą. W praktyce – wiele firm o tym zapomina – nieznajomość listy sankcyjnej nie zwalnia z odpowiedzialności.

Równolegle rozwinął się obowiązek raportowania do CRBR. Centralny Rejestr Beneficjentów Rzeczywistych ujawnia struktury własnościowe, które wcześniej pozostawały nieprzejrzyste. Screening sankcyjny bez weryfikacji CRBR jest dziś niekompletny. Regulator oczekuje, że przedsiębiorca dotrze do rzeczywistego beneficjenta – nie zatrzyma się na pierwszej warstwie struktury korporacyjnej.

Dodatkową warstwę tworzą przepisy AML – ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Instytucje obowiązane muszą stosować środki należytej staranności wobec klientów. Screening sankcyjny jest elementem tej staranności. Dla firm spoza katalogu instytucji obowiązanych screening pozostaje wymogiem wynikającym z rozporządzeń unijnych, nie z ustawy AML – ale skutki naruszenia są analogiczne.

Kogo dotyczą nowe progi i obowiązki – jak ustalić, czy Twoja firma jest w grupie ryzyka?

Obowiązki nie są jednolite. Zakres zależy od branży, skali działalności i rodzaju kontrahentów. Trzy grupy wymagają szczególnej uwagi.

Pierwsza grupa to instytucje obowiązane w rozumieniu ustawy AML: banki, biura rachunkowe, doradcy podatkowi, notariusze, agenci nieruchomości, podmioty świadczące usługi dla spółek. Dla nich screening jest obowiązkiem ustawowym z konkretnymi terminami – ocena ryzyka klienta przed nawiązaniem relacji, aktualizacja nie rzadziej niż co 12 miesięcy dla klientów wysokiego ryzyka.

Druga grupa to eksporterzy i importerzy towarów podwójnego zastosowania oraz branże objęte sektorowymi ograniczeniami UE: energetyka, transport morski, technologie. Tu screening musi obejmować nie tylko bezpośredniego kontrahenta, ale też pośredników i odbiorców końcowych. Brak weryfikacji łańcucha dostaw zamyka drogę do obrony przed zarzutem obejścia sankcji.

Trzecia – i najszerzej rozumiana – grupa to wszyscy przedsiębiorcy zawierający umowy z podmiotami z państw trzecich lub z podmiotami, których beneficjenci rzeczywiści mogą być powiązani z Rosją, Białorusią lub innymi jurysdykcjami objętymi sankcjami. Próg transakcyjny, od którego należy stosować wzmożoną staranność, wynosi EUR 10 000 w ramach jednej transakcji lub powiązanych transakcji.

Warto też pamiętać o CSRD. Dyrektywa UE 2022/2464 wymaga ujawniania informacji o ryzykach ESG, w tym o ryzykach związanych z łańcuchem dostaw. Screening sankcyjny staje się elementem ESG raportowania dla podmiotów objętych obowiązkiem sprawozdawczości. Firmy spełniające 2 z 3 kryteriów – PLN 110 mln aktywów, PLN 220 mln przychodów, 250 pracowników – powinny uwzględnić screening w polityce due diligence już teraz, mimo że obowiązek sprawozdawczy przesunięto na 2028 r.

Co zrobić teraz – lista działań z terminami

Złożoność regulacji nie oznacza, że wdrożenie musi trwać miesiącami. Proces można podzielić na trzy etapy. Każdy ma konkretny horyzont czasowy.

Etap 1 – audyt stanu obecnego (do 30 dni). Należy ustalić, czy firma posiada jakąkolwiek procedurę weryfikacji kontrahentów. Jeśli tak – sprawdzić, czy obejmuje listy sankcyjne UE (rozporządzenia konsolidowane), ONZ, OFAC i polską listę krajową. Jeśli nie – brak procedury jest sam w sobie naruszeniem dla instytucji obowiązanych i czynnikiem ryzyka dla pozostałych przedsiębiorców.

Checklist – co przygotować na etap audytu:

  • Rejestr aktywnych kontrahentów z krajów trzecich i ich beneficjenci rzeczywiści z CRBR
  • Wykaz transakcji powyżej EUR 10 000 z ostatnich 12 miesięcy
  • Dokumentacja dotychczasowych weryfikacji (lub jej brak)
  • Lista osób odpowiedzialnych za compliance w strukturze firmy
  • Umowy z dostawcami usług screeningowych lub dostęp do baz danych list sankcyjnych

Etap 2 – wdrożenie procedury (30–90 dni). Procedura screeningu musi określać: częstotliwość weryfikacji (przed transakcją i cyklicznie), źródła danych (co najmniej 3 listy), ścieżkę eskalacji przy trafieniu na listę oraz dokumentowanie wyników. Dla instytucji obowiązanych procedura musi być pisemna i zatwierdzona przez zarząd. Dla pozostałych firm – pisemna forma jest najsilniejszym dowodem należytej staranności.

Etap 3 – integracja z procesami biznesowymi (90–180 dni). Jednorazowy screening nie wystarczy. Listy sankcyjne są aktualizowane nawet kilka razy w tygodniu. System musi generować alerty przy każdej aktualizacji dotyczącej istniejących kontrahentów. Warto też uwzględnić przepisy o sygnalistach – art. 8 ustawy o sygnalistach nakłada na pracodawców z co najmniej 50 pracownikami obowiązek prowadzenia wewnętrznego kanału zgłoszeń. Kanał ten może służyć również do raportowania podejrzeń naruszenia sankcji wewnątrz organizacji.

Firmy z sektora IT i technologicznego mają dodatkowy wymiar: eksport oprogramowania i usług technicznych do podmiotów z państw objętych sankcjami może podlegać kontroli eksportowej niezależnie od wartości transakcji. Screening musi obejmować klasyfikację towarów i usług pod kątem list kontrolnych UE.

Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie screeningu w oparciu o automatyczne narzędzia z audytowalną historią weryfikacji. Ręczne sprawdzanie list jest podatne na błędy i nie tworzy wystarczającej dokumentacji w razie kontroli KAS lub postępowania prokuratorskiego. Więcej o podatkowych aspektach compliance – w tym o ryzyku zakwestionowania kosztów transakcji z podmiotem sankcjonowanym – można przeczytać w artykule o CIT minimalnym i zwolnieniach podatkowych.

Pełny zakres usług compliance i ESG, w tym wdrożenia procedur screeningowych, opisujemy na stronie praktyki ESG i compliance dla Polski.

Konkretna sytuacja Państwa firmy wymaga oceny uwzględniającej branżę, strukturę kontrahentów i dotychczasowe procedury. Brak screeningu to ryzyko nieodwracalnych konsekwencji – od odpowiedzialności karnej zarządu po utratę kontraktów publicznych.

Jeśli Państwa spółka zawiera transakcje z podmiotami z państw trzecich lub nie posiada udokumentowanej procedury weryfikacji sankcyjnej – przeprowadzimy audyt stanu obecnego, opracujemy procedurę i wdrożymy ją w strukturach firmy: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała firma bez działu compliance musi wdrażać screening sankcyjny?

O: Tak, jeśli zawiera transakcje z podmiotami z państw trzecich lub z podmiotami, których beneficjenci rzeczywiści mogą być powiązani z jurysdykcjami objętymi sankcjami. Rozporządzenia unijne stosują się bezpośrednio – bez względu na wielkość przedsiębiorstwa. Próg transakcyjny wynoszący EUR 10 000 jest niski. Dla małych firm wystarczy uproszczona procedura z dokumentowaną weryfikacją przed każdą transakcją powyżej tego progu.

P: Jak często należy aktualizować screening istniejących kontrahentów?

O: Dla instytucji obowiązanych w rozumieniu ustawy AML – co najmniej raz na 12 miesięcy dla klientów standardowego ryzyka, częściej dla klientów wysokiego ryzyka. Dla pozostałych przedsiębiorców przepisy nie określają sztywnej częstotliwości, ale listy sankcyjne są aktualizowane kilka razy w tygodniu. Automatyczny system alertów przy aktualizacji list jest standardem, który chroni przed zarzutem braku należytej staranności.

P: Czy screening sankcyjny jest częścią ESG raportowania?

O: Dyrektywa CSRD (UE 2022/2464) wymaga ujawniania informacji o ryzykach w łańcuchu dostaw, w tym ryzykach prawnych i reputacyjnych. Screening sankcyjny jest elementem due diligence łańcucha dostaw i powinien być uwzględniony w polityce ESG. Dla firm objętych obowiązkiem sprawozdawczości – nawet po przesunięciu terminu na 2028 r. – wdrożenie screeningu teraz pozwala zebrać dane historyczne niezbędne do pierwszego raportu.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i procedur sankcyjnych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.