Screening sankcyjny – proces dla polskich

Firma handlowa z Mazowsza podpisuje kontrakt z nowym dostawcą z Bliskiego Wschodu. Dział finansowy przelewa pierwszą transzę. Tydzień później bank blokuje rachunek i wszczyna procedurę wyjaśniającą – bo kontrahent figuruje na liście sankcyjnej UE. Spółka traci płynność, kontrakt przepada, a zarząd odpowiada za naruszenie przepisów unijnych. Cały problem można było wyeliminować w ciągu kilku minut – gdyby przed zawarciem umowy przeprowadzono screening sankcyjny.

Screening sankcyjny to proces weryfikacji kontrahentów, pracowników i transakcji pod kątem list sankcyjnych UE, USA (OFAC), ONZ i Polski. Obowiązek jego stosowania wynika bezpośrednio z rozporządzeń unijnych oraz polskiej ustawy z 15 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę. Naruszenie reżimu sankcyjnego grozi karą pozbawienia wolności do lat 10 oraz konfiskatą mienia.

Niniejszy przewodnik omawia: ramy prawne obowiązujące polskie przedsiębiorstwa, krok po kroku budowę procesu screeningowego, najczęstsze pułapki operacyjne oraz specyfikę transakcji transgranicznych. Na końcu znajdą Państwo listę kontrolną gotowości i odpowiedzi na najczęstsze pytania klientów.

Jakie przepisy tworzą obowiązek screeningu sankcyjnego w Polsce?

Polskie przedsiębiorstwo działające w 2026 r. podlega co najmniej czterem nakładającym się reżimom sankcyjnym jednocześnie. Rozporządzenia unijne stosowane bezpośrednio – w tym rozporządzenie Rady (UE) nr 269/2014 dotyczące Rosji oraz kolejne pakiety sankcji – nie wymagają implementacji krajowej. Obowiązują wprost, od dnia publikacji w Dzienniku Urzędowym UE. Do tego dochodzi polska ustawa sankcyjna z 2022 r. oraz przepisy ustawy o AML (przeciwdziałaniu praniu pieniędzy), które nakładają własne wymogi weryfikacji. Instytucje nadzorujące to Ministerstwo Spraw Zagranicznych, Generalny Inspektor Informacji Finansowej (GIIF) oraz Krajowa Administracja Skarbowa (KAS).

Polska ustawa sankcyjna wprowadza wykaz podmiotów objętych krajowymi środkami ograniczającymi. Wpis na tę listę oznacza zamrożenie aktywów i zakaz świadczenia usług. Co istotne, lista krajowa nie jest tożsama z listą unijną – przedsiębiorca musi sprawdzać obie równolegle. W praktyce wiele firm o tym zapomina i weryfikuje wyłącznie listę UE, narażając się na odpowiedzialność z tytułu ustawy krajowej.

Od strony AML screening sankcyjny wpisuje się w obowiązek stosowania środków bezpieczeństwa finansowego. Instytucje obowiązane – banki, biura rachunkowe, prawnicy, doradcy podatkowi, pośrednicy nieruchomości – mają ustawowy obowiązek weryfikacji klienta przed nawiązaniem relacji biznesowej. Spółki spoza sektora regulowanego nie mają analogicznego obowiązku ustawowego wobec GIIF, ale naruszają przepisy unijne, jeśli zawierają umowy z podmiotami objętymi sankcjami. Różnica jest pozorna: konsekwencje mogą być równie dotkliwe.

Równolegle warto pamiętać o rejestrze CRBR – Centralnym Rejestrze Beneficjentów Rzeczywistych. Weryfikacja struktury właścicielskiej kontrahenta przez CRBR pozwala wykryć pośrednie powiązania z podmiotami sankcjonowanymi. Sam wpis w CRBR nie zastępuje screeningu, ale stanowi jego niezbędne uzupełnienie. Więcej o strukturach właścicielskich polskich spółek zależnych opisujemy w materiale o corporate governance dla spółek zależnych w Polsce.

Jak zbudować skuteczny proces screeningu krok po kroku?

Skuteczny screening sankcyjny nie jest jednorazową czynnością – to powtarzalny proces osadzony w cyklu życia relacji biznesowej. Składa się z pięciu etapów: identyfikacji podmiotu, weryfikacji na listach sankcyjnych, oceny ryzyka, decyzji i dokumentacji oraz monitoringu ciągłego. Każdy etap musi być opisany w wewnętrznej procedurze i przypisany konkretnej osobie odpowiedzialnej. Brak przypisania odpowiedzialności to jeden z najczęstszych błędów wykrywanych podczas audytów compliance.

Etap 1 – identyfikacja podmiotu. Przed sprawdzeniem listy sankcyjnej należy zebrać kompletne dane: pełna nazwa prawna, numer rejestracyjny, kraj siedziby, dane beneficjenta rzeczywistego. Rozbieżność między nazwą handlową a nazwą prawną jest źródłem fałszywych negatywów. Kontrahent działający pod skrótem może figurować na liście pod pełną firmą.

Etap 2 – weryfikacja na listach. Minimalne spektrum list do sprawdzenia obejmuje: listę UE (eu-sanctions.eu lub baza FISMA), listę OFAC SDN, listę ONZ, krajową listę polską oraz – przy transakcjach z podmiotami brytyjskimi – listę OFSI. Weryfikacja ręczna jest możliwa przy niskiej liczbie transakcji. Przy wolumenie powyżej 50 kontrahentów miesięcznie konieczne jest narzędzie automatyzujące z funkcją fuzzy matching – bo literówki w nazwisku nie wykluczają trafienia na listę.

Etap 3 – ocena ryzyka i decyzja. Wynik screeningu może być: czysty (brak trafień), trafienie fałszywe (false positive) lub trafienie rzeczywiste. Procedura musi określać ścieżkę postępowania dla każdego scenariusza. Trafienie rzeczywiste wymaga natychmiastowego wstrzymania transakcji i konsultacji prawnej – nie można samodzielnie zdecydować o kontynuowaniu współpracy.

Etap 4 – dokumentacja. Każdy przeprowadzony screening należy udokumentować: data, źródło listy, wynik, osoba weryfikująca. Dokumentacja jest dowodem należytej staranności w razie postępowania wyjaśniającego. Organy nadzoru oczekują możliwości odtworzenia procesu wstecz za co najmniej 5 lat.

Etap 5 – monitoring ciągły. Listy sankcyjne są aktualizowane bez uprzedzenia – niekiedy kilka razy w tygodniu. Kontrahent czysty w dniu podpisania umowy może trafić na listę w trakcie jej wykonywania. Monitoring ciągły oznacza automatyczne alerty przy każdej aktualizacji listy dotyczącej podmiotów w bazie kontrahentów. Bez tego elementu cały poprzedni wysiłek traci na wartości.

Szczegółowy opis budowy programu compliance – w tym matrycy ryzyka i struktury raportowania – znajdą Państwo w naszym przewodniku po projektowaniu programów compliance dla spółek zależnych w Polsce.

Jakie pułapki operacyjne najczęściej eliminują skuteczność screeningu?

Screening sankcyjny wdrożony nieprawidłowo daje złudne poczucie bezpieczeństwa – gorsze niż brak procedury, bo usypia czujność. Trzy kategorie błędów odpowiadają za zdecydowaną większość incydentów wykrywanych podczas audytów. Złożoność tego obszaru polega właśnie na tym, że każdy błąd wygląda z zewnątrz jak prawidłowe działanie.

Pułapka 1 – weryfikacja wyłącznie przy onboardingu. Spółka IT z Małopolski wdrożyła screening dla nowych kontrahentów wiosną 2023 r. Istniejący portfel kilkuset klientów nie był ponownie weryfikowany. Jeden z długoletnich partnerów trafił na listę sankcyjną UE w lipcu 2023 r. Spółka kontynuowała współpracę przez kolejne trzy miesiące – nieświadomie naruszając rozporządzenie unijne. Koszt obsługi prawnej postępowania wyjaśniającego przekroczył 80 000 PLN.

Pułapka 2 – brak weryfikacji beneficjentów rzeczywistych. Samo sprawdzenie nazwy spółki kontrahenta jest niewystarczające. Podmiot niewidoczny na liście sankcyjnej może być kontrolowany przez osobę fizyczną objętą sankcjami indywidualnymi. Przykład: spółka holdingowa zarejestrowana w Dubaju, której 60% udziałów należy do osoby wpisanej na listę SDN OFAC. Przelew na rzecz tej spółki stanowi naruszenie – niezależnie od tego, że sama spółka na liście nie figuruje.

Pułapka 3 – fałszywe negatywy przy narzędziach o niskiej czułości. Popularne darmowe wyszukiwarki list sankcyjnych nie stosują algorytmów fuzzy matching. Wpisanie nazwy z literówką lub w wersji transliterowanej z cyrylicy daje wynik negatywny – mimo że podmiot jest sankcjonowany. Narzędzia komercyjne klasy World-Check, Refinitiv lub ComplyAdvantage obsługują transliterację i warianty nazw. Ich koszt – od kilku do kilkudziesięciu tysięcy PLN rocznie – jest wielokrotnie niższy niż koszt jednego incydentu.

Osobna kategoria ryzyka dotyczy pracowników i współpracowników. Przepisy unijne zakazują nie tylko transakcji z podmiotami sankcjonowanymi, ale też udostępniania im zasobów – w tym zatrudnienia. Weryfikacja kandydatów do pracy na listach sankcyjnych staje się elementem standardowego onboardingu HR. Obowiązek ten nakłada się na wymogi ustawy o sygnalistach: art. 8 ustawy o sygnalistach zobowiązuje pracodawców zatrudniających co najmniej 50 pracowników do ustanowienia wewnętrznego kanału zgłoszeń, przez który pracownicy mogą raportować podejrzane zachowania – w tym potencjalne naruszenia sankcji.

Jak screening sankcyjny wygląda w transakcjach transgranicznych?

Transakcje transgraniczne multiplikują poziom złożoności screeningu. Polskie przedsiębiorstwo eksportujące do Turcji, Zjednoczonych Emiratów Arabskich lub Kazachstanu wchodzi w obszar nakładających się reżimów sankcyjnych – unijnego, amerykańskiego i lokalnego. Jeśli transakcja jest rozliczana w dolarach lub przechodzi przez bank korespondenta w USA, automatycznie podlega jurysdykcji OFAC. Naruszenie przepisów OFAC przez polską spółkę może skutkować blokadą dostępu do systemu dolarowego – de facto wykluczeniem z rozliczeń międzynarodowych.

Szczególna czujność obowiązuje przy eksporcie towarów podwójnego zastosowania (dual-use). Rozporządzenie UE nr 2021/821 nakłada obowiązek uzyskania zezwolenia eksportowego dla określonych kategorii produktów – elektroniki, oprogramowania, sprzętu telekomunikacyjnego. Screening sankcyjny nie zastępuje kontroli eksportowej, ale stanowi jej niezbędne uzupełnienie. Odbiorca niewidoczny na listach sankcyjnych może być podmiotem objętym ograniczeniami eksportowymi z uwagi na przeznaczenie towaru (end-use check).

Inwestorzy zagraniczni wchodzący na rynek polski – szczególnie z krajów spoza UE i EOG – sami podlegają weryfikacji screeningowej ze strony polskich kontrahentów i banków. Dla niemieckiego lub ukraińskiego inwestora nawiązującego współpracę z polską spółką oznacza to konieczność przygotowania pełnej dokumentacji struktury właścicielskiej z wyprzedzeniem. Opóźnienie w jej dostarczeniu blokuje onboarding i wstrzymuje transakcję. Więcej o wymogach ESRS i raportowaniu niefinansowym w kontekście due diligence opisujemy w naszym przewodniku po wdrożeniu ESRS dla polskich podmiotów raportujących.

Warto też zwrócić uwagę na przepływy wewnątrzgrupowe. Polska spółka zależna grupy z siedzibą poza UE może być zobowiązana do stosowania sankcji eksterytorialnych narzuconych przez prawo kraju siedziby spółki matki – nawet jeśli te sankcje nie obowiązują w Polsce. Konflikt między reżimami sankcyjnymi (np. sankcje USA vs. brak unijnych sankcji wobec danego podmiotu) wymaga odrębnej analizy prawnej i nie może być rozstrzygany jednostronnie przez dział compliance.

Checklist gotowości – co wdrożyć w pierwszej kolejności?

Ocena dojrzałości procesu screeningowego zaczyna się od odpowiedzi na pięć pytań. Każde pytanie bez odpowiedzi twierdzącej to luka generująca ryzyko odpowiedzialności osobistej zarządu. Poniższa lista nie zastępuje pełnego audytu, ale pozwala zidentyfikować obszary wymagające natychmiastowej interwencji – zazwyczaj w ciągu 30 dni roboczych.

Procedura pisemna: czy spółka posiada zatwierdzoną przez zarząd procedurę screeningu sankcyjnego z przypisaniem odpowiedzialności i ścieżką eskalacji?
Spektrum list: czy weryfikacja obejmuje co najmniej listy UE, OFAC SDN, ONZ i krajową listę polską – każdorazowo przy onboardingu i w trybie monitoringu ciągłego?
Beneficjenci rzeczywiści: czy procedura wymaga weryfikacji struktury właścicielskiej kontrahenta co najmniej do poziomu 25% udziałów?
Narzędzie techniczne: czy spółka korzysta z narzędzia z funkcją fuzzy matching i automatycznych alertów przy aktualizacji list?
Dokumentacja i retencja: czy wyniki screeningów są archiwizowane przez co najmniej 5 lat z możliwością odtworzenia ścieżki decyzyjnej?

Jeśli odpowiedź na którekolwiek z powyższych pytań brzmi "nie" lub "nie wiem" – spółka jest narażona na zarzut braku należytej staranności. W postępowaniu karnym lub administracyjnym brak dokumentacji jest traktowany jako brak działania. Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie procedury etapami – zaczynając od pisemnego opisu procesu i wyboru narzędzia – niż czekanie na "kompleksowe" rozwiązanie, które nigdy nie zostaje uruchomione.

Spółki objęte CSRD – Dyrektywą UE 2022/2464 – mają dodatkowy powód do systematyzacji. Screening sankcyjny wpisuje się w wymogi due diligence w łańcuchu wartości, które będą raportowane w ramach standardów ESRS. Brak udokumentowanego procesu weryfikacji kontrahentów może skutkować zastrzeżeniami biegłego rewidenta przy atestacji raportu ESG.

Konkretna sytuacja Państwa firmy – liczba kontrahentów, wolumen transakcji, ekspozycja geograficzna – decyduje o tym, jakie narzędzie i jaka procedura są odpowiednie. Wybór nieadekwatnego rozwiązania to ryzyko nieodwracalne: incydent sankcyjny może zamknąć drogę do finansowania bankowego i przetargów publicznych na lata.

Jeśli Państwa spółka nie posiada pisemnej procedury screeningu lub weryfikuje kontrahentów wyłącznie przy onboardingu – przeprowadzimy audyt luk, zaprojektujemy procedurę i dobierzemy narzędzie adekwatne do skali działalności: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda polska spółka musi prowadzić screening sankcyjny, czy tylko instytucje finansowe?

O: Każde polskie przedsiębiorstwo – niezależnie od sektora – jest bezpośrednio związane rozporządzeniami unijnymi zakazującymi transakcji z podmiotami sankcjonowanymi. Instytucje finansowe i instytucje obowiązane w rozumieniu ustawy AML mają dodatkowe obowiązki wobec GIIF, ale zakaz zawierania umów z podmiotami z listy sankcyjnej dotyczy wszystkich. Naruszenie rozporządzenia unijnego przez spółkę produkcyjną czy usługową grozi tymi samymi sankcjami co naruszenie przez bank. Różnica polega jedynie na intensywności nadzoru i częstotliwości kontroli.

P: Jak często należy powtarzać screening istniejących kontrahentów?

O: Standardem rynkowym jest monitoring ciągły – czyli automatyczne alerty przy każdej aktualizacji listy sankcyjnej dotyczącej podmiotów w bazie kontrahentów. Jeśli spółka nie korzysta z narzędzia automatycznego, minimum to weryfikacja przy każdej istotnej transakcji i raz na kwartał dla całego portfela aktywnych kontrahentów. Listy sankcyjne UE były aktualizowane w 2023–2025 r. średnio kilkanaście razy rocznie. Weryfikacja wyłącznie przy onboardingu nie spełnia wymogu należytej staranności.

P: Co zrobić, gdy screening ujawni trafienie na liście sankcyjnej w trakcie trwania umowy?

O: Należy natychmiast wstrzymać wszelkie płatności i świadczenia na rzecz kontrahenta oraz skonsultować się z prawnikiem przed podjęciem jakichkolwiek dalszych działań. Samodzielna decyzja o kontynuowaniu umowy – nawet pod warunkiem uzyskania licencji – może stanowić naruszenie. W zależności od okoliczności konieczne może być zgłoszenie do GIIF lub MSZ. Dokumentacja podjętych kroków od momentu wykrycia trafienia jest dowodem dobrej wiary i może ograniczyć odpowiedzialność zarządu.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance sankcyjnego, AML i ESG. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.