Screening sankcyjny – proces dla polskich

Firma handlowa z Mazowsza realizuje kontrakt z zagranicznym dostawcą od lat. Pewnego dnia bank blokuje przelew i żąda wyjaśnień. Okazuje się, że jeden ze wspólników kontrahenta trafił na listę sankcyjną UE trzy tygodnie wcześniej. Spółka nie wiedziała – bo nie miała wdrożonego procesu screeningu sankcyjnego. Konsekwencje: zamrożone środki, ryzyko naruszenia rozporządzenia Rady UE i utrata kontraktu.

Screening sankcyjny to systematyczna weryfikacja kontrahentów, transakcji i beneficjentów rzeczywistych pod kątem list sankcyjnych UE, ONZ, OFAC i polskiej ustawy z 15 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę. Obowiązek dotyczy każdego polskiego przedsiębiorcy – niezależnie od branży – pod rygorem odpowiedzialności karnej i wykluczenia z zamówień publicznych. Kary za naruszenie mogą sięgać kilku milionów złotych, a w przypadku osób fizycznych – pozbawienia wolności.

Ten materiał omawia pięć obszarów: ramy prawne i listy sankcyjne, narzędzia i procedury weryfikacji, typowe pułapki operacyjne, wymiar transgraniczny oraz gotową listę kontrolną dla Państwa spółki. Tekst jest skierowany do firm, które chcą wdrożyć lub zweryfikować istniejący proces screeningu – zanim zrobi to za nich KAS, KNF lub prokurator.

Jakie przepisy regulują screening sankcyjny w Polsce?

Polskie przedsiębiorstwo działa w trójwarstwowym środowisku sankcyjnym. Pierwsza warstwa to rozporządzenia Rady UE – bezpośrednio skuteczne, aktualizowane niemal co tydzień. Druga warstwa to ustawa z 15 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę, która nakłada na polskie podmioty dodatkowe obowiązki weryfikacji i raportowania. Trzecia warstwa to przepisy AML – ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, zobowiązująca instytucje obowiązane do weryfikacji beneficjentów rzeczywistych w CRBR.

Rozporządzenia unijne (m.in. Rozporządzenie 269/2014 ws. Ukrainy, Rozporządzenie 833/2014 ws. sektorowych ograniczeń wobec Rosji) zakazują udostępniania środków finansowych i zasobów gospodarczych osobom oraz podmiotom z list sankcyjnych. Naruszenie jest przestępstwem – nie tylko administracyjnym wykroczeniem. Dla polskich firm oznacza to, że każda transakcja z podmiotem z listy może skutkować zamrożeniem aktywów, wykluczeniem z zamówień publicznych i odpowiedzialnością karną zarządu.

Polska ustawa sankcyjna z 2022 r. rozszerzyła katalog podmiotów objętych ograniczeniami i przyznała Ministrowi Spraw Wewnętrznych i Administracji kompetencje do wpisu na krajową listę sankcyjną. Wpis na tę listę – odrębną od list UE – może nastąpić szybko, bez uprzedniego powiadomienia. Weryfikacja wyłącznie w bazie UE nie wystarczy.

Przepisy AML nakładają na instytucje obowiązane (banki, biura rachunkowe, doradców podatkowych, notariuszy, ale też niektórych przedsiębiorców) obowiązek identyfikacji beneficjentów rzeczywistych przez CRBR. W praktyce – wiele firm o tym zapomina – obowiązek weryfikacji rozciąga się na całą strukturę właścicielską kontrahenta, nie tylko na jego nazwę handlową. Pominięcie jednego pośredniego udziałowca może oznaczać nieświadome naruszenie sankcji.

Compliance sankcyjny nie jest opcją dla dużych korporacji. To obowiązek każdego polskiego przedsiębiorcy uczestniczącego w obrocie międzynarodowym – i coraz częściej także krajowym, gdy po drugiej stronie stoi podmiot z kapitałem zagranicznym.

Jak zbudować skuteczny proces screeningu krok po kroku?

Skuteczny screening sankcyjny składa się z czterech etapów: identyfikacji podmiotów do weryfikacji, doboru baz danych i narzędzi, procedury eskalacji przy trafieniu oraz dokumentacji i retencji. Każdy etap musi być osadzony w wewnętrznej polityce compliance – najlepiej powiązanej z kanałem zgłoszeń wymaganym przez art. 8 ustawy o sygnalistach. Cykl weryfikacji należy powtarzać przy każdej nowej transakcji i co najmniej co 30 dni dla stałych kontrahentów.

Etap 1 – zakres podmiotowy. Weryfikacji podlegają: kontrahent (osoba prawna i fizyczna), beneficjenci rzeczywiści (UBO) ujawnieni w CRBR lub dokumentach korporacyjnych, osoby zarządzające, banki pośredniczące oraz – w łańcuchu dostaw – kluczowi poddostawcy. Dla spółek z udziałem zagranicznym weryfikacja powinna objąć strukturę właścicielską co najmniej do poziomu 25% udziałów.

Etap 2 – bazy danych. Minimalne pokrycie to: lista konsolidowana UE (aktualizowana przez ESMA), lista ONZ, lista OFAC SDN (dla transakcji z podmiotami powiązanymi z USD lub bankami amerykańskimi), polska lista MSWiA i lista PEP. Narzędzia komercyjne (World-Check, Dow Jones Risk & Compliance, LexisNexis) automatyzują fuzzy matching i obsługują cyrylicę – co jest istotne przy weryfikacji podmiotów z Rosji, Białorusi i Ukrainy.

Etap 3 – procedura eskalacji. Każde trafienie (hit) powinno uruchamiać ustrukturyzowaną ścieżkę: (1) wstępna ocena przez compliance officer w ciągu 24 godzin, (2) decyzja o kontynuacji lub wstrzymaniu transakcji, (3) raport do zarządu przy trafieniach potwierdzonych, (4) zgłoszenie do Generalnego Inspektora Informacji Finansowej (GIIF) jeśli transakcja nosi znamiona prania pieniędzy lub finansowania terroryzmu. Bez tej ścieżki każde trafienie staje się paraliżującym zdarzeniem ad hoc.

Etap 4 – dokumentacja. Rekordy weryfikacji należy przechowywać przez co najmniej 5 lat. Dokumentacja powinna obejmować: datę i godzinę screeningu, użytą bazę danych i jej wersję, wynik weryfikacji, osobę odpowiedzialną oraz podjętą decyzję. Ta dokumentacja jest dowodem należytej staranności – zarówno wobec KAS, jak i potencjalnych roszczeń kontrahentów.

Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie narzędzia automatycznego z API do systemu ERP niż ręczna weryfikacja w arkuszu kalkulacyjnym. Ręczny proces przy kilkuset transakcjach miesięcznie generuje ryzyko błędu ludzkiego i nie skaluje się.

Mikroprzedsiębiorstwo z Podkarpacia wdrożyło w jesieni 2024 r. prosty skrypt weryfikujący kontrahentów w bazie UE przy każdym wystawieniu faktury. Koszt wdrożenia – poniżej 5 000 PLN. Efekt – pierwsze trafienie wykryto po sześciu tygodniach, unikając transakcji z podmiotem objętym sankcjami sektorowymi.

Warto też pamiętać o integracji screeningu z procesem due diligence przy umowach deweloperskich i inwestycjach w nieruchomości – transakcje nieruchomościowe są szczególnie narażone na wykorzystanie przez podmioty z list sankcyjnych do lokowania środków.

Konkretna sytuacja Państwa firmy – liczba transakcji, branża, ekspozycja geograficzna – determinuje właściwy model screeningu. Wdrożenie bez analizy ryzyka to wydatek bez efektu.

Jeśli Państwa spółka prowadzi ponad 50 transakcji miesięcznie z podmiotami z krajów wysokiego ryzyka – przeprowadzimy audyt procesu screeningu i zaprojektujemy procedurę eskalacji: info@kordeckipartners.com.

Jakie są najczęstsze pułapki operacyjne w screeningu sankcyjnym?

Screening sankcyjny jest procesem, nie dokumentem. Trzy najczęstsze błędy to: jednorazowa weryfikacja przy onboardingu bez cyklicznego odświeżania, brak weryfikacji beneficjentów rzeczywistych (weryfikacja wyłącznie nazwy spółki) oraz ignorowanie list krajowych i ONZ przy skupieniu wyłącznie na listach UE. Każdy z tych błędów może skutkować naruszeniem sankcji mimo formalnego posiadania procedury.

Pułapka 1 – statyczny onboarding. Listy sankcyjne są aktualizowane niemal codziennie. Kontrahent zweryfikowany w styczniu może trafić na listę w marcu. Bez cyklicznego screeningu (minimum co 30 dni dla aktywnych kontrahentów) spółka działa ze starymi danymi. KAS i KNF oceniają należytą staranność na dzień transakcji – nie na dzień onboardingu.

Pułapka 2 – weryfikacja nazwy, nie struktury. Rozporządzenia UE zakazują udostępniania zasobów podmiotom kontrolowanym przez osoby z list sankcyjnych. Jeśli sankcjonowany oligarcha posiada 30% udziałów w spółce holdingowej, która jest właścicielem Państwa kontrahenta – zakaz dotyczy całej transakcji. Weryfikacja wyłącznie nazwy handlowej kontrahenta nie chroni przed odpowiedzialnością.

Pułapka 3 – luka w łańcuchu dostaw. Producent z Wielkopolski może przestrzegać sankcji wobec swoich bezpośrednich dostawców, ale zamawiać komponenty przez pośrednika, który zaopatruje się u rosyjskiego producenta objętego sankcjami sektorowymi. Regulacje UE dotyczące towarów podwójnego zastosowania i zakaz obchodzenia sankcji (circumvention) oznaczają, że nieświadomość nie jest okolicznością wyłączającą odpowiedzialność.

Pułapka 4 – brak procedury false positive. Narzędzia fuzzy matching generują fałszywe trafienia – szczególnie przy popularnych nazwiskach. Bez jasnej procedury rozróżnienia hit potwierdzony od false positive, każde trafienie paraliżuje operacje. W praktyce – procedura powinna określać maksymalny czas decyzji (np. 48 godzin) i osobę uprawnioną do jej podjęcia.

Firma IT z Trójmiasta w lecie 2023 r. wstrzymała kontrakt na 3 tygodnie z powodu false positive – nazwisko dyrektora kontrahenta pokrywało się z osobą na liście OFAC. Brak procedury false positive oznaczał eskalację do zarządu, angażowanie prawników zewnętrznych i opóźnienie płatności. Koszt nieefektywności – szacunkowo kilkadziesiąt tysięcy złotych w czasie zarządu.

Compliance sankcyjny łączy się ściśle z programem compliance ogólnym. Przy projektowaniu procesu dla filii zagranicznych warto zapoznać się z wzorcem programu compliance dla spółek zależnych z USA w Polsce – podejście oparte na ryzyku stosowane przez OFAC jest tam szczegółowo opisane.

Wymiar transgraniczny: Polska w sieci sankcji wielopoziomowych

Polska spółka działająca w 30 jurysdykcjach musi uwzględniać nie tylko sankcje UE, ale też sankcje ekstraterytorialne USA (OFAC), sankcje UK (OFSI) i sankcje ONZ. Transakcja rozliczana w USD przechodzi przez system korespondencki banków amerykańskich – co oznacza, że OFAC ma jurysdykcję niezależnie od tego, czy spółka ma siedzibę w Warszawie czy Krakowie. Naruszenie sankcji OFAC przez polską spółkę może skutkować blokadą dostępu do systemu dolarowego.

Dla inwestorów zagranicznych wchodzących na rynek polski – szczególnie z USA, Wielkiej Brytanii i Izraela – polskie przepisy sankcyjne stanowią dodatkową warstwę compliance na polskim reżimie AML i unijnych rozporządzeniach. Projektowanie procesu screeningu dla oddziału lub spółki zależnej musi uwzględniać wymogi macierzystej jurysdykcji oraz lokalne obowiązki raportowania do GIIF i KNF.

Spółki z sektora finansowego (banki, domy maklerskie, TFI) podlegają dodatkowo wymogom DORA w zakresie zarządzania ryzykiem ICT – w tym ryzykiem narzędzi screeningowych. Rozporządzenie DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 r. Narzędzie do screeningu sankcyjnego, jeśli jest usługą ICT świadczoną przez podmiot trzeci, musi być objęte umową z klauzulami wymaganymi przez DORA i rejestrem dostawców ICT.

ESG reporting i CSRD (Dyrektywa UE 2022/2464) wprowadzają obowiązek raportowania ryzyk w łańcuchu dostaw – w tym ryzyk sankcyjnych. Dla spółek objętych CSRD screening sankcyjny przestaje być wyłącznie kwestią compliance karnego, a staje się elementem due diligence wymaganego przez dyrektywę. Polska ustawa implementująca CSRD została podpisana 12 grudnia 2024 r.

Dla podmiotów z eksponowaniem na Ukrainę i kraje WNP – kluczowe jest rozróżnienie między sankcjami wobec Rosji i Białorusi a dozwolonymi transakcjami z ukraińskimi kontrahentami. Błędna klasyfikacja ukraińskiego podmiotu jako objętego sankcjami może prowadzić do nieuzasadnionego zerwania kontraktu i roszczeń odszkodowawczych. Nasz Ukrainian Desk i CIS Desk wspiera klientów w tym rozróżnieniu.

Przy projektowaniu procesu screeningu dla grupy kapitałowej z podmiotami we Włoszech warto uwzględnić specyfikę opisaną w materiale o programach compliance dla spółek zależnych z Włoch w Polsce – podejście regulacyjne różni się od modelu anglosaskiego.

Konkretna ekspozycja geograficzna Państwa grupy determinuje liczbę list sankcyjnych, które należy monitorować, i częstotliwość odświeżania danych. Nieuwzględnienie jednej jurysdykcji może zamknąć drogę do rynków, na których spółka działa od lat.

Jeśli Państwa spółka prowadzi operacje w co najmniej 3 jurysdykcjach lub rozlicza transakcje w USD – przeprowadzimy mapowanie ekspozycji sankcyjnej i zaprojektujemy wielowarstwowy proces screeningu: info@kordeckipartners.com.

Lista kontrolna: co przygotować przed wdrożeniem screeningu sankcyjnego?

Wdrożenie procesu screeningu sankcyjnego wymaga kilku tygodni pracy – ale zaniedbanie go może zamknąć drogę do finansowania bankowego, zamówień publicznych i relacji z zagranicznymi partnerami. Poniższa lista obejmuje minimum, które każda polska spółka powinna zweryfikować przed pierwszą transakcją z nowym kontrahentem lub przy przeglądzie istniejącego procesu. Każdy punkt jest jednocześnie obszarem, który organy kontrolne sprawdzają w pierwszej kolejności.

Mapa podmiotów do weryfikacji: kontrahenci, UBO, zarządy, banki pośredniczące, kluczowi poddostawcy – zdefiniowane progi udziałowe (min. 25%).
Dobór baz danych: lista konsolidowana UE, lista ONZ, OFAC SDN, polska lista MSWiA, lista PEP – pokrycie wszystkich list odpowiednich dla profilu ryzyka spółki.
Procedura eskalacji: ścieżka decyzyjna przy trafieniu (hit), maksymalny czas decyzji (np. 48 h), osoba uprawniona, procedura false positive.
Cykliczność: harmonogram odświeżania weryfikacji – minimum co 30 dni dla aktywnych kontrahentów, natychmiastowo przy aktualizacji list sankcyjnych.
Dokumentacja i retencja: rekordy weryfikacji przechowywane minimum 5 lat, zawierające datę, bazę, wynik, decydenta.

Uzupełnieniem listy kontrolnej jest integracja z kanałem zgłoszeń wewnętrznych. Zgodnie z art. 8 ustawy o sygnalistach, pracodawcy z co najmniej 50 pracownikami mają obowiązek utrzymywania kanału zgłoszeń. Pracownik, który zauważy potencjalne naruszenie sankcji, powinien mieć jasną ścieżkę eskalacji – oddzielną od linii zarządczej. Brak takiego kanału to nie tylko naruszenie ustawy o sygnalistach, ale też luka w systemie wczesnego ostrzegania compliance sankcyjnego.

Dla spółek objętych CSRD – screening sankcyjny powinien być udokumentowany jako element due diligence w łańcuchu dostaw. Dyrektywa UE 2022/2464 wymaga raportowania ryzyk związanych z dostawcami, a sankcje są jednym z kategoryzowanych ryzyk. Brak dokumentacji screeningu może utrudnić przygotowanie raportu ESG lub narazić spółkę na zarzut niekompletnego raportowania.

Whistleblower compliance i AML tworzą razem z screeningiem sankcyjnym spójną architekturę compliance. Projektowanie tych trzech obszarów oddzielnie – przez różne zespoły, w różnych terminach – prowadzi do luk i dublowania pracy. Uważamy, że najskuteczniejsze wdrożenia to te, które traktują compliance sankcyjny jako część jednolitego programu zarządzania ryzykiem.

Często zadawane pytania

P: Czy mała firma (poniżej 10 pracowników) ma obowiązek prowadzenia screeningu sankcyjnego?

O: Tak – obowiązek wynika z bezpośrednio skutecznych rozporządzeń UE, które nie przewidują progu zatrudnienia ani przychodów. Każdy podmiot uczestniczący w obrocie gospodarczym jest zobowiązany do nieprzekazywania zasobów osobom i podmiotom z list sankcyjnych. Brak formalnej procedury screeningu nie zwalnia z odpowiedzialności – ale jest okolicznością obciążającą przy ocenie należytej staranności. Minimalne rozwiązanie dla małej firmy to weryfikacja w bazie konsolidowanej UE przed każdą nową transakcją i dokumentacja tej weryfikacji.

P: Jak często należy aktualizować weryfikację istniejących kontrahentów?

O: Dla aktywnych kontrahentów – minimum co 30 dni. Listy sankcyjne UE są aktualizowane kilka razy w tygodniu; lista OFAC – niemal codziennie. Weryfikacja jednorazowa przy onboardingu nie spełnia wymogu należytej staranności. Przy transakcjach o wysokiej wartości lub z podmiotami z krajów wysokiego ryzyka (Rosja, Białoruś, Iran, Korea Północna) – weryfikacja powinna być przeprowadzana przed każdą transakcją. Systemy automatyczne z alertami o zmianach list sankcyjnych eliminują ten problem operacyjnie.

P: Co się dzieje, gdy spółka nieświadomie naruszy sankcje?

O: Nieświadomość nie wyłącza odpowiedzialności – rozporządzenia UE stosują zasadę obiektywnej odpowiedzialności za udostępnienie zasobów podmiotom sankcjonowanym. Kluczowa jest dokumentacja należytej staranności: przeprowadzony screening, użyta baza danych, data weryfikacji, podjęta decyzja. Spółka, która udokumentuje rzetelny proces, jest w znacznie lepszej pozycji negocjacyjnej wobec organów niż ta, która nie ma żadnej dokumentacji. Przy naruszeniu – natychmiastowe zgłoszenie do właściwego organu (GIIF, KAS) i zamrożenie dalszych transakcji z danym podmiotem to działania minimalizujące odpowiedzialność osobistą zarządu.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance sankcyjnego, ESG i AML. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych. Projektuje programy compliance sankcyjnego, AML i ESG reporting dla polskich i zagranicznych grup kapitałowych.