Screening sankcyjny – proces dla polskich

Firma handlowa z Mazowsza podpisuje kontrakt z zagranicznym dostawcą. Kilka tygodni później okazuje się, że jeden z udziałowców kontrahenta figuruje na unijnej liście sankcyjnej. Transakcja jest zamrożona, a spółka stoi przed ryzykiem naruszenia przepisów, które pociąga za sobą odpowiedzialność karną zarządu. Scenariusz ten nie jest rzadkością – i właśnie dlatego screening sankcyjny przestał być opcją, a stał się obowiązkiem.

Screening sankcyjny to systematyczny proces weryfikacji kontrahentów, partnerów i beneficjentów rzeczywistych pod kątem unijnych, amerykańskich i polskich list sankcyjnych. Obowiązek prowadzenia takiej weryfikacji wynika z rozporządzeń Rady UE, polskiej ustawy sankcyjnej z 15 kwietnia 2022 r. oraz przepisów AML. Naruszenie sankcji grozi karą pozbawienia wolności do lat 5 i grzywną do PLN 20 000 000.

Ten artykuł wyjaśnia, jak zbudować skuteczny proces screeningu w polskim przedsiębiorstwie: od ram prawnych przez narzędzia weryfikacji, przez typowe pułapki operacyjne, aż po wymogi cross-border i listę kontrolną wdrożenia. Każda sekcja zawiera konkretne wskazówki, które można wdrożyć niezależnie od wielkości firmy.

Jakie regulacje tworzą obowiązek screeningu sankcyjnego w Polsce?

Podstawę prawną screeningu sankcyjnego w Polsce tworzy kilka nakładających się warstw regulacyjnych. Pierwsza to rozporządzenia Rady UE – akty bezpośrednio stosowane, które nie wymagają implementacji. Druga to polska ustawa sankcyjna z 15 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę. Trzecia to przepisy AML, czyli ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Razem tworzą system, którego naruszenie uruchamia odpowiedzialność karną, cywilną i administracyjną jednocześnie.

Polska ustawa sankcyjna wprowadza zamrożenie aktywów, zakaz udostępniania środków finansowych i zakaz świadczenia usług na rzecz podmiotów objętych sankcjami. Obejmuje to nie tylko bezpośrednich kontrahentów, ale też podmioty, nad którymi sankcjonowane osoby lub firmy sprawują kontrolę – co w praktyce oznacza konieczność weryfikacji struktury własnościowej nawet kilka poziomów w górę. Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) jest tu pierwszym, ale nie wystarczającym narzędziem.

Równolegle działa system AML. Instytucje obowiązane – banki, doradcy podatkowi, notariusze, ale też wielu przedsiębiorców prowadzących transakcje powyżej 10 000 EUR – muszą stosować środki należytej staranności wobec klientów. Obejmuje to weryfikację w bazach PEP (osoby zajmujące eksponowane stanowiska polityczne) oraz listach sankcyjnych. Brak dokumentacji tej weryfikacji jest sam w sobie naruszeniem, nawet jeśli kontrahent okazał się czysty.

W 2024 r. weszła w życie ustawa o sygnalistach. Zgodnie z art. 8 ustawy o sygnalistach, każdy pracodawca zatrudniający co najmniej 50 pracowników musi wdrożyć wewnętrzny kanał zgłoszeń. To narzędzie, które – przy odpowiednim zaprojektowaniu – może służyć również do zgłaszania podejrzeń naruszeń sankcji wewnątrz organizacji. Wdrożenie kanału to nie tylko obowiązek, ale też praktyczne zabezpieczenie przed eskalacją problemu na zewnątrz.

Instytucje nadzorcze zaangażowane w egzekwowanie tych regulacji to Generalny Inspektor Informacji Finansowej (GIIF), Krajowa Administracja Skarbowa (KAS) oraz prokuratura. W sprawach transgranicznych dochodzą organy państw członkowskich UE, a w transakcjach z podmiotami amerykańskimi – OFAC. Przedsiębiorstwo działające w 30 jurysdykcjach musi mapować każdą z nich osobno.

Uważamy, że najczęstszym błędem polskich firm jest traktowanie screeningu sankcyjnego jako zadania jednorazowego. Tymczasem listy sankcyjne są aktualizowane kilka razy w tygodniu. Weryfikacja przeprowadzona w dniu podpisania umowy może być nieaktualna już po 72 godzinach.

Jak wygląda skuteczny proces screeningu sankcyjnego krok po kroku?

Skuteczny screening sankcyjny to nie jednorazowe sprawdzenie w wyszukiwarce. To udokumentowany, powtarzalny proces obejmujący co najmniej sześć etapów. Każdy etap musi być przypisany do konkretnej osoby, zaopatrzony w termin wykonania i zakończony zapisem w systemie compliance. Brak dokumentacji jednego etapu podważa wiarygodność całego procesu wobec organów nadzorczych.

Etap pierwszy to identyfikacja podmiotu. Należy ustalić pełną nazwę prawną, numer rejestracyjny, kraj siedziby i – co kluczowe – strukturę własnościową do poziomu beneficjenta rzeczywistego. CRBR dostarcza danych dla polskich spółek, ale dla podmiotów zagranicznych konieczne jest sięgnięcie do rejestrów krajowych lub komercyjnych baz danych. Spółki z Ukrainy, Białorusi i Rosji wymagają szczególnej uwagi – tamtejsze rejestry bywają niepełne lub niedostępne.

Etap drugi to weryfikacja na listach sankcyjnych. Minimalne wymaganie to sprawdzenie: listy sankcyjnej UE (publikowanej w Dzienniku Urzędowym UE), listy OFAC SDN dla transakcji z elementem USD lub podmiotami amerykańskimi, oraz polskiej listy sankcyjnej. W praktyce firmy obsługujące klientów z wielu krajów sprawdzają dodatkowo listy ONZ, UK OFSI i innych jurysdykcji. Częstotliwość: przy onboardingu nowego kontrahenta i przy każdej transakcji powyżej progu AML, a także cyklicznie – co najmniej raz na 30 dni dla aktywnych kontrahentów.

Etap trzeci to weryfikacja PEP i negatywnych mediów. Osoba zajmująca eksponowane stanowisko polityczne nie jest automatycznie wykluczona z transakcji, ale wymaga wzmożonej należytej staranności. To samo dotyczy podmiotów powiązanych z PEP oraz podmiotów pojawiających się w mediach w kontekście korupcji, prania pieniędzy lub naruszeń sankcji.

Dokumentacja – każdy wynik weryfikacji (pozytywny i negatywny) zapisany z datą, źródłem i nazwiskiem weryfikującego
Eskalacja – jasna ścieżka decyzyjna: kto zatwierdza transakcję przy trafieniu na listę, kto podejmuje decyzję o rezygnacji z kontraktu
Monitoring ciągły – alerty w systemie przy każdej aktualizacji list sankcyjnych dotyczącej aktywnych kontrahentów
Szkolenia – co najmniej raz w roku dla działu handlowego, zakupów i finansów
Audyt wewnętrzny – przegląd procesu co 12 miesięcy lub po każdej zmianie regulacyjnej

Etap czwarty to analiza struktury własnościowej. Polskie przepisy sankcyjne, wzorem regulacji UE, obejmują podmioty kontrolowane przez osoby lub firmy objęte sankcjami. Kontrola może być bezpośrednia (powyżej 50% udziałów) lub pośrednia. Firma z siedzibą w Dubaju, której udziałowcem jest podmiot z Moskwy, może podlegać sankcjom mimo braku wpisu na liście. Weryfikacja łańcucha własnościowego do co najmniej trzeciego poziomu to minimum dla transakcji powyżej 500 000 PLN.

Etap piąty to decyzja i dokumentacja. Wynik screeningu musi być zapisany w systemie CRM lub dedykowanym narzędziu compliance. Decyzja o kontynuacji transakcji pomimo wątpliwości – lub o jej wstrzymaniu – powinna być podpisana przez osobę uprawnioną i uzasadniona. To właśnie ta dokumentacja chroni zarząd w razie kontroli KAS lub postępowania karnego.

Etap szósty to monitoring ciągły. Listy sankcyjne zmieniają się dynamicznie – od lutego 2022 r. UE wprowadziła ponad 20 pakietów sankcji wobec Rosji i Białorusi. Każdy nowy pakiet może objąć podmiot, który wcześniej był czysty. Systemy automatycznego monitoringu (np. integracja z API Dziennika Urzędowego UE) redukują ryzyko przeoczenia do minimum.

Firma technologiczna z Trójmiasta wdrożyła w jesieni 2024 r. automatyczny monitoring API list sankcyjnych UE. W ciągu pierwszych 90 dni system wykrył trzy przypadki, w których istniejący kontrahent znalazł się na nowej liście sankcyjnej. Żadna z tych sytuacji nie zakończyła się naruszeniem – dzięki szybkiemu zamrożeniu transakcji i zgłoszeniu do GIIF.

Jeśli Państwa firma obsługuje kontrahentów z Ukrainy lub krajów WNP – szczegółowe informacje o praktyce ESG i compliance w naszej kancelarii znajdą Państwo pod wskazanym linkiem.

Konkretna struktura procesu zależy od skali działalności, branży i profilu geograficznego kontrahentów. Uważamy, że każda firma powinna mieć pisemną procedurę screeningu – nawet jeśli liczy pięciu pracowników i obsługuje wyłącznie klientów krajowych.

Złożoność procesu screeningu sankcyjnego rośnie nieproporcjonalnie do liczby jurysdykcji, w których firma operuje. Zarząd, który zlekceważy ten etap, ryzykuje odpowiedzialnością osobistą – nieodwracalną w przypadku skazania za naruszenie sankcji.

Aby otrzymać ocenę Państwa obecnego procesu screeningu sankcyjnego, napisz do info@kordeckipartners.com.

Jakie pułapki operacyjne blokują skuteczny screening w polskich firmach?

Screening sankcyjny na papierze wygląda prosto. W praktyce – wiele firm o tym zapomina – największe ryzyko leży nie w braku procedury, ale w jej pozornym wdrożeniu. Procedura istnieje, ale nikt jej nie stosuje. Weryfikacja jest przeprowadzana, ale nie dokumentowana. Wyniki są archiwizowane, ale nikt nie analizuje trafień. To właśnie te luki powodują, że kontrola organów nadzoru kończy się sankcjami administracyjnymi lub postępowaniem karnym.

Pierwsza pułapka to weryfikacja wyłącznie nazwy spółki. Sankcje obejmują osoby fizyczne – właścicieli, beneficjentów rzeczywistych, członków zarządu. Sprawdzenie nazwy firmy bez weryfikacji jej udziałowców i beneficjentów to błąd, który organy nadzorcze kwalifikują jako niedostateczną należytą staranność. CRBR jest punktem wyjścia, ale dane w rejestrze mogą być nieaktualne lub niekompletne – spółka ma 7 dni na zgłoszenie zmian, a w tym czasie rejestr pokazuje dane poprzednie.

Druga pułapka to brak procedury eskalacji. Co się dzieje, gdy system compliance zgłasza trafienie? Kto podejmuje decyzję? W jakim terminie? Ile czasu ma handlowiec na wstrzymanie transakcji? Brak odpowiedzi na te pytania oznacza, że nawet najlepszy system wykrywania jest bezużyteczny. Widzieliśmy przypadki, w których trafienie na liście sankcyjnej było ignorowane przez trzy tygodnie, bo nikt nie wiedział, do kogo je eskalować.

Trzecia pułapka to pominięcie podmiotów kontrolowanych. Jak wspomniano wcześniej, sankcje obejmują nie tylko wprost wymienione podmioty, ale też te, nad którymi sprawują one kontrolę. Weryfikacja wyłącznie bezpośredniego kontrahenta jest niewystarczająca w przypadku transakcji z podmiotami z krajów wysokiego ryzyka. Dla transakcji powyżej 1 000 000 PLN zalecamy weryfikację struktury własnościowej do co najmniej czwartego poziomu.

Czwarta pułapka to fałszywe poczucie bezpieczeństwa wynikające z certyfikatów i oświadczeń kontrahenta. Oświadczenie, że „podmiot nie jest objęty sankcjami", nie chroni przed odpowiedzialnością. Obowiązek weryfikacji spoczywa na przedsiębiorcy – nie na kontrahencie. Oświadczenie może być elementem dokumentacji, ale nie zastępuje samodzielnej weryfikacji.

Piąta pułapka to brak integracji z procesami ESG i CSRD. Dyrektywa CSRD (Dyrektywa UE 2022/2464) nakłada na duże przedsiębiorstwa obowiązek raportowania w zakresie należytej staranności, w tym w łańcuchu dostaw. Screening sankcyjny jest elementem tego procesu. Firmy, które traktują compliance sankcyjny i ESG raportowanie jako osobne silosy, tracą efektywność i narażają się na niespójności w raportach.

Producent z Dolnego Śląska przeszedł audyt AML wiosną 2025 r. Audytorzy odkryli, że spółka weryfikowała kontrahentów wyłącznie przy onboardingu. Pięciu aktywnych dostawców znalazło się na listach sankcyjnych w ciągu ostatnich 18 miesięcy – bez wiedzy działu zakupów. Koszt naprawy sytuacji (audyt forensic, zgłoszenie do GIIF, restrukturyzacja umów) przekroczył 400 000 PLN.

W sprawach dotyczących naruszeń sankcji lub AML zachęcamy do zapoznania się z naszą analizą restrukturyzacji zapobiegawczej – w przypadku, gdy naruszenie destabilizuje sytuację finansową spółki, wczesna interwencja restrukturyzacyjna może ograniczyć szkodę.

Jak screening sankcyjny wygląda w kontekście transgranicznym?

Dla polskiego przedsiębiorcy działającego na rynkach zagranicznych screening sankcyjny ma wymiar wielowarstwowy. Każda transakcja z elementem zagranicznym może podlegać jednocześnie sankcjom UE, sankcjom USA, sankcjom ONZ i przepisom krajowym kilku państw. Niespójność między tymi systemami jest regułą, nie wyjątkiem. To, co jest dozwolone na gruncie prawa UE, może być zabronione przez OFAC – i odwrotnie.

Sankcje amerykańskie mają zasięg eksterytorialny. Dotyczy to zwłaszcza tzw. secondary sanctions – mechanizmu, który karze podmioty spoza USA za transakcje z podmiotami objętymi sankcjami pierwotnymi. Polska firma rozliczająca się w dolarach lub korzystająca z usług banku korespondenta w USA jest w zasięgu OFAC. Naruszenie może skutkować odcięciem od systemu dolarowego – konsekwencja nieodwracalna dla firm zależnych od importu lub eksportu rozliczanego w USD.

Dla inwestora zagranicznego wchodzącego na rynek polski – szczególnie z krajów spoza UE – screening sankcyjny jest elementem due diligence, który oceniają polskie banki i instytucje finansowe. Podmiot z siedzibą w Zjednoczonych Emiratach Arabskich lub Singapurze będzie weryfikowany pod kątem powiązań z podmiotami objętymi sankcjami UE lub USA. Brak przejrzystej struktury własnościowej automatycznie podnosi poziom ryzyka i wydłuża czas onboardingu nawet o 60 dni.

Spółki prowadzące działalność w Ukrainie lub krajach WNP stoją przed dodatkowym wyzwaniem: tamtejsze rejestry beneficjentów rzeczywistych bywają niekompletne lub niedostępne. W takich przypadkach konieczne jest sięgnięcie do komercyjnych baz danych (np. World-Check, Refinitiv, Dow Jones Risk & Compliance) i przeprowadzenie enhanced due diligence. Koszt jednej kompleksowej weryfikacji w zewnętrznej bazie wynosi od 200 do 2 000 EUR, zależnie od poziomu złożoności.

Warto pamiętać o wymogach raportowych. Polskie przepisy sankcyjne nakładają obowiązek niezwłocznego zgłoszenia do GIIF każdego przypadku wykrycia podmiotu objętego sankcjami lub uzasadnionego podejrzenia naruszenia. Termin „niezwłocznie" w praktyce oznacza nie dłużej niż 24 godziny od wykrycia. Opóźnienie w zgłoszeniu jest odrębnym naruszeniem – niezależnym od tego, czy transakcja faktycznie doszła do skutku.

Branże szczególnie narażone na ryzyko sankcyjne w kontekście transgranicznym to: handel towarami podwójnego zastosowania, usługi finansowe i ubezpieczeniowe, transport i logistyka, doradztwo technologiczne dla podmiotów z krajów wysokiego ryzyka oraz obrót nieruchomościami z udziałem kapitału zagranicznego. Dla każdej z tych branż istnieją dodatkowe wymogi sektorowe, które nakładają się na ogólne przepisy sankcyjne.

Czy Twoja firma jest gotowa na screening sankcyjny – lista kontrolna

Lista kontrolna poniżej pozwala ocenić gotowość organizacji do wdrożenia lub audytu procesu screeningu sankcyjnego. Każdy punkt, na który odpowiedź brzmi „nie" lub „nie wiem", to luka wymagająca natychmiastowego uzupełnienia. Proces screeningu jest tak mocny, jak jego najsłabsze ogniwo – a każda luka może stać się podstawą odpowiedzialności zarządu.

Procedura pisemna – czy firma posiada udokumentowaną procedurę screeningu sankcyjnego, zaktualizowaną w ciągu ostatnich 12 miesięcy?
Listy sankcyjne – czy weryfikacja obejmuje co najmniej listy UE, OFAC SDN i polską listę sankcyjną, a nie tylko jedną z nich?
Beneficjenci rzeczywiści – czy weryfikacja obejmuje strukturę własnościową kontrahenta do poziomu beneficjenta rzeczywistego, nie tylko bezpośrednią nazwę spółki?
Monitoring ciągły – czy system alarmuje przy każdej aktualizacji list sankcyjnych dotyczącej aktywnych kontrahentów, a nie tylko przy onboardingu?
Kanał zgłoszeń – czy firma wdrożyła wewnętrzny kanał zgłoszeń zgodny z art. 8 ustawy o sygnalistach, obejmujący możliwość zgłaszania podejrzeń naruszeń sankcji?

Do listy kontrolnej warto dodać pytanie o integrację ze strategią ESG. Dyrektywa CSRD wymaga od dużych przedsiębiorstw raportowania procesów należytej staranności w łańcuchu dostaw. Screening sankcyjny, dane z CRBR i procedury AML są elementami tego samego ekosystemu compliance. Firma, która traktuje je osobno, traci efektywność i naraża się na niespójności w dokumentacji.

Trzy scenariusze biznesowe ilustrują skalę wyzwania. Firma produkcyjna z Małopolski importująca surowce z Azji Środkowej musi weryfikować łańcuch pośredników – każdy z nich może być podmiotem powiązanym z sankcjonowanym beneficjentem. Spółka IT z Warszawy świadcząca usługi dla klientów z Ukrainy i Izraela działa w środowisku, gdzie listy sankcyjne zmieniają się wyjątkowo dynamicznie. Zagraniczny inwestor wchodzący na rynek polski przez przejęcie polskiej spółki musi przeprowadzić screening sankcyjny zarówno dla przejmowanego podmiotu, jak i dla własnej struktury własnościowej – banki i KNF będą tego wymagać.

Compliance to proces, nie dokument. Gotowość na screening sankcyjny oznacza, że organizacja jest w stanie wykazać – w każdej chwili, wobec każdego organu – że weryfikacja była przeprowadzona, udokumentowana i zaktualizowana. To standard, który GIIF i KAS stosują przy kontrolach coraz konsekwentniej.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny ryzyka sankcyjnego. Brak aktualnej procedury lub luka w monitoringu ciągłym to naruszenia, które organy nadzoru traktują jako nieodwracalne zaniedbanie – szczególnie po tym, jak firma miała możliwość wdrożenia systemu, ale z niej nie skorzystała.

Jeśli Państwa spółka operuje w branżach wysokiego ryzyka lub obsługuje kontrahentów z krajów objętych sankcjami UE – przeprowadzimy audyt procesu screeningu, zidentyfikujemy luki i wdrożymy procedury zgodne z aktualnymi wymogami GIIF i KAS: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe firmy zatrudniające poniżej 50 pracowników muszą prowadzić screening sankcyjny?

O: Tak – obowiązek wynika nie z liczby pracowników, lecz z charakteru transakcji i statusu instytucji obowiązanej w rozumieniu przepisów AML. Każda firma prowadząca transakcje powyżej równowartości 10 000 EUR lub będąca instytucją obowiązaną (np. doradca podatkowy, agent nieruchomości, firma leasingowa) musi stosować środki należytej staranności, w tym weryfikację na listach sankcyjnych. Brak formalnej procedury nie zwalnia z odpowiedzialności – ustawa sankcyjna z 15 kwietnia 2022 r. stosuje się do wszystkich podmiotów prowadzących działalność w Polsce, niezależnie od ich wielkości.

P: Jak często należy aktualizować listy sankcyjne w systemie compliance?

O: Listy sankcyjne UE są aktualizowane nieregularnie – w 2023 i 2024 r. zdarzało się to kilka razy w tygodniu, szczególnie w kontekście kolejnych pakietów sankcji wobec Rosji i Białorusi. Minimalna częstotliwość aktualizacji to raz na 24 godziny dla firm aktywnie zawierających nowe transakcje. Dla aktywnych kontrahentów zalecamy monitoring ciągły oparty na automatycznych alertach. Ręczne sprawdzanie raz w miesiącu jest niewystarczające i może zostać zakwestionowane przez GIIF jako niedostateczna należyta staranność.

P: Czy oświadczenie kontrahenta o braku powiązań sankcyjnych zastępuje własną weryfikację?

O: Nie. To powszechne nieporozumienie, które prowadzi do realnych naruszeń. Obowiązek weryfikacji spoczywa na przedsiębiorcy – nie na kontrahencie. Oświadczenie może być elementem dokumentacji i dowodem dobrej wiary, ale nie zastępuje samodzielnego sprawdzenia list sankcyjnych, weryfikacji beneficjentów rzeczywistych i analizy struktury własnościowej. Organy nadzorcze, w tym GIIF i prokuratura, oceniają, czy przedsiębiorca podjął własne kroki weryfikacyjne – niezależnie od treści oświadczeń kontrahenta.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i prawa sankcyjnego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.