Listy sankcyjne UE, ONZ, OFAC i MSWiA — przewodnik

Jeśli prowadzisz w Polsce zwykłą firmę — nie bank, nie kantor, nie kancelarię prawną — to i tak masz obowiązek sprawdzać swoich klientów i kontrahentów na listach sankcyjnych UE. Ten obowiązek wynika wprost z rozporządzeń unijnych, które obowiązują bezpośrednio, bez implementacji przez Sejm. Od 2022 roku do tego doszła polska lista MSWiA. Większość MŚP wciąż o tym nie wie.

Ten artykuł odpowiada na proste pytanie: które dokładnie listy obowiązują Twoją firmę i czym one się od siebie różnią.

TL;DR

• Lista UE (rozporządzenia 269/2014 i 833/2014 + załączniki do kolejnych pakietów) — obowiązuje każdy podmiot w UE. To Twoja baza.
• Lista ONZ (Security Council Consolidated List) — pośrednio, bo UE implementuje sankcje ONZ przez własne rozporządzenia. W praktyce wystarczy lista UE.
• Lista OFAC SDN (USA) — formalnie nie obowiązuje polskiej firmy, ale dotyka jej przy rozliczeniach w USD, korespondencji z bankami amerykańskimi i kontraktach z klauzulą sankcyjną.
• Polska lista MSWiA — krajowy dodatek do listy UE, prowadzony na podstawie ustawy z 13 kwietnia 2022 r. Sprawdzasz ją obok unijnej.
• Lista UK (OFSI/HMT) — relewantna, jeśli masz oddział, klientów albo płatności w Wielkiej Brytanii.

Skąd w ogóle ten obowiązek

Sankcje gospodarcze UE działają w polskim porządku prawnym inaczej niż większość regulacji. Rozporządzenia unijne (269/2014, 833/2014, 765/2006 i kolejne pakiety) nie wymagają ustawy implementującej. Obowiązują bezpośrednio od dnia publikacji w Dzienniku Urzędowym UE. Dotyczą każdej osoby fizycznej i prawnej w UE — niezależnie od branży, wielkości i tego, czy ktoś o nich kiedykolwiek słyszał.

Dwa kluczowe artykuły w rozporządzeniu 269/2014:

• Zakaz udostępniania środków osobom i podmiotom z załącznika I (nie wolno im sprzedać, wynająć, wypożyczyć, przekazać — niczego).
• Obowiązek zamrożenia środków, jeśli takie osoby już są Twoim klientem albo mają u Ciebie pieniądze, towar, depozyt, niewypłaconą fakturę.

Te dwa obowiązki same w sobie wymagają, żebyś wiedział, kto jest na liście. A żeby wiedzieć, musisz sprawdzać. Stąd cały sanction screening.

W Polsce do tego doszła ustawa z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835, dalej: „ustawa sankcyjna"). Ta ustawa wprowadziła krajową listę sankcyjną prowadzoną przez ministra spraw wewnętrznych i administracji. Dlatego mówimy w skrócie „lista MSWiA".

Lista UE — Twoja podstawa, której nie da się ominąć

Lista UE to nie jeden plik. To zestaw załączników do różnych rozporządzeń, plus jedna skonsolidowana baza, którą Komisja Europejska udostępnia w postaci CSV/XML.

Dwa główne rozporządzenia, które trzeba znać

Rozporządzenie Rady (UE) nr 269/2014 z 17 marca 2014 r. dotyczy środków ograniczających wobec osób i podmiotów odpowiedzialnych za działania podważające integralność Ukrainy. To rozporządzenie „personalne" — załącznik I zawiera listę nazwisk i firm, które są zamrożone.

Rozporządzenie Rady (UE) nr 833/2014 z 31 lipca 2014 r. dotyczy sankcji sektorowych wobec Rosji — eksport, import, usługi, finansowanie. Tu nie chodzi o listy osób, tylko o branże i produkty. Sektorowe sankcje są często trudniejsze do compliance niż listy personalne, bo wymagają sprawdzania, co sprzedajesz, a nie tylko komu.

Dla Białorusi analogiczne rozporządzenie to 765/2006. Dla Iranu — 267/2012. Dla Korei Północnej — 2017/1509. I tak dalej. Lista państw objętych jakimś reżimem sankcji UE liczy w 2026 roku ponad 30 pozycji.

Skonsolidowana lista UE — gdzie pobierać

Komisja Europejska prowadzi EU Financial Sanctions Files (FSF) — jeden plik łączący wszystkie reżimy sankcyjne i wszystkie załączniki. To jedno źródło dla całej UE.

Adres: https://webgate.ec.europa.eu/fsd/fsf

Format: XML (pełny) oraz CSV (uproszczony). Częstotliwość aktualizacji: każdorazowo po publikacji nowego pakietu lub aktualizacji listingowej w Dzienniku Urzędowym UE. W praktyce — kilka razy w miesiącu.

Drugie dobre źródło to EU Sanctions Map (https://sanctionsmap.eu/) — interaktywna mapa, gdzie klikasz państwo i widzisz, jakie reżimy je obejmują. Dobra do nauki, słaba do automatyzacji.

Co znajdziesz w pliku skonsolidowanym

Każdy wpis zawiera:

• nazwę (oraz aliasy, transliteracje, dawne nazwiska),
• datę urodzenia, miejsce urodzenia, narodowość (dla osób),
• numer rejestrowy, adres (dla podmiotów),
• numer paszportu (jeśli znany),
• podstawę prawną — który załącznik, który pakiet, który reżim,
• datę dodania.

To, że masz nazwisko, nie wystarczy do trafienia. Sanction screening to nie ctrl+F po imieniu. Musisz uwzględnić aliasy, transliteracje (Putin / Putyn / Putine), warianty pisowni, daty urodzenia. Stąd narzędzia z fuzzy matchingiem i trójstanowym wynikiem zamiast prostego TAK/NIE — o tym osobno przy okazji procedury wdrożenia.

Lista ONZ — formalnie ważna, w praktyce już w UE

ONZ Security Council Consolidated List to lista osób i podmiotów objętych sankcjami nałożonymi rezolucjami Rady Bezpieczeństwa ONZ. Reżimy: ISIL/Al-Kaida, Talibowie, Iran (pre-JCPOA), Korea Północna, Libia, Sudan, Somalia, kilka innych.

Adres: https://www.un.org/securitycouncil/sanctions/information

W UE działa zasada: każda sankcja ONZ, gdy zostaje przyjęta przez Radę Bezpieczeństwa, jest transponowana do prawa unijnego osobnym rozporządzeniem. Czyli jeśli ONZ dodaje kogoś na listę talibów, UE w ciągu kilku tygodni wydaje rozporządzenie implementujące. Od tego momentu ta osoba jest też na liście UE.

Wniosek praktyczny: jeśli sprawdzasz skonsolidowaną listę UE, lista ONZ jest tam w środku. Osobno sprawdzać ONZ trzeba tylko wtedy, gdy działasz w okresie między rezolucją ONZ a transpozycją UE — to bardzo rzadkie i dotyczy głównie banków oraz firm logistycznych pracujących na żywym rynku. Większość MŚP może traktować listę ONZ jako część listy UE.

Lista OFAC SDN — amerykańska, ale uwaga na ekstraterytorialność

OFAC to Office of Foreign Assets Control przy Departamencie Skarbu USA. Prowadzi listę SDN (Specially Designated Nationals and Blocked Persons), która liczy dziesiątki tysięcy wpisów i jest aktualizowana niemal codziennie.

Adres: https://sanctionsmap.eu/ — nie, żartuję. To OFAC: https://ofac.treasury.gov/sanctions-list-search-tool. Surowy plik: https://sanctionssearch.ofac.treas.gov/.

Kiedy obowiązuje polską firmę

Formalnie? Polska firma nie musi się stosować do amerykańskiej listy SDN, bo to prawo USA. Praktycznie? Musi się stosować w czterech sytuacjach:

1. Rozliczasz się w dolarze. Każda transakcja USD przechodzi przez bank korespondencyjny w USA. Jeśli druga strona transakcji jest na liście SDN, bank zablokuje przelew niezależnie od tego, co Ty o tym myślisz.
2. Masz klientów / dostawców z USA. Amerykański partner będzie wymagał, żebyś go „sankcyjnie wyczyścił" wobec własnych standardów — czyli wobec OFAC.
3. Masz umowę z klauzulą sankcyjną. W kontraktach międzynarodowych jest standardem klauzula „compliance with applicable sanctions, including OFAC". Złamanie tej klauzuli = naruszenie umowy, nie tylko prawa.
4. Twoja działalność ma „US nexus" — np. używasz amerykańskiego oprogramowania, masz klientów na zielonej karcie, dostarczasz coś na terytorium USA. Wtedy OFAC może uznać, że masz jurysdykcję amerykańską.

Dla firmy, która działa wyłącznie w PL, bez USD, bez klientów z USA, bez amerykańskiego software’u — formalnie OFAC nie obowiązuje. Ale takich firm jest mniej, niż myślisz. Zawsze przeanalizuj swój łańcuch dostaw i płatności, zanim powiesz „nas to nie dotyczy".

Wtórne sankcje OFAC

Osobna kategoria: secondary sanctions. To narzędzie, którym USA może ukarać firmę spoza USA za współpracę z podmiotem z listy SDN — nawet jeśli ta firma nie ma żadnego punktu zaczepienia w Stanach. Kara: odcięcie od systemu dolarowego i wpisanie samej tej firmy na listę SDN. To koniec biznesu międzynarodowego. Stosowane głównie wobec Iranu i wybranych podmiotów rosyjskich.

Lista MSWiA — polski dodatek, którego nie da się zignorować

Polska lista sankcyjna jest prowadzona przez ministra spraw wewnętrznych i administracji na podstawie art. 2 ustawy z 13 kwietnia 2022 r. Mówiąc skrótowo: ustawa pozwala MSWiA dopisać podmiot na listę, jeśli wspiera rosyjską lub białoruską agresję na Ukrainę. Konsekwencje wpisu są analogiczne do listy UE — zamrożenie środków, zakaz transakcji, dodatkowo wykluczenie z zamówień publicznych.

Adres listy: https://www.gov.pl/web/mswia/lista-osob-i-podmiotow-objetych-sankcjami

Strona jest publiczna, lista dostępna jako HTML oraz PDF z numerami decyzji. Aktualizacje pojawiają się nieregularnie, czasem co tydzień, czasem co miesiąc. Każdy wpis to osobna decyzja ministra opublikowana w Monitorze Sądowym i Gospodarczym.

Czemu istnieje obok listy UE

Bo lista UE wymaga konsensusu 27 państw. To bywa wolne. Polska — jako państwo frontowe — dostała w 2022 roku narzędzie, żeby działać samodzielnie i szybciej niż Bruksela. Stąd MSWiA dopisuje podmioty, których jeszcze nie ma na liście UE.

Część wpisów MSWiA później trafia na listę UE. Część zostaje wyłącznie krajowa. To ważne, bo jako polska firma odpowiadasz za naruszenie obu list — także tej, która istnieje tylko w Polsce.

Sankcje finansowe vs administracyjne

Lista MSWiA to nie tylko zamrożenie środków. Wpis pociąga też za sobą:

• wykluczenie z postępowań o zamówienie publiczne,
• zakaz korzystania z funduszy europejskich,
• możliwość przymusowej likwidacji spółki podmiotu objętego sankcją,
• przejęcie zarządu nad majątkiem.

To są instrumenty mocniejsze niż UE — UE zna zamrożenie, ale nie zna zarządu komisarycznego ani przymusowej likwidacji firmy. Polska prawo idzie dalej.

Lista UK (OFSI / HMT) — kiedy ma znaczenie

Brexit oddzielił brytyjski reżim sankcyjny od unijnego. Wielka Brytania prowadzi własną listę przez OFSI (Office of Financial Sanctions Implementation) przy HM Treasury. Jest duża i często rozjeżdża się z listą UE — UK wpisuje rosyjskich oligarchów, których UE pominęła, i odwrotnie.

Adres: https://www.gov.uk/government/publications/the-uk-sanctions-list

Dla polskiej firmy lista UK ma znaczenie, jeśli:

• masz oddział, spółkę lub klientów w UK,
• rozliczasz się w GBP,
• masz kontrakty z brytyjską klauzulą sankcyjną.

Jeśli nie masz nic z UK — pomiń. Nie ma sensu sprawdzać każdej listy świata, jak nie masz żadnego punktu styku.

Tabela porównawcza

W praktyce, dla większości polskich MŚP minimalna konfiguracja to UE + MSWiA. Jeśli rozliczasz się w USD lub masz amerykańskiego partnera — dodaj OFAC. Jeśli masz cokolwiek z UK — dodaj OFSI. ONZ siedzi w UE, nie musisz sprawdzać osobno.

Co konkretnie zrobić w Twojej firmie

1. Wyznacz osobę odpowiedzialną. To nie musi być prawnik. W MŚP najczęściej zostaje to na compliance officerze, dyrektorze finansowym albo właścicielu. Ważne, żeby było wiadomo, kto.
2. Ustal swój zakres list. UE i MSWiA — zawsze. OFAC — jeśli USD lub US nexus. OFSI — jeśli UK nexus. Inne — tylko po analizie.
3. Wybierz źródło danych. Albo pobierasz z oficjalnych źródeł ręcznie (pracochłonne, ryzyko ludzkiego błędu), albo używasz narzędzia, które robi to automatycznie. Excel jako bazę odradzamy — pisaliśmy o tym osobno.
4. Ustal częstotliwość sprawdzania. Minimum: każdorazowo przy nowym kliencie, każdorazowo przy nowej transakcji znaczącej. Standardowo: pełny przegląd bazy klientów raz w miesiącu. Aktualizacja samych list — minimum raz w tygodniu.
5. Zapisuj każde sprawdzenie. Brak dokumentacji = brak dowodu, że dochowałeś staranności. Kontrola Cię przyjdzie i zapyta „kiedy ostatnio sprawdzaliście pana Iwanowa" — musisz mieć datę, godzinę, wynik.
6. Ustal procedurę na hit. Co robisz, jak dostajesz POSSIBLE / MATCH? Kogo zawiadamiasz? Kiedy zamrażasz? Procedurę spisz raz, używaj wielokrotnie.
7. Aktualizuj się prawnie. UE wydaje pakiety. MSWiA dopisuje. Duża ustawa sankcyjna (UC92) wejdzie w życie i zmieni reguły. Ktoś w firmie musi czytać Dziennik Urzędowy UE i Monitor Sądowy i Gospodarczy — albo subskrybować newsletter, który to za niego robi.

W osobnym artykule omawiamy procedurę sanction screening krok po kroku — w tym wzór polityki sankcyjnej i wzór rejestru trafień.

Co ryzykujesz, jeśli tego nie zrobisz

Trzy poziomy ryzyka, w kolejności rosnącej.

Po pierwsze, kara administracyjna. Ustawa z 13 kwietnia 2022 r. przewiduje karę pieniężną do 20 mln zł za naruszenie obowiązków wynikających z rozporządzeń UE i z samej ustawy. Nakłada ją w drodze decyzji administracyjnej Szef KAS lub minister spraw wewnętrznych — w zależności od podstawy. Decyzja jest natychmiast wykonalna. Odwołanie nie wstrzymuje wykonania.

Po drugie, odpowiedzialność karna po wejściu UC92. Dyrektywa (UE) 2024/1226 zobowiązuje państwa członkowskie do kryminalizacji naruszeń sankcji. W Polsce projekt ustawy wykonawczej oznaczony jako UC92 zakłada karę pozbawienia wolności (widełki w trakcie prac legislacyjnych) oraz odpowiedzialność członków zarządu osobiście. Po wejściu w życie naruszenie sankcji przestanie być sprawą administracyjną, a stanie się sprawą karną. Termin transpozycji dyrektywy mija dla państw członkowskich w 2025 r.

Po trzecie, ryzyko biznesowe. Bank zamraża Twój rachunek na czas wyjaśnień, partner amerykański zrywa kontrakt, polski klient instytucjonalny wyklucza Cię z postępowania o zamówienie publiczne, ubezpieczyciel nie chce wystawić polisy. To dzieje się szybciej niż jakakolwiek kara administracyjna i często boli mocniej.

W osobnym artykule omawiamy szczegółowo kary i kejsy nałożone w UE w 2024–2026 r.

Jak Sanqto może pomóc

Sanqto to oprogramowanie do sanction screening dla firm spoza sektora finansowego. Konsoliduje listę UE, ONZ, OFAC SDN, MSWiA i OFSI w jedną bazę, aktualizuje ją automatycznie, działa on-premise (dane Twoich klientów nie opuszczają Twojej infrastruktury — to istotne dla RODO) i daje wynik w trzech stanach: MATCH, POSSIBLE, CLEAR. Sub-30 ms na zapytanie. Plus pakiet dokumentów wdrożeniowych — polityka sankcyjna, instrukcja stanowiskowa, rejestr trafień — żeby nie zaczynać od pustej kartki.

Jeśli Twoja firma działa w branży, którą obsługujemy, sprawdź konkretne wytyczne: biura podróży, biura nieruchomości, agencje ubezpieczeniowe. Jeśli nie znajdziesz swojej — odezwij się, prawdopodobnie i tak Cię obsługujemy, po prostu jeszcze nie zrobiliśmy landingu.

Podstawa prawna

• Rozporządzenie Rady (UE) nr 269/2014 z 17 marca 2014 r. — CELEX 32014R0269
• Rozporządzenie Rady (UE) nr 833/2014 z 31 lipca 2014 r. — CELEX 32014R0833
• Rozporządzenie Rady (WE) nr 765/2006 z 18 maja 2006 r. (Białoruś) — CELEX 32006R0765
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1226 z 24 kwietnia 2024 r. — CELEX 32024L1226
• Ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835) — ISAP
• Lista osób i podmiotów objętych sankcjami (MSWiA) — gov.pl
• EU Financial Sanctions Files — webgate.ec.europa.eu/fsd/fsf
• OFAC SDN List — ofac.treasury.gov
• UN Security Council Consolidated List — un.org/securitycouncil
• UK Sanctions List (OFSI / HM Treasury) — gov.uk

Informacja, nie porada prawna. Niniejszy artykuł ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej. Stan prawny na dzień: 17 maja 2026. Konkretne obowiązki Twojej firmy zależą od profilu działalności i wymagają indywidualnej oceny — w razie wątpliwości skonsultuj się z prawnikiem lub doradcą compliance.