Listy sankcyjne — codzienna higiena AML, której nikt nie chce robić

To jedenasty wpis z naszego cyklu o AML 2026. Po pakiecie sankcji wprowadzonych przez UE w 2022 r. po inwazji Rosji na Ukrainę screening sankcyjny przestał być abstrakcyjnym wymogiem dla wąskiej grupy banków obsługujących transakcje zagraniczne — stał się obowiązkiem każdej instytucji obowiązanej, która ma jakichkolwiek klientów lub kontrahentów. W tym artykule porządkujemy: jakie listy sankcyjne istnieją, kogo i jak weryfikować, jak postępować przy częściowym dopasowaniu i jakie kary grożą za naruszenie. Mapping na ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j., dalej: ustawa AML) — głównie art. 117–125, oraz na rozporządzenia unijne i ustawę z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę.

Czym są „szczególne środki ograniczające” w polskim prawie?

Art. 117 ust. 1 ustawy AML wymaga, żeby instytucje obowiązane stosowały szczególne środki ograniczające wobec osób i podmiotów wskazanych na listach z art. 118. Środki ograniczające polegają na:

• Zamrożeniu wartości majątkowych będących własnością, posiadanych lub kontrolowanych przez osobę / podmiot na liście (art. 117 ust. 2 pkt 1).
• Nieudostępnianiu wartości majątkowych, bezpośrednio lub pośrednio (art. 117 ust. 2 pkt 2).

To dwie strony jednego mechanizmu: nie tylko nie wykonujemy nowych transakcji, ale też zamrażamy istniejące salda i aktywa.

Jakie listy musi monitorować polska instytucja obowiązana?

Art. 118 ust. 1 ustawy AML wymienia trzy źródła list, na podstawie których stosujemy środki ograniczające:

• Listy ONZ ogłaszane przez Radę Bezpieczeństwa na podstawie rozdziału VII Karty NZ (m.in. terroryzm, państwa objęte sankcjami, broń masowego rażenia).
• Listy UE wynikające z aktów prawnych Unii Europejskiej (m.in. rozporządzenia Rady wprowadzające środki ograniczające na podstawie art. 215 TFUE).
• Krajowa lista AML prowadzona przez Generalnego Inspektora Informacji Finansowej na podstawie art. 120 ustawy.

W praktyce, dla pełnego compliance, polska instytucja obowiązana monitoruje co najmniej:

• EU Consolidated Sanctions List — łączna lista UE publikowana przez Komisję Europejską.
• UN Consolidated List — lista ONZ.
• Krajowa lista AML prowadzona przez GIIF.
• Krajowa lista sankcyjna MSWiA — wprowadzona ustawą z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę. Lista publikowana w Biuletynie Informacji Publicznej Ministra Spraw Wewnętrznych i Administracji.

Oprócz tego, w zależności od profilu działalności, warto monitorować:

• OFAC SDN List (US Department of the Treasury) — szczególnie istotna dla instytucji obsługujących transakcje USD lub klientów amerykańskich.
• HM Treasury Consolidated List (Wielka Brytania) — analogicznie dla GBP.
• Listy specjalistyczne — np. lista Komisji Europejskiej państw trzecich wysokiego ryzyka AML (rozporządzenie delegowane 2016/1675), lista FATF jurysdykcji „szarej” i „czarnej”.

Polska lista sankcyjna — kto ją prowadzi?

Trzeba rozróżnić dwie krajowe listy:

• Krajowa lista AML — prowadzona przez Generalnego Inspektora na podstawie art. 120 ustawy AML. Wpisuje się na nią osoby i podmioty rekomendowane przez Komitet Bezpieczeństwa Finansowego (art. 121–122). Lista jest jawna.
• Krajowa lista sankcyjna „rosyjska” — wprowadzona ustawą z 13 kwietnia 2022 r. (Dz.U. 2022 poz. 835 z późn. zm.) jako odpowiedź Polski na wojnę. Listę prowadzi minister właściwy do spraw wewnętrznych. Sankcje obejmują m.in. zamrożenie funduszy i zasobów gospodarczych, zakaz wjazdu, wykluczenie z postępowań o zamówienia publiczne.

W naszej praktyce widzimy, że wiele instytucji nadal nie monitoruje krajowej listy sankcyjnej MSWiA — co przy szerokim zakresie sankcji rosyjskich wprowadzonych w 2022–2024 r. jest istotnym ryzykiem.

Czy wszystkie instytucje muszą weryfikować wobec wszystkich list?

Wymóg z art. 117–119 ustawy AML i z rozporządzeń unijnych ma charakter bezwzględny — żadna instytucja obowiązana nie jest zwolniona z monitorowania list sankcyjnych UE i ONZ. Krajowe listy MSWiA i listy GIIF mają zastosowanie do każdego podmiotu, który mieści się w zakresie tych przepisów.

W praktyce zakres monitorowania zależy od profilu:

• Bank obsługujący klientów międzynarodowych — pełen pakiet (UN, UE, krajowa, OFAC, HMT + listy EU PEP).
• Polski fintech obsługujący tylko klientów krajowych — co najmniej UN + UE + krajowa AML + krajowa MSWiA.
• Mała instytucja bez transgraniczności — minimum UN + UE + krajowa AML + krajowa MSWiA.

Kiedy weryfikować — częstotliwość screeningu

Art. 117–119 nie wskazują wprost częstotliwości screeningu. Standardem rynkowym, zgodnym z wytycznymi EBA i FATF, jest:

• Screening on-boardingowy — przy każdym nowym kliencie i każdym beneficjencie rzeczywistym, przed nawiązaniem stosunków gospodarczych.
• Screening transakcyjny w czasie rzeczywistym — każda strona transakcji weryfikowana przed wykonaniem (zwłaszcza dla transferów wychodzących). Niemożliwe ręcznie — wymaga systemu sankcyjnego zintegrowanego z silnikiem płatniczym (zob. monitoring transakcji).
• Re-screening cykliczny — całej bazy klientów, najczęściej codziennie (po nowych aktualizacjach list) albo co najmniej co tydzień.
• Re-screening po zmianach — przy każdej aktualizacji list (w 2022–2024 r. kilkanaście pakietów sankcji UE wymagało natychmiastowych re-screeningów).

W naszej praktyce widzimy, że dziennikowy re-screening pełnej bazy jest standardem już w średnich fintechach. Tygodniowy zaczyna być uznawany za niewystarczający.

Częściowe dopasowanie — co robić?

Częściowe dopasowanie (partial match, fuzzy match) to sytuacja, w której system sankcyjny generuje alert wskazujący, że dane klienta są podobne, ale nie identyczne, do osoby z listy. Może być to:

• Ten sam imię i nazwisko, ale różny PESEL lub data urodzenia.
• Bardzo podobna nazwa firmy.
• Ten sam imię i nazwisko, ale w innym kraju.

Co zrobić?

• Zatrzymujemy transakcję / on-boarding do momentu rozstrzygnięcia.
• Pogłębiamy KYC — dodatkowe dokumenty potwierdzające lub wykluczające tożsamość z osobą sankcjonowaną; w razie potrzeby uruchamiamy EDD.
• Konsultujemy z GIIF — jeżeli mamy uzasadnione wątpliwości, można zapytać. Z naszej praktyki to w skomplikowanych przypadkach najlepsza droga.
• Dokumentujemy decyzję — niezależnie od wyniku (true match / false positive), w aktach klienta musi być uzasadnienie.

Nigdy nie kontynuujemy relacji „bo system pewnie się pomylił” bez własnej weryfikacji.

True match — co dalej?

Jeśli weryfikacja potwierdzi, że klient lub strona transakcji jest na liście sankcyjnej:

• Zamrażamy wartości majątkowe (art. 119 ust. 1 ustawy AML lub bezpośrednio z rozporządzenia UE).
• Nie udostępniamy ich klientowi.
• Niezwłocznie, nie później niż w terminie określonym w art. 119 ust. 2 (zwykle natychmiast lub w ciągu 24 godzin), zawiadamiamy GIIF o zamrożeniu, wraz z wszystkimi posiadanymi informacjami.
• Dokumentujemy wszystkie operacje.
• Nie informujemy klienta o przyczynie blokady — analogicznie do zakazu tipowania z art. 54 (chociaż przepis różni się od mechaniki AML, zasada „nie ujawniamy” obowiązuje).

W przypadku sankcji rosyjskich (lista MSWiA) procedurę określa ustawa z 13 kwietnia 2022 r. — zawiadomienia przekazujemy do MSWiA i jednocześnie do GIIF.

Konsekwencje naruszenia

Naruszenie obowiązków sankcyjnych może skutkować:

• Karami administracyjnymi z art. 147–157 ustawy AML — do 5 mln EUR lub 10% przychodów (osoba prawna), do 1 mln EUR (osoba fizyczna).
• Karami z ustawy z 13 kwietnia 2022 r. — m.in. kara pieniężna do 20 mln zł, możliwość unieważnienia transakcji, wpis do rejestru naruszeń.
• Odpowiedzialnością karną — art. 14 ustawy z 13 kwietnia 2022 r. wprowadza karę pozbawienia wolności na czas nie krótszy od 3 lat za naruszenie sankcji.
• Sankcjami reputacyjnymi — szczególnie istotne w sektorze finansowym, gdzie listy „banks doing business with sanctioned entities” są regularnie publikowane przez NGO i media.

Najczęstsze błędy w screeningu sankcyjnym — z naszej praktyki

• Pomijanie krajowej listy sankcyjnej MSWiA. Instytucje monitorują UE i ONZ, ale zapominają o liście „rosyjskiej” z 2022 r.
• Brak re-screeningu cyklicznego. Klient zweryfikowany na on-boardingu nie jest sprawdzany ponownie po wprowadzeniu nowych pakietów sankcji.
• Częściowe dopasowanie ignorowane. Analityk zamyka alert „false positive” bez udokumentowania uzasadnienia.
• Brak screeningu beneficjenta rzeczywistego. Sprawdza się tylko klienta, nie BR — a sankcje obejmują również osoby kontrolowane przez podmioty sankcjonowane.
• Brak procedury zamrożenia. Wykrywamy match, ale nie wiemy, jak technicznie zamrozić aktywa w naszym systemie.
• Brak komunikacji z MSWiA dla list rosyjskich. Zawiadamianie GIIF, ale nie MSWiA.

W kolejnym wpisie cyklu — „AML vs RODO” — pokazujemy, jak pogodzić obowiązek przetwarzania danych klientów dla celów AML z restrykcjami RODO; gdzie ryzyko jest największe i jakie stanowiska zajmują UODO oraz GIIF.

Źródła i podstawy prawne

• Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 117–125 — Dz.U. 2025 poz. 644 t.j.
• Ustawa z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę — Dz.U. 2022 poz. 835 ze zm.
• EU Consolidated Sanctions List (Komisja Europejska).
• UN Consolidated Sanctions List (Rada Bezpieczeństwa ONZ).
• Krajowa lista sankcyjna MSWiA (gov.pl/mswia).
• Krajowa lista AML prowadzona przez GIIF (gov.pl/finanse).
• OFAC SDN List (US Treasury) i HM Treasury UK Consolidated List.

Co dalej w cyklu?

• 12. AML vs RODO — jak pogodzić dwa pozornie sprzeczne reżimy
• 13. Outsourcing AML i nadzór nad agentami
• 14. Travel Rule (TFR) i kryptoaktywa
• 15. Kary, kontrole i odpowiedzialność osobista zarządu