Nowe obowiązki compliance sankcyjnego – obowiązują od 30 grudnia 2025 r.

Wdrożenie Wytycznych EBA dot. środków ograniczających (EBA/GL/2024/14 i EBA/GL/2024/15)oraz konsekwencje dyrektywy (UE) 2024/1226 i projektu polskiej ustawy sankcyjnej –odpowiedzialność podmiotów zbiorowych, wymóg wykazania należytej staranności i rola certyfikatu CSCE.

1.  Dlaczego to dotyczy Państwa instytucji – kontekst regulacyjny i karny

A. Wytyczne EBA w zakresie sankcji

Od 30 grudnia 2025 r. stosuje się Wytyczne EBA/GL/2024/14 oraz EBA/GL/2024/15 dotyczące wewnętrznych polityk, procedur i mechanizmów kontroli służących wdrażaniu unijnych i krajowych środków ograniczających (sankcji).

Wytyczne obejmują m.in.:

• banki i instytucje kredytowe (CRD),
• instytucje płatnicze i pieniądza elektronicznego (PSD2, EMD),
• dostawców usług płatniczych (PSP),
• dostawców usług w zakresie kryptoaktywów (CASP).

W tym zakresie, za nadzór wdrożenia Wytycznych EBA przez powyższe instytucje odpowiada Komisja Nadzoru Finansowego, która zgłosiła EBA zamiar stosowania Wytycznych.

B. Dyrektywa (UE) 2024/1226 – naruszanie i obejście sankcji jako przestępstwa

Dyrektywa (UE) 2024/1226 w sprawie przestępstw i kar za naruszenie środków ograniczających:

• harmonizuje odpowiedzialność karną za naruszenia sankcji w UE,
• wprost przewiduje możliwość odpowiedzialności osób prawnych (podmiotów zbiorowych),
• obejmuje odpowiedzialność kierownictwa,
• akcentuje konieczność istnienia skutecznych systemów compliance jako elementu oceny winy i sankcji.

W praktyce: w razie naruszenia sankcji badane będzie nie tylko „czy doszło do naruszenia”, ale czy instytucja zrobiła wszystko, czego można było racjonalnie oczekiwać, aby mu zapobiec.

C. Projekt polskiej „dużej” ustawy sankcyjnej

Projekt ustawy, która wdraża dyrektywę (UE) 2024/1226 przewiduje m.in.:

• odpowiedzialność podmiotów zbiorowych bez prejudykatu
  (bez konieczności prawomocnego skazania osoby fizycznej),
• kary pieniężne do 5% rocznego obrotu lub do 200 mln PLN,
• sankcje administracyjne i karne wobec kadry kierowniczej,
• możliwość złagodzenia lub wyłączenia odpowiedzialności, jeżeli podmiot wykaże, że:
  • wdrożył skuteczny i adekwatny system compliance,
  • dochował należytej staranności.

2. Co EBA wymaga wprost – obowiązki, które podlegają ocenie

A.  Governance i odpowiedzialność Zarządu

Organ zarządzający odpowiada za:

• zatwierdzenie strategii zgodności z sankcjami,
• nadzór nad jej wdrażaniem,
• regularną (co najmniej roczną) ocenę skuteczności polityk, procedur i mechanizmów kontroli,
• zapewnienie uruchamiania środków naprawczych w przypadku uchybień.

To element bezpośrednio istotny przy ocenie odpowiedzialności karnej kierownictwa w kontekście przyszłego zaostrzenia przepisów karnych w zakresie sankcji.

B.  Wyznaczenie senior managera ds. sankcji

Instytucja musi wyznaczyć pracownika wyższego szczebla odpowiedzialnego za compliance sankcyjny, posiadającego:

• realne kompetencje,
• odpowiednie umocowanie organizacyjne,
• dostęp do Zarządu.

Senior manager powinien odpowiadać za zgłaszanie wszelkich naruszeń środków ograniczających Komisji Nadzoru Finansowego.

C. Ocena narażenia na naruszenie sankcji (risk exposure assessment)

Ocena ryzyka:

• musi identyfikować reżimy sankcyjne mające zastosowanie,
• musi być aktualna, przeglądana co najmniej raz w roku,
• musi być aktualizowana przy nowych produktach, rynkach, klientach,
• musi opierać się na zróżnicowanych i wiarygodnych źródłach.

Brak rzetelnej oceny ryzyka znacząco utrudnia wykazanie należytej staranności w kontekście odpowiedzialności podmiotu zbiorowego i indywidualnej odpowiedzialności karnej.

Wyniki oceny narażenia na naruszenie sankcji powinny być udostępniane Komisji Nadzoru Finansowego na jej żądanie.

D. Screening, alerty i dokumentowanie decyzji

EBA wymaga m.in.:

• corocznego przeglądu skuteczności systemów screeningu,
• kalibracji (w tym fuzzy matching) opartej na ocenie ryzyka,
• udokumentowania uzasadnień kalibracji i gotowości do ich okazania organom,
• dokumentowania decyzji podejmowanych w związku z alertami.

To jeden z najbardziej „egzekwowalnych” obszarów w praktyce nadzorczej.

E. Szkolenia i obowiązek „bycia w stanie wykazać”

Instytucja musi:

• prowadzić regularne szkolenia,
• dokumentować plan szkoleniowy,
• być w stanie wykazać, że szkolenia są adekwatne i skuteczne.

Ten fragment Wytycznych EBA wprost wprowadza standard dowodowy, który – przez analogię – dotyczy całego systemu compliance sankcyjnego.

Plany szkolenia powinny być ponadto dokumentowane oraz udostępniane Komisji Nadzoru Finansowego na jej żądanie.

3. Odpowiedzialność karna i podmiotów zbiorowych – praktyczne konsekwencje

W razie naruszenia sankcji organy będą badać m.in.:

• czy instytucja miała realnie działający system,
• czy Zarząd wykonywał nadzór,
• czy istniały przeglądy i działania naprawcze,
• czy decyzje były dokumentowane,
• czy ryzyka były prawidłowo zidentyfikowane.

4. CSCE jako narzędzie wykazania należytej staranności

A. Czym jest CSCE – Certified Sanctions Compliance Entity

CSCE jest niezależnym benchmarkiem i procesem weryfikacyjnym, który:

• testuje skuteczność systemu sankcyjnego,
• identyfikuje luki,
• generuje raport i plan remediacji
• wydaje certyfikat zgodności

B. Dlaczego CSCE logicznie odpowiada na wymogi EBA oraz przepisów zaostrzających odpowiedzialność karną w zakresie naruszenia i obchodzenia sankcji

CSCE wspiera instytucję dokładnie tam, gdzie EBA i prawo karne „spotykają się”:

• skuteczność (EBA) → realne działanie systemu, nie tylko dokumenty,
• regularny przegląd (EBA) → cykliczna, zewnętrzna weryfikacja,
• udokumentowanie i wykazanie (EBA + dyrektywa karna) → raport, metodologia, dowody,
• należyta staranność (dyrektywa karna/ustawa sankcyjna) → możliwość wykazania, że instytucja działała proaktywnie i zgodnie ze standardami rynkowymi

C. Znaczenie CSCE w postępowaniach

W praktyce CSCE może:

• stanowić dowód dochowania należytej staranności,
• wspierać argumentację o adekwatności systemu compliance,
• wpływać na złagodzenie lub wyłączenie odpowiedzialności podmiotu zbiorowego i kierownictwa.

Wytyczne EBA obowiązują od 30 grudnia 2025 r., a dyrektywa (UE) 2024/1226 oraz projekt polskiej ustawy sankcyjnej istotnie zwiększają ryzyko odpowiedzialności podmiotów zbiorowych i kadry kierowniczej.

Dlatego rekomendujemy wdrożenie programu compliance sankcyjnego w standardzie „EBA-ready” oraz rozważenie certyfikacji CSCE jako narzędzia weryfikacji i wykazania należytej staranności.

Wiecej o certyfikacie: www.sanctionscertificate.eu