Калифорнийский производитель гитар, продающий инструменты через интернет, недавно выплатил 41 591 доллар США для урегулирования претензий OFAC. Предусмотренный законом максимум, который ему грозил? 3 313 224 доллара США — примерно в восемьдесят раз больше. Разница свелась к одному решению: компания добровольно раскрыла информацию о нарушениях до того, как их обнаружили регулирующие органы.
Это соотношение — вся суть правоприменения в области санкций в 2026 году. Управление по контролю за иностранными активами (OFAC) Министерства финансов США больше не преследует только банки с Уолл-стрит. Инвесторы в недвижимость, финтех-стартапы, продавцы электронной коммерции, импортеры музыкальных инструментов и поставщики криптокошельков — все они пополнили список правоприменительных действий за последние восемнадцать месяцев. Максимальный гражданский штраф в соответствии с Законом о международных чрезвычайных экономических полномочиях (IEEPA) теперь составляет 377 700 долларов США за каждое нарушение или удвоенную стоимость транзакции, в зависимости от того, что больше, и OFAC применяет принцип объективной ответственности, что означает, что наличие умысла не требуется.
Если у вашего бизнеса есть клиенты, поставщики или контрагенты по платежам за пределами Соединенных Штатов — или даже внутри них — вы уже подвержены риску. Вот как выглядит эффективная программа OFAC для компании, у которой нет выделенного отдела комплаенса.
Почему малый бизнес внезапно оказался в поле зрения OFAC
На протяжении большей части истории OFAC правоприменение было сосредоточено на банках. Все изменилось за последние пять лет. Агентство открыто заявило, что правоприменение будет «отходить от традиционного банковского дела в сторону новых секторов с высоким риском, таких как финтех и криптовалюта», и недавние действия подтверждают это:
- Exodus Movement (криптокошелек): более 254 предполагаемых нарушений Правил по транзакциям и санкциям в отношении Ирана, включая 12 вопиющих случаев, о которых не было заявлено добровольно.
- Poloniex: урегулирование на сумму 7,6 млн долларов США.
- Payoneer: урегулирование на сумму 1,5 млн долларов США.
- BitPay: урегулирование на сумму 507 375 долларов США.
- Kraken: урегулирование на сумму 362 158 долларов США.
- Частный инвестор в недвижимость: гражданский штраф в размере 4,7 млн долларов США.
- С начала 2026 года только по трем опубликованным делам: 6 607 661 доллар США.
Закономерность очевидна. Любой бизнес, который имеет дело с деньгами, товарами или услугами через границы — или даже владеет веб-сайтом, за услуги которого может заплатить лицо, находящееся под санкциями, — нуждается в программе соблюдения санкций. Сюда входят магазины Shopify, SaaS-компании, выставляющие счета международным клиентам, фриланс-биржи, платежные системы, криптобиржи, фирмы по операциям с недвижимостью, собирающие арендную плату с иностранных владельцев, и бухгалтерские фирмы, принимающие на обслуживание клиентов с офшорными активами.
Что на самом деле ограничивает OFAC
OFAC управляет более чем тридцатью различными санкционными программами. Их можно разделить на две широкие категории.
Всеобъемлющие эмбарго (полный запрет на работу со страной)
По состоянию на 2026 год четыре страны сталкиваются с почти полным запретом на торговлю, финансовые операции и услуги с участием лиц из США:
- Куба
- Иран
- Северная Корея (КНДР)
- Сирия
Оккупированные украинские регионы Крыма, Донецка и Луганска также подпадают под действие всеобъемлющих санкций. Для ведения бизнеса в этих юрисдикциях или с ними требуется специальная лицензия OFAC — в противном случае вы нарушаете закон.
Адресные и секторальные санкции
Россия является страной с самым большим количеством санкций в мире на сегодняшний день, но она не находится под всеобъемлющим эмбарго. Вместо этого OFAC ввело многоуровневые адресные запреты в энергетическом, финансовом, оборонном и технологическом секторах, а также внесло в списки тысячи физических и юридических лиц. В отношении Венесуэлы, Беларуси и Мьянмы также действуют значительные адресные режимы.
В дополнение к страновым программам OFAC ведет списочные санкции, направленные против торговцев наркотиками, террористов, нарушителей прав человека, киберпреступников и коррумпированных иностранных чиновников, независимо от их гражданства.
Санкционные списки, по которым действительно нужно проводить проверку
Утверждение «мы проверяем список SDN» — самая распространенная ошибка комплаенса, ведущая к провалу. OFAC публикует несколько списков, и пропуск любого из них — это путь к накоплению штрафов.
| Список | Что он охватывает | Когда необходимо блокировать |
|---|---|---|
| Specially Designated Nationals (SDN) List | Физические и юридические лица, суда и самолеты. Имущество лиц из списка SDN должно быть заблокировано. | Всегда |
| Consolidated Sanctions List | Мастер-файл, объединяющий все списки, не входящие в SDN | Всегда |
| Sectoral Sanctions Identifications (SSI) List | Объекты в российском энергетическом, финансовом и оборонном секторах | Зависит от директивы |
| Foreign Sanctions Evaders (FSE) List | Лица, помогающие уклоняться от санкций США | Всегда |
| Non-SDN Menu-Based Sanctions (NS-MBS) List | Адресные меры, часто в рамках CAATSA | В соответствии с примененным пунктом меню |
| Palestinian Legislative Council (NS-PLC) List | Члены ПЗС, участвовавшие в выборах | Всегда для блокировки |
Вы можете бесплатно проверить контрагента по всем этим спискам с помощью инструмента OFAC Sanctions List Search (sanctionssearch.ofac.treasury.gov), но этот бесплатный инструмент предназначен для разовых запросов, а не для массовой проверки. В рабочих средах используются коммерческие провайдеры скрининга, автоматизированные API или внутренние инструменты, которые поглощают ежедневные файлы обновлений (delta files), публикуемые OFAC.
Правило 50 процентов: почему проверки имен недостаточно
Вот правило, которое застает врасплох почти каждое предприятие:
Любое юридическое лицо, принадлежащее на 50% или более — напрямую, косвенно или в совокупности — одному или нескольким заблокированным лицам, само считается заблокированным, даже если оно не указано ни в одном списке OFAC.
Здесь важны два момента:
- Агрегирование долей нескольких лиц из списка SDN учитывается. Если лицо из списка SDN А владеет 30% холдинга на Каймановых островах, а лицо из списка SDN Б владеет 25%, этот холдинг блокируется — даже если ни один из владельцев не достигает 50% индивидуально.
- Косвенное владение учитывается. Если подсанкционное лицо владеет 60% доли в материнской компании, которая в свою очередь владеет 60% дочерней компании, дочерняя компания считается заблокированной, несмотря на то что прямой математический расчет (60% × 60% = 36%) предполагает иное. OFAC рассматривает материнскую компанию как полностью заблокированную, что означает передачу полного контроля над дочерней компанией по цепочке владения.
Это правило объясняет, почему простая проверка имен не работает. Поставщик с названием «Atlas Logistics LLC» может не значиться в списке SDN. Но если его конечными бенефициарными владельцами являются подсанкционные российские олигархи, владеющие в совокупности 51% через три уровня подставных компаний, вы нарушите закон США о санкциях, оплатив их счет.
Практические рекомендации для малого бизнеса:
- Требуйте раскрытия бенефициарного владения от поставщиков и крупных клиентов, в идеале подкрепленного сертификатом UBO (конечного бенефициарного владельца).
- Используйте сервисы проверки, которые анализируют структуру владения, а не только имена.
- Для контрагентов в юрисдикциях с высоким риском (Британские Виргинские острова, Каймановы острова, ОАЭ, Кипр, Гонконг, Россия, трансграничные структуры Китай-Гонконг) запрашивайте выписки из торговых реестров вплоть до уровня физических лиц.
- Проводите повторные проверки периодически, а не только при начале сотрудничества — OFAC добавляет новых лиц в список SDN каждую неделю.
Пять столпов OFAC: как должна выглядеть программа комплаенса
Министерство финансов опубликовало документ Framework for OFAC Compliance Commitments («Основы обязательств по соблюдению требований OFAC»), чтобы разъяснить, что именно включает в себя «эффективная» программа соблюдения санкций (SCP). Она состоит из пяти компонентов, и OFAC явно учитывает каждый из них при расчете штрафов.
1. Обязательства руководства
Высшее руководство должно утвердить программу и выделить на нее ресурсы. Для небольшой компании это означает, что основатель, генеральный или финансовый директор подписывает письменную политику, назначает ответственного за комплаенс и как минимум ежегодно проверяет эффективность программы. Формального одобрения недостаточно; OFAC ожидает доказательств реальной вовлеченности лидеров.
2. Оценка рисков
Задокументируйте конкретные риски OFAC, с которыми сталкивается ваш бизнес. SaaS-компания, продающая услуги по всему миру, имеет иные риски, чем внутренняя риелторская фирма или оператор трансграничных платежей. Оценка должна охватывать:
- Клиентскую базу — географию, отрасли, модели бенефициарного владения.
- Продукты и услуги — всё, что направляется через границу или номинировано не в долларах США.
- Каналы сбыта — прямые продажи, маркетплейсы, сторонние реселлеры, аффилиаты.
- Географическое присутствие — юрисдикции, в которых работают клиенты, поставщики, сотрудники или контрагенты.
- Партнеров и посредников — агентов, брокеров, платежные системы.
Обновляйте оценку при изменении бизнес-модели — выходе на новый рынок, внедрении нового способа оплаты или приобретении новых активов.
3. Внутренний контроль
На этом этапе программа становится операционной. Внутренний контроль включает:
- Письменные политики и процедуры.
- Задокументированный рабочий процесс проверки (когда проводить проверку, по каким спискам, какие пороги срабатывания, кто проверяет совпадения).
- Четкие пути эскалации при обнаружении потенциального совпадения.
- Ведение учета — OFAC требует хранить записи о транзакциях и проверках в течение пяти лет для заблокированных или отклоненных операций.
- Механизм блокировки — банковские счета, на которых можно изолировать средства, или системы заказов, способные заморозить выполнение.
- Рабочие процессы для подачи обязательной отчетности (ежегодные отчеты о заблокированном имуществе до 30 сентября, первичные отчеты о заблокированных или отклоненных транзакциях в течение десяти рабочих дней).
4. Тестирование и аудит
Независимое тестирование подтверждает, что программа действительно работает. Для небольшой компании это может быть ежеквартальная самопроверка (запуск вымышленных имен из списка SDN через ваш инструмент проверки) плюс ежегодный внешний аудит. Результаты должны быть задокументированы, а выявленные недостатки — устранены.
5. Обучение
Все сотрудники, чьи роли связаны с санкционными рисками, должны пройти обучение: отделы продаж, отделы по работе с клиентами, финансы, бухгалтерия (AR/AP), отделы закупок и инженерные команды, создающие логику проверки. OFAC ожидает проведения обучения как минимум ежегодно, а также специализированного обучения при запуске новых программ или вступлении в силу новых санкционных режимов.
Если вы нашли совпадение: решение о блокировке или отклонении
Обнаружение явного совпадения в ходе проверки влечет за собой строгий ряд обязательств.
Шаг 1: Подтвердите совпадение. Ложноположительные результаты случаются часто — «John Smith» или «Vladimir Petrov» могут дать множество совпадений. Используйте дату рождения, адрес, номер паспорта, место ведения бизнеса и любые другие идентифицирующие данные, публикуемые OFAC.
Шаг 2: Если совпадение подтверждено, решите — блокировать или отклонить.
- Блокируйте (Block), когда цель числится в списке SDN или принадлежит SDN на 50% и более. Вы должны заморозить имущество/средства на отдельном процентном счете и отчитаться в течение десяти рабочих дней.
- Отклоняйте (Reject), когда транзакция запрещена, но имущество SDN не задействовано (например, нелицензированная транзакция с Ираном, по которой еще не были отправлены деньги). Вы отказываетесь от обработки и отчитываетесь в течение десяти рабочих дней.
Шаг 3: Подайте отчеты. Первичные отчеты о заблокированных или отклоненных транзакциях направляются в OFAC через портал OFAC Reporting and License Application Forms. Ежегодные отчеты о заблокированном имуществе должны быть поданы до 30 сентября каждого года. Непредставление отчета само по себе является отдельным нарушением.
Шаг 4: При необходимости подайте заявку на лицензию. Многие транзакции, которые в противном случае были бы запрещены, могут быть разрешены на основании специальной или генеральной лицензии — гуманитарные товары, определенные личные денежные переводы, экспорт сельскохозяйственной и медицинской продукции, журналистская деятельность, услуги интернет-связи.
Решение о добровольном сообщении о нарушении
Когда вы обнаруживаете, что нарушение уже произошло — платеж прошел подсанкционному контрагенту до того, как проверка его выявила, груз отправился в заблокированную юрисдикцию, клиент, принадлежащий лицу из списка SDN, был принят на обслуживание по ошибке — вы сталкиваетесь с самым важным решением в сфере соблюдения требований OFAC.
Сообщать или нет?
Что дает добровольное сообщение о нарушении (VSD)
Согласно Руководству OFAC по обеспечению соблюдения экономических санкций (31 CFR Part 501, Appendix A), соответствующее требованиям VSD:
- Снижает расчет базового штрафа на 50 процентов как в вопиющих, так и в невопиющих случаях.
- В невопиющих случаях ограничивает базовую сумму половиной стоимости транзакции с потолком в 188 850 долларов за каждое нарушение.
- Считается основным смягчающим фактором при окончательном определении штрафа OFAC.
В сочетании с другими смягчающими факторами — надежной программой комплаенса, мерами по исправлению ситуации, сотрудничеством — итоговое соглашение может оказаться на порядок ниже установленного законом максимума. Показательным является дело Córdoba Music Group (установленный законом максимум — 3,3 млн долларов, сумма мирового соглашения — 41 591 доллар).
Что на самом деле означает «добровольное»
Сообщение считается «добровольным» только в том случае, если оно инициировано самостоятельно и сделано до того, как OFAC или другое федеральное, государственное или местное агентство обнаружит очевидное нарушение или «существенно похожее» на него. Если банк контрагента уже подал отчет о подозрительной деятельности (SAR), в котором упоминается ваша транзакция, ваше сообщение может не соответствовать требованиям. Если конкурент или осведомитель уже сообщил о вас, оно не будет считаться добровольным.
Вот почему скорость имеет значение. Как только вы заподозрите нарушение, время пошло.
Новый портал VSD 2026 года
В феврале 2026 года OFAC запустило онлайн-портал для добровольного сообщения о нарушениях по адресу disclosure.ofac.treasury.gov. Он заменяет разрозненную систему подачи заявок по электронной почте и факсу, которая доминировала десятилетиями. Портал предлагает более безопасный канал, структурированные поля и подтверждение получения, но существенные правила не изменились:
- Первоначальное уведомление кратко описывает то, что произошло.
- Подробный последующий отчет должен быть представлен в течение 180 дней, охватывая первопричину, масштаб, меры по исправлению ситуации и вовлеченный персонал.
Компаниям по-прежнему необходимо привлекать юристов до подачи первоначальной заявки. Портал не меняет юридических ставок; он просто меняет способ взаимодействия.
Математика штрафов: Каковы ваши реальные риски
В соответствии с IEEPA (законом, регулирующим большинство современных санкционных программ), гражданские штрафы за одно нарушение в 2026 году составляют:
- Установленный законом максимум: 377 700 долларов (ежегодно корректируется с учетом инфляции).
- Или двойная стоимость транзакции, в зависимости от того, что больше.
Каждая транзакция может рассматриваться как отдельное нарушение. Один клиент, разместивший сорок заказов за два года, представляет собой сорок нарушений.
Расчет штрафа OFAC проходит в три этапа:
- Базовая сумма — зависит от того, является ли случай вопиющим, применялось ли VSD, и от стоимости транзакции (установленная законом сетка).
- Корректировки — с учетом отягчающих факторов (умысел, осведомленность, ущерб целям программы санкций, статус опытного участника рынка, отсутствие программы комплаенса) и смягчающих факторов (сотрудничество, исправительные действия, первое нарушение, малый размер организации, финансовое состояние).
- Окончательный предлагаемый штраф — указывается в Уведомлении о наложении предварительного штрафа (Pre-Penalty Notice), которое субъект может оспорить.
Уголовная ответственность накладывается дополнительно за умышленные нарушения: до 1 миллиона долларов за каждое нарушение и до двадцати лет лишения свободы для физических лиц.
Практический чек-лист по комплаенсу для малого бизнеса
Используйте это как отправную точку. Это не заменяет юридическую консультацию, но охватывает то, на что агентство неоднократно обращало внимание в опубликованных результатах правоприменительной практики.
Основы
- Письменная политика соблюдения санкций, подписанная высшим руководством.
- Назначенное ответственное лицо за комплаенс (это может быть основатель или финансовый директор; не оставляйте эту роль вакантной).
- Документированная оценка рисков, обновляемая при существенных изменениях в бизнесе.
- Инвентаризация всех санкционных юрисдикций и лиц, имеющих отношение к вашему бизнесу.
Скрининг
- Все клиенты, поставщики, получатели платежей и контрагенты проверяются при приеме на обслуживание (onboarding).
- Ежедневная или еженедельная повторная проверка по обновленным спискам SDN/Consolidated/SSI.
- Требование раскрытия бенефициарного владения для контрагентов с высоким уровнем риска.
- Документированная процедура оценки потенциальных совпадений (ложноположительные против истинно положительных результатов).
- Геолокация/IP-фильтрация для известных эмбарго-юрисдикций на веб-платформах.
Транзакции
- Дерево принятия решений «блокировать или отклонить» с четкими полномочиями по остановке выполнения заказов.
- Сегрегированный процентный счет, готовый для любых заблокированных средств.
- Процесс подачи заявки на лицензию OFAC для транзакций, которые могут под нее подпадать.
Ведение учета и отчетность
- Хранение записей о скрининге и транзакциях в течение пяти лет.
- Первоначальные отчеты о заблокированных/отклоненных транзакциях подаются в течение десяти рабочих дней.
- Ежегодные отчеты о заблокированном имуществе подаются до 30 сентября.
- Аудиторский след для каждого совпадения при скрининге и принятого решения.
Тестирование и обучение
- Ежеквартальные самопроверки (прогон тестовых данных через инструмент скрининга).
- Ежегодная независимая проверка (внешний юрист или консультант по комплаенсу).
- Ежегодное обучение для всех соответствующих сотрудников с документированным подтверждением посещения.
Реагирование на инциденты
- Заранее определенный внешний юрист, знакомый с вопросами OFAC.
- Документированный протокол принятия решения о VSD — кто принимает решение, какие доказательства его инициируют, кто готовит заявку.
Распространенные ошибки, влекущие за собой меры принудительного исполнения
Закономерности в опубликованных штрафах OFAC почти всегда включают один или несколько из следующих пунктов:
- «Мы проверяем только список SDN». Отсутствие проверок по Сводному списку, спискам SSI, FSE или NS-MBS является частым нарушением.
- Статический скрининг. Проверки только на этапе онбординга неэффективны, так как списки SDN меняются еженедельно. Клиент, прошедший проверку в январе, может быть включен в список в июне.
- Игнорирование бенефициарного владения. Имя контрагента может быть чистым, в то время как владелец с долей 60%, находящийся на два уровня выше в структуре собственности, находится под санкциями.
- Пробелы в геофенсинге. Веб-платформа блокирует IP-адреса из Ирана, но позволяет VPN-трафику проходить беспрепятственно; OFAC упоминало это в делах против финтех-компаний.
- Отсутствие документированной процедуры для потенциальных совпадений. Сотрудники, работающие с клиентами, принимают ситуативные решения без руководства по эскалации.
- Несвоевременная подача обязательной отчетности. Даже если сама транзакция была правильно заблокирована, пропуск подачи десятидневного отчета или ежегодной отчетности до 30 сентября является отдельным нарушением.
- Недостаточное обучение. Сотрудники отдела продаж обещают услуги в юрисдикциях, находящихся под эмбарго, так как они не прошли обучение по правилам OFAC.
- Запоздалое раскрытие. Сокрытие обнаруженного нарушения до того момента, пока другое ведомство не выявит его самостоятельно, ведет к потере права на добровольное самораскрытие (VSD) и 50%-ной скидки на штраф.
Подготовьте свою финансовую отчетность к проверкам OFAC
Эффективность санкционного комплаенса напрямую зависит от документации. Каждая заблокированная транзакция, каждый отклоненный платеж, каждое решение по скринингу, каждая заявка на лицензию — OFAC может запросить любой из этих документов в течение пятилетнего аудиторского окна. Бухгалтерская система, которая скрывает эти записи за интерфейсом реестра по принципу «черного ящика», замедлит ваш ответ на судебный запрос.
Beancount.io использует противоположный подход: учет в текстовом формате (plain-text accounting), где каждая запись — это читаемая строка, каждое изменение находится под контролем версий, а каждый счет может быть помечен тегами для отслеживания трансграничной деятельности, привлекающей внимание OFAC. Когда ваш аудитор или внешний юрисконсульт, готовящий добровольное самораскрытие, запросит полную историю платежей конкретному контрагенту, вы сможете предоставить ее за считанные минуты, а не дни. Начните бесплатно и обеспечьте своим финансам ту же прозрачность, которую OFAC ожидает от вашей программы комплаенса.