Beancount.io LogoBeancount.io

Дотримання санкцій OFAC для малого бізнесу: перевірка за списком SDN, правило 50% та добровільне саморозкриття

15 хв. читанняMike ThriftMike Thrift
Дотримання санкцій OFAC для малого бізнесу: перевірка за списком SDN, правило 50% та добровільне саморозкриття

Каліфорнійський виробник гітар, який продає інструменти через інтернет, нещодавно сплатив 41 591 долар США для врегулювання звинувачень OFAC. Статутний максимум, який йому загрожував? 3 313 224 долари — приблизно у вісімдесят разів більше. Різниця звелася до одного рішення: компанія добровільно розкрила порушення до того, як регулятори їх виявили.

Це співвідношення — уся суть примусового виконання санкцій у 2026 році. Управління з контролю за іноземними активами (OFAC) Міністерства фінансів США більше не переслідує лише банки з Уолл-стріт. Інвестори в нерухомість, фінтех-стартапи, продавці електронної комерції, імпортери музичних інструментів та постачальники криптогаманців — усі вони потрапили до списку правопорушників за останні вісімнадцять місяців. Максимальний цивільний штраф згідно із Законом про міжнародні надзвичайні економічні повноваження (IEEPA) зараз становить 377 700 доларів США за кожне порушення — або подвійну вартість транзакції, залежно від того, що більше, — і OFAC застосовує сувору відповідальність, що означає, що наявність умислу не є обов'язковою.

Якщо ваш бізнес має клієнтів, постачальників або контрагентів за межами Сполучених Штатів — або навіть всередині них — ви вже піддаєтеся ризику. Ось як виглядає ефективна програма OFAC для компанії, яка не має окремого відділу комплаєнсу.

Чому малий бізнес раптово опинився в полі зору OFAC

Протягом більшої частини історії OFAC правозастосування зосереджувалося на банках. Це змінилося за останні п'ять років. Агентство відкрито заявило, що примусове виконання буде "відходити від традиційного банківського сектору в бік нових високоризикованих секторів, таких як фінтех та криптовалюта", і нещодавні дії це підтверджують:

  • Exodus Movement (криптогаманець): понад 254 очевидних порушення Положень про транзакції та санкції щодо Ірану, включаючи 12 грубих порушень, які не були розкриті добровільно
  • Poloniex: врегулювання на суму 7,6 млн доларів
  • Payoneer: врегулювання на суму 1,5 млн доларів
  • BitPay: врегулювання на суму 507 375 доларів
  • Kraken: врегулювання на суму 362 158 доларів
  • Окремий інвестор у нерухомість: цивільний штраф у розмірі 4,7 млн доларів
  • 2026 рік станом на сьогодні лише за трьома опублікованими заходами примусового виконання: 6 607 661 долар

Закономірність очевидна. Будь-який бізнес, що має справу з грошима, товарами чи послугами через кордон — або навіть розміщує веб-сайт, за який може заплатити підсанкційна особа — потребує програми санкційного комплаєнсу. Сюди входять магазини Shopify, SaaS-компанії, що виставляють рахунки міжнародним клієнтам, фріланс-біржі, платіжні системи, криптобіржі, фірми з нерухомості, що збирають орендну плату з іноземних власників, та бухгалтерські фірми, що приймають клієнтів з офшорними активами.

Що насправді обмежує OFAC

OFAC керує більш ніж тридцятьма окремими санкційними програмами. Вони поділяються на дві великі категорії.

Всеосяжне ембарго (Повна заборона на країни)

Станом на 2026 рік чотири країни стикаються з майже повною забороною на торгівлю, фінансові операції та послуги з особами США:

  • Куба
  • Іран
  • Північна Корея (КНДР)
  • Сирія

Окуповані українські регіони — Крим, Донецьк та Луганськ — також підпадають під всеосяжні санкції. Ведення бізнесу в цих юрисдикціях або з ними вимагає спеціальної ліцензії OFAC — інакше ви порушуєте закон.

Цільові та секторальні санкції

Росія сьогодні є країною під найбільшою кількістю санкцій у світі, але вона не перебуває під всеосяжним ембарго. Натомість OFAC запровадив багаторівневі цільові заборони в енергетичному, фінансовому, оборонному та технологічному секторах, а також тисячі призначень для окремих осіб та організацій. Венесуела, Білорусь та М'янма також мають значні цільові режими.

На додаток до програм по країнах, OFAC веде спискові санкції, спрямовані проти торговців наркотиками, терористів, порушників прав людини, кіберзлочинців та корумпованих іноземних посадовців, незалежно від їхньої національності.

Санкційні списки, за якими ви дійсно маєте проводити перевірку

Твердження "ми перевіряємо список SDN" є найпоширенішим спрощенням у комплаєнсі — і водночас найпоширенішою помилкою. OFAC публікує кілька списків, і ігнорування хоча б одного з них призводить до накопичення штрафів.

СписокЩо охоплюєКоли потрібно блокувати
Список осіб особливих категорій і заборонених осіб (SDN)Фізичні особи, юридичні особи, судна та літальні апарати. Майно осіб зі списку SDN має бути заблоковано.Завжди
Консолідований перелік санкційОсновний файл, що об'єднує всі списки, крім SDNЗавжди
Список ідентифікації секторальних санкцій (SSI)Цільові об'єкти в енергетичному, фінансовому та оборонному секторах РосіїЗалежить від директиви
Список осіб, що ухиляються від іноземних санкцій (FSE)Особи, які допомагають ухилятися від санкцій СШАЗавжди
Список санкцій не-SDN на основі меню (NS-MBS)Цільові заходи, часто згідно із законом CAATSAВідповідно до застосованого пункту меню
Список Палестинської законодавчої ради (NS-PLC)Члени ПЗР, які брали участь у виборахЗавжди для блокування

Ви можете безкоштовно шукати за всіма цими списками за допомогою інструменту OFAC Sanctions List Search (sanctionssearch.ofac.treasury.gov), але цей інструмент розроблений для поодиноких пошуків, а не для масової перевірки. Виробничі середовища використовують комерційних постачальників перевірок, автоматизовані API або власні інструменти, які обробляють щоденні файли змін, що публікуються OFAC.

Правило 50 відсотків: чому лише збігу імен недостатньо

Ось правило, яке застає зненацька майже кожен бізнес:

Будь-яка організація, яка на 50% або більше належить — прямо, опосередковано або сукупно — одній чи кільком заблокованим особам, сама вважається заблокованою, навіть якщо вона не зазначена в жодному списку OFAC.

Слід враховувати два ключові наслідки:

  1. Сукупне володіння між SDN має значення. Якщо особа зі списку SDN А володіє 30% холдингової компанії на Кайманових островах, а особа SDN Б володіє 25%, ця холдингова компанія є заблокованою — хоча жоден із власників індивідуально не досягає частки у 50%.
  2. Опосередковане володіння має значення. 60% частка підсанкційної особи в материнській компанії, яка володіє 60% дочірньої компанії, робить дочірню компанію заблокованою, хоча прямий математичний розрахунок ланцюга (60% × 60% = 36%) свідчить про інше. OFAC розглядає материнську компанію як повністю заблоковану, що означає повне поширення її власності на дочірню компанію.

Саме через це правило звичайна перевірка імен не спрацьовує. Постачальник під назвою "Atlas Logistics LLC" не з'явиться у списку SDN. Але якщо його кінцевими бенефіціарними власниками є підсанкційні російські олігархи, які сукупно володіють 51% через три рівні компаній-оболонок, ви порушите санкційне законодавство США, оплативши їхній рахунок.

Практичні кроки для малого бізнесу:

  • Вимагайте розкриття бенефіціарної власності від постачальників і великих клієнтів, в ідеалі — з наданням сертифіката кінцевого бенефіціарного власника (UBO).
  • Використовуйте сервіси скринінгу, які аналізують відносини власності, а не лише імена.
  • Для контрагентів у юрисдикціях із високим ризиком (Британські Віргінські острови, Кайманові острови, ОАЕ, Кіпр, Гонконг, Росія, транскордонні структури Китай-Гонконг) запитуйте витяги з корпоративних реєстрів до рівня фізичних осіб.
  • Проводьте повторний скринінг періодично, а не лише під час реєстрації клієнта — OFAC додає нових осіб до списку SDN щотижня.

П'ять стовпів OFAC: як має виглядати програма комплаєнсу

Міністерство фінансів США опублікувало Framework for OFAC Compliance Commitments (Основи зобов’язань щодо дотримання вимог OFAC), щоб роз'яснити, що включає «ефективна» програма санкційного комплаєнсу (SCP). Вона складається з п'яти компонентів, і OFAC явно враховує кожен із них при розрахунку штрафів.

1. Зобов'язання керівництва

Вище керівництво має затвердити програму та забезпечити її ресурсами. Для невеликої компанії це означає, що засновник, генеральний чи фінансовий директор підписує письмову політику, призначає відповідального за комплаєнс і щонайменше раз на рік перевіряє ефективність програми. Формального підпису недостатньо; OFAC очікує доказів реальної залученості керівників.

2. Оцінка ризиків

Задокументуйте специфічні ризики OFAC, з якими стикається ваш бізнес. SaaS-компанія, що здійснює продажі по всьому світу, має інші ризики, ніж місцева фірма з нерухомості або процесор транскордонних платежів. Оцінка має охоплювати:

  • Клієнтську базу — географію, галузі, структури бенефіціарної власності.
  • Товари та послуги — усе, що передається через кордон або номіноване не в доларах США.
  • Канали розповсюдження — прямі продажі, маркетплейси, сторонні реселери, афіліати.
  • Географічну присутність — юрисдикції, де працюють клієнти, постачальники, працівники або контрагенти.
  • Партнерів та посередників — агентів, брокерів, платіжні системи.

Оновлюйте оцінку при зміні бізнес-моделі — виході на новий ринок, впровадженні нового платіжного каналу або новому поглинанні.

3. Внутрішній контроль

Це етап, на якому програма починає працювати практично. Внутрішній контроль включає:

  • Письмові політики та процедури.
  • Задокументований процес скринінгу (коли перевіряти, за якими списками, які пороги спрацювання, хто перевіряє збіги).
  • Чіткі шляхи ескалації при виявленні потенційного збігу.
  • Ведення записів — OFAC вимагає зберігати транзакційні записи та звіти про скринінг протягом п'яти років для заблокованих або відхилених операцій.
  • Механізм блокування — банківські рахунки для ізоляції коштів, системи замовлень, здатні заморозити виконання.
  • Робочі процеси звітності для подання обов'язкових звітів (щорічні звіти про заблоковане майно до 30 вересня, первинні звіти про заблоковані або відхилені транзакції протягом десяти робочих днів).

4. Тестування та аудит

Незалежне тестування підтверджує, що програма дійсно працює. Для невеликої компанії це може бути щоквартальна самоперевірка (запуск вигаданих імен зі списку SDN через ваш інструмент скринінгу) плюс щорічний зовнішній огляд. Результати мають бути задокументовані, а виявлені недоліки — виправлені.

5. Навчання

Усі працівники, чия діяльність пов'язана із санкційними ризиками, повинні пройти навчання: відділи продажів, клієнтського сервісу, фінансів, дебіторської/кредиторської заборгованості, управління постачальниками та інженерні команди, що створюють логіку скринінгу. OFAC очікує проведення навчання щонайменше раз на рік, а також спеціального навчання при запуску нової програми або набранні чинності новими санкційними режимами.

Коли ви знайшли збіг: рішення про блокування або відхилення

Виявлення очевидного збігу під час скринінгу тягне за собою суворі зобов'язання.

Крок 1: Підтвердьте збіг. Помилкові спрацювання (false positives) трапляються часто — імена на кшталт "John Smith" або "Vladimir Petrov" дають багато результатів. Використовуйте дату народження, адресу, номер паспорта, місце ведення бізнесу та будь-які інші ідентифікаційні дані, які публікує OFAC.

Крок 2: Якщо збіг підтверджено, вирішіть, чи блокувати, чи відхиляти транзакцію.

  • Блокуйте (Block), якщо особа фігурує в списку SDN або на 50% і більше належить особі з цього списку — ви повинні заморозити майно/кошти на окремому процентному рахунку та повідомити про це протягом десяти робочих днів.
  • Відхиляйте (Reject), якщо транзакція заборонена, але майно осіб зі списку SDN не задіяне (наприклад, неліцензована транзакція з Іраном, за якою ще не було перераховано кошти) — ви відмовляєтеся в обробці та звітуєте протягом десяти робочих днів.

Крок 3: Подайте звіти. Первинні звіти про заблоковані або відхилені транзакції надсилаються до OFAC через портал OFAC Reporting and License Application Forms. Щорічні звіти про заблоковане майно подаються до 30 вересня кожного року. Неподання звіту саме по собі є окремим порушенням.

Крок 4: Подайте заявку на ліцензію, якщо необхідно. Багато транзакцій, які в іншому випадку були б заборонені, можуть бути дозволені на підставі спеціальної або загальної ліцензії — гуманітарні товари, певні особисті грошові перекази, експорт сільськогосподарської та медичної продукції, журналістика, послуги інтернет-зв'язку.

Рішення про добровільне самостійне розкриття інформації

Коли ви виявляєте, що порушення вже сталося — платіж на користь санкційної сторони пройшов до того, як перевірка його зафіксувала, вантаж був відправлений до заблокованої юрисдикції, клієнт із списку SDN був помилково залучений — ви постаєте перед найважливішим рішенням у сфері відповідності вимогам OFAC.

Розкривати чи ні?

Що дає вам добровільне самостійне розкриття інформації (VSD)

Згідно з Керівними принципами забезпечення дотримання економічних санкцій OFAC (31 CFR Part 501, Appendix A), належне VSD:

  • Зменшує розрахунок базового штрафу на 50 відсотків як у кричущих, так і в некричущих випадках.
  • У некричущих випадках обмежує базову суму половиною вартості транзакції з верхньою межею 188 850 доларів США за одне порушення.
  • Вважається вагомим пом’якшувальним фактором при загальному визначенні штрафу OFAC.

У поєднанні з іншими пом’якшувальними факторами — ефективною програмою комплаєнсу, заходами з усунення порушень, співпрацею — остаточне врегулювання може бути на порядок нижчим від встановленого законом максимуму. Випадок Córdoba Music Group (законодавчий максимум 3,3 млн доларів, врегулювання — 41 591 долар) є показовим.

Що насправді означає «добровільне»

Розкриття є «добровільним» лише в тому випадку, якщо воно було ініційоване самостійно та зроблене до того, як OFAC або інше федеральне, державне чи місцеве відомство виявить очевидне порушення або «суттєво подібне» до нього. Якщо банк контрагента вже подав звіт про підозрілу діяльність (SAR), у якому згадується ваша транзакція, ваше розкриття може не вважатися добровільним. Якщо конкурент або викривач уже повідомили про вас, воно також не буде кваліфіковане як добровільне.

Ось чому швидкість має значення. Щойно ви запідозрите порушення, починайте діяти негайно.

Новий портал VSD 2026 року

У лютому 2026 року OFAC запустив онлайн-портал добровільного самостійного розкриття інформації за адресою disclosure.ofac.treasury.gov. Він замінює розрізнену систему подання документів електронною поштою та факсом, яка панувала десятиліттями. Портал пропонує безпечніший канал зв'язку, структуровані поля та підтвердження отримання, проте основні правила не змінилися:

  • Початкове повідомлення у стислій формі описує те, що сталося.
  • Детальний звіт про результати має бути поданий протягом 180 днів, охоплюючи першопричину, масштаб, заходи з усунення наслідків та залучений персонал.

Компаніям все ще потрібна допомога юристів перед першим поданням. Портал не змінює юридичних ризиків; він лише змінює спосіб подання.

Математика штрафів: на що ви насправді наражаєтеся

Згідно з IEEPA (законом, що регулює більшість сучасних санкційних програм), цивільні штрафи за кожне порушення у 2026 році становлять:

  • Законодавчий максимум: 377 700 доларів США (щорічно коригується з урахуванням інфляції).
  • Або подвійна вартість транзакції, залежно від того, що більше.

Кожна транзакція може бути окремим порушенням. Один клієнт, який робить сорок замовлень протягом двох років, — це сорок порушень.

Розрахунок штрафу OFAC проходить через три етапи:

  1. Базова сума — залежить від того, чи є випадок кричущим, чи було застосовано VSD, а також від вартості транзакції (згідно з законодавчим графіком).
  2. Коригування — за обтяжуючі обставини (умисел, обізнаність, шкода цілям санкційної програми, досвідченість сторони, відсутність програми комплаєнсу) та пом'якшувальні фактори (співпраця, дії з усунення порушень, перше порушення, малий розмір бізнесу, фінансовий стан).
  3. Остаточний запропонований штраф — зазначається в Повідомленні про накладення штрафу (Pre-Penalty Notice), яке суб’єкт може оскаржити.

Кримінальні покарання додаються зверху за умисні порушення: до 1 мільйона доларів за порушення та до двадцяти років ув'язнення для фізичних осіб.

Практичний чек-лист з комплаєнсу для малого бізнесу

Використовуйте це як відправну точку. Це не заміна юридичної консультації, але цей список охоплює те, на що відомство неодноразово звертало увагу в опублікованих результатах правозастосування.

Основа

  • Письмова політика дотримання санкцій, підписана вищим керівництвом
  • Призначений відповідальний за комплаєнс (це може бути засновник або фінансовий директор; не залишайте цю роль вакантною)
  • Задокументована оцінка ризиків, що оновлюється при суттєвих змінах у бізнесі
  • Перелік усіх санкційних юрисдикцій та осіб, що мають відношення до вашого бізнесу

Перевірка (Скринінг)

  • Усі клієнти, постачальники, одержувачі платежів та контрагенти проходять перевірку під час залучення
  • Щоденна або щотижнева повторна перевірка за оновленими списками SDN/Consolidated/SSI
  • Вимога щодо розкриття інформації про бенефіціарну власність для контрагентів з високим рівнем ризику
  • Задокументована процедура оцінки потенційних збігів (помилкові спрацьовування проти справжніх)
  • Геолокація/IP-фільтрація для відомих підсанкційних юрисдикцій на веб-платформах

Транзакції

  • Алгоритм прийняття рішення про блокування або відмову з чіткими повноваженнями зупинити виконання замовлення
  • Окремий відсотковий рахунок, готовий для будь-яких заблокованих коштів
  • Процес подання заявки на ліцензію OFAC для транзакцій, які можуть на неї претендувати

Ведення обліку та звітності

  • Зберігання записів перевірок та транзакцій протягом п'яти років
  • Подання початкових звітів про заблоковані/відхилені транзакції протягом десяти робочих днів
  • Подання щорічних звітів про заблоковане майно до 30 вересня
  • Аудиторський слід для кожного спрацьовування системи перевірки та прийнятого рішення

Тестування та навчання

  • Щоквартальні самоперевірки (прогін тестових даних через інструмент скринінгу)
  • Щорічний незалежний огляд (зовнішній юрист або консультант з комплаєнсу)
  • Щорічне навчання для всіх відповідних працівників, документально підтверджена відвідуваність

Реагування на інциденти

  • Заздалегідь визначений зовнішній юрист, знайомий з питаннями OFAC
  • Задокументований протокол прийняття рішення про VSD — хто приймає рішення, які докази є підставою для нього, хто готує документи для подання

Типові помилки, які призводять до санкційних заходів

Аналіз опублікованих штрафів OFAC майже завжди виявляє одну або кілька з таких помилок:

  1. «Ми перевіряємо лише список SDN». Ігнорування Consolidated, SSI, FSE або NS-MBS списків є частою знахідкою.
  2. Статична перевірка. Перевірки лише на етапі реєстрації неефективні, оскільки списки SDN змінюються щотижня. Клієнт, який пройшов перевірку в січні, може потрапити під санкції в червні.
  3. Ігнорування бенефіціарної власності. Ім'я контрагента може бути «чистим», тоді як власник 60% акцій, що знаходиться на два рівні вище в структурі власності, перебуває під санкціями.
  4. Прогалини в геозонуванні. Вебплатформа блокує IP-адреси з Ірану, але безперешкодно пропускає VPN-трафік; OFAC наводив це як приклад у справах проти фінтех-компаній.
  5. Відсутність задокументованої процедури для потенційних збігів. Працівники, які безпосередньо взаємодіють з клієнтами, приймають рішення на власний розсуд без інструкцій щодо ескалації.
  6. Неподання обов'язкової звітності. Навіть якщо саму транзакцію було належним чином заблоковано, неподання десятиденного звіту або річного звіту до 30 вересня є окремим порушенням.
  7. Недостатнє навчання. Персонал відділу продажів обіцяє обслуговування в підсанкційних юрисдикціях, оскільки ніколи не проходив навчання щодо вимог OFAC.
  8. Запізніле розкриття інформації. Замовчування виявленого порушення, доки інше відомство не виявить його самостійно, призводить до втрати права на добровільне самостійне розкриття (VSD) та 50% знижки на штраф.

Підтримуйте готовність вашої фінансової звітності до перевірок OFAC

Дотримання санкційного режиму повністю залежить від документації. Кожна заблокована транзакція, кожен відхилений платіж, кожне рішення про перевірку, кожна заявка на ліцензію — OFAC може вимагати будь-який із цих документів під час п'ятирічного періоду аудиту. Система бухгалтерського обліку, яка приховує ці записи за закритим інтерфейсом «чорної скриньки», лише сповільнить вашу відповідь на судовий запит.

Beancount.io використовує протилежний підхід: текстовий облік (plain-text accounting), де кожен запис — це читабельний рядок, кожна зміна контролюється системою версій, а кожен рахунок може бути позначений тегом для транскордонної діяльності, що привертає увагу OFAC. Коли ваш аудитор або зовнішній консультант, що готує добровільне самостійне розкриття, запитає повну історію платежів конкретному контрагенту, ви зможете надати її за лічені хвилини, а не дні. Почніть безкоштовно та забезпечте своїм фінансам таку ж прозорість, якої OFAC очікує від вашої програми комплаєнсу.