Когда выплаты подрядчикам становятся санкционным риском

С февраля 2022 года ЕС, США и Великобритания ввели беспрецедентные санкции против российского финансового сектора, а также ряда банков Беларуси и третьих стран. На сегодняшний день 20 пакетов санкций ЕС, множество Executive Orders США и режим OFSI Великобритании создали комплексную систему запретов, охватывающую десятки банков и платёжную инфраструктуру.

Настоящий документ анализирует конкретные риски для компаний из ЕС, США и Великобритании, которые работают с сервис-провайдерами выплат подрядчикам в любой из двух распространённых моделей:

•  Contractor of Record (COR), также используется термин Agent of Record (AOR) — это сервис-провайдер, который заключает договор с подрядчиком от своего имени, выступая юридическим контрагентом между клиентом и подрядчиком. COR не является работодателем подрядчика, но принимает на себя обязательства по корректной классификации отношений (contractor vs. employee), проверке на санкционные ограничения, оформлению налоговой документации и проведению платежей.

•  Contractor Management, также используются термины Payroll provider, Contractor Payroll Software, Contractor Payment Platform, Contractor Management System — это сервис-провайдер, который предоставляет компании-клиенту техническую и платёжную инфраструктуру для работы с подрядчиками, не вступая при этом в договорные отношения с самими подрядчиками.

Если сервис-провайдер в любой из этих моделей направляет средства в санкционные банки или использует запрещённую платёжную инфраструктуру, риск переходит и на компанию-клиента, независимо от того, кто формально является контрагентом подрядчика.

Этот риск распространяется не только на платежи самого клиента, но и на исторические выплаты до смены политики сервис-провайдера, а также на ситуации, когда сервис-провайдер обслуживает санкционные маршруты для других клиентов.

Ключевой тезис: ответственность несёт не только сервис-провайдер, но и его клиент.

Важно понимать: санкции на ключевые российские банки действуют с марта 2022 года, а не с 19-го пакета. Каждый новый пакет расширяет охват, но базовые запреты действуют уже четыре года.

2.1. 2022 год — первый удар

12 марта 2022 года ЕС ввёл санкции против первых 7 российских банков: ВТБ Банк, Банк Открытие, Новикомбанк, Промсвязьбанк, Банк Россия, Совкомбанк и ВЭБ.РФ. По сути, уже тогда под ограничения попал и Альфа Банк, так как были введены санкции против его основных акционеров. Одновременно США ввели блокирующие санкции (SDN) на ВТБ ВЭБ.РФ, Сбербанк. Великобритания (OFSI) санкционировала Альфа Банк, Газпромбанк, Сбербанк и др. Это стало причиной запрета на проведение каких-либо взаиморасчётов с данными банками.

В марте и июне под санкции попали 4 белорусских банка: Belagroprombank, Bank Dabrabyt, Development Bank of the Republic of Belarus, Belinvestbank.

14 июня под санкции ЕС попали ещё 3 банка: Сбербанк, Московский Кредитный Банк и Россельхозбанк.

США расширили вторичные санкции на иностранные финансовые институты.

Это означает: любой платёж в адрес ВТБ, Сбербанк, Открытие, Совкомбанк, Промсвязьбанк, Банк Россия и т.д. является нарушением санкций с марта 2022 года, а не с октября 2025 (19-й пакет).

2.2. 2025 год: расширение

В течение 2025 года под санкции попало наибольшее количество российских банков. В рамках 16-го пакета санкций, начиная с 17 марта 2025 года, под санкционные ограничения попали 13 банков, в число которых входили АкБарс Банк, Уралсиб, Точка Банк и другие.

9 августа список санкционных банков пополнился ещё 22 банками, в том числе Т-Банк, Банк Санкт-Петербург, Банк Зенит, Банк ДОМ.РФ, ЛОКО-Банк и другие. Важно отметить, что тот же Т-Банк к тому моменту уже находился под блокирующими санкциями ЕС.

19-й пакет добавил 5 новых российских банков под полный запрет транзакций (Альфа Банк, МТС Банк, Абсолют Банк, Земский Банк, Истина) и 8 банков из третьих стран (Таджикистан, Киргизия, ОАЭ, Гонконг). Помимо банков, под санкции попала Национальная система платёжных карт (НСПК), что полностью запрещает использование карточных переводов (с 25 января 2026).

2.3. 2026 год: 20-й пакет санкций

В рамках 20-го пакета санкций в секторальные санкции, запрещающие какие-либо транзакции, были включены 20 российских банков, 1 банк из Азербайджана, 1 банк из Лаоса и 2 киргизских банка.

Итог: на май 2026 года под секторальные санкции подпадают 70 российских банков, 4 белорусских и 9 банков из третьих стран. Запрещена вся карточная инфраструктура России (НСПК / Мир / СБП).

В соответствии с COUNCIL REGULATION (EU) No 833/2014, Article 5h, субъектам ЕС запрещено осуществлять любые прямые или косвенные операции с юридическими лицами, включёнными в Annex XIV, а также с любыми лицами, находящимися в собственности или под контролем таких субъектов (доля участия > 50%). К указанным организациям относятся ВСЕ выше перечисленные банки.

Источник: COUNCIL REGULATION (EU) No 833/2014, Article 5h

“It shall be prohibited to engage, directly or indirectly, in any transaction with legal persons, entities or bodies listed in Annex XIV or with any legal person, entity or body established in Russia whose proprietary rights are directly or indirectly owned for more than 50% by an entity listed in Annex XIV.”

В понимании COUNCIL REGULATION (EU) No 269/2014, Article 2, любые операции, совершаемые резидентами ЕС, которые приводят к предоставлению доступа санкционным банкам к средствам или осуществляются через их счета, могут рассматриваться как нарушение или обход санкций. Даже если средства не предназначены самому банку, но проводятся через него или в пользу его клиента, создаётся риск того, что субъект ЕС «делает средства доступными» санкционированной структуре.

Источник: COUNCIL REGULATION (EU) No 269/2014, Article 2

“All funds and economic resources belonging to, owned, held or controlled by any natural or legal persons, entities or bodies, or natural or legal persons, entities or bodies associated with them, as listed in Annex I, shall be frozen. No funds or economic resources shall be made available, directly or indirectly, to or for the benefit of natural or legal persons, entities or bodies, or natural or legal persons, entities or bodies associated with them, as listed in Annex I.”

Субъекты ЕС, как юридические лица, так и физические лица (включая директоров и владельцев таких юридических лиц), обязаны действовать добросовестно и предпринимать все возможные меры для недопущения нарушений санкционного режима. Кроме того, они должны контролировать деятельность своих дочерних и аффилированных структур, включая находящиеся за пределами ЕС, чтобы обеспечить соблюдение аналогичных ограничительных мер.

Источник: COUNCIL REGULATION (EU) No 833/2014, Article 12

“It shall be prohibited to participate, knowingly and intentionally, in activities the object or effect of which is to circumvent prohibitions in this Regulation, including by participating in such activities without deliberately seeking that object or effect but being aware that the participation may have that object or effect and accepting that possibility.”

Источник: COUNCIL REGULATION (EU) No 833/2014, Article 8a

“Natural and legal persons, entities and bodies shall undertake their best efforts to ensure that any legal person, entity or body established outside the Union that they own or control does not participate in activities that undermine the restrictive measures provided for in this Regulation.”

Вывод: даже если субъект ЕС осуществляет выплаты и/или создаёт инфраструктуру, позволяющую осуществлять выплаты в санкционные банки не напрямую, а через аффилированную структуру за пределами ЕС, такие действия должны быть квалифицированы как обход санкций, поскольку субъект ЕС способствует («facilitates») транзакции, тем самым косвенно участвуя в операции с санкционированным лицом. Регуляторы рассматривают аффилированные структуры как единый экономический субъект, и, следовательно, разделение юрисдикций не освобождает от ответственности.

Когда компания-клиент платит сервис-провайдеру, а тот перенаправляет средства в санкционный банк в адрес подрядчика клиента, клиент становится участником цепочки нарушителей. Сознательное перекладывание данной ответственности на сервис-провайдера может рассматриваться как попытка обхода санкций; при этом незнание факта, в какой именно банк осуществляется выплата подрядчику, не освобождает от ответственности.

Обязанность due diligence контрагентов

Статья 12 Regulation (EU) No 833/2014 прямо требует от компаний ЕС предпринять все разумные меры для исключения нарушений, включая проверку того, что:

•  подрядчик не является лицом, включённым в санкционные списки ЕС;

•  подрядчик не получает средства через санкционные банки или в санкционные банки.

Почему регистрация вне ЕС / США / UK не защищает

Ряд сервис-провайдеров регистрируют операционные или платёжные структуры в третьих странах, не присоединившихся к санкциям (Казахстан, ОАЭ, Армения), полагая, что это снимает санкционные риски. Это не так. Наличие аффилированной компании в третьей стране, через которую фактически осуществляются выплаты в санкционные банки, не изолирует ни сервис-провайдера, ни его клиента от санкционной ответственности — регуляторы оценивают всю платёжную цепочку целиком, включая все аффилированные структуры, конечного получателя и его банк.

Санкции ЕС, США и UK имеют экстратерриториальный охват — они распространяются на любую компанию, транзакцию или операцию, имеющую осмысленную связь (nexus) с этими юрисдикциями. Использование национальной валюты (доллара, евро, фунта), оплата услуг, наличие представителей с гражданством ЕС/США/UK или видом на жительство (ВНЖ) в ЕС/США/UK — всё это создаёт связь.

Ретроактивная ответственность: платежи до 19-го пакета

Один из наиболее часто задаваемых вопросов при выборе сервис-провайдера звучит так: «Если сервис-провайдер изменил политику только после введения 19-го пакета (октябрь 2025 — январь 2026), означает ли это, что его прошлые платежи были законными и никакой ответственности для клиента нет?» Ответ зависит от того, в какие именно банки направлялись средства.

Санкции существовали задолго до 19-го пакета. Большинство системообразующих российских банков — VTB, Sberbank, VEB, Otkritie, Sovcombank, Promsvyazbank, Bank Rossiya — были включены в санкционные списки ещё в марте 2022 года. Alfa-Bank попал под санкции США в апреле 2022 года. Любой платёж в эти банки после соответствующих дат являлся нарушением санкций ЕС, США или Великобритании вне зависимости от того, как позиционировал себя сервис-провайдер и когда он изменил свою политику.

Смена формата работы сервис-провайдера не снимает ответственности с клиента.

Если сервис-провайдер публично декларирует соответствие требованиям только после очередного пакета санкций, но до этого осуществлял платежи в банки, находившиеся под ограничениями, это не является индульгенцией для его клиентов. Обязательство проводить due diligence контрагентов — включая проверку маршрутов платежей — возлагается на клиента статьёй 12 Регламента ЕС No 833/2014 с момента вступления соответствующих санкций в силу. Незнание о том, куда в итоге уходили средства, не освобождает от ответственности.

Что должен сделать клиент при обнаружении ретроактивного риска.

Если существует подозрение, что в прошлом средства могли поступать в санкционный банк, рекомендуется: (1) запросить у сервис-провайдера документацию о банках-получателях за весь период сотрудничества; (2) провести ретроспективную проверку против актуальных санкционных списков SDN (OFAC), Annex XIV (ЕС) и OFSI (Великобритания); (3) при обнаружении нарушений — проконсультироваться с юристом по санкционному праву.

Особого внимания заслуживает ситуация, когда сервис-провайдер до смены политики открыто рекламировал платежи через промежуточные структуры в третьих странах (Центральная Азия, Армения, ОАЭ) как способ доставки средств российским подрядчикам в санкционные банки. Такая схема маршрутизации квалифицируется как обход санкций (circumvention) вне зависимости от того, какие именно банки формально фигурировали в цепочке. Осведомлённость клиента о подобной схеме является отягчающим обстоятельством при расследовании.

Европейский Союз

Директива (EU) 2024/1226 (вступила в силу в мае 2024 года, дедлайн транспозиции — 20 мая 2025 года) впервые гармонизировала уголовную ответственность за нарушение санкций во всех странах ЕС:

•  Физические лица: лишение свободы до 5 лет.

•  Юридические лица: штраф до 5% мирового оборота или €40 млн (что больше).

•  Дополнительно: запрет на ведение бизнеса, отзыв лицензий, исключение из госзакупок, конфискация активов.

Великобритания (OFSI)

В UK нарушение санкций — это strict liability offence (ответственность без необходиомсти доказывания вины). Это означает, что любое нарушение, даже случайное, является уголовным преступлением. Незнание не является защитой.

•  Лишение свободы до 7 лет.

•  Штрафы: до £1 млн или 50% от стоимости нарушения.

США (OFAC)

OFAC применяет как гражданские, так и уголовные санкции, причём к не-американским компаниям тоже:

•  Гражданские штрафы: до $20 млн или удвоенная сумма транзакции.

•  Уголовные: до 20 лет лишения свободы.

•  Срок давности увеличен с 5 до 10 лет.

•  Вторичные санкции: OFAC может внести в SDN-список любой иностранный фининститут или компанию, содействующую транзакциям с подсанкционными лицами.

Примеры:

•  GVA Capital — $216 млн (июнь 2025). OFAC оштрафовал инвестиционную компанию GVA Capital почти на $216 млн за умышленное нарушение санкционного режима США. После включения российского предпринимателя Сулеймана Керимова в SDN-список GVA продолжала управлять его активами, проводя операции через офшорные структуры и подставных лиц. Менеджмент действовал вопреки прямым предупреждениям юристов о санкционных рисках, а затем не представил в полном объёме материалы по регуляторному запросу (subpoena). OFAC зафиксировал системные нарушения комплаенса: документы раскрывались с задержкой и не полностью, внутренний контроль отсутствовал, требования американского санкционного законодательства фактически игнорировались.

•  Standard Chartered Bank — £20,47 млн (2020). Банк выдавал кредиты турецкому Denizbank, который более чем на 50% принадлежал подсанкционному Сбербанку, и за это был оштрафован на £20,47 млн.

•  Apple Distribution International — £390 000 (2026). Ирландская «дочка» Apple через британский банк перевела £635 618 российскому стримингу Okko, который к моменту платежа принадлежал подсанкционной JSC «Новые возможности».

Существенно важный вопрос, который редко звучит при выборе сервис-провайдера: достаточно ли того, что сервис-провайдер не осуществляет платежи в санкционные банки именно для конкретного клиента?

Если клиент может документально подтвердить, что его собственные выплаты никогда не направлялись в санкционные банки и не проходили через санкционную инфраструктуру (НСПК / Мир / СБП), прямой санкционной ответственности у него, как правило, не возникает. Однако работа с сервис-провайдером, который параллельно обслуживает других клиентов через санкционные маршруты, создаёт для клиента отдельную категорию рисков — преимущественно репутационных и операционных, а не правовых в узком смысле. Эту категорию недооценивают чаще всего, хотя на практике именно она реализуется наиболее последовательно.

Что конкретно происходит, если сервис-провайдер скомпрометирован:

•  Повышенное внимание со стороны банков. Если сервис-провайдер становится фигурантом публичного расследования или регуляторного производства, риски возникают не только для самого провайдера, но и для его клиентов. Банк клиента может обратить внимание на транзакционную связь с компанией, в отношении которой в публичных источниках присутствует негативная информация, связанная с возможными нарушениями санкционного режима или обходом ограничений. На практике это может привести к дополнительным запросам со стороны банка, задержкам платежей, углубленной проверке операций (EDD), временным ограничениям по счету и, в отдельных случаях, пересмотру банком уровня риска клиента или отказу в дальнейшем обслуживании.

•  Репутационные последствия. Упоминания сервис-провайдера в журналистских расследованиях, adverse media или санкционных кейсах автоматически переносятся на его клиентов в восприятии инвесторов, аудиторов, контрагентов и комплаенс-служб банков. Чисто формально клиент может не иметь никакого отношения к нарушению, но в публичной плоскости связь с недобросовестным сервис-провайдером плохо отделяется от связи с самим нарушением.

•  Операционная нагрузка при расследованиях. Даже без прямой ответственности клиенту может потребоваться документально доказывать чистоту собственных маршрутов в рамках более широкого расследования — предоставлять выписки, реестры контрагентов, контракты, переписку. Это не санкционный риск как таковой, но это вполне реальные затраты времени, юридических ресурсов и внимания топ-менеджмента.

Отдельно — момент про осознанное игнорирование (wilful blindness). Если в открытых источниках уже есть публикации (журналистские расследования, реестры adverse media, отзывы, регуляторные предупреждения) о том, что сервис-провайдер осуществлял санкционные платежи для других клиентов, продолжение работы с ним после такой публикации уже не может объясняться незнанием. Здесь оценка поведения клиента смещается из категории «нарушение, о котором клиент не мог знать» в категорию «осознанное принятие риска» — и в этой точке репутационный риск может начать конвертироваться в прямой санкционный, особенно если регулятор сочтёт, что клиент имел разумные основания подозревать схему.

Практический вывод: даже если собственные маршруты клиента полностью «чистые», единая платёжная инфраструктура сервис-провайдера — это общий контур доверия. Выбор сервис-провайдера, обслуживающего санкционные потоки для других клиентов, означает, что клиент принимает на себя репутационные и операционные последствия чужих нарушений, даже не совершая своих собственных.

Кейс 1: маршрутизация через компанию в Армении

Компания клиента из ЕС платит своим подрядчикам в РФ через сервис-провайдера, который также зарегистрирован в ЕС. В структурный контур сервис-провайдера входит компания, зарегистрированная в Армении, которая в принципе не является субъектом европейских санкций.

Цепочка платежей выглядит следующим образом: компания клиента платит в адрес европейской компании сервис-провайдера, та, в свою очередь, напрямую или путём взаимозачёта встречных прав требования платит в адрес компании в Армении. Зарегистрированная в Армении компания осуществляет выплату подрядчикам на их российские счета, в том числе в санкционные банки.

Как упоминалось ранее в документе, несмотря на то что фактическую выплату осуществляет компания из юрисдикции, не являющейся субъектом европейских санкций, сам факт того, что европейский сервис-провайдер сознательно допускает возможность выплаты в санкционный банк, трактуется как обход санкций и грубое нарушение.

В свою очередь и клиент в этой ситуации нарушает санкции, так как, осознавая местонахождение подрядчика, не проявил достаточную предосторожность и не выяснил реквизиты конечного получателя.

Кейс 2: маршрутизация через компанию в ОАЭ

Американская компания клиента осуществляет выплаты подрядчикам в РФ через сервис-провайдера, имеющего операционные структуры в США, UK и ОАЭ.

Платежи проходят аналогичным образом: компания клиента платит на компанию в UK или США, а выплата подрядчикам осуществляется с компании, зарегистрированной в ОАЭ, при этом со счёта в санкционном банке и, как правило, на счета подрядчиков в санкционных банках.

Оба вышеописанных обстоятельства указывают на грубое нарушение санкций, так как сервис-провайдер сознательно создал платёжную инфраструктуру, позволяющую обходить санкционные ограничения.

Кейс 3: использование НСПК / Мир / СБП

Европейская компания клиента осуществляет выплаты подрядчикам в РФ через сервис-провайдера, также имеющего компании в ЕС, UK и ОАЭ. Аналогично, выплаты конечным получателям осуществляет компания из ОАЭ со счёта в российском банке.

Выплаты подрядчикам осуществляются на карты в несанкционных российских банках. Однако, учитывая, что все карточные платежи внутри РФ обрабатываются через Национальную систему платёжных карт (НСПК), которая попала под санкции ЕС в рамках 19-го пакета, любые выплаты на карты — вне зависимости от того, является ли банк-получатель санкционным или нет, — нарушают санкции ЕС.

Кейс 4: ретроактивная ответственность после смены политики

Европейская компания клиента с 2023 года осуществляет выплаты подрядчикам в РФ через сервис-провайдера, зарегистрированного в ЕС, также имеющего компании в США, UK и ОАЭ.

До октября 2025 года платежи маршрутизируются через структуры провайдера в третьих странах и поступают на счета подрядчиков в российских банках, включая банки под санкциями ЕС с марта 2022 года.

После принятия 19-го пакета санкций провайдер объявляет о смене политики и соответствии новым требованиям. Смена политики не закрывает санкционные риски клиента за предыдущий период. Платежи клиента, отправленные в санкционные банки до момента обновления политики сервис-провайдера, остаются в зоне ретроактивной санкционной ответственности: обязанность due diligence (статья 12 Regulation 833/2014) действовала с момента вступления санкций в силу, а не с момента изменения политики сервис-провайдера.

Вывод по кейсам

Сервис-провайдеры, которые осознанно или по причине недостатка компетенции в санкционных вопросах выстраивают платёжную инфраструктуру, позволяющую обходить санкции, в первую очередь подвергают риску своих клиентов.

Даже если клиент со своей стороны удостоверился в том, что его подрядчики не получают средства в санкционные банки или на карты в российских банках, клиент остаётся в зоне репутационных рисков, повышенного внимания со стороны банков, регулятора, бизнес-партнёров и инвесторов.

Фонд выплат распределенным командам, как правило, составляет значительную часть бюджета компании, что означает: такие платежи не останутся без внимания банков. Именно поэтому выбор сервис-провайдера является важной составляющей ваших комплаенс- и санкционных рисков, в особенности если у вас есть частные подрядчики из стран высокого риска. Перед выбором сервис-провайдера, помимо сравнения стоимости услуг, мы рекомендуем проанализировать как минимум следующие моменты:

1.  Узнайте, предлагает ли тот или иной сервис-провайдер, даже чисто теоретически, выплаты в санкционные банки или на карты российских банков. Если такая возможность есть, это явный признак потенциальных высоких рисков, даже если ваши подрядчики не планируют получать средства в такие банки.

2.  Уточните маршруты платежей: на какую компанию и в какой банк будете платить вы и с какой компании и из какого банка будут выплачиваться средства подрядчикам. Крайне важно, чтобы структуры, с которых производятся выплаты подрядчикам, сами не имели счетов в санкционных банках.

3.  Проверьте по санкционным спискам UBO и директоров вашего провайдера (в сегодняшних реалиях имеет смысл это делать периодически и в отношении любого вашего контрагента, который так или иначе имеет связь со странами повышенного риска).

4.  Сверьте информацию с публичными источниками (adverse media), отзывами на форумах и другими ресурсами.

5.  Обязательно документируйте весь процесс проверки. В случае возникновения каких-либо вопросов со стороны банка или регулятора вы как минимум сможете подтвердить факт того, что были предусмотрительны.

Источники

Primary legal sources (EU):

•  Council Regulation (EU) 2026/506 of 23 April 2026 (20th package)
• Council Regulation (EU) No 833/2014 (consolidated version, 23 October 2025)
•  Council Regulation (EU) No 269/2014 (consolidated version)
•  Council Regulation (EU) 2025/2033 of 23 October 2025 (19th package)
•  Directive (EU) 2024/1226 on the definition of criminal offences and penalties for the violation of Union restrictive measures
•  European Commission FAQ on Russian sanctions (consolidated version, 29 October 2025)
•  European Commission Best Practices on the Implementation of Restrictive Measures (12 December 2024)

Primary legal sources (UK):

•  The Russia (Sanctions) (EU Exit) Regulations 2019
•  OFSI Penalty Report – Standard Chartered Bank (31 March 2020)
•  OFSI Penalty Notice – Apple Distribution International (19 March 2026)
•  OFSI General Guidance for Financial Sanctions (current edition)

Primary legal sources (US):

•  31 CFR Part 501 Appendix A – Economic Sanctions Enforcement Guidelines
•  50 U.S.C. § 1705 (IEEPA penalties, 10-year statute of limitations after H.R. 815)
•  OFAC Enforcement Release – GVA Capital Ltd. (12 June 2025)
•  OFAC Enforcement Release – IPI Partners, LLC (2 December 2025)
•  OFAC Guidance on Extension of Statute of Limitations (22 July 2024)
•  Tri-Seal Compliance Note: Obligations of foreign-based persons to comply with US sanctions (March 2024)

Authoritative secondary sources (law firms):

•  Skadden, Arps, Slate, Meagher & Flom – analyses of EU 16th / 18th / 19th / 20th packages
•  White & Case – EU 18th sanctions package alert
•  Mayer Brown – EU 20th package analysis
•  Paul, Weiss – GVA Capital and IPI Partners analyses
•  Crowell & Moring – OFSI Apple penalty analysis
•  Kirkland & Ellis – OFSI Standard Chartered analysis
•  Baker McKenzie Global Sanctions Blog – multi-package coverage

Government monitoring sources:

•  Council of the EU – Sanctions Timeline (consilium.europa.eu)
•  European Commission DG FISMA – sanctions implementation page