Jeszcze kilka lat temu sprawdzenie kontrahenta oznaczało głównie wejście do CEIDG albo KRS, rzut oka na NIP, może telefon do znajomego z branży i podpisanie umowy. Dziś to zdecydowanie za mało. W 2026 roku due diligence kontrahenta staje się jednym z podstawowych elementów bezpiecznego prowadzenia biznesu. Firmy sprawdzają nie tylko, czy partner istnieje, ale także kto naprawdę za nim stoi, czy rachunek bankowy jest właściwy, czy podmiot nie znajduje się na listach sankcyjnych, czy ma sensowną historię działalności, czy nie generuje ryzyka AML, podatkowego, reputacyjnego albo operacyjnego.
To nie jest już praktyka zarezerwowana dla banków, dużych korporacji i działów compliance. Coraz częściej kontrahentów sprawdzają zwykłe firmy handlowe, produkcyjne, usługowe, e-commerce, agencje marketingowe, spółki technologiczne, deweloperzy, eksporterzy, importerzy i przedsiębiorcy, którzy po prostu nie chcą wpakować się w cudze problemy. Bo zły kontrahent potrafi kosztować więcej niż niezapłacona faktura. Może oznaczać odpowiedzialność podatkową, zamrożone pieniądze, udział w podejrzanym łańcuchu transakcji, ryzyko sankcyjne, utratę kosztów podatkowych, problemy z bankiem i reputacyjne konsekwencje, których nie da się łatwo naprawić.
Kontrahent to nie tylko klient albo dostawca. To źródło ryzyka
W biznesie często patrzymy na kontrahenta przez pryzmat transakcji. Kupuje, sprzedaje, dostarcza, płaci, wystawia fakturę. Tymczasem z perspektywy compliance kontrahent jest też nośnikiem ryzyka. Jeżeli firma współpracuje z podmiotem fikcyjnym, zadłużonym, powiązanym z osobami objętymi sankcjami, zarejestrowanym na słupa, ukrywającym beneficjenta rzeczywistego albo funkcjonującym w podejrzanym łańcuchu VAT, problem może przejść na nią.
Najbardziej niebezpieczne są sytuacje, które wyglądają atrakcyjnie biznesowo. Nowy dostawca oferuje świetną cenę. Klient chce szybko zamówić dużą partię towaru. Pośrednik proponuje prosty kontrakt z wysoką marżą. Zagraniczna spółka chce zapłacić z rachunku innego podmiotu. Firma prosi o przelew na konto, którego nie ma w dokumentach. Kontrahent działa krótko, ale deklaruje duże możliwości. Każdy z tych sygnałów nie musi oznaczać oszustwa. Ale każdy powinien zapalić lampkę. Due diligence nie służy blokowaniu sprzedaży. Służy temu, żeby firma wiedziała, z kim siada do stołu.
AML. Nie każda firma jest instytucją obowiązaną, ale każda może mieć problem
AML, czyli przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, kojarzy się głównie z bankami, kantorami, biurami rachunkowymi, notariuszami, doradcami podatkowymi, pośrednikami nieruchomości i innymi instytucjami obowiązanymi. Ale ryzyko AML nie kończy się na tych podmiotach. Nawet firma, która formalnie nie ma pełnych obowiązków AML, może zetknąć się z transakcją, która wygląda podejrzanie.
Chodzi o sytuacje, w których przepływ pieniędzy nie pasuje do logiki biznesowej. Płatność przychodzi od innej spółki niż ta, z którą podpisano umowę. Kontrahent dzieli płatności bez powodu. Używa wielu rachunków. Naciska na gotówkę. Prosi o fakturę niezgodną z rzeczywistą usługą. Chce szybko zamknąć transakcję i unika podawania danych właścicielskich. Ma złożoną strukturę kapitałową, której nikt nie potrafi wyjaśnić.
W takich sytuacjach nie wystarczy powiedzieć: „to nie nasza sprawa”. Bank może zablokować transakcję. Księgowość może odmówić ujęcia kosztu. Audytor może zapytać o procedurę weryfikacji. A jeśli sprawa dotyczy podmiotu powiązanego z praniem pieniędzy, firma może zostać wciągnięta w bardzo nieprzyjemne wyjaśnienia.
Beneficjent rzeczywisty. Kto naprawdę stoi za firmą?
Jednym z najważniejszych elementów due diligence jest ustalenie beneficjenta rzeczywistego. Nie chodzi tylko o to, kto jest wpisany w KRS jako członek zarządu. Chodzi o osobę fizyczną, która faktycznie kontroluje spółkę albo czerpie korzyści z jej działalności. Czasem jest to właściciel większości udziałów. Czasem osoba kontrolująca spółkę pośrednio przez inne podmioty. Czasem ktoś, kto nie pojawia się na pierwszej stronie dokumentów, ale realnie podejmuje decyzje.
W Polsce podstawowym źródłem jest CRBR, czyli Centralny Rejestr Beneficjentów Rzeczywistych. Dla wielu firm to pierwszy krok w weryfikacji. Ale sam wpis do rejestru nie zawsze zamyka temat. Jeżeli struktura jest wielopoziomowa, zagraniczna, obejmuje fundację, trust, spółki holdingowe albo kilka jurysdykcji, trzeba zachować większą ostrożność. W praktyce firmy coraz częściej porównują CRBR z KRS, dokumentami od kontrahenta, stroną internetową, rejestrami zagranicznymi i informacjami z wywiadowni gospodarczych.
Największe ryzyko pojawia się wtedy, gdy nikt nie wie, kto naprawdę kontroluje kontrahenta. Zarząd mówi jedno, rejestr drugie, strona internetowa trzecie, a płatność przychodzi z rachunku zupełnie innego podmiotu. To nie musi oznaczać przestępstwa. Ale oznacza, że transakcja wymaga dodatkowych pytań.
Sankcje. Lista kontrahentów to dziś także lista ryzyk geopolitycznych
Po 2022 roku sankcje gospodarcze przestały być abstrakcją dla firm handlowych. Dziś sprawdzanie list sankcyjnych jest normalnym elementem bezpiecznej współpracy, zwłaszcza przy transakcjach międzynarodowych, eksporcie, imporcie, logistyce, finansowaniu, technologii, produktach podwójnego zastosowania i współpracy z podmiotami z państw podwyższonego ryzyka.
Ryzyko sankcyjne nie dotyczy tylko kontrahenta z nazwy na umowie. Trzeba patrzeć szerzej. Kto jest właścicielem spółki? Kto jest beneficjentem rzeczywistym? Czy podmiot nie działa przez pośredników? Czy nie ma powiązań z krajem objętym sankcjami? Czy towar nie trafia dalej do odbiorcy końcowego, którego firma nie zna? Czy transakcja nie służy obejściu ograniczeń?
Największe ryzyko powstaje przy strukturach, które wyglądają jak próba odcięcia się od rzeczywistego odbiorcy. Nowy pośrednik w neutralnym kraju, nagła zmiana trasy dostawy, brak jasnego end usera, płatność z innej jurysdykcji, niechęć do podania dokumentów właścicielskich. Dla firmy to może być okazja sprzedażowa. Dla organów albo banku może to być sygnał próby obejścia sankcji.
W 2026 roku sprawdzanie sankcji nie jest już tylko obowiązkiem największych. Coraz częściej jest warunkiem przejścia przez bank, ubezpieczyciela, audytora, większego klienta albo platformę handlową.
Biała lista VAT. Prosty test, który nadal ma duże znaczenie
Biała lista VAT to jedno z podstawowych narzędzi weryfikacji kontrahenta w Polsce. Pozwala sprawdzić status podatnika VAT oraz rachunki bankowe zgłoszone do wykazu. To szczególnie ważne przy transakcjach powyżej 15 tysięcy złotych brutto. Przelew na rachunek spoza białej listy może oznaczać poważne konsekwencje podatkowe, dlatego sprawdzenie rachunku przed płatnością powinno być standardem, a nie działaniem wyjątkowym.
W praktyce wiele firm nadal robi to zbyt późno. Umowa podpisana, towar dostarczony, faktura w księgowości, termin płatności mija, a dopiero wtedy ktoś sprawdza, że rachunek nie pasuje. Wtedy zaczynają się nerwy, kontakt z kontrahentem, pytania księgowości i ryzyko opóźnienia płatności.
Najlepsza praktyka jest prosta. Rachunek powinien być weryfikowany przed przelewem, a potwierdzenie sprawdzenia powinno zostać zachowane. Przy stałych dostawcach warto mieć procedurę okresowej kontroli. Przy nowych kontrahentach, dużych kwotach, zmianie rachunku albo pilnym przelewie należy zachować szczególną ostrożność.
Biała lista nie odpowie na wszystkie pytania o kontrahenta. Nie powie, czy firma jest uczciwa, czy usługa będzie wykonana i czy struktura jest bezpieczna. Ale brak zgodności rachunku to sygnał, którego nie wolno ignorować.
Scoring ryzyka. Firmy zaczynają oceniać kontrahentów jak banki
Coraz więcej przedsiębiorstw wprowadza scoring ryzyka kontrahenta. Nie musi to być skomplikowany system informatyczny. Czasem wystarczy prosta tabela punktowa. Nowy kontrahent, wysoka wartość transakcji, krótka historia działalności, zagraniczna struktura, brak strony internetowej, zmiana rachunku, nietypowy model płatności, branża wysokiego ryzyka, negatywne informacje w rejestrach, powiązania osobowe, sankcje, rozbieżności w danych. Każdy element zwiększa albo zmniejsza poziom ryzyka.
Taki scoring pomaga podejmować decyzje. Kontrahent niskiego ryzyka przechodzi podstawową weryfikację. Kontrahent średniego ryzyka wymaga dodatkowych dokumentów. Kontrahent wysokiego ryzyka trafia do zarządu, prawnika, compliance albo księgowości przed podpisaniem umowy. Dzięki temu firma nie działa na wyczucie, tylko według zasad.
Najważniejsze jest to, żeby scoring nie był sztuką dla sztuki. Musi prowadzić do konkretnych działań. Jeżeli system pokazuje wysokie ryzyko, ktoś powinien zdecydować, czy transakcja jest akceptowalna, pod jakimi warunkami, z jakim zabezpieczeniem i przy jakiej dokumentacji.
Co firmy sprawdzają w praktyce?
Podstawowy zestaw obejmuje dane rejestrowe, status VAT, rachunek na białej liście, reprezentację, beneficjenta rzeczywistego, adres, historię działalności, powiązania, listy sankcyjne, zaległości, postępowania, informacje z internetu, opinie, stronę firmową, profil działalności i zgodność transakcji z tym profilem.
Przy większych transakcjach dochodzą dodatkowe elementy: sprawozdania finansowe, dokumenty właścicielskie, referencje, polisy, licencje, certyfikaty, pozwolenia, dokumenty jakościowe, zabezpieczenia płatności, historia współpracy, struktura grupy kapitałowej, rzeczywisty odbiorca towaru, źródło środków i kraj pochodzenia płatności.
Nie chodzi o to, żeby każdą firmę sprawdzać tak samo dokładnie. Sprzedawca kawy do biura nie wymaga tego samego poziomu analizy co nowy dostawca elektroniki za milion złotych albo zagraniczny pośrednik w eksporcie. Due diligence powinno być proporcjonalne do ryzyka.
Najbardziej podejrzane sygnały
Czerwona lampka powinna zapalić się wtedy, gdy kontrahent działa krótko, a deklaruje bardzo duże obroty. Gdy cena jest wyraźnie lepsza niż rynkowa. Gdy firma zmienia rachunek tuż przed płatnością. Gdy płatność ma przyjść od innego podmiotu. Gdy kontrahent unika podania beneficjenta rzeczywistego. Gdy adres jest wirtualny, a działalność wygląda na dużą logistycznie. Gdy spółka ma rozbudowaną strukturę, ale nie potrafi jej wyjaśnić. Gdy naciska na pośpiech. Gdy dokumenty są niespójne. Gdy osoba kontaktowa używa prywatnego maila przy dużej transakcji. Gdy towar lub usługa nie pasuje do profilu działalności kontrahenta.
Żaden z tych sygnałów sam w sobie nie przesądza o nieuczciwości. Ale kilka takich elementów razem powinno zatrzymać proces i wymusić dodatkową weryfikację.
Dokumentowanie weryfikacji jest równie ważne jak sama weryfikacja
W due diligence kontrahenta nie chodzi tylko o to, żeby sprawdzić partnera. Trzeba jeszcze umieć pokazać, że sprawdzenie rzeczywiście się odbyło. W razie kontroli, sporu, problemu z płatnością albo pytania banku firma powinna mieć ślad: kiedy sprawdzono kontrahenta, kto to zrobił, jakie źródła wykorzystano, jakie były wyniki i kto zaakceptował ryzyko.
Może to być krótka karta kontrahenta, zrzut z białej listy VAT, wydruk z KRS albo CEIDG, potwierdzenie sprawdzenia CRBR, wynik list sankcyjnych, notatka z analizy, screen strony internetowej, kopia dokumentów, zapis decyzji w CRM albo workflow akceptacyjny w systemie. Ważne, żeby firma nie musiała po dwóch latach odtwarzać procesu z pamięci.
Najgorzej wygląda sytuacja, w której przedsiębiorca mówi: „sprawdzaliśmy go, ale nie mamy żadnego śladu”. W compliance brak dowodu często oznacza, że czynność wygląda tak, jakby jej nie było.
Due diligence nie kończy się przy podpisaniu umowy
Kontrahent może być bezpieczny na początku współpracy, a ryzykowny po roku. Może zmienić właściciela, zarząd, rachunek bankowy, profil działalności, kraj dostaw, sytuację finansową albo beneficjenta rzeczywistego. Może trafić na listę sankcyjną. Może zostać wykreślony z VAT. Może pojawić się w negatywnych informacjach branżowych. Dlatego weryfikacja nie powinna być jednorazowa.
Przy stałych kontrahentach warto ustalić cykliczny przegląd. Raz na rok, raz na pół roku, a przy wysokim ryzyku częściej. Dodatkowa weryfikacja powinna następować przy zmianie rachunku, dużym wzroście wartości transakcji, zmianie modelu współpracy, wejściu nowego pośrednika, transakcji zagranicznej albo nietypowym zachowaniu.
To szczególnie ważne w firmach, które mają wielu dostawców i klientów. Bez automatyzacji albo prostego workflow kontrola kontrahentów szybko zamienia się w przypadek.
Kto powinien odpowiadać za sprawdzanie kontrahentów?
W małej firmie często robi to właściciel, księgowość albo osoba od sprzedaży. W większej powinien istnieć jasny podział. Sprzedaż zna klienta i okoliczności transakcji. Księgowość sprawdza VAT, rachunek i płatności. Prawnik albo compliance ocenia umowy, sankcje i strukturę. Zarząd akceptuje większe ryzyka. Problem zaczyna się wtedy, gdy każdy zakłada, że sprawdził ktoś inny.
Najlepsze firmy tworzą proste procedury. Nowy kontrahent nie może zostać dodany do systemu bez podstawowego sprawdzenia. Duża płatność nie wychodzi bez weryfikacji rachunku. Kontrahent zagraniczny wymaga sprawdzenia sankcji i beneficjenta. Podmiot wysokiego ryzyka wymaga zgody przełożonego. Zmiana danych bankowych wymaga potwierdzenia niezależnym kanałem.
To są proste zasady, ale często właśnie one chronią firmę przed największymi stratami.
AI i automatyzacja w due diligence
W 2026 roku coraz więcej firm wykorzystuje narzędzia automatyczne do monitoringu kontrahentów. Systemy potrafią sprawdzać rejestry, status VAT, rachunki bankowe, listy sankcyjne, negatywne wzmianki, powiązania kapitałowe, zmiany w KRS, zaległości, scoring branżowy i sygnały reputacyjne. To duże ułatwienie, ale nie zwalnia z myślenia.
Automatyczny scoring może pokazać alert. Człowiek musi ocenić, czy alert ma znaczenie dla konkretnej transakcji. Narzędzie może znaleźć powiązanie. Firma musi zdecydować, czy to powiązanie tworzy ryzyko. System może oznaczyć podmiot jako podejrzany. Zarząd musi zdecydować, czy współpraca jest akceptowalna.
Największy błąd to wiara, że samo wykupienie narzędzia załatwia compliance. Nie załatwia. Narzędzie jest tylko częścią procesu. Potrzebne są zasady, odpowiedzialność i dokumentowanie decyzji.
Dlaczego firmy będą sprawdzać partnerów coraz dokładniej?
Bo ryzyko kontrahenta przestało być wyłącznie problemem handlowym. Banki pytają o źródło środków. Organy podatkowe analizują łańcuchy transakcji. Sankcje zmuszają do sprawdzania powiązań właścicielskich. Duże firmy wymagają od dostawców standardów compliance. Audytorzy pytają o procedury. Ubezpieczyciele i finansujący chcą wiedzieć, czy firma kontroluje ryzyka. KSeF, JPK i cyfrowe rejestry sprawiają, że dane o transakcjach są coraz łatwiejsze do porównywania.
W tym świecie „nie wiedziałem” staje się coraz słabszą obroną. Firma nie musi wykryć wszystkiego, ale powinna wykazać należytą staranność. A należyta staranność oznacza, że przy realnym ryzyku zadała pytania, sprawdziła dostępne źródła i zachowała dowody.
Bezpieczna współpraca zaczyna się przed pierwszą fakturą
Due diligence kontrahenta nie jest biurokracją dla dużych korporacji. To podstawowa higiena biznesowa. W 2026 roku sprawdzenie partnera oznacza więcej niż potwierdzenie NIP. Trzeba wiedzieć, kto naprawdę stoi za firmą, czy rachunek jest właściwy, czy podmiot nie jest objęty sankcjami, czy transakcja ma sens gospodarczy, czy przepływ pieniędzy jest logiczny i czy poziom ryzyka pasuje do skali współpracy.
Największe straty często zaczynają się od prostych zaniedbań. Przelew na złe konto. Umowa z podmiotem, którego nikt nie sprawdził. Transakcja z pośrednikiem bez historii. Dostawca z niejasnym właścicielem. Klient, który płaci z cudzego rachunku. Oferta, która była zbyt dobra, żeby była bezpieczna.
Firmy, które traktują due diligence poważnie, nie przestają robić biznesu. Robią go mądrzej. Bo w nowoczesnej gospodarce dobry kontrahent to nie tylko ten, który płaci albo dostarcza towar. To ten, którego można bezpiecznie pokazać księgowości, bankowi, audytorowi, urzędowi i własnemu zarządowi.