Юридичні поради для бізнесу в умовах заборони підсанкційного ПЗ

Юридичні поради для бізнесу в умовах заборони підсанкційного ПЗ

Матеріал підготувала Дар'я Томаш,
Керівниця юридичного відділу

 

Українські компанії у 2025–2026 роках дедалі частіше переглядають власний ІТ-ландшафт не лише як питання ефективності, а як фактор комплаєнс- та кібербезпекових ризиків. Поява офіційних переліків програмних продуктів, що можуть становити загрозу національній безпеці, підвищила увагу до цього питання з боку державного сектора, великих контрагентів і банків. У цьому матеріалі стисло пояснюємо правовий контекст і наводимо практичну дорожню карту дій для бізнесу.


Україна остаточно перейшла від декларативних закликів до жорсткого регулювання ІТ-ландшафту. Станом на тепер «сіра зона», у якій бізнес використовував російське ПЗ під виглядом європейських альтернатив, офіційно ліквідована.


1. Правовий фундамент: Хто вже поза законом?

Згідно з Постановою КМУ № 1335 від 22.10.2025, Держспецзв’язку оприлюднило перелік ПЗ, що створює загрозу національній безпеці. До нього увійшли не лише класичні продукти 1С, а й уся лінійка BAS та UA-Бюджет. Держава офіційно визнала: зміна назви не змінює архітектури коду та фінансового сліду, що веде до країни-агресора.

Для кого заборона є імперативною:
  • Держоргани та військові формування.
  • Державні та комунальні підприємства.
  • Оператори об’єктів критичної інфраструктури (зокрема приватні енергетичні, логістичні та медичні компанії).

Для приватного сектора перелік поки має статус «червоного прапорця», проте зареєстрований Законопроєкт № 13505 уже готує підґрунтя для штрафів у розмірі 2% від річного обороту (санкційний блок заплановано на 2030 рік, але обмеження на використання впроваджуються поетапно вже нині).


2. Ризик для приватного бізнесу: 

Хоча станом на травень 2026 року пряма адміністративна відповідальність для комерційних компаній (що не є об’єктами критичної інфраструктури) перебуває на стадії законодавчого впровадження, приватний бізнес уже зіткнувся з низкою бар’єрів. Використання підсанкційного ПЗ перетворилося з технічного питання на стратегічний ризик.
  • Ефект «токсичного контрагента»
Навіть якщо держава не штрафує приватний бізнес напряму, вона створює умови, за яких приватна компанія, яка використовує підсанкційне ПЗ стає небажаним партнером. Можливі наступні негативні сценарії:

•    Блокування держзакупівель: Згідно з оновленими вимогами Prozorro, учасники тендерів повинні підтверджувати використання ПЗ, що не входить до санкційних переліків. Наявність BAS у вашому бек-офісі — це автоматична дискваліфікація.
•    Відмова великих партнерів: Корпорації, що дбають про власний комплаєнс, у 2026 році вимагають від постачальників «цифрової чистоти». Співпраця з фірмою, яка використовує ПЗ країни-агресора, розцінюється як репутаційний ризик.

  • Банківський комплаєнс та фінансовий моніторинг
Банківська система України у 2026 році працює в режимі «нульової толерантності» до підсанкційних продуктів.

•    Ризик блокування платежів: Оплата послуг програмістів або фірм-інтеграторів, що займаються «підтримкою» ПЗ країни агресора, маркується як ризикована операція.
•    Зниження кредитного рейтингу: При проведенні щорічного перегляду клієнта (KYC), банки враховують технологічні ризики. Використання непідтримуваного та підсанкційного софту знижує шанси на отримання кредитів чи овердрафтів.

  • Технологічна деградація та помилки обліку
Офіційні оновлення для програм з країни агресора заблоковані. Це створює пряму загрозу для бухгалтерії:

•    Невідповідність законодавству: Будь-які зміни у формах податкових накладних, звітності чи ставках податків у 2026 році доводиться вносити «вручну» або через неофіційні патчі. Це неминуче призводить до помилок, за які ДПС нараховує цілком реальні штрафи.
•    Відсутність інтеграцій: Сучасні українські сервіси (ПРРО, системи Електронного документообігу, банківські API) масово відмовляються від підтримки протоколів обміну цих програм. Бізнес опиняється в ізоляції, втрачаючи можливість автоматизації.

  • Репутаційні ризики та HR-бренд
Для сучасного ринку праці 2026 року робота в 1С є ознакою «архаїчності» компанії.

•    Кадровий голод: Кваліфіковані бухгалтери та фінансові директори все частіше відмовляються працювати в компаніях, які ігнорують санкційне законодавство, побоюючись за свою професійну репутацію та майбутнє.
•    Етичний вибір: В суспільстві сформовано чіткий запит на повний розрив з продуктами агресора. Продовження використання ПЗ може стати причиною публічних скандалів і бойкоту з боку клієнтів.

  • Ризик «екстреного переходу»
Це, мабуть, найбільша проблема. Бізнес, який чекає до останнього (наприклад, до остаточного ухвалення штрафів у 2% від обороту), ризикує опинитися в ситуації, коли міграцію доведеться робити за тиждень.

•    Наслідок: Втрата даних, зупинка відвантажень, колосальні витрати на термінове впровадження нової системи і стрес, який може паралізувати роботу на місяці.


Проблема не в тому, що прийде перевірка і оштрафує. Проблема в тому, що бізнес на підсанкційному ПЗ стає неконкурентоспроможним, вразливим та ізольованим від сучасної економічної системи України. Витрати на міграцію сьогодні — це ціна виживання завтра.


3. Що робити бізнесу: Дорожня карта і документи

Для приватного бізнесу, який ще не потрапив під прямі санкції, 2026 рік — це час «обкластися паперами» та розпочати планову міграцію.

Крок 1. Легалізація процесу
Видайте Наказ про проведення аудиту інформаційних систем. Це головний доказ для податкової та банківського комплаєнсу, що компанія діє доброчесно і готується до змін.

Крок 2. Технічна консервація
Зафіксуйте стан справ Актом інвентаризації ПЗ. Усі старі бази 1С/BAS мають бути переведені в режим “Read-only” (тільки для читання). Видайте Наказ про переведення ПЗ в архівний статус — це юридично розмежовує заборонене використання і обов’язкове зберігання податкових даних.

Крок 3. Вибір і впровадження альтернативи
Сформуйте Протокол вибору програмного продукту (наприклад, перехід на хмарний Dilovod, MASTER чи Odoo). У документі зафіксуйте, що обране ПЗ відповідає вимогам кібербезпеки і не входить до чорних списків.

Крок 4. Робота з партнерами
Підготуйте Comfort Letter (лист-роз’яснення) для банків і контрагентів. У ньому чітко зазначте, що „Компанія перебуває в процесі міграції. Використання підсанкційного ПЗ обмежене архівними цілями. Операційна діяльність переводиться на нове ПЗ“.
 
Інфографіка з чотирма кроками процесу: легалізація процесу, технічна консервація, вибір і впровадження альтернативи, робота з партнерами, представлена у вигляді послідовної схеми

Таким чином, станом на травень 2026 року 1С та BAS офіційно визнані компрометованими технологіями. Для приватного бізнесу відсутність миттєвих штрафів — це не привід для розслаблення, а шанс провести міграцію без зупинки процесів. Виконання вищеописаних кроків дозволить вам не лише захиститися від майбутніх перевірок, а й забезпечити стабільність бізнесу в новому цифровому правовому полі України.

Якщо ви плануєте міграцію або вже отримуєте запити від банків / контрагентів, доцільно провести інвентаризацію ПЗ та оцінку комплаєнс- і кіберризиків, а також підготувати пакет документів для підтвердження контрольованого переходу. Команда BDO в Україні завжди готова допомогти з послугами у сфері ІТ-аудиту.

 

ЗВ'ЯЗАТИСЯ З НАМИOpens in a new window/tab

Ключові висновки матеріалу:

  • Офіційні переліки забороненого до використання ПЗ встановлюють нові вимоги до кібербезпеки та комплаєнсу для державного сектора й ринку загалом.
  • Для приватних компаній ризики проявляються насамперед через взаємодію з контрагентами, банками та участь в публічних закупівлях, навіть до появи прямих штрафів.
  • Найкраща стратегія — зафіксувати поточний стан ІТ-систем, формалізувати обмеження використання ризикового ПЗ і підготувати план контрольованої міграції.
  • Завчасні дії зменшують імовірність операційних збоїв, юридичних претензій та репутаційних втрат, а також спрощують комунікацію з банками й партнерами.

Підписатись на розсилку від BDO в Україні.

ПІДПИСАТИСЬOpens in a new window/tab