Normativa Europea

Sancions UE per ciberataques 2026: què han de verificar les empreses

E
Equipo Editorial CambiosLegales
14 Jul 2026 7 min 11 visites

Dades clau

NormativaReglament d'Execució (UE) 2026/1714 del Consell, de 13 de juliol de 2026
Base jurídicaReglament (UE) 2019/796 sobre mesures restrictives contra ciberataques
Publicació13 de juliol de 2026
Entrada en vigor13 de juliol de 2026 (aplicació immediata)
AfectatsEmpreses i ciutadans amb vincles financers o comercials amb els sancionats
Sancions aplicadesCongelació d'actius financers i prohibició de viatjar a la UE
CategoriaNormativa Europea — aplicació directa en tots els Estats membres
Referència CELEX32026R1714
Anàlisi d'impacte reservada per a subscriptors
L'anàlisi detallada de l'impacte d'aquesta normativa està disponible amb els plans PRO i Business. Accedeix al contingut complet i rep alertes personalitzades.
Des de 9,99 €/mes · Cancel·la quan vulguis

Si la teva empresa opera amb contrapartes internacionals —proveïdors, clients, socis financers, intermediaris— i alguna d'elles figura a la llista actualitzada pel Reglament d'Execució (UE) 2026/1714, estàs en risc d'incompliment des del mateix dia de la seva publicació: el 13 de juliol de 2026.

Aquest reglament no crea un règim nou: actualitza el llistat de persones físiques i jurídiques subjectes a mesures restrictives en aplicació del Reglament (UE) 2019/796, que va establir el marc sancionador europeu davant ciberataques que amenacen la UE o els seus Estats membres. El que canvia ara és qui està a aquesta llista.

Què estableix aquesta normativa?

El Reglament d'Execució (UE) 2026/1714 actualitza el llistat oficial de persones i entitats subjectes a mesures restrictives per la seva implicació en ciberataques contra la Unió Europea o els seus Estats membres. Les mesures concretes que s'apliquen als sancionats són dues:

  • Congelació d'actius financers: tots els fons i recursos econòmics dels sancionats queden bloquejats.
  • Prohibició d'entrada i trànsit pel territori de la Unió Europea.

Per a les empreses i ciutadans europeus, la norma estableix una obligació clara: està prohibit posar fons o recursos a disposició dels sancionats, ja sigui de forma directa o indirecta. Això inclou pagaments, transferències, accés a serveis financers, subministrament de béns o qualsevol altre tipus de suport econòmic.

Al tractar-se d'un Reglament d'Execució, la seva aplicació és directa i immediata en tots els Estats membres sense necessitat de cap llei nacional de transposició. Va entrar en vigor el mateix dia de la seva publicació.

Impacte econòmic i operatiu

L'impacte per a les empreses no és abstracte: operar amb una contraparta sancionada pot tenir conseqüències econòmiques i legals molt concretes.

  • Sancions penals o administratives segons la legislació de cada Estat membre espanyol. A Espanya, l'incompliment de mesures restrictives de la UE pot constituir un delicte contra la comunitat internacional.
  • Bloqueig d'operacions en curs: qualsevol pagament, transferència o entrega de béns a un sancionat queda automàticament prohibida des de la data de publicació de la llista actualitzada.
  • Risc reputacional: les entitats financeres i auditores realitzen controls de compliment sobre els seus clients. Operar amb sancionats pot activar alertes en les teves pròpies relacions bancàries.
  • Cost operatiu de verificació: les empreses amb activitat internacional han d'incorporar processos de screening de contrapartes contra llistes de sancions, la qual cosa implica temps, eines o serveis especialitzats.

El risc no es limita a les empreses amb activitat en sectors tecnològics o de ciberseguretat. Qualsevol empresa —importadora, exportadora, amb proveïdors internacionals o amb inversions en tercers països— pot tenir sense saber-ho una relació comercial amb un sancionat.

A qui afecta?

  • Empreses amb cadenes de subministrament internacionals que incloguin proveïdors o intermediaris fora de la UE.
  • Entitats financeres i de pagament que processin transferències internacionals.
  • Empreses tecnològiques i de ciberseguretat amb clients o socis en mercats d'alt risc.
  • Importadors i exportadors amb contrapartes en països amb presència d'actors sancionats.
  • Fons d'inversió i gestores d'actius amb posicions en empreses o vehicles que puguin estar vinculats a sancionats.
  • Assessors, consultores i despatxos que prestin serveis a entitats internacionals.
  • Ciutadans europeus amb relacions econòmiques personals amb els sancionats.

Exemple pràctic

Una empresa espanyola de software contracta a un proveïdor de serveis d'infraestructura cloud amb seu en un tercer país. El 13 de juliol de 2026, el Reglament (UE) 2026/1714 actualitza la llista de sancionats i inclou a aquesta empresa proveedora per la seva vinculació amb un ciberatac contra infraestructures crítiques europees.

Des d'aquest mateix dia, l'empresa espanyola té prohibit realitzar qualsevol pagament o transferir recursos a aquest proveïdor. Si ho fa —encara que sigui per liquidar factures anteriors a la sanció— incorre en un incompliment del Reglament. Les conseqüències depenen de la legislació espanyola aplicable, però poden incloure sancions administratives greus o fins i tot responsabilitat penal.

La clau és que l'empresa espanyola no rep cap notificació individual: és la seva responsabilitat consultar i monitoritzar la llista oficial de sancionats publicada al Diari Oficial de la UE.

Necessites fer seguiment d'aquesta i altres normatives?

Consulta el detall complet a CambiosLegales

Què han de fer les empreses ara?

  1. Consultar la llista oficial de sancionats actualitzada al Diari Oficial de la UE per verificar si alguna de les teves contrapartes actuals figura en ella. La llista és pública i gratuïta.
  2. Revisar totes les relacions comercials i financeres internacionals actives: proveïdors, clients, socis, intermediaris i qualsevol entitat a la qual es transfereixin fons o recursos.
  3. Suspendre de manera immediata qualsevol operació amb contrapartes identificades com a sancionades, inclosos pagaments pendents, entreges de béns o prestació de serveis.
  4. Implementar un procés de screening periòdic de contrapartes contra llistes de sancions de la UE. Les llistes s'actualitzen sense avís previ: una contraparta que avui no està sancionada pot estarlo demà.
  5. Documentar les verificacions realitzades per acreditar diligència deguda en cas d'inspecció o investigació.
  6. Consultar amb assessoria legal especialitzada en compliance internacional si tens dubtes sobre operacions en curs o si detectes alguna contraparta potencialment afectada.

L'incompliment de les mesures restrictives establertes al Reglament (UE) 2019/796 i els seus reglaments d'execució pot comportar sancions penals o administratives segons la legislació de cada Estat membre. A Espanya, la normativa de control de comerç exterior i les disposicions penals aplicables poden activar-se davant infraccions d'aquest tipus.

Preguntes freqüents

On puc consultar la llista actualitzada de sancionats per ciberataques de la UE?

La llista oficial es publica al Diari Oficial de la Unió Europea, en el text del Reglament d'Execució (UE) 2026/1714 (CELEX:32026R1714). També pot consultar-se a través de l'eina de sancions financeres de la UE (EU Sanctions Map), disponible al portal de la Comissió Europea. La llista s'actualitza mitjançant nous reglaments d'execució sense avís previ.

Què passa si la meva empresa ha realitzat pagaments a una contraparta que acaba de ser sancionada?

Si els pagaments es van realitzar abans de la data de publicació del reglament que inclou a aquesta contraparta a la llista (en aquest cas, el 13 de juliol de 2026), en principi no existeix infracció. Tanmateix, qualsevol operació posterior a aquesta data està prohibida. Si tens dubtes sobre operacions en curs o pagaments pendents, has de suspendre'ls i consultar amb assessoria legal especialitzada en compliance internacional.

Quan va entrar en vigor el Reglament (UE) 2026/1714 i hi ha termini d'adaptació?

El Reglament d'Execució (UE) 2026/1714 va entrar en vigor el mateix dia de la seva publicació: el 13 de juliol de 2026. No existeix cap període d'adaptació o vacatio legis. Al ser un Reglament d'Execució de la UE, la seva aplicació és directa i immediata en tots els Estats membres sense necessitat de transposició nacional.

Quines sancions concretes aplica la UE als responsables de ciberataques?

El Reglament (UE) 2026/1714 aplica dos tipus de mesures restrictives: (1) congelació d'actius financers de les persones i entitats incloses a la llista, i (2) prohibició de viatjar o transitar pel territori de la UE. A més, els ciutadans i empreses europeus tenen prohibit posar fons o recursos a disposició dels sancionats.

Quines conseqüències té per a una empresa espanyola operar amb un sancionat?

L'incompliment pot comportar sancions penals o administratives segons la legislació espanyola aplicable. A Espanya, les infraccions de mesures restrictives de la UE poden estar tipificades com a delictes contra la comunitat internacional o infraccions greus en matèria de control de comerç exterior. A més, les entitats financeres amb les quals operi la teva empresa poden bloquejar operacions si detecten vincles amb sancionats.

Font oficial

Consultar normativa completa en font oficial

Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulti a un professional qualificat. Font: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=CELEX:32026R1714



Compartir:
E
Equipo Editorial CambiosLegales

El equipo editorial de CambiosLegales analiza diariamente los cambios normativos que afectan a empresas y autónomos en España, ofreciendo análisis pro...

Comentaris

No hi ha comentaris encara. Sigues el primer a comentar!

Deixa un comentari
Activar alertes