Sancions UE per ciberataques 2026: què han de fer empreses i bancs

Dades clau

Les empreses europees tenen una nova obligació de compliment des del 16 de març de 2026: el Reglament d'Execució (UE) 2026/589 actualitza el llistat de persones i entitats sancionades en el marc del Reglament (UE) 2019/796, l'instrument europeu de sancions davant ciberataques que amenacen la UE o els seus Estats membres.

No es tracta d'una norma de ciberseguretat tècnica. És una norma de sancions econòmiques: si la teva empresa opera amb algun dels subjectes llistats, estàs incomplint el dret europeu, amb conseqüències legals immediates.

Què estableix aquesta normativa?

El Reglament d'Execució 2026/589 actualitza el llistat de persones físiques i jurídiques subjectes a mesures restrictives en virtut del Reglament (UE) 2019/796. Aquest reglament base és el marc sancionador europeu específic per a ciberataques i porta en vigor des de 2019.

Les mesures restrictives que s'apliquen als subjectes inclosos a la llista són tres:

• Congelació d'actius: els fons i recursos econòmics dels designats queden bloquejats.
• Prohibició de posar fons a disposició: cap empresa o persona a la UE pot transferir, pagar ni facilitar recursos econòmics als llistats.
• Restriccions de viatge: aplicables a les persones físiques incloses a la llista.

L'actualització de la llista mitjançant aquest reglament d'execució és el mecanisme habitual del Consell de la UE per afegir nous responsables de ciberataques a mesura que es identifiquen. Cada actualització té efecte immediat des de la seva publicació.

Impacte econòmic i operatiu

L'impacte directe no és un cost regulatori fix: és un risc de responsabilitat legal. Les empreses que no actualitzin els seus processos de verificació de contraparts queden exposades a sancions administratives i penals segons la legislació de cada Estat membre on operin.

L'impacte operatiu es concentra en tres àrees:

• Screening de contraparts: les empreses han d'incorporar la llista actualitzada a les seves eines de verificació de clients, proveïdors i socis. Això és especialment crític en entitats financeres, que ja tenen obligacions de compliment en matèria de sancions internacionals.
• Revisió de contractes i relacions comercials actives: qualsevol relació en curs amb un subjecte que hagi estat afegit a la llista ha d'interrompre's de forma immediata.
• Actualització de programes de compliment normatiu: els departaments de compliance han d'incorporar aquest reglament als seus procediments de due diligence i revisió periòdica.

Per a proveïdors tecnològics amb clients o socis fora de la UE, el risc és major, ja que els actors estatals i no estatals hostils identificats a la llista poden estar presents en cadenes de subministrament tecnològic internacionals.

A qui afecta?

• Entitats financeres: bancs, asseguradores, gestores de fons i qualsevol entitat subjecta a regulació financera a la UE. Tenen la major exposició i, en molts casos, ja disposen de sistemes de screening que han d'actualitzar-se.
• Proveïdors de serveis tecnològics: empreses de software, infraestructura cloud, ciberseguretat, telecomunicacions i qualsevol proveïdor TI amb clients o socis internacionals.
• Empreses amb activitat internacional: qualsevol empresa que operi fora de la UE, importi, exporti o mantingui relacions comercials amb tercers països, especialment en zones de risc geopolític elevat.
• Departaments de compliance i legal: responsables de mantenir actualitzats els programes de compliment normatiu en matèria de sancions internacionals.
• CFOs i directors financers: responsables d'autoritzar pagaments i transferències que podrien estar prohibits si la contraparte figura a la llista.

Exemple pràctic

Una empresa espanyola de software amb clients a Europa de l'Est manté un contracte de llicència amb una empresa tecnològica estrangera. El 16 de març de 2026 entra en vigor el Reglament 2026/589, que afegeix a aquesta empresa estrangera a la llista de sancionats per la seva vinculació amb ciberataques contra infraestructures europees.

Des d'aquest mateix dia, l'empresa espanyola té prohibit:

• Cobrar o pagar qualsevol import a aquesta empresa.
• Renovar o executar el contracte de llicència.
• Posar a disposició qualsevol recurs econòmic o tecnològic.

Si el departament de compliance no ha actualitzat el seu screening de contraparts amb la nova llista i processa un pagament aquest mes, l'empresa incorre en responsabilitat legal a Espanya, amb independència que l'incompliment fos involuntari. L'obligació de verificació és contínua, no puntual.

Què han de fer les empreses ara?

1. Actualitzar immediatament el screening de contraparts: incorporar la llista del Reglament 2026/589 a les eines de verificació de clients, proveïdors i socis. L'entrada en vigor va ser el 16 de març de 2026, sense període transitori.
2. Revisar relacions comercials actives: identificar si algun client, proveïdor o soci actual figura a la llista actualitzada. En cas afirmatiu, interrompre la relació i bloquejar qualsevol transacció pendent.
3. Actualitzar el programa de compliment normatiu: incloure el Reglament (UE) 2019/796 i les seves actualitzacions en els procediments de due diligence i revisió periòdica de sancions internacionals.
4. Formar els equips de compliance i finances: els responsables d'autoritzar pagaments han de conèixer l'obligació de verificació prèvia a qualsevol transacció amb contraparts internacionals.
5. Establir un procés d'actualització contínua: la llista de sancionats s'actualitza periòdicament mitjançant nous reglaments d'execució. El procés de screening ha de ser continu, no una revisió anual.
6. Consultar amb assessor legal especialitzat en sancions internacionals: especialment per a empreses amb alta exposició internacional o cadenes de subministrament tecnològic complexes, on el risc d'incompliment involuntari és major.