Sancions UE 2026 contra ciberataques: què han de verificar les empreses

Dades clau

Qualsevol empresa europea que operi amb contraparts internacionals té una nova obligació de compliment des de l'11 de maig de 2026: verificar que els seus socis comercials i financers no figuren a la llista actualitzada de sancionats pel Reglament d'Execució (UE) 2026/1078. No fer-ho no és un risc teòric: l'incompliment pot comportar conseqüències penals i administratives.

Aquest reglament aplica el marc sancionador del Reglament (UE) 2019/796, que la UE utilitza per respondre a ciberataques que amenacen la Unió o els seus Estats membres. La novetat d'aquest reglament d'execució és l'actualització del llistat de persones físiques i jurídiques subjectes a mesures restrictives.

Què estableix aquesta normativa?

El Reglament d'Execució (UE) 2026/1078 actualitza el llistat de persones i entitats sancionades en el marc del règim de cibersancions de la UE. Les mesures que s'apliquen als inclosos a la llista són dues:

• Congelació d'actius financers: els fons i recursos econòmics dels sancionats queden bloquejats.
• Prohibició de viatjar: els sancionats no poden entrar ni transitar pel territori de la Unió Europea.

Però l'obligació no recau només sobre els sancionats. Les empreses i ciutadans europeus tenen prohibit posar fons o recursos a disposició de qualsevol persona o entitat que figuri a la llista, directa o indirectament.

Això converteix la verificació de contraparts en una obligació activa per a qualsevol empresa amb activitat internacional, especialment en sectors amb major exposició a actors de risc.

Impacte econòmic i operatiu

L'impacte directe per a la majoria d'empreses no és una multa fixa: és el risc d'incórrer en sancions administratives o penals per operar, sense saber-ho, amb una contraparta inclosa a la llista. La gravetat d'aquestes sancions depèn de la legislació de cada Estat membre.

El cost operatiu real es tradueix en la necessitat d'implementar o reforçar processos de screening de contraparts: verificar abans de qualsevol operació financera o comercial que l'altra part no figura a cap llista de sancions de la UE, inclosa aquesta actualització.

Per a empreses del sector financer i tecnològic, aquest procés ja hauria d'estar integrat en els seus sistemes de compliment. Per a empreses industrials o comercials amb activitat en mercats de risc, pot suposar una revisió dels seus procediments interns.

El risc reputacional també és rellevant: ser identificat com a contraparta d'un actor sancionat per ciberataques pot tenir conseqüències que van més enllà de la sanció legal.

A qui afecta?

La normativa afecta de forma directa a:

• Sector financer: bancs, gestores, asseguradores i qualsevol entitat que realitzi transferències o gestioni actius amb contraparts internacionals.
• Sector tecnològic: empreses de software, ciberseguretat, infraestructures digitals i proveïdors de serveis cloud amb clients o socis fora de la UE.
• Empreses amb activitat comercial internacional: qualsevol empresa que compri, vengui o col·labori amb entitats en mercats on operen els actors sancionats.
• Assessors i consultores: firmes que gestionin relacions comercials o financeres en nom de tercers han de verificar que els seus clients no operen amb sancionats.
• CFOs i directors financers: responsables d'aprovar pagaments i transferències internacionals que han de garantir el compliment abans d'executar qualsevol operació.

Exemple pràctic

Una empresa tecnològica espanyola contracta els serveis d'una firma de desenvolupament de software amb seu fora de la UE. Abans de formalitzar el contracte i realitzar el primer pagament, el departament de compliment ha de verificar que aquesta firma —i els seus titulars reals— no figuren a la llista de sancionats del Reglament (UE) 2026/1078.

Si la verificació no es realitza i la contraparta està inclosa a la llista, l'empresa espanyola haurà posat fons a disposició d'un sancionat. Això constitueix un incompliment del Reglament (UE) 2019/796 i pot derivar en sancions administratives o penals segons la legislació espanyola aplicable, independentment de si l'empresa coneixia o no la situació de la contraparta.

La verificació ha de repetir-se també per a relacions comercials ja existents: un soci que no estava sancionat ahir pot estarlo avui després d'una actualització de la llista com la que introdueix aquest reglament.

Què han de fer les empreses ara?

1. Revisar la llista actualitzada de sancionats: accedir al text complet del Reglament d'Execució (UE) 2026/1078 a EUR-Lex i comprovar si alguna contraparta actual figura al llistat.
2. Verificar totes les contraparts internacionals actives: no només les noves relacions, sinó també els socis, proveïdors i clients existents amb activitat fora de la UE.
3. Actualitzar els processos de screening: si no existeix un procediment formal de verificació de sancions, implementar-lo. Si existeix, assegurar-se que inclou les llistes de la UE i s'actualitza amb cada nou reglament d'execució.
4. Formar l'equip de compres, finances i compliment: les persones que aproven pagaments i contractes internacionals han de conèixer aquesta obligació i el procediment de verificació.
5. Documentar les verificacions realitzades: en cas d'inspecció o investigació, l'empresa ha de poder acreditar que va realitzar les comprovacions necessàries abans de cada operació.
6. Consultar amb assessoria legal especialitzada: si existeix incertesa sobre alguna contraparta o sobre l'abast de les obligacions, buscar assessorament abans d'executar l'operació.