Sancions UE per ciberataques 2026: què han de verificar les empreses

Dades clau

Operar amb una contraparta sancionada pot convertir-se en un problema legal greu d'un dia per a l'altre. La Decisió (PESC) 2026/1079, publicada el 12 de maig de 2026 i en vigor des del 11 de maig, modifica el règim sancionador europeu establert el 2019 per respondre a ciberataques que amenacin la UE o els seus Estats membres.

El marc original, la Decisió (PESC) 2019/797, ja establia mesures restrictives contra persones físiques i jurídiques vinculades a ciberataques significatius. Aquesta modificació pot ampliar la llista de subjectes sancionats, actualitzar els criteris de designació o reforçar els mecanismes d'aplicació. L'obligació de compliment recau sobre tots els operadors econòmics de la UE, sense excepció.

Què estableix aquesta normativa?

La Decisió (PESC) 2026/1079 modifica el règim sancionador de la UE en matèria de ciberataques significatius. Les mesures restrictives que pot imposar la UE són de dos tipus:

• Congelació d'actius de persones físiques i jurídiques designades com a responsables o còmplices de ciberataques significatius contra la UE o els seus Estats membres.
• Prohibició d'entrada al territori de la UE per a les persones físiques incloses a la llista de designats.

Aquesta decisió modifica la Decisió (PESC) 2019/797, que va establir el marc original de sancions en matèria de ciberseguretat. La modificació de 2026 pot implicar:

• Ampliació de la llista de persones físiques i jurídiques sancionades.
• Actualització dels criteris que determinen qui pot ser designat.
• Reforç dels mecanismes d'aplicació i control.

El compliment d'aquestes mesures és obligatori per a tots els operadors econòmics de la UE. L'incompliment es sanciona amb mesures penals o administratives, la gravetat concreta de les quals depèn de la legislació de cada Estat membre.

Impacte econòmic i operatiu

L'impacte directe d'aquesta normativa no és una taxa ni un cost fix: és el risc d'operar amb una entitat sancionada sense saber-ho. Les conseqüències operatives i econòmiques són concretes:

• Bloqueig d'operacions: qualsevol transacció amb una entitat designada queda automàticament prohibida. Això pot paralitzar projectes tecnològics, contractes de serveis o relacions amb proveïdors de ciberseguretat.
• Sancions penals o administratives: l'incompliment no és una infracció menor. Cada Estat membre determina la gravetat de les sancions, que poden incloure multes significatives o responsabilitat penal per als directius.
• Risc reputacional: ser identificat com a operador que ha incomplert sancions UE té conseqüències que van més enllà de la multa: afecta a licitacions públiques, relacions bancàries i contractes amb grans clients.
• Cost de compliment: les empreses han d'implementar o reforçar processos de verificació de contraparts (screening) contra llistes de sancions actualitzades, la qual cosa implica inversió en eines o serveis especialitzats.

A qui afecta?

L'obligació de compliment és universal per a operadors de la UE, però el risc és especialment elevat per a:

• Empreses tecnològiques que treballen amb proveïdors, socis o clients internacionals en l'àmbit del software, hardware, telecomunicacions o ciberseguretat.
• Entitats financeres (bancs, asseguradores, gestores de fons) que han d'aplicar controls de sancions en els seus processos d'onboarding i transaccions.
• Empreses de ciberseguretat que presten serveis a clients o treballen amb subcontractistes que podrien estar a llistes de designats.
• Qualsevol operador econòmic de la UE amb relacions comercials internacionals, especialment amb contraparts en jurisdiccions d'alt risc cibernètic.
• Assessors legals i compliance officers responsables dels programes de compliment normatiu de les seves organitzacions.

Exemple pràctic

Una empresa espanyola de ciberseguretat contracta a un proveïdor de software d'anàlisi de vulnerabilitats amb seu fora de la UE. Després de l'entrada en vigor de la Decisió (PESC) 2026/1079, aquest proveïdor és afegit a la llista de designats per la seva presumpta vinculació amb ciberataques significatius contra infraestructures europees.

A partir d'aquest moment, l'empresa espanyola té prohibit realitzar qualsevol pagament a aquest proveïdor i ha de suspendre el contracte de manera immediata. Si continua operant amb ell sense verificar les llistes actualitzades, incorre en incompliment de sancions UE, amb les conseqüències penals o administratives que estableixi la legislació espanyola.

Aquest escenari il·lustra per què el screening periòdic de contraparts no és una formalitat, sinó una obligació amb conseqüències reals. No n'hi ha prou amb verificar al començament de la relació comercial: les llistes de designats s'actualitzen, i la responsabilitat de mantenir-se al dia recau sobre l'operador.

Què han de fer les empreses ara?

1. Revisar l'inventari de contraparts: identificar tots els proveïdors, clients i socis comercials que operin en sectors tecnològics o de ciberseguretat, especialment fora de la UE.
2. Verificar contraparts contra la llista de designats: consultar la llista oficial de sancions de la UE al portal de sancions de la Comissió Europea i al Diari Oficial de la UE per comprovar que cap contraparta figura com a designada.
3. Implementar un procés de screening periòdic: la verificació no és un tràmit puntual. Les llistes s'actualitzen amb cada nova decisió del Consell. Establir revisions periòdiques o contractar eines de monitorització automatitzada.
4. Actualitzar els contractes: incloure clàusules de compliment de sancions que permetin suspendre o resoldre contractes si una contraparta és designada, sense penalització per a l'empresa.
5. Formar l'equip de compliance i compres: assegurar-se que les persones que gestionen relacions amb proveïdors i clients coneixen les obligacions derivades d'aquest règim de sancions i saben com actuar davant una alerta.
6. Consultar amb assessoria legal especialitzada: si existeix incertesa sobre l'estatus de qualsevol contraparta o sobre les obligacions concretes a Espanya, acudir a un professional qualificat abans que el problema es materialitzi.