Sanciones UE por ciberataques 2026: qué deben hacer empresas y bancos

Datos clave

Las empresas europeas tienen una nueva obligación de cumplimiento desde el 16 de marzo de 2026: el Reglamento de Ejecución (UE) 2026/589 actualiza el listado de personas y entidades sancionadas en el marco del Reglamento (UE) 2019/796, el instrumento europeo de sanciones frente a ciberataques que amenazan a la UE o sus Estados miembros.

No se trata de una norma de ciberseguridad técnica. Es una norma de sanciones económicas: si tu empresa opera con alguno de los sujetos listados, estás incumpliendo el derecho europeo, con consecuencias legales inmediatas.

¿Qué establece esta normativa?

El Reglamento de Ejecución 2026/589 actualiza el listado de personas físicas y jurídicas sujetas a medidas restrictivas en virtud del Reglamento (UE) 2019/796. Este reglamento base es el marco sancionador europeo específico para ciberataques y lleva en vigor desde 2019.

Las medidas restrictivas que se aplican a los sujetos incluidos en la lista son tres:

• Congelación de activos: los fondos y recursos económicos de los designados quedan bloqueados.
• Prohibición de poner fondos a disposición: ninguna empresa o persona en la UE puede transferir, pagar ni facilitar recursos económicos a los listados.
• Restricciones de viaje: aplicables a las personas físicas incluidas en la lista.

La actualización de la lista mediante este reglamento de ejecución es el mecanismo habitual del Consejo de la UE para añadir nuevos responsables de ciberataques a medida que se identifican. Cada actualización tiene efecto inmediato desde su publicación.

Impacto económico y operativo

El impacto directo no es un coste regulatorio fijo: es un riesgo de responsabilidad legal. Las empresas que no actualicen sus procesos de verificación de contrapartes quedan expuestas a sanciones administrativas y penales según la legislación de cada Estado miembro donde operen.

El impacto operativo se concentra en tres áreas:

• Screening de contrapartes: las empresas deben incorporar la lista actualizada a sus herramientas de verificación de clientes, proveedores y socios. Esto es especialmente crítico en entidades financieras, que ya tienen obligaciones de cumplimiento en materia de sanciones internacionales.
• Revisión de contratos y relaciones comerciales activas: cualquier relación en curso con un sujeto que haya sido añadido a la lista debe interrumpirse de forma inmediata.
• Actualización de programas de cumplimiento normativo: los departamentos de compliance deben incorporar este reglamento a sus procedimientos de due diligence y revisión periódica.

Para proveedores tecnológicos con clientes o socios fuera de la UE, el riesgo es mayor, ya que los actores estatales y no estatales hostiles identificados en la lista pueden estar presentes en cadenas de suministro tecnológico internacionales.

¿A quién afecta?

• Entidades financieras: bancos, aseguradoras, gestoras de fondos y cualquier entidad sujeta a regulación financiera en la UE. Tienen la mayor exposición y, en muchos casos, ya disponen de sistemas de screening que deben actualizarse.
• Proveedores de servicios tecnológicos: empresas de software, infraestructura cloud, ciberseguridad, telecomunicaciones y cualquier proveedor TI con clientes o socios internacionales.
• Empresas con actividad internacional: cualquier empresa que opere fuera de la UE, importe, exporte o mantenga relaciones comerciales con terceros países, especialmente en zonas de riesgo geopolítico elevado.
• Departamentos de compliance y legal: responsables de mantener actualizados los programas de cumplimiento normativo en materia de sanciones internacionales.
• CFOs y directores financieros: responsables de autorizar pagos y transferencias que podrían estar prohibidos si la contraparte figura en la lista.

Ejemplo práctico

Una empresa española de software con clientes en Europa del Este mantiene un contrato de licencia con una empresa tecnológica extranjera. El 16 de marzo de 2026 entra en vigor el Reglamento 2026/589, que añade a esa empresa extranjera a la lista de sancionados por su vinculación con ciberataques contra infraestructuras europeas.

Desde ese mismo día, la empresa española tiene prohibido:

• Cobrar o pagar cualquier importe a esa empresa.
• Renovar o ejecutar el contrato de licencia.
• Poner a disposición cualquier recurso económico o tecnológico.

Si el departamento de compliance no ha actualizado su screening de contrapartes con la nueva lista y procesa un pago ese mes, la empresa incurre en responsabilidad legal en España, con independencia de que el incumplimiento fuera involuntario. La obligación de verificación es continua, no puntual.

¿Qué deben hacer las empresas ahora?

1. Actualizar inmediatamente el screening de contrapartes: incorporar la lista del Reglamento 2026/589 a las herramientas de verificación de clientes, proveedores y socios. La entrada en vigor fue el 16 de marzo de 2026, sin periodo transitorio.
2. Revisar relaciones comerciales activas: identificar si algún cliente, proveedor o socio actual figura en la lista actualizada. En caso afirmativo, interrumpir la relación y bloquear cualquier transacción pendiente.
3. Actualizar el programa de cumplimiento normativo: incluir el Reglamento (UE) 2019/796 y sus actualizaciones en los procedimientos de due diligence y revisión periódica de sanciones internacionales.
4. Formar a los equipos de compliance y finanzas: los responsables de autorizar pagos deben conocer la obligación de verificación previa a cualquier transacción con contrapartes internacionales.
5. Establecer un proceso de actualización continua: la lista de sancionados se actualiza periódicamente mediante nuevos reglamentos de ejecución. El proceso de screening debe ser continuo, no una revisión anual.
6. Consultar con asesor legal especializado en sanciones internacionales: especialmente para empresas con alta exposición internacional o cadenas de suministro tecnológico complejas, donde el riesgo de incumplimiento involuntario es mayor.