Datos clave
| Normativa | Reglamento de Ejecución (UE) 2026/1078 del Consejo, de 11 de mayo de 2026 |
|---|---|
| Referencia | CELEX:32026R1078 |
| Publicación | 12 de mayo de 2026 |
| Entrada en vigor | 11 de mayo de 2026 |
| Norma base | Reglamento (UE) 2019/796 |
| Afectados | Empresas y personas con vínculos financieros o comerciales con los actores sancionados |
| Categoría | Normativa Europea |
| Medidas aplicadas | Congelación de activos financieros y prohibición de entrada al territorio UE |
Cualquier empresa europea que opere con contrapartes internacionales tiene una nueva obligación de cumplimiento desde el 11 de mayo de 2026: verificar que sus socios comerciales y financieros no figuran en la lista actualizada de sancionados por el Reglamento de Ejecución (UE) 2026/1078. No hacerlo no es un riesgo teórico: el incumplimiento puede acarrear consecuencias penales y administrativas.
Este reglamento aplica el marco sancionador del Reglamento (UE) 2019/796, que la UE usa para responder a ciberataques que amenazan a la Unión o a sus Estados miembros. La novedad de este reglamento de ejecución es la actualización del listado de personas físicas y jurídicas sujetas a medidas restrictivas.
¿Qué establece esta normativa?
El Reglamento de Ejecución (UE) 2026/1078 actualiza el listado de personas y entidades sancionadas en el marco del régimen de cibersanciones de la UE. Las medidas que se aplican a los incluidos en la lista son dos:
- Congelación de activos financieros: los fondos y recursos económicos de los sancionados quedan bloqueados.
- Prohibición de viajar: los sancionados no pueden entrar ni transitar por el territorio de la Unión Europea.
Pero la obligación no recae solo sobre los sancionados. Las empresas y ciudadanos europeos tienen prohibido poner fondos o recursos a disposición de cualquier persona o entidad que figure en la lista, directa o indirectamente.
Esto convierte la verificación de contrapartes en una obligación activa para cualquier empresa con actividad internacional, especialmente en sectores con mayor exposición a actores de riesgo.
| Medida | A quién se aplica | Obligación para empresas europeas |
|---|---|---|
| Congelación de activos | Personas y entidades en la lista de sancionados | Prohibido transferir fondos o recursos a los sancionados |
| Prohibición de entrada a la UE | Personas físicas sancionadas | No facilitar ni colaborar con su presencia en territorio UE |
Impacto económico y operativo
El impacto directo para la mayoría de empresas no es una multa fija: es el riesgo de incurrir en sanciones administrativas o penales por operar, sin saberlo, con una contraparte incluida en la lista. La gravedad de esas sanciones depende de la legislación de cada Estado miembro.
El coste operativo real se traduce en la necesidad de implementar o reforzar procesos de screening de contrapartes: verificar antes de cualquier operación financiera o comercial que la otra parte no figura en ninguna lista de sanciones de la UE, incluyendo esta actualización.
Para empresas del sector financiero y tecnológico, este proceso ya debería estar integrado en sus sistemas de cumplimiento. Para empresas industriales o comerciales con actividad en mercados de riesgo, puede suponer una revisión de sus procedimientos internos.
El riesgo reputacional también es relevante: ser identificado como contraparte de un actor sancionado por ciberataques puede tener consecuencias que van más allá de la sanción legal.
¿A quién afecta?
La normativa afecta de forma directa a:
- Sector financiero: bancos, gestoras, aseguradoras y cualquier entidad que realice transferencias o gestione activos con contrapartes internacionales.
- Sector tecnológico: empresas de software, ciberseguridad, infraestructuras digitales y proveedores de servicios cloud con clientes o socios fuera de la UE.
- Empresas con actividad comercial internacional: cualquier empresa que compre, venda o colabore con entidades en mercados donde operan los actores sancionados.
- Asesores y consultoras: firmas que gestionen relaciones comerciales o financieras en nombre de terceros deben verificar que sus clientes no operan con sancionados.
- CFOs y directores financieros: responsables de aprobar pagos y transferencias internacionales que deben garantizar el cumplimiento antes de ejecutar cualquier operación.
Ejemplo práctico
Una empresa tecnológica española contrata los servicios de una firma de desarrollo de software con sede fuera de la UE. Antes de formalizar el contrato y realizar el primer pago, el departamento de cumplimiento debe verificar que esa firma —y sus titulares reales— no figuran en la lista de sancionados del Reglamento (UE) 2026/1078.
Si la verificación no se realiza y la contraparte está incluida en la lista, la empresa española habrá puesto fondos a disposición de un sancionado. Esto constituye un incumplimiento del Reglamento (UE) 2019/796 y puede derivar en sanciones administrativas o penales según la legislación española aplicable, independientemente de si la empresa conocía o no la situación de la contraparte.
La verificación debe repetirse también para relaciones comerciales ya existentes: un socio que no estaba sancionado ayer puede estarlo hoy tras una actualización de la lista como la que introduce este reglamento.
¿Qué deben hacer las empresas ahora?
- Revisar la lista actualizada de sancionados: acceder al texto completo del Reglamento de Ejecución (UE) 2026/1078 en EUR-Lex y comprobar si alguna contraparte actual figura en el listado.
- Verificar todas las contrapartes internacionales activas: no solo las nuevas relaciones, sino también los socios, proveedores y clientes existentes con actividad fuera de la UE.
- Actualizar los procesos de screening: si no existe un procedimiento formal de verificación de sanciones, implementarlo. Si existe, asegurarse de que incluye las listas de la UE y se actualiza con cada nuevo reglamento de ejecución.
- Formar al equipo de compras, finanzas y cumplimiento: las personas que aprueban pagos y contratos internacionales deben conocer esta obligación y el procedimiento de verificación.
- Documentar las verificaciones realizadas: en caso de inspección o investigación, la empresa debe poder acreditar que realizó las comprobaciones necesarias antes de cada operación.
- Consultar con asesoría legal especializada: si existe incertidumbre sobre alguna contraparte o sobre el alcance de las obligaciones, buscar asesoramiento antes de ejecutar la operación.
Preguntas frecuentes
¿Qué pasa si mi empresa tiene relación comercial con alguien en la lista de sancionados por ciberataques?
Tu empresa incumple el Reglamento (UE) 2019/796. Está prohibido poner fondos o recursos a disposición de los sancionados. El incumplimiento puede acarrear sanciones administrativas y penales según la legislación de cada Estado miembro.
¿Cuándo entra en vigor el nuevo listado de sancionados por ciberataques de la UE?
El Reglamento de Ejecución (UE) 2026/1078 entró en vigor el 11 de mayo de 2026, un día antes de su publicación oficial el 12 de mayo de 2026.
¿Qué medidas concretas implican las sanciones del Reglamento (UE) 2026/1078?
Las sanciones incluyen dos medidas: congelación de activos financieros de los sancionados y prohibición de viajar al territorio de la Unión Europea. Además, las empresas y ciudadanos europeos tienen prohibido poner fondos o recursos a disposición de esas personas o entidades.
¿Qué sectores deben revisar con más urgencia la lista de sancionados por ciberataques?
El sector financiero, el tecnológico y cualquier empresa con actividad comercial o financiera en mercados donde operan los actores sancionados son los más expuestos. Deben verificar que sus contrapartes no figuren en la lista actualizada.