Tecnología & Compliance

Sanciones internacionales: listas de la UE, ONU y OFAC explicadas para empresas españolas

Tu empresa debe comprobar que ningún cliente está en listas de sanciones internacionales antes de operar. Te explicamos qué son las listas de la UE, ONU y OFAC, qué diferencia hay entre ellas y cómo montarte un proceso de screening que realmente funcione.

10 min de lectura

¿Necesitas automatizar este proceso hoy?

CiberGuardIA AML gestiona el KYC, screening y expedientes de forma automatizada.

Probar gratis
Screening de sanciones internacionales UE ONU OFAC para empresas españolas

Hay una pregunta que recibo con más frecuencia de lo que cabría esperar de responsables de cumplimiento en empresas medianas: "¿Tenemos que consultar la lista de la OFAC si somos una empresa española?". La respuesta corta es: depende de lo que hagas, pero en la mayoría de los casos, sí. Al menos indirectamente.

Las listas de sanciones internacionales son quizás la parte del compliance AML que más confusión genera. No porque sean difíciles de entender conceptualmente, sino porque hay varias, vienen de organismos distintos, se actualizan con frecuencias diferentes y las consecuencias de no tenerlas en cuenta no son solo regulatorias en España, sino potencialmente extraterritoriales. Y eso asusta, con razón.


Qué son exactamente las listas de sanciones

Una lista de sanciones es, en esencia, un registro oficial de personas físicas, empresas, entidades o incluso países con los que está prohibido —o severamente restringido— operar. Las sanciones pueden incluir la congelación de activos, la prohibición de transferir fondos, restricciones a importaciones y exportaciones, o directamente la prohibición de cualquier relación comercial.

Lo que complica la foto es que hay tres grandes organismos que publican sus propias listas, con ámbitos de aplicación distintos:

  • La Unión Europea, a través del Reglamento del Consejo, mantiene su lista consolidada y tiene aplicación directa en España sin necesidad de transposición.
  • Las Naciones Unidas, a través del Consejo de Seguridad, publica una Lista Consolidada de cumplimiento obligatorio para todos los Estados miembros —incluida España— en virtud de la Carta de la ONU.
  • La OFAC (Office of Foreign Assets Control), que es el organismo del Tesoro americano. Aquí la extraterritorialidad entra en juego y muchas empresas europeas cometen el error de pensar que no les concierne.
Dato clave: La lista de sanciones de la UE actualizó más de 1.800 entradas solo en 2024, principalmente relacionadas con los paquetes de sanciones contra Rusia (el decimocuarto paquete se aprobó en junio de 2024). El ritmo de actualización ha sido el más alto en décadas.

La lista de la UE: obligatoria, directa y la que más te afecta en el día a día

Para cualquier sujeto obligado español, la lista de sanciones de la UE es la referencia primaria. Se publica y actualiza en el Diario Oficial de la Unión Europea y está centralizada en el portal Sanctions Map (sanctionsmap.eu), mantenido por la Comisión Europea. La versión consolidada descargable en varios formatos (XML, CSV) es la que usan los sistemas de screening para sus actualizaciones automáticas.

Lo que distingue a las sanciones de la UE es que son Reglamentos del Consejo, por lo tanto, de aplicación directa en todos los Estados miembros sin necesitar transposición nacional. Cuando el Consejo aprueba un nuevo paquete de sanciones —cosa que ha hecho con una frecuencia notable desde 2022— la obligación de cumplimiento empieza prácticamente desde la publicación en el DOUE.

¿Qué incluye exactamente la lista?

Personas físicas con sus alias conocidos, fechas de nacimiento, nacionalidades y números de pasaporte (cuando están identificados), entidades jurídicas con sus domicilios y números de registro, y en algunos regímenes también embarcaciones y aeronaves. La lista consolidada de la UE tiene actualmente entradas procedentes de más de 40 regímenes de sanciones distintos: Rusia, Bielorrusia, Irán, Siria, Myanmar, personas vinculadas a la financiación del terrorismo, etc.


La lista de la ONU: el mínimo global que nadie puede ignorar

El Consejo de Seguridad de las Naciones Unidas mantiene una Lista Consolidada (disponible en un.org) con las personas y entidades sancionadas en virtud de varias resoluciones: Al Qaeda / ISIS (Comité 1267/1989/2253), régimen de Corea del Norte (Comité 1718), embargos de armas, etc.

La diferencia clave con la lista de la UE es de origen: las sanciones de la ONU son resoluciones vinculantes para todos los Estados miembros en virtud del Artículo 25 y el Capítulo VII de la Carta de la ONU. En la práctica, la UE suele incorporar las sanciones de la ONU a su propia lista consolidada con relativa rapidez, por lo que si haces screening contra la lista de la UE de forma actualizada, en la mayoría de los casos ya estás cubriendo también las entidades sancionadas por la ONU.

Dicho esto, en entornos de alto riesgo o con contrapartes internacionales fuera de la UE, es recomendable consultar la fuente primaria de la ONU directamente.

Nota práctica: La lista de la ONU se puede descargar en formato XML o CSV directamente desde un.org/securitycouncil/sanctions/materials. Muchos proveedores de screening la tienen integrada, pero si usas sistemas propios conviene verificar que la versión que consumes se actualiza al menos semanalmente, ya que las altas y bajas pueden producirse con poco margen de aviso.

La OFAC: por qué una empresa española debería prestarle atención

Aquí está el debate real. La OFAC es un organismo estadounidense y sus sanciones son, en principio, de aplicación a personas y empresas bajo jurisdicción americana. Entonces, ¿por qué debería preocuparle a una empresa española que opera exclusivamente en Europa?

Básicamente, por tres razones:

  1. El dólar como moneda de liquidación. Si cualquier parte de una transacción, aunque sea un instante, pasa por el sistema bancario americano —lo que ocurre con la mayoría de los pagos en USD aunque sean entre dos empresas europeas— la OFAC tiene jurisdicción sobre esa operación. Y los bancos corresponsales americanos aplican screening OFAC de forma sistemática.
  2. Filiales o contrapartes americanas. Si tu empresa tiene accionistas, clientes o proveedores americanos, las restricciones OFAC pueden afectar indirectamente a tus relaciones con ellos.
  3. Política de riesgo reputacional. Con independencia de la obligación legal, los bancos europeos y los inversores institucionales cada vez más exigen que sus contrapartes tengan procesos de screening que incluyan la lista SDN de la OFAC. No hacerlo puede complicar la apertura de cuentas o el acceso a financiación.

La Specially Designated Nationals (SDN) List

La lista principal de la OFAC es la SDN List, que incluye personas físicas, empresas y embarcaciones bloqueadas. Tiene actualmente más de 12.000 entradas. Además de la SDN, la OFAC publica varias listas secundarias (Non-SDN, Sectoral Sanctions Identifications, etc.) que imponen restricciones más focalizadas, por ejemplo a determinados sectores de la economía rusa aunque la empresa o persona no esté en la lista SDN principal.

La OFAC actualiza sus listas sin previo aviso cuando así lo requiere la situación. En 2024 y el primer trimestre de 2025, ha añadido entidades energéticas rusas, redes de evasión de sanciones con conexiones en Turquía, Emiratos Árabes y China, y personas vinculadas al programa de misiles iraní. El ritmo es alto.


Cómo funciona el screening en la práctica

Tener claro qué listas existen es el primer paso. El segundo —y donde muchos sujetos obligados fallan— es montarse un proceso de screening que funcione de verdad.

Los dos momentos críticos: onboarding y monitorización continua

El error más común es hacer screening solo al dar de alta un cliente y luego no volver a hacerlo hasta que surge un problema. Las listas de sanciones se actualizan con frecuencia y alguien que era perfectamente elegible cuando lo diste de alta puede aparecer en una lista seis meses después. El Reglamento (UE) 2024/1624, de aplicación a partir de julio de 2027, refuerza precisamente esto: el screening tiene que ser continuo, no solo puntual en el onboarding.

El problema del matching por nombre

Las listas incluyen personas con nombres que pueden estar transliterados de forma diferente según el origen de la información (árabe, persa, chino, ruso). Un sistema de screening que solo busque coincidencias exactas va a tener una tasa de falsos negativos inaceptable. Los sistemas modernos usan búsqueda difusa (fuzzy matching) con umbrales configurables y contemplan alias, variantes ortográficas y transliteraciones alternativas.

El otro problema es el contrario: los falsos positivos. Nombres muy comunes (piensa en "Ali Ahmed" o "Mohamed García") pueden generar decenas de coincidencias que hay que resolver manualmente o con ayuda de información adicional como fechas de nacimiento, nacionalidades o números de documento. Un mal sistema de screening colapsa los equipos de compliance con alertas que no llevan a ningún lado.

Qué hacer cuando hay una coincidencia

El proceso estándar cuando el sistema detecta una posible coincidencia es:

  1. Congelar la operación mientras se resuelve el análisis. No ejecutar ningún pago ni formalizar ningún contrato.
  2. Verificar si es un verdadero positivo contrastando los datos de identificación del cliente con los de la entrada en la lista (fecha de nacimiento, país, alias).
  3. Si el análisis concluye que es un falso positivo (misma nombre, diferente persona), documentarlo en el expediente con el razonamiento y archivar la evidencia. El supervisor querrá ver ese rastro de decisión.
  4. Si es un verdadero positivo, no operar, no informar al cliente (tipping off), y comunicar al SEPBLAC mediante el sistema SIPOLBE. En el caso de sanciones de la UE, puede haber también obligación de comunicar a la Subdirección General del Tesoro.
Punto importante: En el caso de sanciones de la UE, la congelación de activos es una obligación legal inmediata, no discrecional. Operar con una entidad sancionada —aunque sea por desconocimiento— puede derivar en responsabilidad penal y administrativa. El desconocimiento de la lista no exime de responsabilidad.

El Reglamento AML de 2024 y lo que cambia para el screening

El Reglamento (UE) 2024/1624 publicado en junio de 2024, que entrará en aplicación plena en julio de 2027, trae varios cambios relevantes para la gestión de sanciones:

  • Refuerza la obligación de verificar en tiempo real las listas de sanciones en cada transacción, no solo en el momento del alta del cliente. En sectores de alto riesgo esto ya era la práctica esperada, pero el Reglamento lo formaliza para todos.
  • Crea la Autoridad Europea Antilavado (AMLA), con sede en Fráncfort, que supervisará directamente a los sujetos obligados de mayor riesgo en la UE a partir de 2026. Una de sus funciones será armonizar los estándares de screening de sanciones entre países miembros.
  • Aumenta los requisitos de documentación sobre las decisiones de screening, tanto en los casos de coincidencia como en los de descarte después de análisis.
  • Exige que los proveedores de servicios de pago y las entidades financieras implementen controles automatizados que no dependan exclusivamente de búsqueda manual.

Conclusión

Las listas de sanciones internacionales no son algo que puedas gestionar con una búsqueda manual en Google cada vez que entra un cliente nuevo. El volumen de entradas, el ritmo de actualización y las consecuencias de un fallo —que pueden ir desde multas hasta exclusión del sistema financiero internacional— justifican sobradamente tener un proceso automatizado y auditado.

El horizonte regulatorio de 2025-2027 no hace más que reforzar esta dirección: la AMLA, el Reglamento 2024/1624 y la presión creciente de los bancos corresponsales sobre sus clientes corporativos van a elevar el estándar esperado. Las empresas que ya tengan el screening automatizado y bien configurado van a asumir ese cambio sin problema. Las que sigan con procesos manuales o con actualizaciones esporádicas van a tener que correr para ponerse al día.

Etiquetas:Sanciones internacionalesOFACONUUEScreening AMLLista SDNReglamento UE 2024/1624Compliance

¿Listo para cumplir sin complicaciones?

CiberGuardIA AML automatiza el KYC, el screening de sanciones, el análisis de riesgo y los expedientes SEPBLAC. Empieza gratis, sin tarjeta de crédito.

Sin tarjeta de crédito · Configuración en minutos · Soporte en español

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información