Beancount.io LogoBeancount.io

Compliment de les sancions de l'OFAC per a petites empreses: filtratge SDN, la regla del 50% i l'autodenúncia voluntària

17 minuts de lecturaMike ThriftMike Thrift
Compliment de les sancions de l'OFAC per a petites empreses: filtratge SDN, la regla del 50% i l'autodenúncia voluntària

Un fabricant de guitarres de Califòrnia que venia instruments en línia va pagar recentment 41.591 perresoldreelscaˋrrecsdelOFAC.Elmaˋximlegalalqualsenfrontava?3.313.224per resoldre els càrrecs de l'OFAC. El màxim legal al qual s'enfrontava? 3.313.224 — aproximadament vuitanta vegades més alt. La diferència es va reduir a una decisió: l'empresa va revelar voluntàriament les violacions abans que els reguladors les trobessin.

Aquesta proporció és tota la història de l'aplicació de les sancions el 2026. L'Oficina de Control d'Actius Estrangers del Tresor (OFAC) ja no persegueix només els bancs de Wall Street. Inversors immobiliaris, startups fintech, venedors de comerç electrònic, importadors d'instruments musicals i proveïdors de carteres criptogràfiques han aparegut a la llista d'aplicació en els darrers divuit mesos. La sanció civil màxima sota la Llei de Poders Econòmics d'Emergència Internacional (IEEPA) se situa ara en 377.700 $ per infracció — o el doble del valor de la transacció, el que sigui superior — i l'OFAC aplica la responsabilitat objectiva, el que significa que no es requereix intencionalitat.

Si la vostra empresa té clients, proveïdors o contraparts de pagament fora dels Estats Units — o fins i tot a l'interior — ja esteu exposats. Aquí teniu com és un programa eficaç de l'OFAC per a una empresa que no disposa d'un departament de compliment dedicat.

Per què les petites empreses estan de sobte en el punt de mira de l'OFAC

Durant la major part de la història de l'OFAC, l'aplicació s'ha centrat en els bancs. Això va canviar durant els darrers cinc anys. L'agència ha declarat obertament que l'aplicació "s'allunyarà de la banca tradicional cap a nous sectors d'alt risc, com ara les fintech i les criptomonedes", i les accions recents ho confirmen:

  • Exodus Movement (cartera criptogràfica): més de 254 infraccions aparents de les Regulacions de Transaccions i Sancions a l'Iran, incloses 12 de flagrants i no revelades voluntàriament
  • Poloniex: acord de 7,6 milions de dòlars
  • Payoneer: acord d'1,5 milions de dòlars
  • BitPay: acord de 507.375 $
  • Kraken: acord de 362.158 $
  • Un sol inversor immobiliari: sanció civil de 4,7 milions de dòlars
  • 2026 fins a la data en només tres accions d'execució publicades: 6.607.661 $

El patró és clar. Qualsevol empresa que toqui diners, béns o serveis a través de les fronteres — o fins i tot que allotgi un lloc web que una persona sancionada pugui pagar — necessita un programa de sancions. Això inclou botigues Shopify, empreses SaaS que facturen clients internacionalment, mercats de professionals independents (freelance), processadors de pagaments, plataformes d'intercanvi de criptomonedes, empreses immobiliàries que cobren lloguers a propietaris estrangers i empreses de comptabilitat que incorporen clients que tenen actius a l'estranger.

Què restringeix realment l'OFAC

L'OFAC gestiona més de trenta programes de sancions diferents. Es divideixen en dues categories àmplies.

Embargaments totals (prohibicions completes per països)

A partir del 2026, quatre països s'enfronten a prohibicions gairebé totals de comerç, transaccions financeres i serveis amb persones dels EUA:

  • Cuba
  • Iran
  • Corea del Nord (RPDC)
  • Síria

Les regions ucraïneses ocupades de Crimea, Donetsk i Luhansk també estan sota sancions integrals. Fer negocis en aquestes jurisdiccions o amb elles requereix una llicència específica de l'OFAC — o s'està vulnerant la llei.

Sancions selectives i sectorials

Rússia és el país més sancionat del món avui dia, però no està sota un embargament total. En canvi, l'OFAC ha superposat prohibicions selectives en els sectors de l'energia, financer, de defensa i tecnològic, a més de milers de designacions individuals i d'entitats. Veneçuela, Bielorússia i Myanmar també tenen règims selectius significatius.

A més dels programes per països, l'OFAC manté sancions basades en llistes dirigides a traficants de narcòtics, terroristes, abusadors dels drets humans, actors cibernètics i funcionaris estrangers corruptes, independentment de la seva nacionalitat.

Les llistes de sancions que realment cal filtrar

Dir "comprovem la llista SDN" és la drecera de compliment més comuna — i el fracàs de compliment més comú. L'OFAC publica diverses llistes, i saltar-se'n una és com s'acumulen les sancions.

LlistaQuè cobreixQuan s'ha de bloquejar
Specially Designated Nationals (SDN) ListIndividuals, entitats, vaixells i aeronaus. La propietat dels SDN ha de ser bloquejada.Sempre
Consolidated Sanctions ListUn fitxer mestre que agrupa totes les llistes que no són SDNSempre
Sectoral Sanctions Identifications (SSI) ListObjectius dels sectors energètic, financer i de defensa de RússiaDepèn de la directiva
Foreign Sanctions Evaders (FSE) ListPersones que ajuden a evadir les sancions dels EUASempre
Non-SDN Menu-Based Sanctions (NS-MBS) ListMesures selectives, sovint sota la CAATSASegons l'element del menú aplicat
Palestinian Legislative Council (NS-PLC) ListMembres del PLC que van participar en eleccionsSempre per al bloqueig

Podeu cercar tot això de franc a l'eina de cerca de llistes de sancions de l'OFAC (sanctionssearch.ofac.treasury.gov), però l'eina gratuïta està dissenyada per a cerques puntuals, no per a filtratges massius. Els entorns de producció utilitzen proveïdors de filtratge comercial, API automatitzades o eines internes que ingereixen els fitxers de canvis diaris (delta) que publica l'OFAC.

La regla del 50 per cent: per què la coincidència de noms no és suficient

Aquí teniu la regla que agafa gairebé totes les empreses per sorpresa:

Qualsevol entitat propietat d'un 50% o més —directament, indirectament o de forma agregada— per part d'una o més persones bloquejades està bloquejada ella mateixa, fins i tot si no apareix en cap llista de l'OFAC.

Dues implicacions són importants:

  1. L'agregació entre SDNs compta. Si l'SDN A posseeix el 30% d'una societat holding de les Illes Caiman i l'SDN B en posseeix el 25%, aquesta societat holding està bloquejada —tot i que cap dels propietaris arriba al 50% de manera individual.
  2. La propietat indirecta compta. Una participació del 60% d'una persona objectiu en una empresa matriu que posseeix el 60% d'una subsidiària fa que la subsidiària estigui bloquejada, encara que el càlcul de la cadena directa (60% × 60% = 36%) suggereixi el contrari. L'OFAC considera que l'empresa matriu està totalment bloquejada, la qual cosa significa que la seva propietat total de la subsidiària es transmet íntegrament.

Aquesta regla és la raó per la qual el filtratge pur per noms falla. Un proveïdor anomenat "Atlas Logistics LLC" no apareixerà a la llista SDN. Però si els seus titulars reals són oligarques russos sancionats que posseeixen el 51% en conjunt a través de tres capes de societats pantalla, estareu a punt de vulnerar les lleis de sancions dels EUA en pagar la seva factura.

Respostes pràctiques per a petites empreses:

  • Exigir la divulgació de la titularitat real als proveïdors i clients d'alt valor, idealment vinculada a una certificació UBO (Ultimate Beneficial Owner).
  • Utilitzar un proveïdor de filtratge que resolgui les relacions de propietat, no només els noms.
  • Per a contraparts en jurisdiccions d'alt risc (Illes Verges Britàniques, Illes Caiman, Emirats Àrabs Units, Xipre, Hong Kong, Rússia, estructures transfrontereres entre la Xina i Hong Kong), sol·licitar extractes del registre mercantil fins al nivell de persona física.
  • Tornar a filtrar periòdicament, no només durant l'alta (onboarding) —l'OFAC afegeix nous SDNs cada setmana.

Els cinc pilars de l'OFAC: com ha de ser un programa de compliment

El Tresor va publicar el seu Framework for OFAC Compliance Commitments per detallar què conté un programa de compliment de sancions (SCP) "eficaç". Hi ha cinc components, i l'OFAC pondera explícitament cadascun d'ells a l'hora de calcular les sancions.

1. Compromís de la direcció

L'alta direcció ha d'aprovar i dotar de recursos el programa. Per a una empresa petita, això significa que el fundador, el CEO o el CFO signa la política escrita, nomena un responsable de compliment i revisa l'eficàcia del programa almenys un cop l'any. Una aprovació simbòlica no és suficient; l'OFAC espera proves que els líders s'hi han implicat.

2. Avaluació de riscos

Documenteu els riscos específics de l'OFAC als quals s'enfronta el vostre negoci. Una empresa SaaS que ven a tot el món té exposicions diferents a les d'una empresa immobiliària nacional o un processador de pagaments transfronterers. L'avaluació ha de cobrir:

  • Base de clients: geografia, indústries, patrons de titularitat real.
  • Productes i serveis: qualsevol cosa encaminada a l'estranger o denominada en una moneda que no sigui el dòlar (USD).
  • Canals de distribució: directes, mercats (marketplaces), venedors de tercers, afiliats.
  • Petjada geogràfica: jurisdiccions on operen clients, proveïdors, empleats o contraparts.
  • Socis i intermediaris: agents, corredors, processadors de pagaments.

Actualitzeu l'avaluació quan canviï el vostre model de negoci: un nou mercat, una nova via de pagament, un nou canal d'adquisició.

3. Controls interns

Aquí és on el programa esdevé operatiu. Els controls interns inclouen:

  • Polítiques i procediments escrits.
  • Un flux de treball de filtratge documentat (quan filtrar, quines llistes, quins llindars, qui revisa les coincidències).
  • Vies de comunicació d'incidències clares quan sorgeix una possible coincidència.
  • Manteniment de registres: l'OFAC requereix cinc anys de registres de transaccions i de filtratge per a transaccions bloquejades o rebutjades.
  • Un mecanisme de bloqueig: comptes bancaris que puguin immobilitzar fons, sistemes de comandes que puguin congelar el servei.
  • Fluxos de treball per presentar els informes obligatoris (informes anuals de béns bloquejats abans del 30 de setembre, informes inicials de transaccions bloquejades o rebutjades en un termini de deu dies hàbils).

4. Proves i auditoria

Les proves independents verifiquen que el programa realment funciona. Per a una empresa petita, això pot ser una autoprova trimestral (introduir noms d'SDN ficticis a la vostra eina de filtratge) a més d'una revisió externa anual. Les troballes s'han de documentar i esmenar.

5. Formació

Tots els empleats les funcions dels quals estiguin relacionades amb el risc de sancions han de rebre formació: vendes, alta de clients, finances, comptes a cobrar/pagar, gestió de proveïdors i equips d'enginyeria que construeixen la lògica de filtratge. L'OFAC espera formació com a mínim un cop l'any, a més de formació específica per a cada funció quan es llança un nou programa o quan entra en vigor un nou programa de sancions.

Quan trobeu una coincidència: la decisió de bloquejar o rebutjar

Descobrir una coincidència aparent durant el filtratge desencadena un conjunt estricte d'obligacions.

Pas 1: Confirmar la coincidència. Els falsos positius són habituals —"John Smith" i "Vladimir Petrov" donen molts resultats. Utilitzeu la data de naixement, l'adreça, el número de passaport, el lloc de negoci i qualsevol altra dada identificativa que l'OFAC publiqui.

Pas 2: Si es confirma, decidir si bloquejar o rebutjar.

  • Bloquejar quan l'objectiu apareix a la llista SDN o és propietat d'un SDN en un 50% o més —heu de congelar els béns/fons en un compte separat que generi interessos i informar-ne en un termini de deu dies hàbils.
  • Rebutjar quan la transacció està prohibida però no hi ha béns d'un SDN implicats (per exemple, una transacció sense llicència amb l'Iran que encara no ha enviat diners) —us negueu a processar-la i n'informeu en un termini de deu dies hàbils.

Pas 3: Presentar els informes. Els informes inicials de transaccions bloquejades o rebutjades s'envien a l'OFAC a través del portal OFAC Reporting and License Application Forms. Els informes anuals de béns bloquejats s'han de lliurar abans del 30 de setembre de cada any. No presentar-los és, per si mateix, una infracció independent.

Pas 4: Sol·licitar una llicència si cal. Moltes transaccions que d'altra manera estarien prohibides es poden autoritzar sota una llicència específica o general: béns humanitaris, certes remeses personals, exportacions agrícoles i mèdiques, periodisme, serveis de comunicació per internet.

La decisió de la revelació voluntària

Quan descobriu que ja s'ha produït una infracció —un pagament liquidat a una contrapart sancionada abans que el filtratge ho detectés, un enviament a una jurisdicció bloquejada, l'alta per error d'un client propietat d'una SDN— us enfronteu a la decisió més transcendent en el compliment de l'OFAC.

Revelar o no revelar?

Què s'obté amb la revelació voluntària (VSD)

Segons les Directrius d'Execució de Sancions Econòmiques de l'OFAC (31 CFR Part 501, Apèndix A), una revelació voluntària (VSD) que compleixi els requisits:

  • Redueix el càlcul de la sanció base en un 50 per cent tant en casos flagrants com no flagrants.
  • En casos no flagrants, limita l'import base a la meitat del valor de la transacció, amb un sostre de 188.850 $ per infracció.
  • Es considera un factor atenuant principal en la determinació de la sanció global de l'OFAC.

Combinat amb altres factors atenuants —un programa de compliment sòlid, mesures correctores, cooperació— l'acord final pot situar-se un ordre de magnitud per sota del màxim legal. El cas de Córdoba Music Group (màxim legal de 3,3 milions de dòlars, acord de 41.591 $) n'és il·lustratiu.

Què significa realment "voluntària"

Una revelació només és "voluntària" si és per iniciativa pròpia i es realitza abans que l'OFAC o una altra agència federal, estatal o local descobreixi la presumpta infracció o una de "substancialment similar". Si el banc d'una contrapart ja ha presentat un SAR (Informe d'Activitat Sospitosa) que esmenta la vostra transacció, és possible que la vostra revelació no es consideri vàlida. Si un competidor o un denunciant ja us ha reportat, no serà vàlida.

És per això que la velocitat és important. En el moment que sospiteu d'una infracció, el temps corre.

El nou portal VSD de 2026

Al febrer de 2026, l'OFAC va llançar un portal en línia de revelació voluntària a disclosure.ofac.treasury.gov. Substitueix el mosaic d'enviaments per correu electrònic i faxes que va predominar durant dècades. El portal ofereix un canal més segur, camps estructurats i confirmació de recepció, però les regles substantives no han canviat:

  • Una notificació inicial descriu el que ha passat de forma resumida.
  • Un informe de seguiment detallat s'ha de presentar en un termini de 180 dies, cobrint la causa arrel, l'abast, la remediació i el personal implicat.

Les empreses encara necessiten l'assessorament d'un advocat abans de la presentació inicial. El portal no canvia els riscos legals; només canvia el canal de comunicació.

El càlcul de les sancions: a què s'exposa realment

Sota la IEEPA (l'estatut que regula la majoria de programes de sancions moderns), les sancions civils per infracció per al 2026 són:

  • Màxim legal: 377.700 $ (ajustat anualment per la inflació)
  • O el doble del valor de la transacció, el que sigui més alt.

Cada transacció pot ser una infracció independent. Un sol client que realitza quaranta comandes durant dos anys representa quaranta infraccions.

El càlcul de la sanció de l'OFAC segueix tres passos:

  1. Import base: depèn de si el cas és flagrant, si s'ha aplicat la VSD i del valor de la transacció (segons el barem legal).
  2. Ajustos: per factors agreujants (intencionalitat, coneixement, dany als objectius del programa de sancions, part sofisticada, manca de programa de compliment) i factors atenuants (cooperació, accions correctores, primera infracció, mida petita, situació financera).
  3. Sanció final proposada: emesa en una Notificació Previa a la Sanció, que el subjecte pot recórrer.

Les sancions penals s'hi afegeixen en cas de violacions deliberades: fins a 1 milió de dòlars per infracció i fins a vint anys de presó per a persones físiques.

Llista de comprovació pràctica de compliment per a petites empreses

Utilitzeu això com a punt de partida. No substitueix l'assessorament legal, però cobreix el que l'agència ha assenyalat repetidament en les conclusions d'execució publicades.

Fonaments

  • Política de compliment de sancions per escrit signada per l'alta direcció.
  • Responsable de compliment designat (pot ser un fundador o el director financer; no deixeu el càrrec sense assignar).
  • Avaluació de riscos documentada, actualitzada quan el negoci canviï materialment.
  • Inventari de totes les jurisdiccions i persones sancionades rellevants per al vostre negoci.

Filtratge (Screening)

  • Tots els clients, proveïdors, beneficiaris i contraparts filtrats en el moment de la incorporació.
  • Refiltratge diari o setmanal contra les llistes SDN/Consolidades/SSI actualitzades.
  • Revelació de la titularitat real requerida per a contraparts d'alt risc.
  • Procediment documentat per avaluar possibles coincidències (falsos positius vs. positius reals).
  • Filtratge de geolocalització/IP per a jurisdiccions amb embargament conegudes en plataformes web.

Transaccions

  • Arbre de decisió de bloqueig o rebuig, amb autoritat clara per aturar el compliment de la comanda.
  • Compte segregat amb interessos preparat per a qualsevol fons bloquejat.
  • Flux de treball per a la sol·licitud de llicències de l'OFAC per a transaccions que puguin complir els requisits.

Registre i informes

  • Retenció durant cinc anys dels registres de filtratge i de transaccions.
  • Informes inicials de transaccions bloquejades/rebutjades presentats en un termini de deu dies hàbils.
  • Informes anuals de béns bloquejats presentats abans del 30 de setembre.
  • Pista d'auditoria per a cada coincidència de filtratge i la seva resolució.

Proves i formació

  • Autodiagnòstics trimestrals (execució de dades fictícies a través de l'eina de filtratge).
  • Revisió independent anual (assessor extern o consultor de compliment).
  • Formació anual per a tots els empleats rellevants, amb assistència documentada.

Resposta a incidents

  • Advocat extern preidentificat familiaritzat amb assumptes de l'OFAC.
  • Protocol de decisió de VSD documentat: qui pren la decisió, quines proves la desencadenen, qui redacta la presentació.

Errors comuns que activen l'aplicació de sancions

Els patrons de les sancions publicades per l'OFAC gairebé sempre inclouen un o més d'aquests elements:

  1. "Només cribrem la llista SDN." No incloure les llistes Consolidated, SSI, FSE o NS-MBS és una troballa freqüent.
  2. Cribratge estàtic. Les comprovacions fetes només durant l'alta fallen perquè les llistes SDN canvien setmanalment. Un client que va passar el control al gener pot ser designat al juny.
  3. Ignorar la titularitat real. El nom d'una contrapart apareix net mentre que el propietari del 60%, situat dos nivells per sobre, està sancionat.
  4. Bretxes de geofencing. Una plataforma web bloqueja les IP de l'Iran però permet que el trànsit VPN flueixi sense traves; l'OFAC ha citat aquest fet en casos de fintech.
  5. Manca de procediments documentats per a possibles coincidències. Empleats que tracten amb clients prenent decisions ad hoc sense orientació per a l'escalada.
  6. Incompliment en la presentació d'informes obligatoris. Fins i tot quan la transacció subjacent es va bloquejar correctament, no presentar l'informe de deu dies o la presentació anual del 30 de setembre és una infracció per si mateixa.
  7. Formació inadequada. Personal de vendes que promet serveis a jurisdiccions embargades perquè mai no van rebre formació sobre l'OFAC.
  8. Divulgació lenta. No comunicar una infracció descoberta mentre una altra agència la detecta de manera independent, perdent l'elegibilitat per a l'autodenúncia voluntària (VSD) i la reducció de la sanció del 50%.

Mantingueu els vostres registres financers preparats per a l'OFAC

El compliment de les sancions depèn completament de la documentació. Cada transacció bloquejada, cada pagament rebutjat, cada decisió de cribratge, cada sol·licitud de llicència... l'OFAC pot demanar qualsevol d'aquestes coses durant un període d'auditoria de cinc anys. Un sistema de comptabilitat que amaga discretament aquestes entrades darrere d'una interfície de llibre major de caixa negra alentirà la vostra resposta a un requeriment judicial.

Beancount.io adopta l'enfocament contrari: comptabilitat en text pla on cada entrada és una línia llegible, cada canvi està controlat per versions i cada compte pot ser etiquetat pel tipus d'activitat transfronterera que crida l'atenció de l'OFAC. Quan el vostre auditor —o el vostre assessor extern que prepara una autodenúncia voluntària— demani l'historial complet de pagaments a una contrapart específica, podreu generar-lo en minuts, no en dies. Comenceu de franc i aporteu als vostres comptes la mateixa transparència que l'OFAC espera del vostre programa de compliment.