Beancount.io LogoBeancount.io

Cumplimiento de las sanciones de la OFAC para pequeñas empresas: Selección de la lista SDN, la regla del 50% y la autodenuncia voluntaria

17 min de lecturaMike ThriftMike Thrift
Cumplimiento de las sanciones de la OFAC para pequeñas empresas: Selección de la lista SDN, la regla del 50% y la autodenuncia voluntaria

Un fabricante de guitarras de California que vendía instrumentos en línea pagó recientemente 41.591 para resolver cargos de la OFAC. ¿El máximo legal al que se enfrentaba? 3.313.224 \, aproximadamente ochenta veces más. La diferencia se debió a una sola decisión: la empresa divulgó voluntariamente las infracciones antes de que los reguladores las encontraran.

Esa proporción resume toda la historia de la aplicación de sanciones en 2026. La Oficina de Control de Activos Extranjeros (OFAC) del Tesoro ya no solo persigue a los bancos de Wall Street. Inversores inmobiliarios, startups de tecnología financiera (fintech), vendedores de comercio electrónico, importadores de instrumentos musicales y proveedores de monederos de criptomonedas han aterrizado en la lista de sanciones en los últimos dieciocho meses. La sanción civil máxima bajo la Ley de Poderes Económicos de Emergencia Internacional (IEEPA) se sitúa ahora en 377.700 $ por infracción — o el doble del valor de la transacción, lo que sea mayor — y la OFAC aplica una responsabilidad objetiva, lo que significa que no se requiere intención.

Si su empresa tiene clientes, proveedores o contrapartes de pago fuera de los Estados Unidos — o incluso dentro de ellos — ya está expuesta. A continuación, se presenta cómo es un programa eficaz de la OFAC para una empresa que no cuenta con un departamento de cumplimiento dedicado.

Por qué las pequeñas empresas están de repente en el radar de la OFAC

Durante la mayor parte de la historia de la OFAC, la aplicación de la ley se centró en los bancos. Eso cambió en los últimos cinco años. La agencia ha declarado abiertamente que la aplicación de la ley se "alejará de la banca tradicional hacia nuevos sectores de alto riesgo, como las fintech y las criptomonedas", y las acciones recientes lo respaldan:

  • Exodus Movement (monedero de criptomonedas): más de 254 aparentes infracciones de las Regulaciones de Sanciones y Transacciones Iraníes, incluidas 12 flagrantes y no divulgadas voluntariamente.
  • Poloniex: acuerdo de 7,6 millones de dólares.
  • Payoneer: acuerdo de 1,5 millones de dólares.
  • BitPay: acuerdo de 507.375 dólares.
  • Kraken: acuerdo de 362.158 dólares.
  • Un solo inversor inmobiliario: sanción civil de 4,7 millones de dólares.
  • 2026 hasta la fecha en solo tres acciones de cumplimiento publicadas: 6.607.661 $.

El patrón es claro. Cualquier empresa que maneje dinero, bienes o servicios a través de las fronteras — o incluso que aloje un sitio web que una persona sancionada pueda pagar — necesita un programa de sanciones. Eso incluye tiendas Shopify, empresas SaaS que facturan a clientes internacionalmente, mercados de freelancers, procesadores de pagos, intercambios de criptomonedas, firmas inmobiliarias que cobran alquileres de propietarios extranjeros y firmas de contabilidad que incorporan clientes con activos en el extranjero.

Qué restringe realmente la OFAC

La OFAC administra más de treinta programas de sanciones distintos. Se dividen en dos categorías amplias.

Embargos integrales (prohibiciones totales por país)

A partir de 2026, cuatro países se enfrentan a prohibiciones casi totales de comercio, transacciones financieras y servicios con personas de EE. UU.:

  • Cuba
  • Irán
  • Corea del Norte (RPDC)
  • Siria

Las regiones ucranianas ocupadas de Crimea, Donetsk y Luhansk también están bajo sanciones integrales. Hacer negocios en o con estas jurisdicciones requiere una licencia específica de la OFAC, o de lo contrario estará infringiendo la ley.

Sanciones dirigidas y sectoriales

Rusia es el país más sancionado del mundo en la actualidad, pero no está bajo un embargo integral. En su lugar, la OFAC ha aplicado prohibiciones dirigidas en los sectores de energía, finanzas, defensa y tecnología, además de miles de designaciones de individuos y entidades. Venezuela, Bielorrusia y Myanmar también cuentan con regímenes dirigidos significativos.

Además de los programas por país, la OFAC mantiene sanciones basadas en listas dirigidas a narcotraficantes, terroristas, abusadores de derechos humanos, actores cibernéticos y funcionarios extranjeros corruptos, independientemente de su nacionalidad.

Las listas de sanciones que realmente debe verificar

Decir "verificamos la lista SDN" es el atajo de cumplimiento más común y el fallo de cumplimiento más frecuente. La OFAC publica varias listas, y omitir una de ellas es cómo se acumulan las multas.

ListaQué cubreCuándo debe bloquear
Lista de Nacionales Especialmente Designados (SDN)Individuos, entidades, embarcaciones y aeronaves. Las propiedades de los SDN deben ser bloqueadas.Siempre
Lista Consolidada de SancionesUn archivo maestro que agrega todas las listas que no son SDNSiempre
Lista de Identificaciones de Sanciones Sectoriales (SSI)Objetivos de los sectores energético, financiero y de defensa de RusiaDepende de la directiva
Lista de Evasores de Sanciones Extranjeras (FSE)Personas que ayudan a evadir las sanciones de EE. UU.Siempre
Lista de Sanciones Basadas en Menú No-SDN (NS-MBS)Medidas dirigidas, a menudo bajo CAATSASegún el elemento del menú aplicado
Lista del Consejo Legislativo Palestino (NS-PLC)Miembros del PLC que participaron en las eleccionesSiempre para el bloqueo

Puede buscar en todas ellas de forma gratuita en la herramienta de búsqueda de listas de sanciones de la OFAC (sanctionssearch.ofac.treasury.gov), pero la herramienta gratuita está diseñada para consultas puntuales, no para verificaciones masivas. Los entornos de producción utilizan proveedores de verificación comercial, APIs automatizadas o herramientas internas que ingieren los archivos delta diarios que publica la OFAC.

La Regla del 50 %: Por Qué la Coincidencia de Nombres No Es Suficiente

Aquí está la regla que toma desprevenida a casi cualquier empresa:

Cualquier entidad que sea propiedad en un 50 % o más —de forma directa, indirecta o agregada— de una o más personas bloqueadas está bloqueada por sí misma, incluso si no figura en ninguna lista de la OFAC.

Dos implicaciones son fundamentales:

  1. La agregación entre SDN cuenta. Si el SDN A posee el 30 % de una sociedad de cartera en las Islas Caimán y el SDN B posee el 25 %, esa sociedad de cartera está bloqueada, a pesar de que ninguno de los propietarios alcance el 50 % individualmente.
  2. La propiedad indirecta cuenta. El interés del 60 % de una persona objetivo en una matriz que posee el 60 % de una subsidiaria hace que la subsidiaria esté bloqueada, aunque la matemática de la cadena directa (60 % × 60 % = 36 %) sugiera lo contrario. La OFAC trata a la matriz como totalmente bloqueada, lo que significa que su propiedad total de la subsidiaria se transfiere.

Esta regla es la razón por la que el filtrado basado únicamente en nombres falla. Un proveedor llamado "Atlas Logistics LLC" no aparecerá en la Lista SDN. Pero si sus beneficiarios finales son oligarcas rusos sancionados que poseen el 51 % en conjunto a través de tres niveles de sociedades pantalla, usted estará a punto de violar las leyes de sanciones de EE. UU. al pagar su factura.

Respuestas prácticas para pequeñas empresas:

  • Exija la divulgación de la titularidad real de los proveedores y clientes de alto valor, idealmente vinculada a una certificación UBO (beneficiario final).
  • Utilice un proveedor de filtrado que resuelva las relaciones de propiedad, no solo los nombres.
  • Para contrapartes en jurisdicciones de alto riesgo (Islas Vírgenes Británicas, Caimán, EAU, Chipre, Hong Kong, Rusia, estructuras transfronterizas China-Hong Kong), solicite extractos del registro mercantil hasta el nivel de persona física.
  • Realice el filtrado periódicamente, no solo durante la incorporación; la OFAC añade nuevos SDN cada semana.

Los Cinco Pilares de la OFAC: Cómo Debe Ser un Programa de Cumplimiento

El Tesoro publicó su Marco para el Compromiso de Cumplimiento de la OFAC para detallar qué contiene un programa de cumplimiento de sanciones (SCP) "eficaz". Existen cinco componentes, y la OFAC pondera explícitamente cada uno al calcular las sanciones.

1. Compromiso de la Gerencia

La alta dirección debe aprobar y dotar de recursos al programa. Para una empresa pequeña, esto significa que el fundador, CEO o CFO firma la política por escrito, nombra a un responsable de cumplimiento y revisa la eficacia del programa al menos una vez al año. La aprobación simbólica no es suficiente; la OFAC espera pruebas de que los líderes se involucraron.

2. Evaluación de Riesgos

Documente los riesgos específicos de la OFAC que enfrenta su negocio. Una empresa SaaS que vende a nivel global tiene exposiciones diferentes a las de una firma inmobiliaria nacional o un procesador de pagos transfronterizos. La evaluación debe cubrir:

  • Base de clientes: geografía, industrias, patrones de titularidad real.
  • Productos y servicios: cualquier cosa canalizada a través de fronteras o denominada en moneda distinta al USD.
  • Canales de distribución: venta directa, mercados (marketplaces), revendedores externos, afiliados.
  • Huella geográfica: jurisdicciones donde operan clientes, proveedores, empleados o contrapartes.
  • Socios e intermediarios: agentes, corredores, procesadores de pagos.

Actualice la evaluación cuando cambie su modelo de negocio (un nuevo mercado, un nuevo canal de pago, un nuevo canal de adquisición).

3. Controles Internos

Aquí es donde el programa se vuelve operativo. Los controles internos incluyen:

  • Políticas y procedimientos por escrito.
  • Un flujo de trabajo de filtrado documentado (cuándo filtrar, qué listas, qué umbrales, quién revisa las coincidencias).
  • Rutas de escalada claras cuando surge una posible coincidencia.
  • Mantenimiento de registros: la OFAC requiere cinco años de registros de transacciones y filtrado para transacciones bloqueadas o rechazadas.
  • Un mecanismo de bloqueo: cuentas bancarias que puedan poner fondos en cuarentena, sistemas de pedidos que puedan congelar el cumplimiento.
  • Flujos de trabajo para presentar los informes obligatorios (informes anuales de bienes bloqueados antes del 30 de septiembre, informes iniciales de transacciones bloqueadas o rechazadas dentro de los diez días hábiles).

4. Pruebas y Auditoría

Las pruebas independientes verifican que el programa realmente funcione. Para una empresa pequeña, esto puede ser una autoevaluación trimestral (pasar nombres SDN ficticios por su herramienta de filtrado) más una revisión externa anual. Los hallazgos deben documentarse y remediarse.

5. Capacitación

Todos los empleados cuyas funciones afecten el riesgo de sanciones deben ser capacitados: ventas, incorporación de clientes, finanzas, cuentas por cobrar/pagar (AR/AP), gestión de proveedores y equipos de ingeniería que desarrollan la lógica de filtrado. La OFAC espera capacitación como mínimo una vez al año, además de capacitación específica por función cuando se lanza un nuevo programa o entra en vigor un nuevo programa de sanciones.

Cuando Encuentra una Coincidencia: La Decisión de Bloquear o Rechazar

Descubrir una coincidencia aparente durante el filtrado activa una serie de obligaciones estrictas.

Paso 1: Confirme la coincidencia. Los falsos positivos son habituales: "John Smith" y "Vladimir Petrov" generan muchos resultados. Utilice la fecha de nacimiento, la dirección, el número de pasaporte, el lugar de trabajo y cualquier otro dato identificativo que publique la OFAC.

Paso 2: Si se confirma, decida si bloquear o rechazar.

  • Bloquear cuando el objetivo aparezca en la Lista SDN o sea propiedad en un 50 % o más de un SDN: debe congelar los bienes/fondos en una cuenta segregada que devengue intereses e informar en un plazo de diez días hábiles.
  • Rechazar cuando la transacción esté prohibida pero no haya bienes de un SDN involucrados (por ejemplo, una transacción no autorizada con Irán en la que aún no se ha enviado dinero): usted se niega a procesarla e informa en un plazo de diez días hábiles.

Paso 3: Presente los informes. Los informes iniciales de transacciones bloqueadas o rechazadas se envían a la OFAC a través del portal OFAC Reporting and License Application Forms. Los informes anuales de bienes bloqueados vencen el 30 de septiembre de cada año. No presentar los informes es, por sí mismo, una infracción independiente.

Paso 4: Solicite una licencia si es necesario. Muchas transacciones que de otro modo estarían prohibidas pueden autorizarse bajo una licencia específica o general: bienes humanitarios, ciertas remesas personales, exportaciones agrícolas y médicas, periodismo, servicios de comunicación por Internet.

La decisión de divulgación voluntaria

Cuando descubre que ya se ha producido una infracción (un pago liquidado a una contraparte sancionada antes de que el monitoreo lo detectara, un envío que fue a una jurisdicción bloqueada, un cliente propiedad de un SDN que fue incorporado por error), se enfrenta a la decisión más trascendental en el cumplimiento de la OFAC.

¿Divulgar o no divulgar?

Qué le aporta la Divulgación Voluntaria (VSD)

Según las Pautas de Aplicación de Sanciones Económicas de la OFAC (31 CFR Parte 501, Apéndice A), una VSD que califique:

  • Reduce el cálculo de la sanción base en un 50 por ciento tanto en casos graves como en los que no lo son.
  • En casos no graves, limita el importe base a la mitad del valor de la transacción, con un tope de 188.850 $ por infracción.
  • Cuenta como un factor atenuante principal en la determinación de la sanción global de la OFAC.

Combinado con otros factores atenuantes (un programa de cumplimiento sólido, medidas correctivas, cooperación), el acuerdo final puede situarse un orden de magnitud por debajo del máximo legal. El caso de Córdoba Music Group (máximo legal de 3,3 millones de dólares, acuerdo de 41.591 $) es ilustrativo.

Qué significa realmente "voluntaria"

Una divulgación es "voluntaria" solo si es iniciada por el interesado y se realiza antes de que la OFAC u otra agencia federal, estatal o local descubra la presunta infracción o una "sustancialmente similar". Si el banco de una contraparte ya presentó un SAR (Informe de Actividad Sospechosa) que menciona su transacción, es posible que su divulgación no califique. Si un competidor o un denunciante ya lo ha reportado, no calificará.

Por eso la rapidez es fundamental. En el momento en que sospeche de una infracción, el tiempo corre.

El nuevo portal VSD de 2026

En febrero de 2026, la OFAC lanzó un portal de Divulgación Voluntaria en línea en disclosure.ofac.treasury.gov. Sustituye al mosaico de envíos por correo electrónico y faxes que predominó durante décadas. El portal ofrece un canal más seguro, campos estructurados y confirmación de recepción, pero las reglas sustantivas no han cambiado:

  • Una notificación inicial describe lo sucedido de forma resumida.
  • Un informe de seguimiento detallado debe presentarse en un plazo de 180 días, cubriendo la causa raíz, el alcance, la remediación y el personal involucrado.

Las empresas aún necesitan la participación de asesores legales antes de la presentación inicial. El portal no cambia los riesgos legales; solo cambia la oficina de correos.

Cálculo de sanciones: A qué se expone realmente

Bajo la IEEPA (el estatuto que rige la mayoría de los programas de sanciones modernos), las sanciones civiles por infracción para 2026 son:

  • Máximo legal: 377.700 $ (ajustado anualmente por inflación)
  • O el doble del valor de la transacción, lo que sea mayor

Cada transacción puede ser una infracción independiente. Un solo cliente que realiza cuarenta pedidos durante dos años representa cuarenta infracciones.

El cálculo de la sanción de la OFAC fluye a través de tres pasos:

  1. Importe base: depende de si el caso es grave, si se aplicó VSD y el valor de la transacción (baremo legal).
  2. Ajustes: por factores agravantes (intención, conocimiento, daño a los objetivos del programa de sanciones, parte sofisticada, falta de programa de cumplimiento) y factores atenuantes (cooperación, acción correctiva, primera infracción, tamaño pequeño, condición financiera).
  3. Sanción final propuesta: emitida en un Aviso de Sanción Previa, que el sujeto puede impugnar.

Las sanciones penales se acumulan por infracciones deliberadas: hasta 1 millón de dólares por infracción y hasta veinte años de prisión para personas físicas.

Lista de verificación de cumplimiento práctico para pequeñas empresas

Utilice esto como punto de partida. No sustituye al asesoramiento legal, pero cubre lo que la agencia ha señalado repetidamente en sus conclusiones de cumplimiento publicadas.

Fundamentos

  • Política de cumplimiento de sanciones por escrito firmada por la alta dirección.
  • Responsable de cumplimiento designado (puede ser un fundador o director financiero; no deje el cargo sin asignar).
  • Evaluación de riesgos documentada, actualizada cuando el negocio cambie materialmente.
  • Inventario de todas las jurisdicciones y personas sancionadas relevantes para su negocio.

Monitoreo (Screening)

  • Todos los clientes, proveedores, beneficiarios y contrapartes filtrados al momento de la incorporación.
  • Remonitoreo diario o semanal contra las listas actualizadas de SDN/Consolidadas/SSI.
  • Divulgación de la titularidad real requerida para contrapartes de alto riesgo.
  • Procedimiento documentado para evaluar posibles coincidencias (falsos positivos frente a positivos reales).
  • Geolocalización/filtrado de IP para jurisdicciones con embargo conocidas en plataformas web.

Transacciones

  • Árbol de decisión de bloqueo o rechazo, con autoridad clara para detener el cumplimiento.
  • Cuenta segregada que devenga intereses lista para cualquier fondo bloqueado.
  • Flujo de trabajo de solicitud de licencia de la OFAC para transacciones que puedan calificar.

Mantenimiento de registros e informes

  • Retención de registros de monitoreo y transacciones durante cinco años.
  • Informes iniciales de transacciones bloqueadas/rechazadas presentados dentro de los diez días hábiles.
  • Informes anuales de propiedad bloqueada presentados antes del 30 de septiembre.
  • Pista de auditoría para cada coincidencia de monitoreo y su resolución.

Pruebas y capacitación

  • Autoevaluaciones trimestrales (datos ficticios pasados por la herramienta de monitoreo).
  • Revisión independiente anual (asesor externo o consultor de cumplimiento).
  • Capacitación anual para todos los empleados relevantes, con asistencia documentada.

Respuesta a incidentes

  • Asesoría legal externa preidentificada familiarizada con asuntos de la OFAC.
  • Protocolo documentado de decisión de VSD: quién toma la decisión, qué evidencia la desencadena, quién redacta el envío.

Errores Comunes que Provocan Medidas de Cumplimiento

Los patrones de las sanciones publicadas por la OFAC casi siempre incluyen uno o más de los siguientes:

  1. "Solo verificamos la lista SDN". Omitir las listas Consolidadas, SSI, FSE o NS-MBS es un hallazgo frecuente.
  2. Verificación estática. Los controles realizados únicamente durante el registro fallan porque las listas SDN cambian semanalmente. Un cliente que superó la verificación en enero puede ser incluido en la lista en junio.
  3. Ignorar la titularidad real. El nombre de una contraparte aparece limpio mientras que el propietario del 60%, situado dos niveles por encima, está sancionado.
  4. Brechas en la restricción geográfica (geofencing). Una plataforma web bloquea las direcciones IP de Irán pero permite que el tráfico de VPN fluya sin control; la OFAC ha citado esto en casos de tecnología financiera (fintech).
  5. Falta de un procedimiento documentado para posibles coincidencias. Empleados de cara al cliente que toman decisiones de juicio ad hoc sin una guía de escalamiento.
  6. Falta de presentación de los informes obligatorios. Incluso cuando la transacción subyacente fue bloqueada correctamente, no presentar el informe de diez días o la declaración anual del 30 de septiembre constituye una violación por sí misma.
  7. Capacitación insuficiente. Personal de ventas que promete servicios a jurisdicciones embargadas porque nunca recibió capacitación sobre la OFAC.
  8. Divulgación tardía. Ocultar una violación descubierta mientras otra agencia la detecta de forma independiente, perdiendo la elegibilidad para la VSD (Autodenuncia Voluntaria) y la reducción del 50% de la multa.

Mantenga sus Registros Financieros Listos para la OFAC

El cumplimiento de las sanciones depende totalmente de la documentación. Cada transacción bloqueada, cada pago rechazado, cada decisión de verificación, cada solicitud de licencia; la OFAC puede solicitar cualquiera de estos elementos durante una ventana de auditoría de cinco años. Un sistema de contabilidad que oculte silenciosamente esas entradas tras una interfaz de libro mayor de "caja negra" ralentizará su respuesta ante una citación judicial.

Beancount.io adopta el enfoque opuesto: contabilidad en texto plano donde cada entrada es una línea legible, cada cambio cuenta con control de versiones y cada cuenta puede etiquetarse para el tipo de actividad transfronteriza que atrae la atención de la OFAC. Cuando su auditor —o su asesor externo que prepara una autodenuncia voluntaria— solicite el historial completo de pagos a una contraparte en particular, podrá generarlo en minutos, no en días. Comience gratis y aporte a sus finanzas la misma transparencia que la OFAC espera de su programa de cumplimiento.