Parte de nuestra serie Compliance & Regulation
Leer la guía completaCumplimiento de exportaciones y control de sanciones: OFAC, BIS y regulaciones de la UE
En 2025, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos impuso más de 1.500 millones de dólares en multas por violaciones de sanciones. La Oficina de Industria y Seguridad (BIS) negó privilegios de exportación a cientos de entidades. Y la UE amplió sus programas de sanciones para cubrir nuevos sectores y geografías. Para cualquier empresa dedicada al comercio internacional, incluidos servicios digitales, licencias de software y comercio electrónico transfronterizo, el cumplimiento de las exportaciones se ha convertido en un requisito operativo crítico.
Las consecuencias del incumplimiento son graves: sanciones penales de hasta 1 millón de dólares y 20 años de prisión por infracción deliberada del control de exportaciones, sanciones civiles de hasta 330.000 dólares por infracción de las sanciones de la OFAC y el riesgo existencial de quedar aislado del sistema financiero estadounidense.
Conclusiones clave
- La evaluación de sanciones debe realizarse antes de cada transacción, no solo en el momento de la incorporación del cliente.
- Las exportaciones de software y tecnología requieren clasificación (ECCN) incluso cuando ningún producto físico cruza las fronteras
- Los programas de sanciones de la UE, los EE. UU. y el Reino Unido difieren significativamente: el cumplimiento de uno no garantiza el cumplimiento de los demás
- Las herramientas de detección automatizadas son esenciales a escala, pero se requiere una revisión humana para detectar posibles coincidencias.
Comprender el panorama regulatorio
El cumplimiento de las exportaciones implica dos regímenes distintos pero relacionados: programas de sanciones (que restringen las transacciones con países, entidades e individuos específicos) y controles de exportaciones (que restringen la transferencia de bienes, software y tecnología específicos).
Programas de sanciones de EE. UU. (OFAC)
La OFAC administra y hace cumplir programas de sanciones económicas basados en la política exterior y los objetivos de seguridad nacional de Estados Unidos. Estas sanciones se encuentran entre las más amplias y aplicadas de manera más agresiva en el mundo.
Listas clave de la OFAC:
| Lista | Nombre completo | Contiene | Actualizado |
|---|---|---|---|
| SDN | Nacionales Especialmente Designados y Personas Bloqueadas | Personas y entidades cuyos activos están bloqueados | Diario |
| ISS | Identificaciones de Sanciones Sectoriales | Entidades sujetas a restricciones sectoriales | Según sea necesario |
| CAPTA | Consejo Legislativo Palestino no SDN | Miembros del consejo legislativo palestino | Según sea necesario |
| FSE | Evasores de sanciones extranjeras | Personas que facilitan la evasión de sanciones | Según sea necesario |
| Consolidado | Lista consolidada de sanciones | Listas combinadas no SDN | Semanal |
Los programas integrales de sanciones prohíben prácticamente todas las transacciones con ciertos países: Cuba, Irán, Corea del Norte, Siria y las regiones de Crimea/Donetsk/Luhansk de Ucrania.
Sanciones secundarias amplían el alcance de las sanciones estadounidenses a personas no estadounidenses. Una empresa europea que facilite transacciones importantes con entidades iraníes puede ser sancionada por Estados Unidos, aunque no esté sujeta directamente a la jurisdicción estadounidense.
Controles de exportación de EE. UU. (BIS)
La Oficina de Industria y Seguridad del Departamento de Comercio administra el Reglamento de Administración de Exportaciones (EAR). Estas regulaciones controlan la exportación de artículos de "doble uso": bienes, software y tecnología que tienen aplicaciones tanto comerciales como militares o de inteligencia.
Listas clave del BIS:
| Lista | Propósito | Impacto |
|---|---|---|
| Lista de entidades | Entidades que actúan en contra de la seguridad nacional y la política exterior de EE.UU. | Se requiere licencia para cualquier artículo controlado por EAR |
| Lista de personas denegadas | Individuos a los que se les niegan privilegios de exportación | No hay exportaciones de ningún tipo |
| Lista no verificada | Entidades cuya buena fe no puede verificarse | Se requiere una mayor diligencia debida |
| Lista de usuarios finales militares | Usuarios finales militares en determinados países | Licencia requerida para artículos específicos |
Sanciones de la UE
La UE mantiene sus propios programas de sanciones, que son legalmente vinculantes para todos los estados miembros de la UE, los nacionales de la UE y las empresas constituidas en la UE.
Características clave:
- Las sanciones de la UE se implementan a través de Reglamentos de la UE (ley directamente aplicable en todos los estados miembros)
- Los objetivos de las sanciones pueden diferir de las listas de EE. UU. (una persona sancionada por EE. UU. no necesariamente está sancionada por la UE, y viceversa)
- La UE mantiene la Lista Consolidada de Sanciones Financieras
- Las sanciones sectoriales se dirigen a industrias específicas (energía, finanzas, defensa, tecnología) en los países sancionados.
- Los miembros de la UE tienen organismos nacionales de aplicación de la ley (por ejemplo, OFSI en el Reino Unido después del Brexit, Autoridad de Sanciones holandesa)
Clasificación: códigos ECCN y HTS
Antes de poder determinar si una exportación requiere una licencia, debe clasificar lo que está exportando.
Número de clasificación de control de exportaciones (ECCN)
Los ECCN son códigos alfanuméricos de cinco caracteres que identifican el nivel de control de exportación aplicado a un artículo:
- Primer carácter (0-9): Categoría (p. ej., 5 = Telecomunicaciones y seguridad de la información)
- Segundo carácter (A-E): Grupo de productos (A = Sistemas/Equipos, D = Software, E = Tecnología)
- Caracteres restantes: Identifica elementos específicos dentro de la categoría
Clasificaciones de ejemplo relevantes para empresas de tecnología:
| ECCN | Descripción | Requisitos de licencia |
|---|---|---|
| 5D002 | Software para seguridad de la información (cifrado) | Licencia requerida para ciertos destinos |
| 5A002 | Sistemas y equipos de seguridad de la información | Licencia requerida para ciertos destinos |
| 5E002 | Tecnología para la seguridad de la información | Licencia requerida para ciertos destinos |
| EAR99 | Artículos que no están en la Lista de Control de Comercio | Generalmente no se requiere licencia (pero aún se aplican sanciones) |
Consideraciones de software y tecnología
Muchas empresas de tecnología se sorprenden al saber que las exportaciones de software están controladas:
- El software de cifrado que supere ciertos umbrales requiere clasificación y puede necesitar licencias de exportación
- El software de cifrado de código abierto tiene una exención específica (disponible públicamente) pero requiere notificación al BIS
- Los servicios en la nube pueden constituir una "exportación considerada" si acceden a ellos ciudadanos extranjeros
- Los productos SaaS con capacidades de cifrado requieren clasificación aunque ningún producto físico cruce una frontera.
- Transferencia de tecnología incluye datos técnicos, materiales de capacitación y asistencia técnica
Códigos HTS
Los códigos del Arancel Armonizado se utilizan con fines aduaneros y determinan los aranceles aplicables. Si bien son independientes de la clasificación ECCN, los códigos HTS deben ser precisos para las declaraciones de aduana. La clasificación errónea puede dar lugar a derechos pagados de forma insuficiente, retrasos en las importaciones y sanciones.
Creación de un programa de detección de sanciones
Flujo de trabajo de detección de transacciones
La evaluación de sanciones efectiva requiere verificar múltiples puntos de contacto en cada transacción:
- Incorporación de clientes. Compare el nombre del cliente, los alias, las direcciones y los beneficiarios reales con todas las listas de sanciones aplicables antes de establecer la relación comercial.
- Detección de transacciones. Examine cada transacción en busca de partes sancionadas, países e inquietudes sobre el uso final. Esto incluye al comprador, al destinatario del envío, al usuario final y a cualquier intermediario.
- Control de pagos. Controle los detalles de pago de los bancos, instituciones financieras y beneficiarios sancionados.
- Monitoreo continuo. Volver a evaluar a los clientes existentes cuando se actualicen las listas de sanciones (la OFAC actualiza su lista SDN diariamente).
- Escalado y revisión. Las posibles coincidencias deben ser revisadas por un oficial de cumplimiento capacitado. Los falsos positivos (comunes en las pruebas de detección basadas en nombres) deben documentarse y resolverse.
Comparación de herramientas de detección
| Herramienta | Cobertura | Automatización | Rango de precios | Mejor para |
|---|---|---|---|---|
| Riesgo y cumplimiento de Dow Jones | OFAC, UE, Reino Unido, más de 200 listas | Integración API completa | $$$$ | Grandes empresas |
| Visión de LexisNexis Bridger | Listas OFAC, UE, Reino Unido y PEP | API + cribado por lotes | $$$ | Mercado medio |
| Descartes Cumplimiento Visual | OFAC, BIS, UE, más de 500 listas | Integración API + ERP | $$$ | Fabricación/comercio |
| Cumplir ventaja | Más de 100 sanciones + listas de PEP | API primero, en tiempo real | $$ | SaaS/tecnología financiera |
| AbrirSanciones | OFAC, UE, Reino Unido, más de 80 fuentes | Código abierto, API | $ (autohospedado) | Startups/personalizado |
| Búsqueda SDN de OFAC (oficial) | Sólo listas de la OFAC | Sólo búsqueda manual | Gratis | Cribado básico |
Integración de Screening con sistemas ERP
Para las empresas que utilizan Odoo o sistemas ERP similares, la evaluación de sanciones debe integrarse en puntos clave del proceso:
- Creación de contactos: Detección automática cuando se agrega un nuevo cliente o proveedor
- Confirmación de pedido de venta: Vuelva a realizar la pantalla antes de procesar el pedido
- Aprobación de orden de compra: Proveedores de pantalla y países de envío
- Envío/logística: Pantalla de direcciones de entrega y transportistas
- Procesamiento de pagos: Consultar los datos bancarios antes del desembolso
La evaluación debe ser sin bloqueo para pases claros y con bloqueo (con revisión de cumplimiento requerida) para posibles coincidencias.
Elementos del programa de cumplimiento
Los reguladores de la OFAC, el BIS y la UE enfatizan que tener un programa de cumplimiento es un factor mitigante importante si ocurre una infracción. De hecho, la OFAC considera explícitamente la idoneidad de un programa de cumplimiento al determinar las sanciones.
Los cinco componentes esenciales de la OFAC
El Marco de Compromisos de Cumplimiento de la OFAC identifica cinco componentes esenciales:
-
Compromiso de la dirección. La alta dirección apoya y proporciona recursos al programa de cumplimiento. Hay un oficial de cumplimiento designado con la autoridad e independencia adecuadas.
-
Evaluación de riesgos. La empresa identifica y evalúa su riesgo de sanciones en función de los clientes, productos, servicios, geografías y canales. La evaluación de riesgos se actualiza anualmente.
-
Controles internos. Políticas, procedimientos y procesos que identifican, interceptan, escalan e informan transacciones que pueden estar prohibidas. Esto incluye herramientas de selección, flujos de trabajo de aprobación y mantenimiento de registros.
-
Pruebas y auditorías. Pruebas independientes de la eficacia del programa de cumplimiento. Esto incluye probar las herramientas de detección (¿están detectando a las partes sancionadas conocidas?), revisar los procedimientos de escalada y auditar los registros de capacitación.
-
Capacitación. Capacitación periódica y específica de cada rol para todos los empleados involucrados en transacciones que podrían implicar sanciones. Se deben mantener registros de capacitación.
Requisitos de mantenimiento de registros
Mantener registros de:
- Todos los resultados de la detección (positivos y negativos)
- Documentación de resolución de partidos (cómo se investigaron y aclararon los posibles partidos)
- Solicitudes y determinaciones de licencia.
- Transacciones bloqueadas o rechazadas
- Registros y materiales de formación.
- Evaluaciones de riesgos y actualizaciones.
- Políticas y procedimientos del programa de cumplimiento.
- Divulgaciones voluntarias (si se identifica alguna infracción)
Período de retención: La OFAC exige que los registros se mantengan durante al menos cinco años. BIS exige cinco años a partir de la fecha de exportación. La mejor práctica es retener durante el período más largo de los dos.
Para conocer los requisitos detallados de seguimiento de auditoría en todos los marcos de cumplimiento, consulte nuestra guía de cumplimiento de seguimiento de auditoría.
Infracciones comunes y cómo evitarlas
Violación 1: No realizar la evaluación
La infracción más común es simplemente no realizar ningún examen o realizar un examen durante la incorporación pero no de forma continua. Las listas de sanciones cambian a diario: un cliente que estuvo limpio el mes pasado puede ser sancionado hoy.
Prevención: Implementar una nueva evaluación automática activada por las actualizaciones de la lista.
Violación 2: Coincidencia de nombres inadecuada
La selección basada en nombres es inherentemente imperfecta. Los problemas comunes incluyen variaciones de transliteración (nombres árabes, chinos, cirílicos), nombres comunes que generan falsos positivos excesivos y fallas en la coincidencia de alias/alias.
Prevención: Utilice algoritmos de coincidencia aproximada, configure umbrales de coincidencia adecuados y revise siempre las posibles coincidencias manualmente.
Violación 3: Ignorar el beneficiario final
La regla del 50% de la OFAC establece que las entidades que pertenecen al 50% o más a una persona sancionada se consideran sancionadas, incluso si la entidad no está en la lista SDN.
Prevención: Realizar una investigación de beneficiarios reales de todas las relaciones comerciales importantes. Esto es particularmente importante para las transacciones B2B.
Violación 4: Reexportación no autorizada
Los bienes, software o tecnología exportados desde EE. UU. pueden estar sujetos a controles de reexportación. Si su filial europea recibe software de origen estadounidense y lo distribuye a un tercer país, esa reexportación está sujeta a los controles de exportación de Estados Unidos.
Prevención: Realice un seguimiento del origen de los bienes y la tecnología a lo largo de su cadena de suministro. Incluir cláusulas de restricción de reexportaciones en los acuerdos de distribución.
Para obtener orientación sobre cómo el cumplimiento de las exportaciones encaja dentro de un marco de cumplimiento más amplio, consulte nuestro manual de cumplimiento empresarial.
Preguntas frecuentes
¿Las empresas de software deben preocuparse por los controles de exportación?
Sí. El software está cubierto explícitamente por los controles de exportación de EE. UU. (EAR), las regulaciones de doble uso de la UE y el Acuerdo de Wassenaar. El software de cifrado, las herramientas de ciberseguridad, el software de IA/ML para determinadas aplicaciones y la tecnología relacionada con elementos controlados requieren clasificación. Incluso los productos SaaS entregados a través de la nube pueden constituir una "exportación" o una "exportación considerada" según las regulaciones estadounidenses.
¿Cuál es la diferencia entre sanciones y controles de exportación?
Las sanciones restringen con quién puede hacer negocios (países, entidades e individuos específicos). Los controles de exportación restringen lo que puede exportar (bienes, software y tecnología específicos). Una transacción puede violar ambos simultáneamente, por ejemplo, exportar software de cifrado controlado a una entidad sancionada. Debes cumplir ambos regímenes de forma independiente.
¿Cómo manejamos los falsos positivos en el cribado?
Los falsos positivos son inevitables, especialmente con nombres comunes. Establezca un proceso de revisión documentado: cuando se detecta una posible coincidencia, un responsable de cumplimiento capacitado investiga utilizando identificadores adicionales (fecha de nacimiento, dirección, nacionalidad, detalles comerciales). Si se determina que la coincidencia es un falso positivo, documente el razonamiento y borre la transacción. Mantenga una lista de "partes autorizadas" para reducir futuros falsos positivos para la misma entidad, pero vuelva a realizar la evaluación periódicamente.
¿Existen implicaciones en el control de exportaciones para el software de código abierto?
El software de código abierto generalmente está exento de los controles de exportación de Estados Unidos bajo la excepción de "disponibilidad pública", pero con importantes salvedades. Debe presentar una notificación al BIS y a la NSA cuando el código fuente de cifrado esté disponible públicamente. Y la exención se aplica sólo al software que está verdaderamente disponible públicamente; es posible que las modificaciones de propiedad o las compilaciones personalizadas no califiquen.
¿Qué debemos hacer si descubrimos una violación de sanciones pasadas?
La OFAC recomienda encarecidamente la divulgación voluntaria (VSD). Las empresas que revelan voluntariamente infracciones generalmente reciben sanciones significativamente reducidas. La OFAC considera que la VSD es un importante factor mitigante. Contrate asesoría legal de inmediato, detenga la actividad prohibida, conserve todos los registros relevantes y prepare una divulgación exhaustiva para la OFAC que incluya los hechos, las fallas de cumplimiento que lo permitieron y las medidas correctivas que ha tomado.
¿Qué sigue?
El cumplimiento de las exportaciones y el control de las sanciones no son opcionales para las empresas que operan a nivel internacional: las sanciones por incumplimiento son severas y la aplicación de las normas se está intensificando. Crear un programa de cumplimiento sólido con evaluación automatizada, procedimientos de escalamiento claros y capacitación integral es una inversión que protege a su empresa del riesgo existencial.
ECOSIRE ayuda a las empresas internacionales a desarrollar operaciones comerciales que cumplan con las normas. Nuestras implementaciones de Odoo ERP pueden integrar la detección de sanciones en cada punto de contacto de la transacción, desde la incorporación del cliente hasta el procesamiento de envíos. Para monitorear el cumplimiento y evaluar el riesgo con tecnología de IA, explore nuestra plataforma de IA OpenClaw. Contáctenos para analizar sus necesidades de cumplimiento de exportaciones.
Publicado por ECOSIRE: ayuda a las empresas a escalar con soluciones impulsadas por IA en Odoo ERP, Shopify eCommerce y OpenClaw AI.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Haga crecer su negocio con ECOSIRE
Soluciones empresariales en ERP, comercio electrónico, inteligencia artificial, análisis y automatización.
Artículos relacionados
ERP para la industria química: seguridad, cumplimiento y procesamiento por lotes
Cómo los sistemas ERP gestionan los documentos SDS, el cumplimiento de REACH y GHS, el procesamiento por lotes, el control de calidad, el envío de materiales peligrosos y la gestión de fórmulas para empresas químicas.
ERP para comercio de importación/exportación: multidivisa, logística y cumplimiento
Cómo manejan los sistemas ERP cartas de crédito, documentación aduanera, incoterms, pérdidas y ganancias multidivisa, seguimiento de contenedores y cálculo de derechos para empresas comerciales.
Informes de sostenibilidad y ESG con ERP: Guía de cumplimiento 2026
Navegue por el cumplimiento de informes ESG en 2026 con sistemas ERP. Cubre CSRD, GRI, SASB, emisiones de alcance 1/2/3, seguimiento de carbono y sostenibilidad de Odoo.
Más de Compliance & Regulation
Ciberseguridad para el comercio electrónico: proteja su negocio en 2026
Guía completa de ciberseguridad de comercio electrónico para 2026. PCI DSS 4.0, configuración WAF, protección contra bots, prevención de fraude en pagos, encabezados de seguridad y respuesta a incidentes.
ERP para la industria química: seguridad, cumplimiento y procesamiento por lotes
Cómo los sistemas ERP gestionan los documentos SDS, el cumplimiento de REACH y GHS, el procesamiento por lotes, el control de calidad, el envío de materiales peligrosos y la gestión de fórmulas para empresas químicas.
ERP para comercio de importación/exportación: multidivisa, logística y cumplimiento
Cómo manejan los sistemas ERP cartas de crédito, documentación aduanera, incoterms, pérdidas y ganancias multidivisa, seguimiento de contenedores y cálculo de derechos para empresas comerciales.
Informes de sostenibilidad y ESG con ERP: Guía de cumplimiento 2026
Navegue por el cumplimiento de informes ESG en 2026 con sistemas ERP. Cubre CSRD, GRI, SASB, emisiones de alcance 1/2/3, seguimiento de carbono y sostenibilidad de Odoo.
Lista de verificación de preparación para la auditoría: Cómo preparar sus libros
Lista de verificación completa para la preparación de auditorías que cubre la preparación de los estados financieros, la documentación de respaldo, la documentación de controles internos, las listas de PBC de los auditores y los hallazgos comunes de las auditorías.
Guía australiana del GST para empresas de comercio electrónico
Guía completa del GST australiano para empresas de comercio electrónico que cubre el registro ATO, el umbral de $75 000, las importaciones de bajo valor, la presentación de BAS y el GST para servicios digitales.