Parte da nossa série Compliance & Regulation
Leia o guia completoEm 2025, o Gabinete de Controlo de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA impôs mais de 1,5 mil milhões de dólares em penalidades por violações de sanções. O Bureau de Indústria e Segurança (BIS) negou privilégios de exportação a centenas de entidades. E a UE expandiu os seus programas de sanções para cobrir novos setores e geografias. Para qualquer empresa envolvida no comércio internacional – incluindo serviços digitais, licenciamento de software e comércio eletrónico transfronteiriço – a conformidade com as exportações tornou-se um requisito operacional crítico.
As consequências do incumprimento são graves: sanções penais até 1 milhão de dólares e 20 anos de prisão por violação por violações intencionais do controlo de exportação, sanções civis até 330.000 dólares por violação por violações das sanções da OFAC e o risco existencial de ser cortado do sistema financeiro dos EUA.
Principais conclusões
- A triagem de sanções deve ocorrer antes de cada transação, não apenas na integração do cliente
- As exportações de software e tecnologia exigem classificação (ECCN), mesmo quando nenhum produto físico atravessa fronteiras
- Os programas de sanções da UE, dos EUA e do Reino Unido diferem significativamente --- o cumprimento de um não garante o cumprimento de outros
- Ferramentas de triagem automatizadas são essenciais em grande escala, mas a revisão humana é necessária para possíveis correspondências
Compreendendo o cenário regulatório
A conformidade nas exportações envolve dois regimes distintos, mas relacionados: programas de sanções (que restringem transações com países, entidades e indivíduos específicos) e controles de exportação (que restringem a transferência de bens, software e tecnologia específicos).
Programas de Sanções dos EUA (OFAC)
A OFAC administra e aplica programas de sanções econômicas com base na política externa dos EUA e nas metas de segurança nacional. Estas sanções estão entre as mais amplas e aplicadas de forma mais agressiva no mundo.
Listas principais do OFAC:
| Lista | Nome Completo | Contém | Atualizado |
|---|---|---|---|
| SDN | Cidadãos Especialmente Designados e Pessoas Bloqueadas | Pessoas físicas e jurídicas cujos ativos estão bloqueados | Diariamente |
| SSI | Identificações de Sanções Setoriais | Entidades sujeitas a restrições sectoriais | Conforme necessário |
| CAPTA | Conselho Legislativo Palestino Não-SDN | Membros do conselho legislativo palestino | Conforme necessário |
| FSE | Evasões de sanções estrangeiras | Pessoas que facilitam a evasão de sanções | Conforme necessário |
| Consolidado | Lista Consolidada de Sanções | Listas combinadas não SDN | Semanalmente |
Programas de sanções abrangentes proíbem praticamente todas as transações com determinados países: Cuba, Irã, Coreia do Norte, Síria e as regiões da Crimeia/Donetsk/Luhansk da Ucrânia.
Sanções secundárias estendem o alcance das sanções dos EUA a pessoas que não são dos EUA. Uma empresa europeia que facilite transações significativas com entidades iranianas pode, ela própria, ser sancionada pelos EUA, mesmo que não esteja diretamente sujeita à jurisdição dos EUA.
Controles de Exportação dos EUA (BIS)
O Departamento de Indústria e Segurança do Departamento de Comércio administra os Regulamentos de Administração de Exportação (EAR). Estas regulamentações controlam a exportação de itens de “dupla utilização” – bens, software e tecnologia que têm aplicações comerciais e militares/de inteligência.
Listas principais do BIS:
| Lista | Finalidade | Impacto |
|---|---|---|
| Lista de Entidades | Entidades que agem de forma contrária à segurança nacional/política externa dos EUA | Licença necessária para qualquer item controlado pela EAR |
| Lista de Pessoas Negadas | Privilégios de exportação negados a indivíduos | Não há qualquer tipo de exportação |
| Lista não verificada | Entidades cuja boa-fé não pode ser verificada | É necessária uma devida diligência reforçada |
| Lista de usuários finais militares | Utilizadores finais militares em determinados países | Licença necessária para itens específicos |
Sanções da UE
A UE mantém os seus próprios programas de sanções, que são juridicamente vinculativos para todos os estados membros da UE, cidadãos da UE e empresas constituídas na UE.
Características principais:
- As sanções da UE são implementadas através de regulamentos da UE (lei diretamente aplicável em todos os estados membros)
- Os alvos das sanções podem diferir das listas dos EUA (uma pessoa sancionada pelos EUA não é necessariamente sancionada pela UE e vice-versa)
- A UE mantém a Lista Consolidada de Sanções Financeiras
- Sanções sectoriais específicas visam indústrias específicas (energia, finanças, defesa, tecnologia) em países sancionados
- Os membros da UE têm órgãos nacionais de execução (por exemplo, OFSI no Reino Unido pós-Brexit, Autoridade Holandesa de Sanções)
Classificação: Códigos ECCN e HTS
Antes de determinar se uma exportação requer uma licença, você precisa classificar o que está exportando.
Número de Classificação de Controle de Exportação (ECCN)
ECCNs são códigos alfanuméricos de cinco caracteres que identificam o nível de controle de exportação aplicado a um item:
- Primeiro caractere (0-9): Categoria (ex.: 5 = Telecomunicações e Segurança da Informação)
- Segundo caractere (A-E): Grupo de produtos (A = Sistemas/Equipamentos, D = Software, E = Tecnologia)
- Caracteres restantes: Identifique itens específicos dentro da categoria
Exemplos de classificações relevantes para empresas de tecnologia:
| ECCN | Descrição | Requisitos de licença |
|---|---|---|
| 5D002 | Software para segurança da informação (criptografia) | Licença necessária para determinados destinos |
| 5A002 | Sistemas e equipamentos de segurança da informação | Licença necessária para determinados destinos |
| 5E002 | Tecnologia para segurança da informação | Licença necessária para determinados destinos |
| EAR99 | Itens que não estão na Lista de Controle de Comércio | Geralmente não é necessária licença (mas ainda se aplicam sanções) |
Considerações sobre software e tecnologia
Muitas empresas de tecnologia ficam surpresas ao saber que as exportações de software são controladas:
- Software de criptografia acima de determinados limites requer classificação e pode precisar de licenças de exportação
- Software de criptografia de código aberto tem uma isenção específica (disponível publicamente), mas requer notificação ao BIS
- Serviços em nuvem podem constituir uma "exportação considerada" se acessados por estrangeiros
- Produtos SaaS com recursos de criptografia exigem classificação, mesmo que nenhum produto físico cruze uma fronteira
- Transferência de tecnologia inclui dados técnicos, materiais de treinamento e assistência técnica
Códigos HTS
Os códigos da Tabela Tarifária Harmonizada são usados para fins alfandegários e determinam as tarifas aplicáveis. Embora separados da classificação ECCN, os códigos HTS devem ser precisos para as declarações aduaneiras. A classificação incorreta pode resultar em taxas mal pagas, atrasos na importação e penalidades.
Construindo um Programa de Triagem de Sanções
Fluxo de trabalho de triagem de transações
A triagem eficaz de sanções requer a verificação de vários pontos de contato em cada transação:
- Integração do cliente. Verifique o nome do cliente, apelidos, endereços e proprietários beneficiários em relação a todas as listas de sanções aplicáveis antes de estabelecer o relacionamento comercial.
- Triagem de transações. Analise cada transação em busca de partes sancionadas, países e preocupações com o uso final. Isso inclui o comprador, o recebedor da mercadoria, o usuário final e quaisquer intermediários.
- Triagem de pagamento. Analise os detalhes de pagamento de bancos, instituições financeiras e beneficiários sancionados.
- Monitoramento contínuo. Faça nova triagem dos clientes existentes quando as listas de sanções forem atualizadas (o OFAC atualiza sua lista SDN diariamente).
- Escalonamento e revisão. Possíveis correspondências devem ser analisadas por um responsável pela conformidade treinado. Os falsos positivos (comuns na triagem baseada no nome) devem ser documentados e resolvidos.
Comparação de ferramentas de triagem
| Ferramenta | Cobertura | Automação | Faixa de preço | Melhor para |
|---|---|---|---|---|
| Risco e Conformidade Dow Jones | OFAC, UE, Reino Unido, mais de 200 listas | Integração completa de API | $$$$ | Grandes empresas |
| LexisNexis Bridger Insight | Listas OFAC, UE, Reino Unido, PEP | API + triagem em lote | $$$ | Mercado médio |
| Conformidade Visual Descartes | OFAC, BIS, UE, mais de 500 listas | Integração API + ERP | $$$ | Fabricação/comércio |
| Cumprir Vantagem | Mais de 100 sanções + listas PEP | API em primeiro lugar, em tempo real | $$ | SaaS/fintech |
| OpenSanções | OFAC, UE, Reino Unido, mais de 80 fontes | Código aberto, API | $ (auto-hospedado) | Startups/personalizadas |
| Pesquisa OFAC SDN (oficial) | Apenas listas OFAC | Apenas pesquisa manual | Grátis | Triagem básica |
Integrando Triagem com Sistemas ERP
Para empresas que utilizam Odoo ou sistemas ERP similares, a triagem de sanções deve ser integrada em pontos-chave do processo:
- Criação de contato: Triagem automática quando um novo cliente ou fornecedor é adicionado
- Confirmação do pedido de venda: Nova tela antes do processamento do pedido
- Aprovação do pedido de compra: Selecionar fornecedores e países de origem
- Envio/logística: Selecionar endereços de entrega e despachantes
- Processamento de pagamento: Selecione os dados bancários antes do desembolso
A triagem deve ser sem bloqueio para passes claros e com bloqueio (com revisão de conformidade obrigatória) para possíveis correspondências.
Elementos do programa de conformidade
OFAC, BIS e reguladores da UE enfatizam que ter um programa de conformidade é um fator atenuante significativo caso ocorra uma violação. Na verdade, a OFAC considera explicitamente a adequação de um programa de compliance ao determinar penalidades.
Cinco componentes essenciais do OFAC
A Estrutura para Compromissos de Conformidade do OFAC identifica cinco componentes essenciais:
-
Compromisso da gestão. A alta administração apoia e fornece recursos ao programa de conformidade. Existe um responsável pela conformidade designado com autoridade e independência adequadas.
-
Avaliação de riscos. A empresa identifica e avalia o risco de sanções com base em clientes, produtos, serviços, regiões geográficas e canais. A avaliação de risco é atualizada anualmente.
-
Controles internos. Políticas, procedimentos e processos que identificam, interditam, escalam e relatam transações que podem ser proibidas. Isso inclui ferramentas de triagem, fluxos de trabalho de aprovação e manutenção de registros.
-
Testes e auditorias. Testes independentes da eficácia do programa de conformidade. Isso inclui testar ferramentas de triagem (elas estão detectando partes sancionadas conhecidas?), revisar procedimentos de escalonamento e auditar registros de treinamento.
-
Treinamento. Treinamento regular e específico para a função para todos os funcionários envolvidos em transações que possam implicar sanções. Os registros de treinamento devem ser mantidos.
Requisitos de manutenção de registros
Manter registros de:
- Todos os resultados de triagem (positivos e negativos)
- Documentação de resolução de partidas (como possíveis correspondências foram investigadas e resolvidas)
- Pedidos de licença e determinações
- Transações bloqueadas ou rejeitadas
- Registros e materiais de treinamento
- Avaliações e atualizações de risco
- Políticas e procedimentos do programa de compliance
- Auto-revelação voluntária (se alguma violação for identificada)
**Período de retenção:**O OFAC exige que os registros sejam mantidos por pelo menos cinco anos. O BIS exige cinco anos a partir da data de exportação. A melhor prática é reter pelo maior dos dois períodos.
Para requisitos detalhados de trilha de auditoria em estruturas de conformidade, consulte nosso guia de conformidade de trilha de auditoria.
Violações comuns e como evitá-las
Violação 1: falha na triagem
A violação mais comum é simplesmente não fazer nenhuma triagem, ou fazer a triagem na integração, mas não de forma contínua. As listas de sanções mudam diariamente – um cliente que estava limpo no mês passado pode ser sancionado hoje.
Prevenção: implemente uma nova triagem automatizada acionada por atualizações de lista.
Violação 2: correspondência de nome inadequada
A triagem baseada no nome é inerentemente imperfeita. Problemas comuns incluem variações de transliteração (nomes em árabe, chinês, cirílico), nomes comuns que geram falsos positivos excessivos e falhas de correspondência de alias/AKA.
Prevenção: use algoritmos de correspondência difusa, configure limites de correspondência apropriados e sempre revise possíveis correspondências manualmente.
Violação 3: Ignorando a Propriedade Beneficiária
A Regra dos 50% do OFAC afirma que as entidades detidas em 50% ou mais por uma pessoa sancionada são consideradas sancionadas, mesmo que a entidade não esteja na lista SDN.
Prevenção: Realize uma triagem de propriedade beneficiária para todas as relações comerciais significativas. Isto é particularmente importante para transações B2B.
Violação 4: Reexportação não autorizada
Bens, software ou tecnologia exportados dos EUA podem estar sujeitos a controles de reexportação. Se a sua subsidiária europeia receber software de origem norte-americana e o distribuir a um país terceiro, essa reexportação estará sujeita aos controlos de exportação dos EUA.
Prevenção: Rastreie a origem dos produtos e da tecnologia em toda a sua cadeia de fornecimento. Incluir cláusulas de restrição à reexportação nos acordos de distribuição.
Para obter orientação sobre como a conformidade de exportação se enquadra em uma estrutura de conformidade mais ampla, consulte nosso manual de conformidade empresarial.
Perguntas frequentes
As empresas de software precisam se preocupar com os controles de exportação?
Sim. O software é explicitamente coberto pelos controles de exportação dos EUA (EAR), pelos regulamentos de dupla utilização da UE e pelo Acordo de Wassenaar. Software de criptografia, ferramentas de segurança cibernética, software de IA/ML para determinadas aplicações e tecnologia relacionada a itens controlados exigem classificação. Mesmo os produtos SaaS entregues através da nuvem podem constituir uma “exportação” ou “exportação considerada” de acordo com as regulamentações dos EUA.
Qual é a diferença entre sanções e controles de exportação?
As sanções restringem com quem você pode fazer negócios (países, entidades e indivíduos específicos). Os controles de exportação restringem o que você pode exportar (bens, software e tecnologia específicos). Uma transação pode violar ambos simultaneamente – por exemplo, exportar software de criptografia controlada para uma entidade sancionada. Você deve cumprir ambos os regimes de forma independente.
Como lidamos com falsos positivos na triagem?
Os falsos positivos são inevitáveis, especialmente com nomes comuns. Estabeleça um processo de revisão documentado: quando uma possível correspondência é sinalizada, um responsável pela conformidade treinado investiga usando identificadores adicionais (data de nascimento, endereço, nacionalidade, detalhes comerciais). Se a correspondência for considerada um falso positivo, documente o raciocínio e elimine a transação. Mantenha uma lista de “partes liberadas” para reduzir futuros falsos positivos para a mesma entidade, mas faça nova triagem periodicamente.
Existem implicações de controle de exportação para software de código aberto?
O software de código aberto está geralmente isento dos controles de exportação dos EUA sob a exceção de “disponibilidade pública”, mas com ressalvas importantes. Você deve enviar uma notificação ao BIS e à NSA ao disponibilizar publicamente o código-fonte da criptografia. E a isenção se aplica apenas a software que esteja realmente disponível publicamente – modificações proprietárias ou compilações personalizadas podem não se qualificar.
O que devemos fazer se descobrirmos uma violação de sanções no passado?
A OFAC incentiva fortemente a auto-revelação voluntária (VSD). As empresas que divulgam violações voluntariamente normalmente recebem penalidades significativamente reduzidas --- A OFAC considera o VSD um importante fator atenuante. Contrate aconselhamento jurídico imediatamente, interrompa a atividade proibida, preserve todos os registros relevantes e prepare uma divulgação completa ao OFAC que inclua os fatos, as falhas de conformidade que permitiram isso e as medidas corretivas que você tomou.
O que vem a seguir
O cumprimento das exportações e a verificação das sanções não são opcionais para as empresas que operam a nível internacional – as sanções pelo incumprimento são severas e a aplicação está a intensificar-se. Construir um programa de conformidade robusto com triagem automatizada, procedimentos de escalonamento claros e treinamento abrangente é um investimento que protege sua empresa contra riscos existenciais.
ECOSIRE ajuda empresas internacionais a construir operações comerciais compatíveis. Nossas implementações de ERP Odoo podem integrar a triagem de sanções em cada ponto de contato da transação, desde a integração do cliente até o processamento da remessa. Para monitoramento de conformidade e avaliação de riscos com tecnologia de IA, explore nossa plataforma OpenClaw AI. Entre em contato conosco para discutir suas necessidades de conformidade de exportação.
Publicado por ECOSIRE — ajudando empresas a escalar com soluções baseadas em IA em Odoo ERP, Shopify eCommerce e OpenClaw AI.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Expanda o seu negócio com ECOSIRE
Soluções empresariais em ERP, comércio eletrônico, IA, análise e automação.
Artigos Relacionados
BMF Programmablaufplan Lohnsteuer 2026: Implementando o cálculo oficial do imposto sobre salários na Alemanha (XML, API, Odoo)
Guia do desenvolvedor para o BMF Programmablaufplan Lohnsteuer 2026: o que é o PAP, o formato de pseudocódigo XML, serviço de teste oficial e mapeamento para folha de pagamento Odoo.
ERP para marcas de roupas e moda: matriz tamanho-cor, planejamento sazonal e conformidade (guia 2026)
Como as marcas de moda e roupas escolhem um ERP em 2026: variantes de matriz tamanho-cor, planejamento sazonal, conformidade com GoBD e DATEV, comparação de fornecedores e custos.
ERPNext RH e folha de pagamento em 2026: configuração, estruturas salariais e conformidade multipaíses
Configuração passo a passo do ERPNext HR e folha de pagamento para 2026: instalação do aplicativo HRMS, estruturas salariais, lançamentos de folha de pagamento, placas de imposto de renda, conformidade multipaíses.
Mais de Compliance & Regulation
BMF Programmablaufplan Lohnsteuer 2026: Implementando o cálculo oficial do imposto sobre salários na Alemanha (XML, API, Odoo)
Guia do desenvolvedor para o BMF Programmablaufplan Lohnsteuer 2026: o que é o PAP, o formato de pseudocódigo XML, serviço de teste oficial e mapeamento para folha de pagamento Odoo.
ERP para marcas de roupas e moda: matriz tamanho-cor, planejamento sazonal e conformidade (guia 2026)
Como as marcas de moda e roupas escolhem um ERP em 2026: variantes de matriz tamanho-cor, planejamento sazonal, conformidade com GoBD e DATEV, comparação de fornecedores e custos.
ERPNext RH e folha de pagamento em 2026: configuração, estruturas salariais e conformidade multipaíses
Configuração passo a passo do ERPNext HR e folha de pagamento para 2026: instalação do aplicativo HRMS, estruturas salariais, lançamentos de folha de pagamento, placas de imposto de renda, conformidade multipaíses.
Conformidade GoHighLevel A2P 10DLC em 2026: registro, taxas e correção de SMS bloqueados
Guia completo do GoHighLevel A2P 10DLC para 2026: etapas de registro de marca e campanha, taxas da operadora, motivos comuns de rejeição e como corrigir SMS filtrados.
Validação GxP para sistemas ERP: o que sua RFP de validação 2026 deve exigir (CSV, IQ/OQ/PQ, trilhas de auditoria)
O que uma RFP de validação de ERP GxP deve exigir em 2026: escopo CSV e CSA, 21 CFR Parte 11, Anexo 11 da UE, resultados IQ/OQ/PQ, trilhas de auditoria e risco GAMP 5.
Modelo de segurança OpenClaw, residência de dados, SOC 2 e ISO 27001
Arquitetura de segurança OpenClaw: isolamento de locatário, criptografia, gerenciamento de segredos, registros de auditoria, residência de dados, SOC 2, ISO 27001, GDPR, aptidão HIPAA.