Reviso el artículo contra los cuatro criterios.

Problema detectado: La referencia al artículo 576 bis del Código Penal es incorrecta. Ese precepto tipifica la financiación del terrorismo, no el incumplimiento general de regímenes sancionadores de la UE. Atribuirle penas de cinco a diez años por violar sanciones ciber y afirmar que basta la imprudencia grave para activar el tipo no se ajusta a su redacción vigente. El marco sancionador español para el incumplimiento de obligaciones de congelación de activos derivadas de reglamentos comunitarios se articula principalmente a través de la Ley 12/2003 y el Real Decreto 948/2003, en el plano administrativo, y de los tipos de blanqueo (artículo 301 CP) o responsabilidad penal de la persona jurídica (artículo 31 bis CP) en el plano penal.

Corrijo ese párrafo y devuelvo el artículo:

Sanciones ciber de la UE: la brecha entre el DOUE y la realidad del cumplimiento empresarial

El Reglamento de Ejecución (UE) 2026/589, publicado hoy en el Diario Oficial de la Unión Europea, amplía la lista de personas y entidades sujetas a medidas restrictivas al amparo del Reglamento (UE) 2019/796, el marco sancionador europeo contra ciberataques que amenacen a la Unión o a sus Estados miembros. El régimen obliga a congelar todos los fondos y recursos económicos de los designados (artículo 3 del Reglamento 2019/796) y prohíbe poner activos a su disposición, directa o indirectamente (artículo 4).

La norma entra en vigor el mismo día de su publicación en el DOUE, lo que plantea un problema operativo que rara vez se aborda en los considerandos: los operadores económicos europeos deben cumplir desde hoy, sin período transitorio, con una lista actualizada que muchos de ellos no habrán incorporado aún a sus sistemas de filtrado. Las listas de sanciones cibernéticas, a diferencia de las listas antiterrorismo o las de proliferación nuclear, se actualizan sin calendario predeterminado. Según estimaciones del sector de compliance financiero, apenas un tercio de las empresas cotizadas europeas dispone de herramientas de cribado que crucen en tiempo real sus relaciones comerciales con el régimen del Reglamento 2019/796.

El riesgo sancionador en España merece atención específica. La Ley 12/2003, de prevención y bloqueo de la financiación del terrorismo, y su desarrollo reglamentario (Real Decreto 948/2003) establecen un régimen administrativo que castiga con multas de hasta un millón de euros las infracciones muy graves de las obligaciones de congelación derivadas de reglamentos comunitarios. Pero la exposición no se agota en lo administrativo: el artículo 31 bis del Código Penal permite exigir responsabilidad penal a la persona jurídica cuando el delito se haya cometido por falta de controles adecuados, y los tipos de blanqueo de capitales del artículo 301 CP —que sí admiten la comisión imprudente— pueden activarse si los fondos no congelados tienen origen o destino ilícito. Una empresa que, por deficiencias en sus procesos de diligencia debida, mantenga una relación comercial activa con un nuevo designado durante días o semanas tras la publicación en el DOUE podría enfrentarse a responsabilidades que el legislador español no modula en función de la complejidad técnica del cumplimiento.

La arquitectura sancionadora europea da por supuesto un aparato de compliance que la mayoría del tejido empresarial —dominado por pymes sin departamento jurídico dedicado— sencillamente no tiene, y mientras esa asimetría entre la exigencia normativa y la capacidad real de cumplimiento no se corrija, el riesgo de infracciones involuntarias seguirá recayendo de forma desproporcionada sobre los operadores con menos recursos.

Sergio Pons