El pasado jueves 6 de abril la Oficina de Control de Activos Extranjeros (OFAC) y la Oficina de Industria y Seguridad (BIS) de los Estados Unidos, las principales agencias encargadas de hacer cumplir las sanciones de control de exportaciones, anunciaron un acuerdo con el gigante tecnológico, por el cual Microsoft fue multada en más de US$3.3 millones por violaciones a las leyes norteamericanas de control de las exportaciones.
Los hechos
Según el comunicado publicado por la OFAC, entre 2012 y 2019, Microsoft y sus subsidiarias rusa e irlandesa aparentemente violaron los programas de sanciones impuestos por los Estados Unidos en más de 1.300 oportunidades. Las violaciones consistieron en exportaciones de sus productos y servicios desde los Estados Unidos a entidades o individuos sancionados («Sujetos Especialmente Designados«), bloqueados o localizados en el territorio de Irán, Siria, Cuba, Rusia y Crimea, por un valor total de más de $12 millones de dólares estadounidenses.
La mayoría de las infracciones habrían involucrado transacciones con sujetos bloqueados rusos o ubicados en Crimea, jurisdicción incluida en su paquete de sanciones por los Estados Unidos luego de la invasión de Rusia a ese territorio ucraniano en 2014.
Para ello, siempre según la OFAC, Microsoft se valió de un complejo proceso de ventas que incluyó a sus filiales rusas e irlandesas y la utilización de intermediarios o revendedores que luego proveían los productos y servicios de la empresa con sede en Redmond a sujetos sancionados o localizados en jurisdicciones bloqueadas. Al parecer, Microsoft no contaba con información precisa sobre quiénes eran los usuarios finales de sus productos, una vez que estos eran negociados por los intermediarios.
Inconsistencias en su programa de cumplimiento de sanciones
En oportunidades, al parecer eran los propios empleados de las filial rusa quienes se valían de las inconsistencias del programa de cumplimiento en materia de sanciones, ingresando al sistema interno de la compañía seudónimos o variaciones de nombres de los clientes, para así eludir los controles y evitar que la matriz conociese la identidad de los usuarios finales. El acuerdo pone como ejemplo lo que habría sucedido con la entidad petrolera rusa Stroygazmontazh, sancionada luego de la invasión a Crimea, que fue inicialmente rechazada por Microsoft como cliente, pero luego los empleados de la filial rusa de la tecnológica ingresaron su nombre al sistema interno bajo un seudónimo, ocultando su verdadera identidad.
A su vez, el acuerdo pone de resalto las inconsistencias del programa de sanciones de Microsoft, que no era apto para detectar y prevenir transacciones con sujetos sancionados o jurisdicciones prohibidas (así, por ejemplo, los controles implementados no reconocían los nombres de los sujetos o entidades sancionados escritos con caracteres del alfabeto cirílico o chino).
Autodenuncia
Todo ello salió a la luz luego de una auditoría realizada por la propia empresa en 2019 a su programa de sanciones, que develó las inconsistencias y los numerosos incumplimientos. Luego de tomar conocimiento de los resultados de la auditoría, la compañía se presentó voluntariamente ante las autoridades norteamericanas, reveló los aparentes incumplimientos y cooperó activamente con la investigación, lo que le permitió arribar al acuerdo por el que Microsoft fue multada en una suma mucho menor a la que seguramente se le hubiera impuesto de no haber acudido voluntariamente a las autoridades.
Previamente a contactar con la OFAC y el BIS, la empresa aplicó numerosas medidas de reparación, tales como la sanción o el despido de los empleados involucrados y la reforma integral de su sistema de control de cumplimiento de las sanciones, que incluyó la adopción de un modelo de «tres líneas de defensa«.
