El TJUE frena a la banca: una lista de sanciones de EE.UU. no basta para negar una cuenta básica en la UE

La comodidad regulatoria acaba de chocar con el derecho europeo. El Tribunal de Justicia de la Unión Europea ha dicho que aparecer en una lista de sanciones de Estados Unidos no basta, por sí solo, para que un banco en la UE rechace abrir una cuenta de pago básica. Traducido al lenguaje de cumplimiento diario: se acabó, o al menos debería acabarse, el atajo de convertir una alerta OFAC en un “no” automático.

La sentencia, en el asunto C-81/24, nace de un caso en Eslovenia. Un banco rechazó en 2022 abrir una cuenta básica a un consumidor incluido en una lista de la Office of Foreign Assets Control (OFAC) de EE.UU. Ese cliente, según el propio tribunal, no estaba sujeto a sanciones de la ONU, de la UE ni de Eslovenia, y tampoco había sido condenado por el delito que motivó su inclusión en la lista estadounidense. El TJUE concluye algo que parece obvio, pero que en la práctica no siempre lo era: una lista de un tercer país puede ser un factor de riesgo relevante, pero no una prohibición automática de contratar.

La decisión importa mucho más de lo que sugiere el titular. No va solo de acceso a una cuenta. Va de cómo los bancos europeos diseñan sus filtros de admisión, sus motores de scoring AML, sus criterios de de-risking y, cada vez más, sus sistemas automatizados de decisión. Y va también de una tensión vieja pero mal resuelta: hasta dónde llega la prudencia comercial de una entidad y dónde empieza la obligación legal de tratar a los clientes con proporcionalidad, base jurídica y evaluación individualizada.

Tesis editorial

El TJUE no está pidiendo a los bancos que sean ingenuos. Les está recordando algo bastante menos exótico: en la UE, el cumplimiento no consiste en obedecer por reflejo las listas de Washington cuando el derecho aplicable es europeo. Si una entidad convierte sanciones de terceros países en exclusiones automáticas sin anclaje en normas de la UE, se mete en un terreno jurídicamente frágil por tres frentes a la vez: acceso a servicios de pago, prevención del blanqueo y protección de datos.

La ironía es evidente. Durante años, muchas entidades defendieron que este endurecimiento de filtros era la forma “más segura” de gestionar el riesgo. Segura para quién, habría que preguntar. Desde luego, era cómoda para la primera línea de defensa y tranquilizadora para comités de riesgo que prefieren falsos positivos a explicaciones complejas. Pero la comodidad no es una fuente del derecho. Y el TJUE acaba de recordarlo sin demasiada paciencia.

La sentencia no desarma el deber de diligencia reforzada ni prohíbe tener en cuenta listas OFAC. Lo que impide es otra cosa: que el banco sustituya la evaluación individual exigida por el marco europeo por un automatismo importado de un tercer país. Eso obliga a rehacer políticas, parametrizaciones, gobierno del dato y, muy probablemente, contratos con proveedores de screening.

Qué ha dicho exactamente el tribunal, y por qué no es un matiz menor

Según la información adelantada por Reuters el 11 de junio de 2026, el TJUE declara que cualquier residente legal en la UE tiene derecho a abrir y usar una cuenta de pago básica, sujeto al cumplimiento de las reglas de prevención del blanqueo de capitales y de la financiación del terrorismo. La clave está en el equilibrio entre ambos planos: el derecho de acceso no es absoluto, pero las excepciones tampoco son discrecionales.

Ese derecho deriva de la Directiva 2014/92/UE sobre cuentas de pago, en particular del artículo 16, que obliga a los Estados miembros a garantizar que los consumidores residentes legalmente en la Unión tengan acceso a una cuenta de pago básica. El artículo 17 permite denegar la apertura en supuestos concretos, entre ellos cuando hacerlo suponga incumplir normas de prevención del blanqueo y financiación del terrorismo. Lo decisivo es que esa puerta de salida no autoriza a inventarse una prohibición general donde el derecho de la UE no la ha puesto.

En paralelo, el marco AML de la UE exige un enfoque basado en el riesgo. La Directiva (UE) 2015/849, la llamada Cuarta Directiva AML, modificada después por la Directiva (UE) 2018/843, no ordena denegar relaciones de negocio porque un nombre aparezca en una lista de sanciones de un tercer país. Lo que sí exige es evaluar el riesgo del cliente, su perfil, el propósito de la relación, la titularidad real y la coherencia de las operaciones. El artículo 13 regula la diligencia debida del cliente; el artículo 18 impone medidas reforzadas cuando exista mayor riesgo; el artículo 14 vincula el inicio de la relación a la identificación y verificación adecuadas. Nada de eso equivale a “sale en OFAC, fuera”.

El tribunal, por tanto, está cerrando una confusión que en compliance se ha normalizado demasiado: confundir un input de riesgo con una prohibición legal. No es lo mismo. Que un dato eleve el riesgo no significa que impida por sí solo prestar el servicio. Y menos aún cuando el servicio es una cuenta básica, precisamente pensada para evitar exclusión financiera.

Hay otra implicación menos visible. Si una entidad se escuda en una lista OFAC para rechazar automáticamente a una persona sin sanción UE, está haciendo una especie de externalización normativa: deja que un gobierno tercero determine, de facto, quién puede acceder a un servicio bancario en territorio de la Unión. Eso puede gustar mucho en determinados departamentos de sanctions compliance, pero jurídicamente es bastante difícil de sostener.

El problema real: el de-risking se ha comido al juicio individual

La banca europea no inventó este problema ayer. Lleva más de una década endureciendo criterios de admisión por presión combinada de sanciones internacionales, AML, multas multimillonarias en EE.UU., costes de monitorización y miedo reputacional. El resultado es conocido: cierre o rechazo de cuentas a clientes que no necesariamente son ilícitos, pero sí “incómodos” desde el punto de vista operativo.

Ese fenómeno tiene nombre: de-risking. Consiste en salir de relaciones o evitar segmentos enteros considerados de riesgo alto, a veces sin una evaluación granular suficiente. El Grupo de Acción Financiera Internacional, el GAFI, lleva años advirtiendo contra este enfoque cuando deriva en exclusión indiscriminada. La Autoridad Bancaria Europea también ha insistido en que el enfoque basado en el riesgo no significa rechazar categorías enteras de clientes por comodidad administrativa. Significa entender el riesgo y gestionarlo de forma proporcionada.

El caso de las listas OFAC encaja ahí de lleno. Para muchos bancos, una coincidencia con una lista estadounidense activa inmediatamente una secuencia interna: escalado, revisión legal, elevación a sanciones, y a menudo una conclusión tácita de que la relación no compensa. En cuentas de corresponsalía o financiación comercial puede haber argumentos adicionales. En una cuenta de pago básica para un consumidor residente legal, el terreno es otro. La proporcionalidad pesa más. Y el tribunal acaba de subrayarlo.

Esto afecta a tres capas de decisión que en muchas entidades hoy están mezcladas:

Primera, la capa legal: qué exige o prohíbe realmente el derecho de la UE y el derecho nacional. Segunda, la capa de apetito de riesgo: qué tipo de exposición está dispuesto a tolerar el banco. Tercera, la capa técnica: cómo traduces ambas cosas en reglas, modelos y alertas. El error habitual es dejar que la tercera capa gobierne a las otras dos. Si el sistema marca rojo, rojo se queda. Y luego nadie quiere firmar una excepción. El TJUE está diciendo, en esencia, que ese gobierno por semáforo no basta cuando afecta a un derecho reconocido por la normativa europea.

Lo que cambia en due diligence: de la lista como veto a la lista como señal

Para la función de compliance, la diferencia entre veto y señal es operativamente enorme. Si la inclusión en una lista OFAC deja de funcionar como exclusión automática, los bancos tendrán que demostrar que su decisión negativa se basa en una evaluación individualizada y documentada. Eso exige más trabajo, sí. Pero también da una defensa mejor si el asunto termina ante un supervisor, un defensor del cliente o un tribunal.

Qué debería contener esa evaluación individualizada. No una plantilla genérica de dos líneas. Como mínimo, cinco bloques.

Uno: naturaleza exacta de la lista. No todas las listas son iguales, ni todas tienen las mismas consecuencias jurídicas. Habrá que distinguir entre listas de sanciones de la UE, de la ONU, nacionales y de terceros países. También entre designaciones con congelación de activos y listados de otra naturaleza.

Dos: identidad y calidad del match. Una coincidencia nominal no basta. Los bancos tendrán que probar que la alerta corresponde realmente al cliente y no a un homónimo, alias o error de transliteración. Esto parece básico, pero cualquiera que haya visto un motor de screening con parametrización agresiva sabe que el ruido puede ser monumental.

Tres: relación entre la designación y el riesgo concreto de la cuenta básica. No es lo mismo abrir una cuenta con servicios limitados para recibir salario y pagar recibos que ofrecer crédito, banca privada o pagos internacionales complejos. La proporcionalidad aquí no es un adorno doctrinal; cambia la decisión.

Cuatro: existencia de otras señales objetivas de AML/CFT. Origen de fondos, actividad económica, geografía, estructura de titularidad, uso esperado del producto, comportamiento documental. Si no hay nada más allá de la lista de un tercer país, la negativa será más difícil de justificar.

Cinco: medidas mitigadoras. Límites operativos, monitorización reforzada, revisión periódica más frecuente, restricciones de determinados canales o transacciones, aprobación escalada. Si puedes gestionar el riesgo sin denegar el acceso, el banco necesitará explicar por qué ha elegido la opción más lesiva.

Aquí aparece una pregunta incómoda: ¿tu entidad tiene estas decisiones bien trazadas o las resuelve una mezcla de screening vendor, procedimiento heredado y miedo a la exposición extraterritorial? Si es lo segundo, la sentencia no es un debate académico. Es una auditoría en potencia.

La trampa de la extraterritorialidad: cuando la banca europea internaliza el riesgo de EE.UU.

Hay un motivo por el que muchas entidades han tratado las listas OFAC casi como si fueran derecho local. Las sanciones estadounidenses tienen una capacidad de intimidación real, sobre todo cuando hay exposición al dólar, corresponsales en EE.UU., filiales, operaciones con nexus estadounidense o riesgo de enforcement reputacional. Nadie en un banco serio toma eso a la ligera.

Pero una cosa es tener en cuenta ese riesgo en negocios concretos con conexión estadounidense. Otra, muy distinta, es transformar esa preocupación en regla universal para cualquier cliente dentro de la UE, incluso cuando el producto solicitado es una cuenta básica y no existe sanción aplicable de la UE, la ONU o el Estado miembro. Ahí la extraterritorialidad deja de ser una precaución comercial y empieza a parecer una renuncia preventiva a la autonomía regulatoria europea.

La sentencia no elimina el dilema. Un banco puede seguir pensando que determinadas relaciones le exponen indirectamente a riesgos con corresponsales, clearing o proveedores internacionales. Lo que no podrá hacer con la misma ligereza es presentar ese cálculo como si fuera una obligación legal automática. Tendrá que justificarlo mejor, segmentarlo mejor y, seguramente, limitarlo a supuestos donde la conexión con el riesgo de sanciones secundarias o de cumplimiento transfronterizo sea real y específica.

Este es el punto donde las políticas internas suelen delatarse solas. Si tu procedimiento dice algo parecido a “cualquier coincidencia positiva con OFAC implica rechazo”, tienes un problema. Si dice “la coincidencia con una lista de un tercer país desencadena revisión reforzada por el equipo de sanciones y AML, con decisión motivada según producto, jurisdicción, nexus y medidas mitigadoras disponibles”, ya estás hablando el idioma correcto.

Impacto regulatorio cruzado

La noticia no es de GDPR, ni de DORA, ni de IA Act. Y, sin embargo, roza a los tres. Ese es precisamente el tipo de asunto que revela si una entidad tiene compliance por silos o por arquitectura.

GDPR: minimización, base jurídica y decisiones automatizadas

La primera derivada es de protección de datos. El tratamiento de datos de sanciones, watchlists y adverse media debe apoyarse en una base jurídica válida bajo el Reglamento (UE) 2016/679. En banca suele invocarse el artículo 6.1.c, cumplimiento de una obligación legal, y el 6.1.f, interés legítimo, según el tipo de tratamiento. El problema aparece cuando el dato procede de listas de terceros países que no generan por sí mismas una obligación legal de rechazo en la UE. Ahí conviene revisar si la extensión del tratamiento y de la decisión final está verdaderamente justificada.

Más aún: si la denegación de la cuenta descansa únicamente o de forma predominante en un proceso automatizado, entra en juego el artículo 22 GDPR sobre decisiones individuales automatizadas, junto con los deberes de información de los artículos 13 y 14 y el principio de exactitud del artículo 5.1.d. Una coincidencia en una lista externa no es infalible. Si además la lógica decisional es opaca, el riesgo legal crece. El tribunal no ha resuelto directamente sobre GDPR, pero su insistencia en la evaluación individual hace mucho más difícil defender una negativa puramente automatizada.

También está el principio de minimización del artículo 5.1.c. Si el banco acumula listas, puntuaciones y metadatos de riesgo sin una necesidad clara para el producto solicitado, se expone a preguntas incómodas de privacidad. No porque el screening sea ilegítimo en sí mismo, sino porque el alcance y la consecuencia del tratamiento deben ser proporcionales.

DORA: gobernanza de terceros y trazabilidad de decisiones

El Reglamento (UE) 2022/2554, DORA, aplica desde el 17 de enero de 2025. No regula sanciones ni admisión de clientes. Pero sí exige algo muy útil aquí: saber qué sistemas críticos sostienen decisiones operativas y cómo se gobiernan los terceros TIC que los proporcionan. Si tu screening de sanciones depende de un proveedor externo, DORA art. 28 y siguientes sobre gestión de riesgos de terceros TIC pasan de ser un requisito de procurement a un asunto de admisión de clientes y riesgo legal.

La pregunta práctica es sencilla: ¿sabes qué reglas aplica tu proveedor, cómo pondera listas de terceros países, qué explainability ofrece y qué trazas conserva? Si no puedes responder, tienes un problema de control. Y si el proveedor incorpora capas de IA o machine learning para priorizar alertas o recomendar decisiones, ese problema se multiplica.

DORA también obliga a una gobernanza clara, clasificación de activos, pruebas y gestión de incidencias. Un flujo de onboarding que excluye automáticamente a clientes por reglas mal calibradas puede no parecer un “incidente TIC” en el sentido tradicional, pero sí es una disfunción de control con impacto en cumplimiento, experiencia de cliente y exposición litigiosa. Las entidades más maduras lo tratarán como riesgo operacional digital, no como simple molestia comercial.

AI Act: scoring opaco, sesgos y supervisión humana real

Si el banco utiliza IA para customer risk scoring, screening, detección de anomalías o recomendación de decisiones de onboarding, la sentencia llega en un momento incómodo. El AI Act europeo, aprobado como Reglamento (UE) 2024/1689, considera de alto riesgo ciertos sistemas usados para evaluar acceso a servicios esenciales y para prevención del fraude o gestión de riesgos en servicios financieros, según el caso de uso y su encaje en los anexos aplicables. Aunque no todo motor de sanciones será automáticamente “alto riesgo”, el mensaje regulatorio es inequívoco: la automatización que afecta a acceso, exclusión o trato diferencial necesita control, documentación, calidad de datos y supervisión humana efectiva.

Supervisión humana efectiva no significa que una persona pulse “aprobar” al final sin mirar. Significa que puede entender, cuestionar y revertir la recomendación del sistema. Si una herramienta de IA trata una inclusión en OFAC como proxy dominante de riesgo y empuja a rechazar sistemáticamente, la entidad deberá revisar tanto el modelo como la política que le da instrucciones. De lo contrario, el sesgo queda industrializado.

Los riesgos concretos de adopción de IA en este terreno son bastante claros: dependencia excesiva de datasets externos no armonizados con derecho UE; falta de explicabilidad en por qué un match pesa más que otros factores; desbordamiento de falsos positivos; y erosión del criterio humano por fatiga de alertas. Los controles recomendables también lo son: inventario de casos de uso; validación periódica del modelo; testing de sesgo y falsos positivos; umbrales diferenciados por producto; logging completo de intervención humana; y revisión jurídica de las variables que pueden desencadenar exclusión.

NIS2 y NIST CSF 2.0: menos glamour, más disciplina

NIS2 no te dirá qué hacer con una lista OFAC. Pero la Directiva (UE) 2022/2555 sí refuerza la obligación de gestión de riesgos y gobernanza en entidades esenciales e importantes, incluidas muchas financieras fuera del perímetro DORA o en solape con él. El artículo 21 exige medidas técnicas, operativas y organizativas apropiadas. Traducido: si tu proceso crítico de onboarding depende de información externa y automatización, necesitas controlarlo como proceso de riesgo, no como caja negra del área comercial.

NIST CSF 2.0 aporta otra lente útil. Las funciones Govern, Identify, Protect, Detect, Respond y Recover encajan bastante bien para auditar este tipo de procesos. No porque haya un ciberataque, sino porque el marco obliga a preguntarte quién decide, con qué datos, con qué terceros, con qué umbrales y con qué capacidad de corrección. A veces el compliance bancario necesita menos eslóganes y más disciplina de ingeniería.

Qué deben revisar ahora los bancos europeos

No hace falta esperar a una circular del supervisor para saber por dónde empezar. La sentencia apunta a una serie de ajustes muy concretos.

Primero, la política de admisión de clientes y la política de sanciones. Hay que revisar si contienen reglas automáticas de exclusión basadas en listas de terceros países. Si existen, deben rediseñarse para separar claramente: sanciones vinculantes en la UE; listas externas relevantes como factor de riesgo; y supuestos donde una exposición específica a EE.UU. pueda justificar restricciones adicionales. Esa diferenciación debe estar escrita, aprobada y operativa, no escondida en una nota interna.

Segundo, los flujos de onboarding. Si el front office comunica al cliente un rechazo estandarizado sin motivación suficiente, la entidad se expone a impugnaciones fáciles. La decisión debe quedar documentada con los factores considerados, la revisión humana realizada y las medidas mitigadoras evaluadas. Esto no es burocracia ornamental. Es la diferencia entre poder defender una negativa y quedar retratado.

Tercero, los sistemas de screening y scoring. Conviene revisar listas cargadas, jerarquía de alertas, lógica de matching, tasas de falsos positivos y reglas de auto-disposición. En demasiados bancos, el sistema fue parametrizado hace años para una lógica de “más vale pasarse que quedarse corto”. Esa frase funciona hasta que aparece un tribunal europeo y recuerda que los derechos del cliente también existen.

Cuarto, la gobernanza con proveedores. Si el banco usa herramientas de terceros para screening de sanciones, PEPs o adverse media, debe pedir transparencia contractual y técnica. Qué fuentes usan, cómo se actualizan, cómo clasifican el riesgo, qué documentación ofrecen para auditoría, qué SLA aplican a correcciones y cómo soportan revisiones manuales. Bajo DORA, esta conversación ya no es opcional ni ornamental.

Quinto, formación y escalado. El equipo de AML, el equipo de sanciones, negocio y atención al cliente necesitan criterios coherentes. Un analista junior no puede cargar en solitario con una decisión que mezcla derechos de acceso, riesgo de sanciones, GDPR y reputación. Hace falta un circuito de escalado serio, con legal y compliance involucrados en supuestos frontera.

Implicaciones para entidades financieras españolas

Para la banca española, la sentencia llega en un ecosistema especialmente sensible al cruce entre AML, inclusión financiera y automatización. España transpuso la Directiva de cuentas de pago a través del Real Decreto-ley 19/2017, de 24 de noviembre, sobre cuentas de pago básicas, traslado de cuentas de pago y comparabilidad de comisiones. Ese marco reconoce el derecho de determinados consumidores a acceder a una cuenta de pago básica, con denegaciones limitadas y justificadas.

Al mismo tiempo, las entidades están sujetas a la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, y a su reglamento. Esa ley exige diligencia debida, examen especial de operaciones complejas o inusuales y medidas reforzadas en supuestos de mayor riesgo. Pero no convierte automáticamente una designación OFAC sin correlato europeo en una prohibición general de relación. Si una entidad española ha endurecido internamente sus criterios por presión de grupos internacionales, corresponsales o vendors anglosajones, haría bien en revisar si ese endurecimiento cabe realmente en el marco español y europeo.

Hay un punto especialmente delicado en España: la bancarización de residentes extranjeros, solicitantes de protección internacional, personas con documentación compleja o perfiles transfronterizos. En estos colectivos, los falsos positivos de screening y el exceso de celo operativo se disparan. Si a eso se añade una dependencia excesiva de listas externas, el riesgo de exclusión financiera injustificada es real. Y no hace falta mucha imaginación para anticipar litigios, reclamaciones al Banco de España o actuaciones de consumo.

Las sucursales y filiales españolas de grupos globales tienen además un reto político interno. Tendrán que explicar a matrices acostumbradas a estándares OFAC-first que la UE no siempre acepta ese automatismo. No es una rebelión continental; es simple jerarquía normativa. Pero conviene prepararse para esa conversación porque no será pacífica.

Donde puede haber resistencia: el argumento del riesgo reputacional

Los bancos no van a rendirse alegremente a esta lectura. Habrá quien diga que, aunque la lista OFAC no baste por sí sola, el riesgo reputacional y operativo de aceptar a ese cliente sigue siendo demasiado alto. Esa objeción no es absurda. Pero tiene límites.

Primero, el riesgo reputacional no puede convertirse en coartada universal para vaciar un derecho regulado. Si bastara invocarlo, la cuenta básica sería papel decorativo. Segundo, el riesgo reputacional necesita anclarse en hechos concretos y en el producto de que se trate. No es lo mismo una relación compleja con flujos internacionales que una cuenta de uso básico con monitorización reforzada. Tercero, si el banco quiere apoyarse en riesgo reputacional, tendrá que demostrar que ha valorado alternativas menos restrictivas.

Habrá también quien intente desplazar el debate a AML puro: “Seguimos obligados a cumplir las reglas de blanqueo”. Cierto. El propio banco citado por Reuters, OTP, respondió en esa línea y recordó que los bancos deben cumplir AML mediante una evaluación adecuada e individualizada del riesgo. Esa es, precisamente, la cuestión. La sentencia no rebaja AML. Exige hacer AML de verdad, no AML por atajo.

Una parte de la resistencia vendrá de los sistemas heredados. Muchos bancos tienen arquitecturas donde tocar una regla de screening implica validaciones largas, vendor, riesgo de producción y comités interminables. Mala suerte. Eso tampoco es una fuente del derecho. Si el proceso actual produce decisiones difíciles de defender, habrá que arreglar el proceso.

Lo que no dice la sentencia, pero conviene no malinterpretar

Sería un error leer el fallo como una invitación a ignorar listas de terceros países. No lo es. El TJUE admite expresamente que pueden ser factores relevantes para valorar el riesgo de blanqueo y financiación del terrorismo. Un banco sensato seguirá usándolas como parte del expediente de riesgo, especialmente en relaciones con componente internacional.

Tampoco significa que el cliente tenga un derecho absoluto a cualquier producto o servicio bancario. La cuenta de pago básica tiene un régimen específico y una finalidad de inclusión financiera. La lógica podría no trasladarse igual a otros productos, como crédito, banca de inversión o servicios con fuerte exposición transfronteriza. Dicho eso, el principio de proporcionalidad y la exigencia de evaluación individualizada pueden irradiar más allá de la cuenta básica.

Y tampoco resuelve, por sí solo, el conflicto entre derecho europeo y presión de cumplimiento estadounidense en grupos globales. Ese conflicto seguirá ahí. Pero a partir de ahora será más difícil esconderlo detrás de una respuesta automática al cliente.

La consecuencia menos visible: esto va de gobierno interno, no solo de derecho bancario

Las mejores entidades no tratarán esta sentencia como un ajuste técnico del área de sanciones. La tratarán como una señal de gobierno interno. Porque el fallo destapa una enfermedad bastante común: decisiones de alto impacto tomadas por automatismos mal explicados, con fuentes externas poco cuestionadas y sin una cadena clara de responsabilidad.

Cuando eso ocurre en onboarding, el problema no se queda en cumplimiento bancario. Toca protección de datos, modelo operativo, outsourcing, auditoría interna, experiencia de cliente y, cada vez más, gobernanza de IA. Si la primera reacción del banco es publicar una nota diciendo que “ya realizaba evaluaciones individualizadas”, perfecto. Ahora toca probarlo con expedientes, evidencias y sistemas que se comporten así en la práctica, no solo en PowerPoint.

Los supervisores europeos llevan años empujando en la misma dirección, aunque cada uno con su acento. La EBA en AML y gobernanza; las autoridades de protección de datos en decisiones automatizadas y calidad del dato; las autoridades de resiliencia digital en control de terceros y trazabilidad. Lo novedoso aquí es que el TJUE lo aterriza en un caso muy concreto y muy fácil de entender: no puedes negar un servicio bancario básico solo porque Washington ha puesto un nombre en una lista que la UE no ha adoptado.

La pregunta que queda sobre la mesa

La cuestión de fondo es incómoda para la banca europea: ¿quiere gestionar el riesgo o quiere externalizar el juicio? Durante demasiado tiempo, muchas entidades han preferido lo segundo. Menos fricción interna, menos debate, menos firmas, menos posibilidad de que alguien “se equivoque” aceptando a un cliente difícil. El coste lo pagaba el cliente excluido y, de forma más silenciosa, el propio Estado de derecho europeo.

La sentencia del asunto C-81/24 no arregla por sí sola esa deriva. Pero sí retira una coartada. A partir de ahora, la entidad que use una lista de sanciones de un tercer país como veto automático tendrá más difícil fingir que simplemente “cumple”. No. Estará eligiendo comodidad sobre proporcionalidad, automatismo sobre evaluación, y riesgo de litigio sobre buen gobierno.

Ese intercambio, por fin, empieza a salir caro.