La primera divulgación voluntaria de infracciones de exportación lleva a un acuerdo de no enjuiciamiento entre la empresa de software global y el Departamento de Justicia de EE.UU.
Antilavadodedinero / Justice.gov
Nota: Puede ver una copia completa del acuerdo de no enjuiciamiento aquí.
Para obtener más información sobre lo que está haciendo el Departamento de Justicia para disuadir y responsabilizar a quienes violan las leyes de sanciones y controles de exportación, visite www.justice.gov/nsd . Puede encontrar una copia completa de la Política de divulgación voluntaria (VSD) aquí .
WASHINGTON – La empresa de software SAP SE, con sede en Walldorf, Alemania, acordó pagar multas combinadas de más de $ 8 millones como parte de una resolución global con los Departamentos de Justicia, Comercio y Tesoro de EE. UU. En las divulgaciones voluntarias que la compañía hizo a las tres agencias, SAP reconoció violaciones de las Regulaciones de Administración de Exportaciones y las Regulaciones de Transacciones y Sanciones de Irán. Como resultado de su divulgación voluntaria al DOJ, una amplia cooperación y una fuerte remediación que cuesta más de $ 27 millones, la División de Seguridad Nacional (NSD) del DOJ y la Oficina del Fiscal de los EE. UU. Para el Distrito de Massachusetts celebraron un Acuerdo de no enjuiciamiento con SAP. De conformidad con ese acuerdo, SAP devolverá $ 5,14 millones de ganancias ilícitas.
“La primera resolución de hoy de conformidad con la Política de Control de Exportaciones y Aplicación de Sanciones para Organizaciones Comerciales del Departamento envía un fuerte mensaje de que las empresas deben cumplir con las leyes de control de exportaciones y sanciones, pero que cuando violan esas leyes, hay un claro beneficio al llegar a el Departamento antes de que los atrapen ”, dijo el Secretario de Justicia Auxiliar John C. Demers de la División de Seguridad Nacional del Departamento de Justicia. “SAP sufrirá las sanciones por sus violaciones de las sanciones de Irán, pero estas habrían sido mucho peores si no hubieran revelado, cooperado y remediado. Esperamos que otras empresas, software o de otro tipo, escuchemos esta lección «.
«Hoy, SAP ha admitido miles de violaciones a las exportaciones durante seis años que violaron el embargo estadounidense contra Irán y pusieron en peligro la seguridad nacional de los Estados Unidos», dijo el fiscal estadounidense interino Nathaniel Mendell para el distrito de Massachusetts. «Este acuerdo debería servir como un fuerte mensaje disuasorio para otros de que el lanzamiento de software y la venta de productos y servicios en Internet están sujetos a las leyes y regulaciones de exportación de EE. UU.»
“Esta acción demuestra que la Oficina de Control de Exportaciones continuará apalancando nuestras autoridades únicas para hacer cumplir las leyes de control de exportaciones de nuestra nación y disuadir nuevas violaciones. Los infractores de la EAR serán responsables mediante sanciones penales o civiles, o ambas cuando corresponda ”, dijo el agente especial a cargo William Higgins de la Oficina de Control de Exportaciones del Departamento de Comercio, Oficina de campo de Boston. «Estas leyes están diseñadas para proteger la política exterior y la seguridad nacional de Estados Unidos y serán investigadas enérgicamente».
“Al suministrar a Irán software y servicios exportados ilegalmente por valor de millones de dólares, SAP eludió las sanciones económicas de Estados Unidos contra Irán, una presión que tiene como objetivo poner fin al comportamiento maligno de Irán. Sin embargo, fue SAP quien descubrió e informó por primera vez sobre esta violación de sanciones, y nos gustaría agradecerles por trabajar arduamente para mejorar su programa de cumplimiento para prevenir futuras violaciones ”, dijo el agente especial a cargo Joseph R. Bonavolonta de la División de Boston del FBI. «Dejemos que este caso sea una lección para los demás de que es mejor autoinformar y reconocer los propios errores que socavar la política exterior de Estados Unidos y afectar negativamente nuestra seguridad nacional».
“Entre las prioridades de HSI está el compromiso de garantizar que los productos estadounidenses sensibles, incluido el software, no se exporten ilegalmente a destinos embargados, como Irán”, dijo el agente especial interino a cargo William S. Walker para Investigaciones de Seguridad Nacional, Boston. “Seguirá incumbiendo a las empresas estadounidenses garantizar que las subsidiarias extranjeras que comercian con sus productos cumplan con las sanciones de los Estados Unidos y las regulaciones de control de exportaciones. HSI continuará coordinando con nuestros socios encargados de hacer cumplir la ley para proteger las tecnologías sensibles producidas en los Estados Unidos y evitar que terminen en manos de nuestros adversarios ”.
Desde aproximadamente enero de 2010 hasta aproximadamente septiembre de 2017, SAP, sin una licencia, exportó intencionalmente o provocó la exportación de sus productos a usuarios iraníes. Las violaciones de SAP se produjeron de dos formas principales.
Primero, entre 2010 y 2017, SAP y sus socios en el extranjero lanzaron software de origen estadounidense, incluidas actualizaciones o parches de software, más de 20.000 veces para usuarios ubicados en Irán. Algunos altos ejecutivos de SAP sabían que ni la empresa ni su proveedor de entrega de contenido con sede en EE. UU. Utilizaban filtros de geolocalización para identificar y bloquear descargas iraníes, pero durante años la empresa no solucionó el problema. La gran mayoría de las descargas iraníes fueron a 14 empresas, que los socios de SAP en Turquía, Emiratos Árabes Unidos, Alemania y Malasia sabían que eran empresas fachada controladas por Irán. Las descargas restantes se destinaron a varias empresas multinacionales con operaciones en Irán, que descargaron el software, las actualizaciones o los parches de SAP desde ubicaciones en Irán.
En segundo lugar, aproximadamente desde 2011 hasta 2017, las empresas del Cloud Business Group (CBG) de SAP permitieron que aproximadamente 2.360 usuarios iraníes accedan a servicios en la nube con sede en Estados Unidos desde Irán. A partir de 2011, SAP adquirió varios CBG y se dio cuenta, a través de la diligencia debida previa a la adquisición y de auditorías específicas de control de exportaciones posteriores a la adquisición, que estas empresas carecían de procesos adecuados de control de exportaciones y cumplimiento de sanciones. Sin embargo, SAP tomó la decisión de permitir que estas empresas continúen operando como entidades independientes después de adquirirlas y no pudo integrarlas completamente en el programa de cumplimiento de sanciones y controles de exportación más sólido de SAP.
Si bien esta conducta constituyó una violación grave de la ley de los EE. UU. Relacionada con la liberación de tecnología y software de origen estadounidense a través de servidores en la nube y portales en línea, este Acuerdo de no enjuiciamiento reconoce la importancia de la divulgación voluntaria y la cooperación con el gobierno. El DOJ y el Distrito de Massachusetts llegaron a esta resolución con SAP en base a su divulgación voluntaria, así como a la extensa investigación y cooperación internas de SAP durante un período de tres años.
Durante este tiempo, SAP trabajó con fiscales e investigadores, produciendo miles de documentos traducidos, respondiendo consultas y haciendo que los empleados extranjeros estuvieran disponibles para entrevistas en una ubicación en el extranjero acordada mutuamente. SAP también corrigió e implementó oportunamente cambios significativos en su programa de sanciones y cumplimiento de exportaciones, gastar más de $ 27 millones en tales cambios durante los últimos cuatro años, incluyendo, entre otras cosas detalladas en el NPA: (1) implementación de bloqueo GeoIP; (2) desactivar miles de usuarios individuales de los servicios basados en la nube de SAP con sede en Irán; (3) transición a la selección automatizada de partes autorizadas de sus CBG; (4) auditar y suspender a los socios de SAP que vendieron a clientes afiliados a Irán; y (5) contratación de personal experimentado en controles de exportación con base en los EE. UU., y (6) realización de una diligencia debida más sólida en la etapa de adquisición al exigir que las nuevas adquisiciones adopten el bloqueo GeoIP y requieran la participación del Equipo de Control de Exportaciones antes de la adquisición. (2) desactivar miles de usuarios individuales de los servicios basados en la nube de SAP con sede en Irán; (3) transición a la selección automatizada de partes autorizadas de sus CBG; (4) auditar y suspender a los socios de SAP que vendieron a clientes afiliados a Irán; y (5) contratación de personal experimentado en controles de exportación con base en los EE. UU., y (6) realización de una diligencia debida más sólida en la etapa de adquisición al exigir que las nuevas adquisiciones adopten el bloqueo GeoIP y requieran la participación del Equipo de Control de Exportaciones antes de la adquisición. (2) desactivar miles de usuarios individuales de los servicios basados en la nube de SAP con sede en Irán; (3) transición a la selección automatizada de partes autorizadas de sus CBG; (4) auditar y suspender a los socios de SAP que vendieron a clientes afiliados a Irán; y (5) contratación de personal experimentado en controles de exportación con base en los EE. UU., y (6) realización de una diligencia debida más sólida en la etapa de adquisición al exigir que las nuevas adquisiciones adopten el bloqueo GeoIP y requieran la participación del Equipo de Control de Exportaciones antes de la adquisición.
Al mismo tiempo que este acuerdo, SAP está celebrando acuerdos administrativos con el Departamento de Comercio, Oficina de Industria y Seguridad (BIS) y el Departamento del Tesoro, Oficina de Control de Activos Extranjeros (OFAC). Entre otras cosas, el acuerdo de resolución de BIS requiere que SAP lleve a cabo auditorías internas de su cumplimiento con las leyes y regulaciones de control de exportaciones de EE. UU. Y produzca informes de auditoría para BIS por un período de tres años.
El Departamento alienta a las empresas a que revelen voluntariamente todas las violaciones potencialmente intencionales de los estatutos que implementan los principales regímenes de sanciones y control de exportaciones del gobierno de EE. UU.: La Ley de Control de Exportación de Armas (AECA), la Ley de Reforma del Control de Exportación (ECRA) y la Powers Act (IEEPA), – directamente a NSD. La Política de VSD, sin factores agravantes, crea una presunción a favor de un acuerdo de no enjuiciamiento y limita cualquier pago monetario a una cantidad equivalente a las ganancias de la conducta ilegal.
La Subjefa de Controles y Sanciones de Exportación Elizabeth Cannon y la Abogada Litigante Principal Heather Schmidt de la Sección de Controles de Exportación y Contrainteligencia de NSD, y la Fiscal Federal Auxiliar B. Stephanie Siegmann, Jefa de Distrito de la Unidad de Seguridad Nacional de Massachusetts supervisaron la investigación y negociaron este acuerdo.