Het U.S. Office of Foreign Assets Control (OFAC) maakte op 17 maart 2026 bekend dat TradeStation Securities, een in Florida gevestigd brokerbedrijf, $1.110.661 betaalt om 481 schendingen van sanctieprogramma's te schikken. De overtredingen betroffen het aanbieden van beleggingsdiensten aan klanten in Iran, Syrië en de Krim, gedurende bijna een jaar: van 21 juni 2021 tot 15 juni 2022. In die periode werden via het mobiele platform van TradeStation 481 transacties uitgevoerd met een totale waarde van $4,4 miljoen.

Het sanctieprogramma op papier

TradeStation, opgericht in 1995, biedt via desktop-, web- en mobiele platforms handel in effecten, opties en futures aan voor particuliere en institutionele beleggers. Het bedrijf en zijn dochterondernemingen zijn wereldwijd actief op meer dan 160 elektronische beurzen.

Het sanctieprogramma van TradeStation bestond uit meerdere lagen. Bij het onboarden van klanten werden achtergrondcontroles uitgevoerd en werd elke klant gescreend tegen de OFAC SDN-lijst. Bestaande klanten werden dagelijks opnieuw gescreend. Daarnaast beschikte TradeStation over twee lagen van geo-blocking: een firewall die IP-adressen uit gesanctioneerde jurisdicties blokkeerde (first-tier), en een extern IP-verificatiesysteem dat bij het inloggen de locatie van de gebruiker controleerde (second-tier). Tot slot was er een externe dienstverlener die dagelijks meldingen stuurde over geblokkeerde toegangspogingen vanuit gesanctioneerde landen.

De technische gebreken

Uit de OFAC enforcement release blijkt dat de problemen in twee fasen ontstonden.

In april 2018 introduceerde TradeStation nieuwe software om de functionaliteit en gebruikerservaring van het mobiele platform te verbeteren. Deze software had als onvoorzien gevolg dat het second-tier geo-blocking niet langer het IP-adres van de gebruiker detecteerde, maar het adres van de Amerikaanse server waarop de mobiele applicatie draaide. Daardoor kon het systeem gebruikers in Iran, Syrië en de Krim niet meer identificeren via het mobiele platform.

Op 21 juni 2021 schakelde een medewerker de first-tier geo-blocking uit om een software-update van de cloudprovider te installeren. Na de installatie werd de firewall niet opnieuw ingeschakeld. Gedurende de daaropvolgende twaalf maanden was het mobiele platform van TradeStation daardoor niet langer beschermd tegen toegang vanuit gesanctioneerde jurisdicties. Het webplatform bleef wel beschermd door het second-tier geo-blocking, dat voor de webomgeving nog functioneerde.

Falende testmechanismen

De enforcement release beschrijft ook hoe de bestaande testmechanismen tekortschoten. In 2018 had TradeStation een geautomatiseerde testtool ontwikkeld die toegangspogingen vanuit gesanctioneerde IP-adressen simuleerde. Later bleek dat de internetprovider en cloudprovider van TradeStation deze gesimuleerde toegangspogingen al blokkeerden voordat ze het eigen systeem van TradeStation bereikten. De testtool was daardoor niet in staat de werking van de geo-blocking daadwerkelijk te verifiëren. In november 2021 staakte TradeStation het gebruik van deze tool, zonder een vervangende testmethode te implementeren.

Daarnaast verliep in september 2021 het abonnement op de externe notificatiedienst die dagelijks meldingen stuurde over geblokkeerde toegangspogingen. Een medewerker ontving een e-mail over het naderende einde van het abonnement, maar verlengde dit niet en informeerde de compliance-afdeling niet. Gedurende meer dan acht maanden ontving TradeStation geen meldingen meer, zonder dat dit werd opgemerkt of onderzocht door het compliance-personeel.

Beoordeling door OFAC

OFAC kwalificeerde de schendingen als non-egregious en voluntary self-disclosed. De basisboete bedroeg $2.221.322, berekend als de helft van de totale transactiewaarde. Het uiteindelijke schikkingsbedrag van $1.110.661 weerspiegelt OFAC's weging van verzwarende en verzachtende factoren.

Als verzwarende factoren noemde OFAC onder meer dat TradeStation eerder in 2021 al een Cautionary Letter had ontvangen wegens gebreken in de geo-blocking software, dat het bedrijf desondanks naliet adequate testmechanismen in stand te houden, en dat TradeStation als gesofisticeerd en zwaar gereguleerd technologiebedrijf geldt.

Verzachtende factoren waren dat TradeStation na ontdekking van de schendingen snel herstelmaatregelen trof, dat de overtredingen een klein percentage vormden van het totale transactievolume, dat de opbrengst uit de gewraakte transacties minder dan $2.000 bedroeg, en dat TradeStation de schendingen zelf meldde en volledig meewerkte aan het onderzoek.

Compliance-lessen volgens OFAC

In de enforcement release benadrukt OFAC het belang van regelmatig, onafhankelijk en objectief testen en auditen van sanctiecontroles. Controles functioneren alleen als ze daadwerkelijk zijn geïmplementeerd en als hun werking wordt geverifieerd. OFAC waarschuwt dat technologische oplossingen weliswaar een essentieel onderdeel vormen van een sanctieprogramma, maar dat bedrijven niet uitsluitend mogen vertrouwen op een lappendeken van software. Sanctiecompliance mag volgens OFAC geen "box-checking exercise" zijn en bedrijven moeten een "set it and forget it"-benadering vermijden.

De volledige enforcement release is beschikbaar op de website van OFAC.