Unisciti a Gary Staley per svelare l'intricata rete delle misure ITAR, EAR e di cybersecurity, fornendo preziose indicazioni per un'efficace conformità in un panorama globale in rapida evoluzione.
Nielsonsmith: Gary, prima di tutto vorrei ringraziarti per averci parlato oggi e per aver condiviso le tue conoscenze con il nostro pubblico.
Gary: Grazie. Penso che quest'anno abbiamo molto di cui parlare. Questo è stato probabilmente uno degli anni più eccitanti a memoria d'uomo per i professionisti del controllo delle esportazioni, con tante cose che sono successe. E non tutte le cose sono positive; possiamo parlarne nel prosieguo.
Nielsonsmith: Sì, beh, perché non ci immergiamo? La prima domanda che abbiamo per lei è: può fornirci una breve panoramica dei principali cambiamenti e sviluppi dell'ITAR e dell'EAR nell'ultimo anno?
Gary: La parte difficile per me è fornire una BREVE panoramica; potrei parlare per ore di questo argomento. La maggior parte dei lettori di questa intervista probabilmente sa che gli Stati Uniti hanno due sistemi di controllo delle esportazioni: l'International Traffic in Arms Regulations (ITAR) del Dipartimento di Stato americano e l'Export Administration Regulations (EAR) del Dipartimento del Commercio americano. E, naturalmente, c'è anche l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti, che amministra le sanzioni statunitensi, anche se i controlli sulle esportazioni dell'EAR e le sanzioni dell'OFAC continuano a convergere, con i controlli dell'EAR che assomigliano sempre più a sanzioni in termini di individui ed entità specifiche piuttosto che a interi Paesi. Ovviamente, le sanzioni statunitensi sono da sempre rivolte a individui ed entità specifiche.
Ma iniziamo con l'ITAR. È interessante notare che nell'ultimo anno non ci sono stati sviluppi eclatanti per quanto riguarda l'ITAR. Credo che, in parte, ciò sia dovuto al fatto che dal maggio 2023, quando il vice assistente segretario Mike Miller ha annunciato di voler lasciare l'incarico per una posizione presso il Dipartimento della Difesa degli Stati Uniti, fino a poco tempo fa, non c'è stato un vice assistente segretario formalmente nominato per guidare la Direzione dei controlli commerciali della Difesa. Durante questo periodo, il DDTC ha avuto una serie di vice segretari facenti funzione, scelti tra i direttori degli uffici all'interno del DDTC. Quando si verifica questa situazione, credo che le iniziative all'interno dell'ufficio vengano in qualche modo frenate; non si vogliono intraprendere sviluppi o modifiche importanti all'ITAR senza la nomina formale di un nuovo Vice Assistente Segretario. In gran parte sono state apportate modifiche all'ITAR. È stata finalizzata la regola della riorganizzazione dell'ITAR; c'è stata un'estensione delle licenze generali aperte, di cui possiamo parlare, e ci sono stati alcuni altri sviluppi, ma ancora una volta, niente di eclatante.
Non ho ancora incontrato nessuna azienda nel Regno Unito, in Australia o in Canada che abbia ammesso di utilizzare le Licenze Generali Aperte; sembrano ancora una volta un programma morto all'arrivo. È un peccato perché queste licenze generali aperte, in teoria, consentono di ritrasferire all'interno di questi Paesi e di riesportare tra questi tre Paesi articoli controllati dall'ITAR senza licenza e senza approvazione preventiva, a condizione che si soddisfino tutte le condizioni di queste licenze generali aperte.
Abbiamo avuto un aggiornamento del Supplemento n. 1 dell'ITAR Parte 126, che ha aumentato gli articoli disponibili per l'esenzione canadese e per i trattati di controllo del commercio della difesa di Regno Unito e Australia. Ma ancora una volta, questi trattati erano morti all'arrivo dell'amministrazione Bush. Non ho ancora incontrato nessuna azienda che abbia ammesso di utilizzare uno dei due trattati.
Il DDTC ha continuato a sospendere lo status di Paese proibito di Cipro nell'ambito dell'ITAR. Cipro era un Paese proibito a causa del conflitto tra la comunità greca e quella turca sull'isola, ma per il momento è stato sospeso lo status di Paese proibito ITAR 126.1. Ancora una volta, modifiche.
Allora, cosa c'è in arrivo? Beh, per il momento sembra che ci siano più modifiche, tranne che per AUKUS. E AUKUS sarà molto interessante. AUKUS è una proposta per consentire un trattamento simile all'esenzione ITAR canadese per il Regno Unito e il Canada; a condizione che, come hanno testimoniato vari funzionari del Dipartimento di Stato davanti al Congresso, il Regno Unito e l'Australia abbiano sistemi di controllo delle esportazioni paragonabili a quelli degli Stati Uniti. La differenza più evidente tra Stati Uniti, Regno Unito e Australia è che gli Stati Uniti impongono controlli sulle riesportazioni e sui ritrasferimenti. L'Australia ha recentemente adottato alcune modifiche alle sue leggi sul controllo delle esportazioni che potrebbero imporre alcuni requisiti di controllo delle riesportazioni. Per quanto riguarda il Regno Unito, lo scorso settembre ho partecipato a una conferenza a Londra in cui ho posto la domanda "Il Regno Unito è pronto ad avere un sistema analogo?" a un funzionario di una delle principali associazioni commerciali britanniche. Il funzionario è stato molto rapido nel rispondere: "Beh, abbiamo già un sistema comparabile", e aveva chiaramente preparato i suoi argomenti per spiegare perché fosse così. Il Regno Unito non ha controlli sulle riesportazioni, quindi sarà interessante vedere come si evolverà la situazione.
Vorrei anche invitare i cittadini a prestare attenzione alle disposizioni relative al controllo delle esportazioni contenute nel cosiddetto National Defense Authorization Act per l'anno fiscale 2024. Tra queste, l'autorità di negoziare un trattamento simile all'esenzione per l'Australia e il Regno Unito e un'ulteriore liberalizzazione del commercio con il Canada per quanto riguarda l'ITAR. Sarà interessante vedere come si evolverà la situazione.
A parte questo, ancora una volta, alcune modifiche. Siamo ancora in attesa di una norma definitiva sulla definizione di cittadini di due o tre Paesi. Credo che circa due anni fa il Dipartimento di Stato abbia proposto di cambiare la definizione da "si è in possesso di una nazionalità" a "si è in possesso di una nazionalità". Al momento, la definizione è "detenere", il che significa che anche il Paese di nascita di una persona può renderla una doppia cittadinanza, ma cosa significa "detenere"? Se sei nato in Iran e te ne sei andato da bambino quando lo Scià è stato deposto, e non sei mai tornato, e non hai famiglia lì, ma saggiamente non sei andato in un'ambasciata iraniana e hai detto: "Dov'è il modulo da compilare per rinunciare alla mia cittadinanza iraniana?", la persona "detiene" ancora la cittadinanza iraniana. Almeno nella proposta di legge dello Stato, non è stato chiarito questo punto. Quindi, vedremo.
Per quanto riguarda l'EAR, la cosa più importante è ovviamente cercare di aumentare la pressione attraverso i controlli sulle esportazioni di Russia, Bielorussia e Cina. Uno dei temi principali dell'anno scorso è stato quello dei semiconduttori e delle attrezzature per la produzione di semiconduttori. Sembra che ogni poche settimane ci siano aggiunte alla Lista delle Entità, che è uno dei modi principali con cui il Commercio impone, ancora una volta, ciò che equivale a sanzioni sulle aziende russe e sulle entità in altri Paesi che si ritiene stiano aiutando la Russia.
L'altro grande sviluppo è l'accresciuta enfasi sull'applicazione delle norme. Il Dipartimento di Stato ha pubblicato una nuova guida al programma di conformità. Ha anche pubblicato una matrice di conformità, che vale la pena di esaminare. È molto utile. Il Dipartimento di Stato ha continuato a intentare cause per l'applicazione della legge; in particolare, la settimana scorsa è stato pubblicato un accordo di consenso che impone a Boeing una sanzione civile di $51 milioni di dollari, anche se questa è ben lontana dalla sanzione civile più alta che sia mai stata comminata a un'azienda. È interessante notare che nell'accordo di consenso della Boeing si fa riferimento al fatto che uno dei responsabili del controllo delle esportazioni della Boeing ha fabbricato le licenze DSP-5. E si pensa: "Wow!". Com'è possibile? Ho pensato che fosse interessante. Circa la metà della sanzione di $51 milioni di euro può essere applicata alle misure correttive.
Per quanto riguarda l'EAR e le sanzioni, abbiamo assistito a un aumento degli sforzi di applicazione da parte di più agenzie e, direi, di più Paesi. Per quanto riguarda gli Stati Uniti, dal marzo 2022 esiste una task force chiamata KleptoCapture, gestita dal Dipartimento di Giustizia, che riunisce FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement e così via per applicare le sanzioni agli oligarchi russi. Nel febbraio del 2023, la Giustizia e il Commercio hanno lanciato quella che chiamano "Disruptive Technology Strike Force". Si tratta di uno sforzo congiunto, ancora una volta, per riunire l'FBI, la Sicurezza Nazionale e le task force all'interno degli uffici dei procuratori degli Stati Uniti nei vari Stati per alzare la posta in gioco nell'applicazione dei controlli sulle esportazioni e delle sanzioni statunitensi.
È interessante notare che dall'amministrazione Obama esiste una struttura chiamata Export Enforcement Coordination Center (E2C2), che avrebbe dovuto fare la stessa cosa. Allora perché c'era bisogno di questa nuova Task Force per le tecnologie dirompenti? L'E2C2 è stato un fallimento? Le menti curiose vogliono saperlo! Ma non c'è dubbio che la pressione è alta per portare avanti i casi.
E questo mi porta a un punto su cui non vedo l'ora di dialogare con i partecipanti alla conferenza. Ci stiamo illudendo sull'efficacia delle sanzioni e dei controlli sulle esportazioni?
C'è stato un articolo molto interessante sul New York Times, credo all'inizio della scorsa settimana, in cui c'erano sette tabelle che spiegavano perché le sanzioni non sono state efficaci contro la Russia, e uno dei fattori principali, ovviamente, è che la Russia si è rivolta alla Cina per gran parte del suo commercio. Ma anche molti di questi traffici illeciti provengono dal Medio Oriente: Emirati Arabi Uniti, Bahrein, alcuni degli altri Stati del Golfo. A quanto pare, le sanzioni non sono state efficaci nel mettere in ginocchio la Russia.
Nielsonsmith: Questa era una delle domande all'ordine del giorno di oggi, per chiedere quanto pensate che siano efficaci; ecco le risposte.
Gary: Alcuni dei principali quotidiani statunitensi hanno pubblicato articoli sul perché le sanzioni non siano più efficaci la scorsa settimana o alla fine della settimana precedente, quando ricorreva il secondo anniversario della guerra in Ucraina. A mio avviso, uno dei problemi è che il processo di sanzioni non è abbastanza agile. Si è sempre trattato di giocare a "whack-a-mole". Non appena si identifica e si colpisce un condotto per il commercio illecito, ne spuntano altri cinque. Le autorità statunitensi affrontano le sanzioni in modo molto legalistico; si tratta di costruire casi perseguibili nei tribunali statunitensi. E quando si riesce a farlo, il commercio illecito è già in corso. E poi un'altra cosa che proprio non capisco, e mi piacerebbe che qualcuno me la spiegasse, è perché gli Stati Uniti abbiano presentato questo grande pacchetto di sanzioni aggiuntive per il secondo anniversario della guerra. I funzionari hanno annunciato che avrebbero sanzionato altri 500 individui ed entità in Russia, Bielorussia e Paesi terzi. Cosa stavano aspettando? Cinquecento? Sapevate che erano coinvolti in traffici illeciti e vi siete trattenuti dal sanzionarli? Non capisco.
Nielsonsmith: Bene, ne abbiamo parlato abbastanza, vorrei tornare sull'argomento AUKUS in modo un po' più dettagliato. Quali implicazioni potrebbe avere per la compliance commerciale?
Gary: Beh, sono un Tommaso dubbioso al riguardo. In parte, perché, ancora una volta, tutte queste iniziative sembrano essere molto pubblicizzate e poi si rivelano poco efficaci. Ho citato l'iniziativa delle licenze generali aperte di circa tre anni fa. Non incidono sui controlli di riesportazione degli Stati Uniti applicabili al commercio di prodotti per la difesa in uscita, ad esempio, dal Regno Unito verso Paesi diversi da Canada e Australia. Le catene di fornitura globali a questo punto sono così intrecciate. C'è la BAE nel Regno Unito che lavora a un programma di difesa statunitense che sarebbe soggetto all'ITAR; la BAE ha probabilmente fornitori in tutta Europa, se non in tutto il mondo. Quindi, anche se abbiamo effettivamente un'esenzione sul commercio con il Regno Unito, la BAE non dovrà comunque tornare indietro e ottenere l'autorizzazione alla riesportazione per trattare con i fornitori in Germania, Francia e India. Quindi, posso immaginare che possa fare una certa differenza, ma, ancora una volta, visto come funziona la catena di approvvigionamento globale, devo chiedermi quanto sarà efficace.
E se AUKUS induce le aziende britanniche, canadesi e australiane a diventare più isolate e a non utilizzare le catene di fornitura globali, è davvero una buona cosa per le nostre rispettive posizioni di difesa? Stati Uniti, Regno Unito, Australia e Canada non hanno più il monopolio di tutte le migliori tecnologie. Quindi, se la creazione di un'esenzione per questi Paesi dissuade le BAE e le Rolls-Royce del mondo dall'utilizzare la migliore tecnologia disponibile in Germania per un progetto del Ministero della Difesa statunitense, è una buona cosa? Quindi, ancora una volta, vedremo.
In termini di impatto più ampio per le aziende legittime, spero che stiano intensificando gli sforzi di conformità da parte di terzi per assicurarsi che non stiano trattando, non stiano esportando a qualcuno in cui gli articoli finiranno in Russia o come esportazioni illecite in Cina. Non vedo come si possa fare nel 2024 senza automazione. Bisogna avere un software di automazione del commercio per poterlo fare.
Nielsonsmith: La sicurezza informatica è un argomento molto sentito in questo momento, quindi la mia prossima domanda è: quali sono gli ultimi sviluppi del programma di certificazione del modello di maturità della sicurezza informatica del Dipartimento della Difesa degli Stati Uniti?
Gary: È interessante notare che il Dipartimento della Difesa ha aspettato fino al 26 dicembre, quando tutti erano in vacanza, per pubblicare non solo le regole proposte per il CMMC 2.0, ma anche una serie di documenti di orientamento aggiuntivi che si applicherebbero al CMMC 2.0. Sembra proprio che stiano andando avanti con il programma. Sembra che alla fine avremo tre livelli, e se siete nel settore del commercio della difesa, sarete nel livello 2 perché avrete a che fare con informazioni controllate all'esportazione.
La grande domanda che ho in mente per le aziende europee è che la CMMC richiede un audit, un audit di terze parti, per verificare che i programmi di cybersecurity siano conformi ai requisiti della CMMC, come articolato dalla Pubblicazione speciale 800-171 del National Institute of Standards and Technologies e dalle sue varie permutazioni. Come funzionerà l'audit all'estero? In Canada stanno sviluppando un proprio programma di cybersecurity, simile al CMMC, con un elemento di certificazione, e sono in trattative con gli Stati Uniti per ottenere la reciprocità, cioèSe certifichiamo un'azienda canadese come conforme al nostro programma, la riconoscerete come conforme al CMMC e non richiederete una verifica separata? Credo che il Regno Unito stia lavorando a qualcosa di simile. Non ho sentito molte notizie di questo tipo da altri Paesi europei; quindi, dove vanno a finire le loro aziende nella catena di fornitura per il DoD statunitense, dove entrerebbero in vigore i requisiti CMMC. È ancora molto vago se e quando il programma CMMC accrediterà i revisori dei Paesi terzi per effettuare questi controlli. Se non lo farà per i primi due, tre, quattro o cinque anni dall'entrata in vigore della CMMC, l'audit dovrà essere effettuato da aziende statunitensi. Non posso immaginare che le aziende francesi o olandesi siano entusiaste di dover pagare i revisori statunitensi per venire qui. Ho persino sentito alcune riserve da parte di aziende europee, e non si tratta di una teoria della cospirazione, sul fatto che i revisori statunitensi esaminino i loro programmi di sicurezza informatica. Le informazioni raccolte saranno forse convogliate alla nostra Agenzia per la sicurezza nazionale per consentirle di spiare i loro programmi? Quindi c'è ancora molto da stabilire sulla CMMC 2.0, ma sta andando avanti e le aziende della catena di fornitura del Dipartimento della Difesa degli Stati Uniti farebbero bene, se non hanno ancora dato un'occhiata a tutto questo, a farlo.
Nielsonsmith: Grazie per aver condiviso tante conoscenze oggi. Infine, vorrei chiederle quanto ritiene importante che le aziende investano nella formazione dei loro responsabili della conformità e quali risorse dovrebbero utilizzare.
Gary: Non potrò mai sottolineare abbastanza che la formazione è uno dei tre componenti chiave di un programma di conformità efficace. Se non avete formato i vostri dipendenti sui requisiti, come potete aspettarvi che si attengano a tali requisiti? E soprattutto, se non avete fornito risorse di formazione ai vostri responsabili del controllo delle esportazioni, come possono gestire i vostri programmi di conformità? Lo vedo sempre e ancora e ancora. Oggi terrò una videoconferenza con un'azienda che sto assistendo per un'importante divulgazione volontaria al Dipartimento di Stato e che continua ad assumere persone come responsabili del controllo delle esportazioni che non hanno né formazione né esperienza. Beh, stanno imparando sul lavoro, ma nella mia esperienza di 40 anni, questo può solo accadere. Molte di queste persone non fanno i compiti a casa necessari per imparare i requisiti del controllo delle esportazioni.
Non si tratta di nozioni accademiche da quinta elementare; si tratta di regole molto sofisticate che richiedono molto tempo e molti sforzi per essere apprese, e in molti casi non lo vedo. Ma la buona notizia, Alisa, è che in media i responsabili europei del controllo delle esportazioni sono più preparati e informati di quelli statunitensi.
Nielsonsmith: Grazie mille per il tuo tempo, Gary, e sono sicuro che le conoscenze che hai condiviso oggi sono molto apprezzate dai nostri lettori.
Gary Stanley è il Presidente dei Servizi legali globali, PC, uno studio legale con sede a Washington, DC, che si occupa di conformità commerciale e di altre questioni commerciali internazionali.
Stanley rappresenta, tra l'altro, numerose società statunitensi, canadesi ed europee in materia di controllo delle esportazioni nel settore della difesa.
Per esempio, il signor Stanley ha:
- Ha assistito numerose aziende statunitensi del settore della difesa nell'ottenere le approvazioni del Dipartimento di Stato americano/Direzione dei controlli commerciali della difesa per licenze, licenze di produzione e accordi di assistenza tecnica, ai sensi delle parti 123 e 124 del Regolamento sul traffico internazionale di armi ("ITAR") e nell'utilizzo delle esenzioni ITAR, compresa l'esenzione canadese di cui al paragrafo 126.5 dell'ITAR.
- Consulenza a diverse aziende per la divulgazione volontaria ai sensi del § 127.12 dell'ITAR.
- Ha assistito numerose aziende del settore della difesa nella registrazione e nella concessione di licenze per i propri broker ai sensi della Parte 129 dell'ITAR.
- Ha fornito formazione in materia di controllo delle esportazioni a diverse aziende statunitensi, britanniche e canadesi del settore della difesa, nonché a funzionari del governo russo preposti al controllo delle esportazioni e a diverse agenzie del governo canadese, tra cui il Dipartimento canadese della difesa nazionale, il Dipartimento canadese degli affari esteri e del commercio internazionale e l'Agenzia spaziale canadese. Dal febbraio 2004 al febbraio 2005, Stanley ha ricoperto il ruolo di Special Compliance Official (funzionario speciale per la conformità) per la supervisione del programma di conformità al controllo delle esportazioni di un'importante azienda del settore della difesa, in base a un accordo di consenso stipulato dall'azienda con il Dipartimento di Stato degli Stati Uniti. I funzionari statali avevano mosso accuse contro l'azienda in base alla teoria della responsabilità di successione per le presunte violazioni commesse da un'altra società, di cui l'azienda aveva acquisito la maggior parte delle attività.
Oltre a rappresentare aziende private, Stanley è stato anche consulente del governo degli Stati Uniti e di gruppi industriali. Ad esempio, è stato il principale esperto esterno in materia di controlli sulle esportazioni per l'appaltatore principale Booz Allen Hamilton Inc. nella fase II del programma di collaborazione sicura transatlantica. Questo programma era un consorzio di dieci aziende della difesa statunitensi, canadesi ed europee, tra cui Lockheed Martin, EADS, Northrop Grumman e Boeing, con l'obiettivo di stabilire le linee guida delle "migliori pratiche" per lo scambio elettronico di informazioni proprietarie non classificate e controllate all'esportazione.
Stanley si è laureato alla Emory University nel 1975 e si è laureato in legge alla Harvard Law School nel 1978. Al terzo anno è stato eletto Phi Beta Kappa. Attualmente è segretario-tesoriere e amministratore dell'Istituto per gli aspetti procedurali del diritto internazionale.
Per ulteriori informazioni sull'avvocato Stanley e sul suo studio legale, Global Legal Services, chiamatelo al numero (202) 686-4854 o inviategli un'e-mail all'indirizzo gstanley@glstrade.com.
SERVIZI LEGALI GLOBALI
Eventi correlati
