{"id":2446,"date":"2024-04-08T15:13:20","date_gmt":"2024-04-08T14:13:20","guid":{"rendered":"https:\/\/nielsonsmith.com\/?p=2446"},"modified":"2024-05-14T16:37:18","modified_gmt":"2024-05-14T15:37:18","slug":"controlli-commerciali-statunitensi-conformita-itar-ear-cybersecurity","status":"publish","type":"post","link":"https:\/\/nielsonsmith.com\/it\/us-trade-controls-compliance-itar-ear-cybersecurity\/","title":{"rendered":"Un'immersione profonda nella conformit\u00e0 ai controlli commerciali statunitensi"},"content":{"rendered":"

Unisciti a Gary Staley per svelare l'intricata rete <\/strong>delle misure ITAR, EAR e di cybersecurity, fornendo preziose indicazioni per un'efficace conformit\u00e0 in un panorama globale in rapida evoluzione.<\/h2>\n\n\n\n

Nielsonsmith: Gary, prima di tutto vorrei ringraziarti per averci parlato oggi e per aver condiviso le tue conoscenze con il nostro pubblico.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Grazie. Penso che quest'anno abbiamo molto di cui parlare. Questo \u00e8 stato probabilmente uno degli anni pi\u00f9 eccitanti a memoria d'uomo per i professionisti del controllo delle esportazioni, con tante cose che sono successe. E non tutte le cose sono positive; possiamo parlarne nel prosieguo.<\/p>\n\n\n\n

Nielsonsmith: S\u00ec, beh, perch\u00e9 non ci immergiamo? La prima domanda che abbiamo per lei \u00e8: pu\u00f2 fornirci una breve panoramica dei principali cambiamenti e sviluppi dell'ITAR e dell'EAR nell'ultimo anno?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: La parte difficile per me \u00e8 fornire una BREVE panoramica; potrei parlare per ore di questo argomento. La maggior parte dei lettori di questa intervista probabilmente sa che gli Stati Uniti hanno due sistemi di controllo delle esportazioni: l'International Traffic in Arms Regulations (ITAR) del Dipartimento di Stato americano e l'Export Administration Regulations (EAR) del Dipartimento del Commercio americano. E, naturalmente, c'\u00e8 anche l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti, che amministra le sanzioni statunitensi, anche se i controlli sulle esportazioni dell'EAR e le sanzioni dell'OFAC continuano a convergere, con i controlli dell'EAR che assomigliano sempre pi\u00f9 a sanzioni in termini di individui ed entit\u00e0 specifiche piuttosto che a interi Paesi. Ovviamente, le sanzioni statunitensi sono da sempre rivolte a individui ed entit\u00e0 specifiche.<\/p>\n\n\n\n

Ma iniziamo con l'ITAR. \u00c8 interessante notare che nell'ultimo anno non ci sono stati sviluppi eclatanti per quanto riguarda l'ITAR. Credo che, in parte, ci\u00f2 sia dovuto al fatto che dal maggio 2023, quando il vice assistente segretario Mike Miller ha annunciato di voler lasciare l'incarico per una posizione presso il Dipartimento della Difesa degli Stati Uniti, fino a poco tempo fa, non c'\u00e8 stato un vice assistente segretario formalmente nominato per guidare la Direzione dei controlli commerciali della Difesa. Durante questo periodo, il DDTC ha avuto una serie di vice segretari facenti funzione, scelti tra i direttori degli uffici all'interno del DDTC. Quando si verifica questa situazione, credo che le iniziative all'interno dell'ufficio vengano in qualche modo frenate; non si vogliono intraprendere sviluppi o modifiche importanti all'ITAR senza la nomina formale di un nuovo Vice Assistente Segretario. In gran parte sono state apportate modifiche all'ITAR. \u00c8 stata finalizzata la regola della riorganizzazione dell'ITAR; c'\u00e8 stata un'estensione delle licenze generali aperte, di cui possiamo parlare, e ci sono stati alcuni altri sviluppi, ma ancora una volta, niente di eclatante. <\/p>\n\n\n\n

Non ho ancora incontrato nessuna azienda nel Regno Unito, in Australia o in Canada che abbia ammesso di utilizzare le Licenze Generali Aperte; sembrano ancora una volta un programma morto all'arrivo. \u00c8 un peccato perch\u00e9 queste licenze generali aperte, in teoria, consentono di ritrasferire all'interno di questi Paesi e di riesportare tra questi tre Paesi articoli controllati dall'ITAR senza licenza e senza approvazione preventiva, a condizione che si soddisfino tutte le condizioni di queste licenze generali aperte. <\/p>\n\n\n\n

Abbiamo avuto un aggiornamento del Supplemento n. 1 dell'ITAR Parte 126, che ha aumentato gli articoli disponibili per l'esenzione canadese e per i trattati di controllo del commercio della difesa di Regno Unito e Australia. Ma ancora una volta, questi trattati erano morti all'arrivo dell'amministrazione Bush. Non ho ancora incontrato nessuna azienda che abbia ammesso di utilizzare uno dei due trattati. <\/p>\n\n\n\n

Il DDTC ha continuato a sospendere lo status di Paese proibito di Cipro nell'ambito dell'ITAR. Cipro era un Paese proibito a causa del conflitto tra la comunit\u00e0 greca e quella turca sull'isola, ma per il momento \u00e8 stato sospeso lo status di Paese proibito ITAR 126.1. Ancora una volta, modifiche. <\/p>\n\n\n\n

Allora, cosa c'\u00e8 in arrivo? Beh, per il momento sembra che ci siano pi\u00f9 modifiche, tranne che per AUKUS. E AUKUS sar\u00e0 molto interessante. AUKUS \u00e8 una proposta per consentire un trattamento simile all'esenzione ITAR canadese per il Regno Unito e il Canada; a condizione che, come hanno testimoniato vari funzionari del Dipartimento di Stato davanti al Congresso, il Regno Unito e l'Australia abbiano sistemi di controllo delle esportazioni paragonabili a quelli degli Stati Uniti. La differenza pi\u00f9 evidente tra Stati Uniti, Regno Unito e Australia \u00e8 che gli Stati Uniti impongono controlli sulle riesportazioni e sui ritrasferimenti. L'Australia ha recentemente adottato alcune modifiche alle sue leggi sul controllo delle esportazioni che potrebbero imporre alcuni requisiti di controllo delle riesportazioni. Per quanto riguarda il Regno Unito, lo scorso settembre ho partecipato a una conferenza a Londra in cui ho posto la domanda \"Il Regno Unito \u00e8 pronto ad avere un sistema analogo?\" a un funzionario di una delle principali associazioni commerciali britanniche. Il funzionario \u00e8 stato molto rapido nel rispondere: \"Beh, abbiamo gi\u00e0 un sistema comparabile\", e aveva chiaramente preparato i suoi argomenti per spiegare perch\u00e9 fosse cos\u00ec. Il Regno Unito non ha controlli sulle riesportazioni, quindi sar\u00e0 interessante vedere come si evolver\u00e0 la situazione.<\/p>\n\n\n\n

Vorrei anche invitare i cittadini a prestare attenzione alle disposizioni relative al controllo delle esportazioni contenute nel cosiddetto National Defense Authorization Act per l'anno fiscale 2024. Tra queste, l'autorit\u00e0 di negoziare un trattamento simile all'esenzione per l'Australia e il Regno Unito e un'ulteriore liberalizzazione del commercio con il Canada per quanto riguarda l'ITAR. Sar\u00e0 interessante vedere come si evolver\u00e0 la situazione.<\/p>\n\n\n\n

A parte questo, ancora una volta, alcune modifiche. Siamo ancora in attesa di una norma definitiva sulla definizione di cittadini di due o tre Paesi. Credo che circa due anni fa il Dipartimento di Stato abbia proposto di cambiare la definizione da \"si \u00e8 in possesso di una nazionalit\u00e0\" a \"si \u00e8 in possesso di una nazionalit\u00e0\". Al momento, la definizione \u00e8 \"detenere\", il che significa che anche il Paese di nascita di una persona pu\u00f2 renderla una doppia cittadinanza, ma cosa significa \"detenere\"? Se sei nato in Iran e te ne sei andato da bambino quando lo Sci\u00e0 \u00e8 stato deposto, e non sei mai tornato, e non hai famiglia l\u00ec, ma saggiamente non sei andato in un'ambasciata iraniana e hai detto: \"Dov'\u00e8 il modulo da compilare per rinunciare alla mia cittadinanza iraniana?\", la persona \"detiene\" ancora la cittadinanza iraniana. Almeno nella proposta di legge dello Stato, non \u00e8 stato chiarito questo punto. Quindi, vedremo.<\/p>\n\n\n\n

Per quanto riguarda l'EAR, la cosa pi\u00f9 importante \u00e8 ovviamente cercare di aumentare la pressione attraverso i controlli sulle esportazioni di Russia, Bielorussia e Cina. Uno dei temi principali dell'anno scorso \u00e8 stato quello dei semiconduttori e delle attrezzature per la produzione di semiconduttori. Sembra che ogni poche settimane ci siano aggiunte alla Lista delle Entit\u00e0, che \u00e8 uno dei modi principali con cui il Commercio impone, ancora una volta, ci\u00f2 che equivale a sanzioni sulle aziende russe e sulle entit\u00e0 in altri Paesi che si ritiene stiano aiutando la Russia.<\/p>\n\n\n\n

L'altro grande sviluppo \u00e8 l'accresciuta enfasi sull'applicazione delle norme. Il Dipartimento di Stato ha pubblicato una nuova guida al programma di conformit\u00e0. Ha anche pubblicato una matrice di conformit\u00e0, che vale la pena di esaminare. \u00c8 molto utile. Il Dipartimento di Stato ha continuato a intentare cause per l'applicazione della legge; in particolare, la settimana scorsa \u00e8 stato pubblicato un accordo di consenso che impone a Boeing una sanzione civile di $51 milioni di dollari, anche se questa \u00e8 ben lontana dalla sanzione civile pi\u00f9 alta che sia mai stata comminata a un'azienda. \u00c8 interessante notare che nell'accordo di consenso della Boeing si fa riferimento al fatto che uno dei responsabili del controllo delle esportazioni della Boeing ha fabbricato le licenze DSP-5. E si pensa: \"Wow!\". Com'\u00e8 possibile? Ho pensato che fosse interessante. Circa la met\u00e0 della sanzione di $51 milioni di euro pu\u00f2 essere applicata alle misure correttive.<\/p>\n\n\n\n

Per quanto riguarda l'EAR e le sanzioni, abbiamo assistito a un aumento degli sforzi di applicazione da parte di pi\u00f9 agenzie e, direi, di pi\u00f9 Paesi. Per quanto riguarda gli Stati Uniti, dal marzo 2022 esiste una task force chiamata KleptoCapture, gestita dal Dipartimento di Giustizia, che riunisce FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement e cos\u00ec via per applicare le sanzioni agli oligarchi russi. Nel febbraio del 2023, la Giustizia e il Commercio hanno lanciato quella che chiamano \"Disruptive Technology Strike Force\". Si tratta di uno sforzo congiunto, ancora una volta, per riunire l'FBI, la Sicurezza Nazionale e le task force all'interno degli uffici dei procuratori degli Stati Uniti nei vari Stati per alzare la posta in gioco nell'applicazione dei controlli sulle esportazioni e delle sanzioni statunitensi.<\/p>\n\n\n\n

\u00c8 interessante notare che dall'amministrazione Obama esiste una struttura chiamata Export Enforcement Coordination Center (E2C2), che avrebbe dovuto fare la stessa cosa. Allora perch\u00e9 c'era bisogno di questa nuova Task Force per le tecnologie dirompenti? L'E2C2 \u00e8 stato un fallimento? Le menti curiose vogliono saperlo! Ma non c'\u00e8 dubbio che la pressione \u00e8 alta per portare avanti i casi.<\/p>\n\n\n\n

E questo mi porta a un punto su cui non vedo l'ora di dialogare con i partecipanti alla conferenza. Ci stiamo illudendo sull'efficacia delle sanzioni e dei controlli sulle esportazioni? <\/p>\n\n\n\n

C'\u00e8 stato un articolo molto interessante sul New York Times, credo all'inizio della scorsa settimana, in cui c'erano sette tabelle che spiegavano perch\u00e9 le sanzioni non sono state efficaci contro la Russia, e uno dei fattori principali, ovviamente, \u00e8 che la Russia si \u00e8 rivolta alla Cina per gran parte del suo commercio. Ma anche molti di questi traffici illeciti provengono dal Medio Oriente: Emirati Arabi Uniti, Bahrein, alcuni degli altri Stati del Golfo. A quanto pare, le sanzioni non sono state efficaci nel mettere in ginocchio la Russia.<\/p>\n\n\n\n

Nielsonsmith: Questa era una delle domande all'ordine del giorno di oggi, per chiedere quanto pensate che siano efficaci; ecco le risposte.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Alcuni dei principali quotidiani statunitensi hanno pubblicato articoli sul perch\u00e9 le sanzioni non siano pi\u00f9 efficaci la scorsa settimana o alla fine della settimana precedente, quando ricorreva il secondo anniversario della guerra in Ucraina. A mio avviso, uno dei problemi \u00e8 che il processo di sanzioni non \u00e8 abbastanza agile. Si \u00e8 sempre trattato di giocare a \"whack-a-mole\". Non appena si identifica e si colpisce un condotto per il commercio illecito, ne spuntano altri cinque. Le autorit\u00e0 statunitensi affrontano le sanzioni in modo molto legalistico; si tratta di costruire casi perseguibili nei tribunali statunitensi. E quando si riesce a farlo, il commercio illecito \u00e8 gi\u00e0 in corso. E poi un'altra cosa che proprio non capisco, e mi piacerebbe che qualcuno me la spiegasse, \u00e8 perch\u00e9 gli Stati Uniti abbiano presentato questo grande pacchetto di sanzioni aggiuntive per il secondo anniversario della guerra. I funzionari hanno annunciato che avrebbero sanzionato altri 500 individui ed entit\u00e0 in Russia, Bielorussia e Paesi terzi. Cosa stavano aspettando? Cinquecento? Sapevate che erano coinvolti in traffici illeciti e vi siete trattenuti dal sanzionarli? Non capisco. <\/p>\n\n\n\n

Nielsonsmith: Bene, ne abbiamo parlato abbastanza, vorrei tornare sull'argomento AUKUS in modo un po' pi\u00f9 dettagliato. Quali implicazioni potrebbe avere per la compliance commerciale?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Beh, sono un Tommaso dubbioso al riguardo. In parte, perch\u00e9, ancora una volta, tutte queste iniziative sembrano essere molto pubblicizzate e poi si rivelano poco efficaci. Ho citato l'iniziativa delle licenze generali aperte di circa tre anni fa. Non incidono sui controlli di riesportazione degli Stati Uniti applicabili al commercio di prodotti per la difesa in uscita, ad esempio, dal Regno Unito verso Paesi diversi da Canada e Australia. Le catene di fornitura globali a questo punto sono cos\u00ec intrecciate. C'\u00e8 la BAE nel Regno Unito che lavora a un programma di difesa statunitense che sarebbe soggetto all'ITAR; la BAE ha probabilmente fornitori in tutta Europa, se non in tutto il mondo. Quindi, anche se abbiamo effettivamente un'esenzione sul commercio con il Regno Unito, la BAE non dovr\u00e0 comunque tornare indietro e ottenere l'autorizzazione alla riesportazione per trattare con i fornitori in Germania, Francia e India. Quindi, posso immaginare che possa fare una certa differenza, ma, ancora una volta, visto come funziona la catena di approvvigionamento globale, devo chiedermi quanto sar\u00e0 efficace. <\/p>\n\n\n\n

E se AUKUS induce le aziende britanniche, canadesi e australiane a diventare pi\u00f9 isolate e a non utilizzare le catene di fornitura globali, \u00e8 davvero una buona cosa per le nostre rispettive posizioni di difesa? Stati Uniti, Regno Unito, Australia e Canada non hanno pi\u00f9 il monopolio di tutte le migliori tecnologie. Quindi, se la creazione di un'esenzione per questi Paesi dissuade le BAE e le Rolls-Royce del mondo dall'utilizzare la migliore tecnologia disponibile in Germania per un progetto del Ministero della Difesa statunitense, \u00e8 una buona cosa? Quindi, ancora una volta, vedremo. <\/p>\n\n\n\n

In termini di impatto pi\u00f9 ampio per le aziende legittime, spero che stiano intensificando gli sforzi di conformit\u00e0 da parte di terzi per assicurarsi che non stiano trattando, non stiano esportando a qualcuno in cui gli articoli finiranno in Russia o come esportazioni illecite in Cina. Non vedo come si possa fare nel 2024 senza automazione. Bisogna avere un software di automazione del commercio per poterlo fare.<\/p>\n\n\n\n

\"Sicurezza<\/figure>\n\n\n\n

Nielsonsmith: La sicurezza informatica \u00e8 un argomento molto sentito in questo momento, quindi la mia prossima domanda \u00e8: quali sono gli ultimi sviluppi del programma di certificazione del modello di maturit\u00e0 della sicurezza informatica del Dipartimento della Difesa degli Stati Uniti?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: \u00c8 interessante notare che il Dipartimento della Difesa ha aspettato fino al 26 dicembre, quando tutti erano in vacanza, per pubblicare non solo le regole proposte per il CMMC 2.0, ma anche una serie di documenti di orientamento aggiuntivi che si applicherebbero al CMMC 2.0. Sembra proprio che stiano andando avanti con il programma. Sembra che alla fine avremo tre livelli, e se siete nel settore del commercio della difesa, sarete nel livello 2 perch\u00e9 avrete a che fare con informazioni controllate all'esportazione. <\/p>\n\n\n\n

La grande domanda che ho in mente per le aziende europee \u00e8 che la CMMC richiede un audit, un audit di terze parti, per verificare che i programmi di cybersecurity siano conformi ai requisiti della CMMC, come articolato dalla Pubblicazione speciale 800-171 del National Institute of Standards and Technologies e dalle sue varie permutazioni. Come funzioner\u00e0 l'audit all'estero? In Canada stanno sviluppando un proprio programma di cybersecurity, simile al CMMC, con un elemento di certificazione, e sono in trattative con gli Stati Uniti per ottenere la reciprocit\u00e0, cio\u00e8<\/em>Se certifichiamo un'azienda canadese come conforme al nostro programma, la riconoscerete come conforme al CMMC e non richiederete una verifica separata? Credo che il Regno Unito stia lavorando a qualcosa di simile. Non ho sentito molte notizie di questo tipo da altri Paesi europei; quindi, dove vanno a finire le loro aziende nella catena di fornitura per il DoD statunitense, dove entrerebbero in vigore i requisiti CMMC. \u00c8 ancora molto vago se e quando il programma CMMC accrediter\u00e0 i revisori dei Paesi terzi per effettuare questi controlli. Se non lo far\u00e0 per i primi due, tre, quattro o cinque anni dall'entrata in vigore della CMMC, l'audit dovr\u00e0 essere effettuato da aziende statunitensi. Non posso immaginare che le aziende francesi o olandesi siano entusiaste di dover pagare i revisori statunitensi per venire qui. Ho persino sentito alcune riserve da parte di aziende europee, e non si tratta di una teoria della cospirazione, sul fatto che i revisori statunitensi esaminino i loro programmi di sicurezza informatica. Le informazioni raccolte saranno forse convogliate alla nostra Agenzia per la sicurezza nazionale per consentirle di spiare i loro programmi? Quindi c'\u00e8 ancora molto da stabilire sulla CMMC 2.0, ma sta andando avanti e le aziende della catena di fornitura del Dipartimento della Difesa degli Stati Uniti farebbero bene, se non hanno ancora dato un'occhiata a tutto questo, a farlo.<\/p>\n\n\n\n

Nielsonsmith: Grazie per aver condiviso tante conoscenze oggi. Infine, vorrei chiederle quanto ritiene importante che le aziende investano nella formazione dei loro responsabili della conformit\u00e0 e quali risorse dovrebbero utilizzare.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Non potr\u00f2 mai sottolineare abbastanza che la formazione \u00e8 uno dei tre componenti chiave di un programma di conformit\u00e0 efficace. Se non avete formato i vostri dipendenti sui requisiti, come potete aspettarvi che si attengano a tali requisiti? E soprattutto, se non avete fornito risorse di formazione ai vostri responsabili del controllo delle esportazioni, come possono gestire i vostri programmi di conformit\u00e0? Lo vedo sempre e ancora e ancora. Oggi terr\u00f2 una videoconferenza con un'azienda che sto assistendo per un'importante divulgazione volontaria al Dipartimento di Stato e che continua ad assumere persone come responsabili del controllo delle esportazioni che non hanno n\u00e9 formazione n\u00e9 esperienza. Beh, stanno imparando sul lavoro, ma nella mia esperienza di 40 anni, questo pu\u00f2 solo accadere. Molte di queste persone non fanno i compiti a casa necessari per imparare i requisiti del controllo delle esportazioni.<\/p>\n\n\n\n

Non si tratta di nozioni accademiche da quinta elementare; si tratta di regole molto sofisticate che richiedono molto tempo e molti sforzi per essere apprese, e in molti casi non lo vedo. Ma la buona notizia, Alisa, \u00e8 che in media i responsabili europei del controllo delle esportazioni sono pi\u00f9 preparati e informati di quelli statunitensi.<\/p>\n\n\n\n

Nielsonsmith: Grazie mille per il tuo tempo, Gary, e sono sicuro che le conoscenze che hai condiviso oggi sono molto apprezzate dai nostri lettori.<\/strong><\/h3>\n\n\n\n
\n\n\n\n
\"Gary<\/figure>
\n

Gary Stanley<\/strong> \u00e8 il Presidente dei Servizi legali globali<\/strong>, PC<\/strong>, uno studio legale con sede a Washington, DC, che si occupa di conformit\u00e0 commerciale e di altre questioni commerciali internazionali.<\/p>\n\n\n\n

Stanley rappresenta, tra l'altro, numerose societ\u00e0 statunitensi, canadesi ed europee in materia di controllo delle esportazioni nel settore della difesa. <\/p>\n<\/div><\/div>\n\n\n\n

Per esempio, il signor Stanley ha:
- Ha assistito numerose aziende statunitensi del settore della difesa nell'ottenere le approvazioni del Dipartimento di Stato americano\/Direzione dei controlli commerciali della difesa per licenze, licenze di produzione e accordi di assistenza tecnica, ai sensi delle parti 123 e 124 del Regolamento sul traffico internazionale di armi (\"ITAR\") e nell'utilizzo delle esenzioni ITAR, compresa l'esenzione canadese di cui al paragrafo 126.5 dell'ITAR. <\/p>\n\n\n\n