{"id":2446,"date":"2024-04-08T15:13:20","date_gmt":"2024-04-08T14:13:20","guid":{"rendered":"https:\/\/nielsonsmith.com\/?p=2446"},"modified":"2024-05-14T16:37:18","modified_gmt":"2024-05-14T15:37:18","slug":"controlli-commerciali-statunitensi-conformita-itar-ear-cybersecurity","status":"publish","type":"post","link":"https:\/\/nielsonsmith.com\/it\/us-trade-controls-compliance-itar-ear-cybersecurity\/","title":{"rendered":"Un'immersione profonda nella conformit\u00e0 ai controlli commerciali statunitensi"},"content":{"rendered":"

Unisciti a Gary Staley per svelare l'intricata rete <\/strong>delle misure ITAR, EAR e di cybersecurity, fornendo preziose indicazioni per un'efficace conformit\u00e0 in un panorama globale in rapida evoluzione.<\/h2>\n\n\n\n

Nielsonsmith: Gary, prima di tutto vorrei ringraziarti per averci parlato oggi e per aver condiviso le tue conoscenze con il nostro pubblico.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Grazie. Penso che quest'anno abbiamo molto di cui parlare. Questo \u00e8 stato probabilmente uno degli anni pi\u00f9 eccitanti a memoria d'uomo per i professionisti del controllo delle esportazioni, con tante cose che sono successe. E non tutte le cose sono positive; possiamo parlarne nel prosieguo.<\/p>\n\n\n\n

Nielsonsmith: S\u00ec, beh, perch\u00e9 non ci immergiamo? La prima domanda che abbiamo per lei \u00e8: pu\u00f2 fornirci una breve panoramica dei principali cambiamenti e sviluppi dell'ITAR e dell'EAR nell'ultimo anno?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: The difficult part for me is to provide a BRIEF overview; I could talk for hours on this. Most of the readers of this interview probably know that the United States has two systems of export controls: the U.S. Department of State\u2019s International Traffic in Arms Regulations (ITAR) and the U.S. Department of Commerce’s Export Administration Regulations (EAR). And, of course, there’s also the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), which administers U,S. sanctions, although EAR export controls and OFAC sanctions continue to converge, with EAR controls looking more and more like sanctions in terms of targeting specific individuals and entities rather than whole countries.\u00a0 Of course, targeting specific individuals and entities is what U.S. sanctions have done for a long time.<\/p>\n\n\n\n

But let’s start with the ITAR. Interestingly, there’s not a whole lot of earth-shaking developments regarding the ITAR over the past year. I think, in part, that’s because from May of 2023, when Deputy Assistant Secretary Mike Miller announced that he was leaving for a position at the US Department of Defense, until just recently, there has not been a formally-appointed Deputy Assistant Secretary to lead the Directorate of Defense Trade Controls. During that time, DDTC has had a series of Acting Deputy Assistant Secretaries drawn from the office directors within DDTC.\u00a0 When you have that situation, I think that somewhat chills initiatives within that office; they don’t want to undertake major developments or changes to the ITAR without having the formal appointment of a new Deputy Assistant Secretary. There were tweaks to the ITAR for the most part. The ITAR Reorg rule got finalized; there was an extension of the Open General Licenses, which we can talk about, and there were a few other developments, but again, nothing earthshaking.\u00a0<\/p>\n\n\n\n

Non ho ancora incontrato nessuna azienda nel Regno Unito, in Australia o in Canada che abbia ammesso di utilizzare le Licenze Generali Aperte; sembrano ancora una volta un programma morto all'arrivo. \u00c8 un peccato perch\u00e9 queste licenze generali aperte, in teoria, consentono di ritrasferire all'interno di questi Paesi e di riesportare tra questi tre Paesi articoli controllati dall'ITAR senza licenza e senza approvazione preventiva, a condizione che si soddisfino tutte le condizioni di queste licenze generali aperte.\u00a0<\/p>\n\n\n\n

Abbiamo avuto un aggiornamento del Supplemento n. 1 dell'ITAR Parte 126, che ha aumentato gli articoli disponibili per l'esenzione canadese e per i trattati di controllo del commercio della difesa di Regno Unito e Australia. Ma ancora una volta, questi trattati erano morti all'arrivo dell'amministrazione Bush. Non ho ancora incontrato nessuna azienda che abbia ammesso di utilizzare uno dei due trattati.\u00a0<\/p>\n\n\n\n

Il DDTC ha continuato a sospendere lo status di Paese proibito di Cipro nell'ambito dell'ITAR. Cipro era un Paese proibito a causa del conflitto tra la comunit\u00e0 greca e quella turca sull'isola, ma per il momento \u00e8 stato sospeso lo status di Paese proibito ITAR 126.1. Ancora una volta, modifiche.\u00a0<\/p>\n\n\n\n

Allora, cosa c'\u00e8 in arrivo? Beh, per il momento sembra che ci siano pi\u00f9 modifiche, tranne che per AUKUS. E AUKUS sar\u00e0 molto interessante. AUKUS \u00e8 una proposta per consentire un trattamento simile all'esenzione ITAR canadese per il Regno Unito e il Canada; a condizione che, come hanno testimoniato vari funzionari del Dipartimento di Stato davanti al Congresso, il Regno Unito e l'Australia abbiano sistemi di controllo delle esportazioni paragonabili a quelli degli Stati Uniti. La differenza pi\u00f9 evidente tra Stati Uniti, Regno Unito e Australia \u00e8 che gli Stati Uniti impongono controlli sulle riesportazioni e sui ritrasferimenti. L'Australia ha recentemente adottato alcune modifiche alle sue leggi sul controllo delle esportazioni che potrebbero imporre alcuni requisiti di controllo delle riesportazioni. Per quanto riguarda il Regno Unito, lo scorso settembre ho partecipato a una conferenza a Londra in cui ho posto la domanda \"Il Regno Unito \u00e8 pronto ad avere un sistema analogo?\" a un funzionario di una delle principali associazioni commerciali britanniche. Il funzionario \u00e8 stato molto rapido nel rispondere: \"Beh, abbiamo gi\u00e0 un sistema comparabile\", e aveva chiaramente preparato i suoi argomenti per spiegare perch\u00e9 fosse cos\u00ec. Il Regno Unito non ha controlli sulle riesportazioni, quindi sar\u00e0 interessante vedere come si evolver\u00e0 la situazione.<\/p>\n\n\n\n

Vorrei anche invitare i cittadini a prestare attenzione alle disposizioni relative al controllo delle esportazioni contenute nel cosiddetto National Defense Authorization Act per l'anno fiscale 2024. Tra queste, l'autorit\u00e0 di negoziare un trattamento simile all'esenzione per l'Australia e il Regno Unito e un'ulteriore liberalizzazione del commercio con il Canada per quanto riguarda l'ITAR. Sar\u00e0 interessante vedere come si evolver\u00e0 la situazione.<\/p>\n\n\n\n

Other than that, again, some tweaking. We are still waiting on a final rule regarding the definition of dual\/third country nationals. I believe two years or so ago the State Department proposed to change the definition from \u201cdo you hold a nationality\u201d to \u201chave you held a nationality.\u201d Right now, the definition is \u201chold\u201d which means that even someone\u2019s country of birth can make the person a dual national, But what does \u201chold\u201d mean? If you were born in Iran and you left as a child when the Shah was deposed, and you’ve never been back, and you don’t have any family there, but you wisely have not gone into an Iranian Embassy and said, \u201cwhere’s the form for me to fill out for me to renounce my Iranian citizenship?\u201d, does the person still \u201chold\u201d Iranian citizenship.\u00a0 At least in State\u2019s proposed rule, they didn\u2019t clarify that. So, we’ll see.<\/p>\n\n\n\n

Per quanto riguarda l'EAR, la cosa pi\u00f9 importante \u00e8 ovviamente cercare di aumentare la pressione attraverso i controlli sulle esportazioni di Russia, Bielorussia e Cina. Uno dei temi principali dell'anno scorso \u00e8 stato quello dei semiconduttori e delle attrezzature per la produzione di semiconduttori. Sembra che ogni poche settimane ci siano aggiunte alla Lista delle Entit\u00e0, che \u00e8 uno dei modi principali con cui il Commercio impone, ancora una volta, ci\u00f2 che equivale a sanzioni sulle aziende russe e sulle entit\u00e0 in altri Paesi che si ritiene stiano aiutando la Russia.<\/p>\n\n\n\n

The other big development is the significantly increased emphasis on enforcement. The State Department came out with a new compliance program guide. They also published a compliance matrix, which is well worth reviewing.\u00a0 It is very useful. State has continued to bring enforcement cases; particularly, there was a Consent Agreement that came out just last week imposing a $51 million dollars civil penalty on Boeing, although that’s far from the highest civil penalty that has previously been assessed against companies. Interestingly, in the Boeing Consent Agreement, there was a reference to one of the Boeing export control managers fabricating DSP-5 licenses. And you kind of go, \u201cWow!\u201d How’s that possible? So, I thought that was interesting. About half of the $51 million penalty is allowed to be applied toward remedial measures.<\/p>\n\n\n\n

Per quanto riguarda l'EAR e le sanzioni, abbiamo assistito a un aumento degli sforzi di applicazione da parte di pi\u00f9 agenzie e, direi, di pi\u00f9 Paesi. Per quanto riguarda gli Stati Uniti, dal marzo 2022 esiste una task force chiamata KleptoCapture, gestita dal Dipartimento di Giustizia, che riunisce FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement e cos\u00ec via per applicare le sanzioni agli oligarchi russi. Nel febbraio del 2023, la Giustizia e il Commercio hanno lanciato quella che chiamano \"Disruptive Technology Strike Force\". Si tratta di uno sforzo congiunto, ancora una volta, per riunire l'FBI, la Sicurezza Nazionale e le task force all'interno degli uffici dei procuratori degli Stati Uniti nei vari Stati per alzare la posta in gioco nell'applicazione dei controlli sulle esportazioni e delle sanzioni statunitensi.<\/p>\n\n\n\n

\u00c8 interessante notare che dall'amministrazione Obama esiste una struttura chiamata Export Enforcement Coordination Center (E2C2), che avrebbe dovuto fare la stessa cosa. Allora perch\u00e9 c'era bisogno di questa nuova Task Force per le tecnologie dirompenti? L'E2C2 \u00e8 stato un fallimento? Le menti curiose vogliono saperlo! Ma non c'\u00e8 dubbio che la pressione \u00e8 alta per portare avanti i casi.<\/p>\n\n\n\n

E questo mi porta a un punto su cui non vedo l'ora di dialogare con i partecipanti alla conferenza. Ci stiamo illudendo sull'efficacia delle sanzioni e dei controlli sulle esportazioni?\u00a0<\/p>\n\n\n\n

C'\u00e8 stato un articolo molto interessante sul New York Times, credo all'inizio della scorsa settimana, in cui c'erano sette tabelle che spiegavano perch\u00e9 le sanzioni non sono state efficaci contro la Russia, e uno dei fattori principali, ovviamente, \u00e8 che la Russia si \u00e8 rivolta alla Cina per gran parte del suo commercio. Ma anche molti di questi traffici illeciti provengono dal Medio Oriente: Emirati Arabi Uniti, Bahrein, alcuni degli altri Stati del Golfo. A quanto pare, le sanzioni non sono state efficaci nel mettere in ginocchio la Russia.<\/p>\n\n\n\n

Nielsonsmith: Questa era una delle domande all'ordine del giorno di oggi, per chiedere quanto pensate che siano efficaci; ecco le risposte.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Alcuni dei principali quotidiani statunitensi hanno pubblicato articoli sul perch\u00e9 le sanzioni non siano pi\u00f9 efficaci la scorsa settimana o alla fine della settimana precedente, quando ricorreva il secondo anniversario della guerra in Ucraina. A mio avviso, uno dei problemi \u00e8 che il processo di sanzioni non \u00e8 abbastanza agile. Si \u00e8 sempre trattato di giocare a \"whack-a-mole\". Non appena si identifica e si colpisce un condotto per il commercio illecito, ne spuntano altri cinque. Le autorit\u00e0 statunitensi affrontano le sanzioni in modo molto legalistico; si tratta di costruire casi perseguibili nei tribunali statunitensi. E quando si riesce a farlo, il commercio illecito \u00e8 gi\u00e0 in corso. E poi un'altra cosa che proprio non capisco, e mi piacerebbe che qualcuno me la spiegasse, \u00e8 perch\u00e9 gli Stati Uniti abbiano presentato questo grande pacchetto di sanzioni aggiuntive per il secondo anniversario della guerra. I funzionari hanno annunciato che avrebbero sanzionato altri 500 individui ed entit\u00e0 in Russia, Bielorussia e Paesi terzi. Cosa stavano aspettando? Cinquecento? Sapevate che erano coinvolti in traffici illeciti e vi siete trattenuti dal sanzionarli? Non capisco.\u00a0<\/p>\n\n\n\n

Nielsonsmith: Bene, ne abbiamo parlato abbastanza, vorrei tornare sull'argomento AUKUS in modo un po' pi\u00f9 dettagliato. Quali implicazioni potrebbe avere per la compliance commerciale?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Beh, sono un Tommaso dubbioso al riguardo. In parte, perch\u00e9, ancora una volta, tutte queste iniziative sembrano essere molto pubblicizzate e poi si rivelano poco efficaci. Ho citato l'iniziativa delle licenze generali aperte di circa tre anni fa. Non incidono sui controlli di riesportazione degli Stati Uniti applicabili al commercio di prodotti per la difesa in uscita, ad esempio, dal Regno Unito verso Paesi diversi da Canada e Australia. Le catene di fornitura globali a questo punto sono cos\u00ec intrecciate. C'\u00e8 la BAE nel Regno Unito che lavora a un programma di difesa statunitense che sarebbe soggetto all'ITAR; la BAE ha probabilmente fornitori in tutta Europa, se non in tutto il mondo. Quindi, anche se abbiamo effettivamente un'esenzione sul commercio con il Regno Unito, la BAE non dovr\u00e0 comunque tornare indietro e ottenere l'autorizzazione alla riesportazione per trattare con i fornitori in Germania, Francia e India. Quindi, posso immaginare che possa fare una certa differenza, ma, ancora una volta, visto come funziona la catena di approvvigionamento globale, devo chiedermi quanto sar\u00e0 efficace.\u00a0<\/p>\n\n\n\n

E se AUKUS induce le aziende britanniche, canadesi e australiane a diventare pi\u00f9 isolate e a non utilizzare le catene di fornitura globali, \u00e8 davvero una buona cosa per le nostre rispettive posizioni di difesa? Stati Uniti, Regno Unito, Australia e Canada non hanno pi\u00f9 il monopolio di tutte le migliori tecnologie. Quindi, se la creazione di un'esenzione per questi Paesi dissuade le BAE e le Rolls-Royce del mondo dall'utilizzare la migliore tecnologia disponibile in Germania per un progetto del Ministero della Difesa statunitense, \u00e8 una buona cosa? Quindi, ancora una volta, vedremo.\u00a0<\/p>\n\n\n\n

In termini di impatto pi\u00f9 ampio per le aziende legittime, spero che stiano intensificando gli sforzi di conformit\u00e0 da parte di terzi per assicurarsi che non stiano trattando, non stiano esportando a qualcuno in cui gli articoli finiranno in Russia o come esportazioni illecite in Cina. Non vedo come si possa fare nel 2024 senza automazione. Bisogna avere un software di automazione del commercio per poterlo fare.<\/p>\n\n\n\n

\"Sicurezza<\/figure>\n\n\n\n

Nielsonsmith: La sicurezza informatica \u00e8 un argomento molto sentito in questo momento, quindi la mia prossima domanda \u00e8: quali sono gli ultimi sviluppi del programma di certificazione del modello di maturit\u00e0 della sicurezza informatica del Dipartimento della Difesa degli Stati Uniti?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: \u00c8 interessante notare che il Dipartimento della Difesa ha aspettato fino al 26 dicembre, quando tutti erano in vacanza, per pubblicare non solo le regole proposte per il CMMC 2.0, ma anche una serie di documenti di orientamento aggiuntivi che si applicherebbero al CMMC 2.0. Sembra proprio che stiano andando avanti con il programma. Sembra che alla fine avremo tre livelli, e se siete nel settore del commercio della difesa, sarete nel livello 2 perch\u00e9 avrete a che fare con informazioni controllate all'esportazione.\u00a0<\/p>\n\n\n\n

La grande domanda che ho in mente per le aziende europee \u00e8 che la CMMC richiede un audit, un audit di terze parti, per verificare che i programmi di cybersecurity siano conformi ai requisiti della CMMC, come articolato dalla Pubblicazione speciale 800-171 del National Institute of Standards and Technologies e dalle sue varie permutazioni. Come funzioner\u00e0 l'audit all'estero? In Canada stanno sviluppando un proprio programma di cybersecurity, simile al CMMC, con un elemento di certificazione, e sono in trattative con gli Stati Uniti per ottenere la reciprocit\u00e0, cio\u00e8<\/em>Se certifichiamo un'azienda canadese come conforme al nostro programma, la riconoscerete come conforme al CMMC e non richiederete una verifica separata? Credo che il Regno Unito stia lavorando a qualcosa di simile. Non ho sentito molte notizie di questo tipo da altri Paesi europei; quindi, dove vanno a finire le loro aziende nella catena di fornitura per il DoD statunitense, dove entrerebbero in vigore i requisiti CMMC. \u00c8 ancora molto vago se e quando il programma CMMC accrediter\u00e0 i revisori dei Paesi terzi per effettuare questi controlli. Se non lo far\u00e0 per i primi due, tre, quattro o cinque anni dall'entrata in vigore della CMMC, l'audit dovr\u00e0 essere effettuato da aziende statunitensi. Non posso immaginare che le aziende francesi o olandesi siano entusiaste di dover pagare i revisori statunitensi per venire qui. Ho persino sentito alcune riserve da parte di aziende europee, e non si tratta di una teoria della cospirazione, sul fatto che i revisori statunitensi esaminino i loro programmi di sicurezza informatica. Le informazioni raccolte saranno forse convogliate alla nostra Agenzia per la sicurezza nazionale per consentirle di spiare i loro programmi? Quindi c'\u00e8 ancora molto da stabilire sulla CMMC 2.0, ma sta andando avanti e le aziende della catena di fornitura del Dipartimento della Difesa degli Stati Uniti farebbero bene, se non hanno ancora dato un'occhiata a tutto questo, a farlo.<\/p>\n\n\n\n

Nielsonsmith: Grazie per aver condiviso tante conoscenze oggi. Infine, vorrei chiederle quanto ritiene importante che le aziende investano nella formazione dei loro responsabili della conformit\u00e0 e quali risorse dovrebbero utilizzare.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: I can’t emphasize enough that training is one of the three key components to an effective compliance program. If you haven’t trained your employees about what the requirements are, how do you expect them to adhere to those requirements? And particularly, if you haven’t provided training resources to your dedicated export control managers, how are they supposed to administer your compliance programs? I see that time and time and time again.\u00a0 I’m going to be having a videoconference today with a company I’m assisting with a major voluntary disclosure to the Department of State, and they continue to go out and hire people to be export control managers that have no training, no experience. Well, they’re learning on the job, but in my experience over 40 years, that only may happen. A lot of these folks do not put the homework that is required into learning export control requirements.<\/p>\n\n\n\n

Non si tratta di nozioni accademiche da quinta elementare; si tratta di regole molto sofisticate che richiedono molto tempo e molti sforzi per essere apprese, e in molti casi non lo vedo. Ma la buona notizia, Alisa, \u00e8 che in media i responsabili europei del controllo delle esportazioni sono pi\u00f9 preparati e informati di quelli statunitensi.<\/p>\n\n\n\n

Nielsonsmith: Grazie mille per il tuo tempo, Gary, e sono sicuro che le conoscenze che hai condiviso oggi sono molto apprezzate dai nostri lettori.<\/strong><\/h3>\n\n\n\n
\n\n\n\n
\"Gary<\/figure>
\n

Gary Stanley<\/strong> \u00e8 il Presidente dei Servizi legali globali<\/strong>, PC<\/strong>, uno studio legale con sede a Washington, DC, che si occupa di conformit\u00e0 commerciale e di altre questioni commerciali internazionali.<\/p>\n\n\n\n

Stanley rappresenta, tra l'altro, numerose societ\u00e0 statunitensi, canadesi ed europee in materia di controllo delle esportazioni nel settore della difesa.\u00a0<\/p>\n<\/div><\/div>\n\n\n\n

Per esempio, il signor Stanley ha:
- Ha assistito numerose aziende statunitensi del settore della difesa nell'ottenere le approvazioni del Dipartimento di Stato americano\/Direzione dei controlli commerciali della difesa per licenze, licenze di produzione e accordi di assistenza tecnica, ai sensi delle parti 123 e 124 del Regolamento sul traffico internazionale di armi (\"ITAR\") e nell'utilizzo delle esenzioni ITAR, compresa l'esenzione canadese di cui al paragrafo 126.5 dell'ITAR.\u00a0<\/p>\n\n\n\n