L'esportazione di hardware e software: mitigazione del rischio derivante da sanzioni internazionali

Le gravi tensioni geopolitiche degli ultimi anni ed in particolar modo il conflitto in Ucraina, hanno riportato l’attenzione sui controlli all’esportazione e delle sanzioni internazionali.  Occorre dunque che le società che producono hardware e software, nonché quelle che forniscono assistenza relativamente a tali prodotti, si dotino di una serie tutele per contenere al massimo il rischio sanzionatorio.
La categoria di beni che richiede maggiore attenzione è quella dei c.d. prodotti Dual Use [1], cioè tutti quei beni, inclusi software e tecnologie, che possano avere un utilizzo sia civile che militare.‌‌ L’esportazione di tali prodotti è disciplinata dal Regolamento (UE) 2021/821 che istituisce un regime dell’Unione Europea sul controllo delle esportazioni, dell’intermediazione, dell’assistenza tecnica, del transito e del trasferimento di prodotti a duplice uso [2].‌‌ Ma come capire se il proprio hardware e software è duale? Occorre svolgere due verifiche:

1. un’analisi preliminare sul sito dell’Agenzia delle Dogane [3]
2. una due diligence oggettiva, analizzando in maniera approfondita tutte le informazioni e specifiche tecniche relative al prodotto, alla tecnologia ed ai propri componenti, attraverso il supporto di tecnici specializzati.

‌‌In estrema sintesi, per poter esportare questi prodotti occorre un’autorizzazione dall’autorità competente degli Stati Membri dell’Unione Europea. In Italia tale autorità è l’Unità per le Autorizzazioni dei Materiali d’Armamento (UAMA), operante in seno al Ministero degli Affari Esteri e della Cooperazione Internazionale [4].‌‌ Le ipotesi di non conformità alla normativa dual use possono tradursi nella revoca dell’autorizzazione all’esportazione, come nel noto caso di Hacking Team, una società italiana specializzata nella vendita di servizi informatici di sorveglianza e di intrusione offensiva [5]. La società era  accusata di aver venduto il software di spionaggio RCS (Remote Control System) a regimi illiberali [6].‌‌

L’esportazione di software potrebbe comunque presentare criticità anche sotto il profilo della commercializzazione di software non duali, cioè non utilizzabili anche per fini militari. Occorre infatti verificare, attraverso una due diligence soggettiva, i dati della controparte a cui si sta esportando il bene:  la ragione sociale, i nominativi del management nonché, nei casi di rischio più elevato, dei titolari effettivi o degli utilizzatori finali di un bene. Ciò è necessario per evitare il rischio di esportare il bene a soggetti collocati sulle liste sanzionatorie dell’Unione Europea [7], di altre organizzazioni internazionali o Stati [8].‌‌
Un esempio di caso di criticità soggettiva in tale campo ha interessato nell’aprile 2021 la multinazionale tedesca SAP, che si occupa della commercializzazione di software e servizi cloud. La società ha raggiunto un accordo transattivo con il Dipartimento del Commercio USA [9] e con l’Office of Foreign Assets Control (OFAC) [10]  per l’infrazione delle sanzioni economiche dovute all’esportazione in Iran di software statunitensi e relativi aggiornamenti e per aver concesso ad utenti iraniani di accedere ai servizi cloud localizzati negli Stati Uniti [11].‌‌

La complessità delle normative analizzate e la conseguente loro declinazione nel caso pratico, impongono dunque all’imprenditore che intenda commercializzare software e hardware sui mercati internazionali di dotarsi di un Programma Interno di Conformità  (ICP), come previsto dalla EU Guidance On Internal Compliance Programme [12]. In particolare è consigliabile, al fine di mitigare il rischio derivante da sanzioni internazionali, che tale procedura preveda:

1. due diligence oggettiva che attesti la conformità o meno dei prodotti oggetto di esportazione alla normativa vigente in tema di export control;
2. due diligence soggettiva al fine di accertarsi che nessuno dei soggetti coinvolti figuri nelle liste di riferimento.

Inoltre, è consigliabile procedere alla pianificazione di un adeguato programma di formazione nonchè alla revisione della contrattualistica standard, con la previsione di clausole specifiche in materia di export control, che obblighino le controparti a conformarsi agli obblighi in materia.‌‌ Nei casi di società più strutturate potrebbe essere opportuno provvedere alla nomina di un Export Compliance Officer (ECO), figura che superivisiona  i processi descritti sopra e che funge da collegamento fra la società e tutti i consulenti esterni che operano nell’iter (doganalisti, avvocati, ingegneri informatici coinvolti nella due diligence oggettiva sul prodotto).

[1] https://www.treccani.it/enciclopedia/le-tecnologie-duali-applicazioni-civili-e-militari_(XXI-Secolo)/
[2] https://eur-lex.europa.eu/IT/legal-content/summary/dual-use-export-controls.html
[3] https://aidaonline7.adm.gov.it/nsitaricinternet/
[4] https://www.esteri.it/it/diplomazia-economica-e-politica-commerciale/uama/
[5] https://www.ilfattoquotidiano.it/2016/04/06/hacking-team-revocata-lautorizzazione-globale-allexport-del-software-spia-stop-anche-per-legitto-dopo-il-caso-regeni/2610721/
[6] https://www.ilpost.it/2016/05/15/hacking-team/
[7] https://www.sanctionsmap.eu/#/main
[8] Fra le più celebri, riportiamo la seguente lista dell’ente statunitense OFAC: https://sanctionssearch.ofac.treas.gov/
[9] https://home.treasury.gov/
[10] https://home.treasury.gov/policy-issues/office-of-foreign-assets-control-sanctions-programs-and-information
[11] https://home.treasury.gov/system/files/126/20210429_sap.pdf
[12] https://www.mise.gov.it/images/stories/commercio_internazionale/embarghi_dualuse/2018/CG_2018_May_01_Draft_EU_ICP_guidelines.pdf