Difesa e sicurezza sono sempre state al centro delle preoccupazioni di tutte le comunità organizzate: sin dall’antichità si son costruite barriere - fisiche e non - per evitare che cittadini, merci ed edifici venissero insidiati, compromessi, distrutti dall’Altro. Altro di cui non sappiamo spesso quasi nulla: siamo solo certi che abbia la possibilità di procurarci danni ingenti. Le prime soluzioni per garantire difesa e sicurezza si collocano nella creazione di servizi informativi, di natura non solo militare ma anche civile e commerciale: i servizi di intelligence allestiti da Scipione l’Africano ne sono una testimonianza storica certa.
Sapere, conoscere l’Altro ma anche impedire all’Altro prima che possa costituirsi come “nemico” di entrare in possesso di quello che sappiamo noi, quello che produciamo, che inventiamo, che perfezioniamo e che potrebbe essere usato a nostro danno. Qui sta da sempre il focus della disciplina restrittiva delle esportazioni: garantire lo sviluppo del commercio verso chiunque di ogni prodotto, idea o tecnologia appetibile per il mercato internazionale ma nel contempo assicurarsi del fatto che l’Altro non possa e non voglia utilizzare quei prodotti, quelle idee e quelle tecnologie contro di noi. In altri termini, si tratta di porre sotto controllo il passaggio di beni (in senso ampio, non solo materiale) da noi all’Altro: passaggio che potrebbe avvenire attraverso la consegna di informazioni e prodotti apparentemente innocui ma che poi, nelle mani dell’Altro, potrebbero divenire pericolosissimi.
Più specificamente, l’insieme dei prodotti e delle tecnologie che possono presentare profili di rischio connessi al loro commercio sono stati identificati, dalla normativa di quasi tutti i Paesi, nell’ultimo secolo, come materiali, prodotti e tecnologie a duplice uso (dual use): uso civile, perfettamente lecito, coerente con gli scopi del commercio e del suo sviluppo, apportatore di benessere e di conoscenza; o uso militare, di supporto ad armamenti e azioni ostili.
La regolamentazione dual use a livello internazionale
Armi e finalità offensive non sono l’unica preoccupazione della disciplina dual use: l’espansione poco controllata della tecnologia nucleare ha fatto sorgere in molti Paesi la necessità di sottoporre a controllo, a livello globale, ossia con intenti largamente condivisi, la proliferazione di prodotti e tecnologie connesse all’impiego della fissione nucleare. Nel 1974 venne quindi fondato il Nuclear Suppliers Group (NSG), organizzazione comprendente ad oggi 48 Paesi il cui scopo è quello di limitare a livello multilaterale la proliferazione degli armamenti e delle tecnologie nucleari tramite l’introduzione, nel corso dei decenni, di regolamenti tecnici molto dettagliati e articolati, fino alla creazione di veri e propri principi universalmente condivisi, applicabili alle attività di controllo all’esportazione di prodotti rischiosi. Da ciò, la nascita di norme, anche nei Paesi che non hanno formalmente aderito al NSG (ad esempio India, Pakistan, Israele, Arabia Saudita, Iran, che adottano comunque normativa limitativa), sostanzialmente molto simili a quelle adottatie dai Paesi membri, costruite con le medesime tecniche e riferite ai medesimi principi. A tali principi e metodi si sono ispirati anche i regolamenti adottati globalmente a seguito del Wassenaar Arrangement del 1996 (accordo per il controllo dei trasferimenti internazionali di materiale d'armamento e a duplice uso), e del Missile Technology Control Regime - MTCR del 1987 (accordo per il controllo dei trasferimenti internazionali di vettori in grado di trasportare armi di distruzione di massa).
L’insieme delle restrizioni che tutti i Paesi (o quasi) impongono in materia di beni dual use è poi andato a intrecciarsi alle restrizioni soggettive - ossia alle restrizioni verso interi Paesi e/o operatori economici specificamente individuati come pericolosi o quantomeno inaffidabili (la UE e gli USA pubblicano regolarmente liste di soggetti sgraditi o verso i quali non è proprio possibile esportare: le cosiddette SDN, Specially Designated Nationales and Blocked Persons Lists, negli Stati Uniti d’America gestite da OFAC) - e ai regolamenti che vietano il commercio di strumenti di tortura, dando vita a una locuzione che ha goduto di particolare fortuna negli ultimi anni e che evoca il paradigma cui ci riferiamo – ossia la limitazione e il divieto dell’esportazione di determinati prodotti, indipendentemente dalla loro rilevanza economica: parliamo di export control, ossia norme e procedure orientate verso la necessità di assicurare, tramite limitazioni commerciali, soggettive e oggettive, la sicurezza del mondo.
Alcuni Paesi condividono, poi, proprio l’intero sistema di identificazione dei prodotti e delle tecnologie da sottoporre a controllo: UE e USA, ad esempio, utilizzano l’ECCN - Export Control Classification Number: sistema di classificazione basato sulla natura dei beni (es. tipologia di prodotto, software o tecnologia) e sui loro parametri tecnici. ECCN identifica, infatti, attraverso un codice cosiddetto “parlante”, la natura del prodotto, l'origine del controllo e la filiera di appartenenza dei beni sottoposti a restrizioni. Il codice parlante, composto da una combinazione di numeri e lettere che identifica la categoria, la sottocategoria e la voce di controllo specifica, a prescindere dalla collocazione merceologica dei beni descritti, rappresenta l’indice di riferimento per l’insieme delle caratteristiche tecniche che rendono un prodotto o una tecnologia duale.
Ispirato a principi comuni a tutte le disposizioni in materia di export control adottate in giro per il mondo, è, ancora, il meccanismo di autorizzazioni o licenze, ossia il processo amministrativo che può bilanciare le restrizioni autorizzando, appunto, il commercio dei beni potenzialmente pericolosi quando vi è certezza che tecnologie, materiali e prodotti non verranno utilizzati altro che per fini civili e da persone e Paesi affidabili.
La normativa UE e le ultime novità
Ma come si è organizzata l’Unione europea, territorio dal quale proviene larga parte dei prodotti a duplice uso commercializzati nel mondo (nel 2018, dalla UE sono state concesse autorizzazioni per un valore di più di 40 miliardi di euro per l’esportazione di beni a duplice uso)?
Nel 2009 la UE, con il Regolamento CE 428/2009, sistematizzò tutta la precedente normativa unionale in materia, trattando nello stesso Regolamento non solo di esportazione ma anche di trasferimento, intermediazione e transito di prodotti a duplice uso e introducendo negli anni successivi modifiche adattative e meccanismi autorizzativi generali. L’evoluzione tecnologica frenetica, la necessità di far collaborare in modo molto più stretto le autorità degli Stati membri e anche quelle dei principali Paesi partner nonché l’emergente sensibilità per i temi della sorveglianza informatica - quando esercitata in violazione dei diritti umani -, hanno suggerito fin dal 2011 un ripensamento della normativa, poi concretizzatosi in una prima proposta di regolamento nel 2016 e, dopo un lunghissimo iter caratterizzato da triloghi (tra Commissione, Parlamento e Consiglio) e approfondite consultazioni con il settore privato e la società civile, nella pubblicazione, avvenuta l’11 giugno 2021, del Regolamento (UE) 2021/821, nuova (e stabile) disciplina delle esportazioni, del transito, del trasferimento, dell’intermediazione e, soprattutto, dell’assistenza tecnica di prodotti a duplice uso. Il Regolamento 2021/821 è entrato in vigore il 9 settembre 2021.
Il Regolamento (molto cautamente definito “rifusione” della precedente disciplina) presta particolare attenzione al tema della protezione dei diritti umani, specificamente attraverso una limitazione alla diffusione delle tecnologie di cyber surveillance (quei prodotti appositamente progettati per consentire la sorveglianza dissimulata di persone fisiche mediante il monitoraggio, l'estrazione, la raccolta o l'analisi di dati provenienti da sistemi di informazione e telecomunicazione), così come specificato nell’articolo 5 c. 1:
“L'esportazione di prodotti di sorveglianza informatica non compresi negli elenchi […] è subordinata ad autorizzazione nel caso in cui l'esportatore sia stato informato […] che detti prodotti […] possono essere destinati […] alla repressione interna e/o all'attuazione di gravi violazioni dei diritti umani o del diritto umanitario internazionale”.
Non deve sfuggire l’affermazione contenuta proprio all’inizio dell’articolo: si tratta di prodotti [di sorveglianza informatica] non compresi negli elenchi: ossia quei prodotti che possono venire identificati in modo dinamico dalle autorità competenti, prodotti di per sé non duali e non ristretti, che vengono assoggettati, di volta in volta, a preventiva autorizzazione (il cosiddetto catch all).
Durante la Primavera Araba del 2011, in effetti, vennero alla luce numerosi casi di imprese europee che avevano venduto tecnologie di cyber sorveglianza a Paesi del Medio Oriente e Nord Africa utilizzate, talora, dai governi locali per “attuare gravi violazioni dei diritti umani”. L’Unione Europea, a partire da tale imbarazzante circostanza, ha proposto, quindi, una visione sicuramente innovativa di export control e prodotti a duplice uso: è stato in seno al trilogo inter-istituzionale tra Commissione, Parlamento e Consiglio UE che si è giunti per la prima volta a considerare l’idea di estendere la definizione di merci duali anche agli apparati di cyber sorveglianza.
In senso più ampio, anche al di là della tematica della protezione dei diritti umani, l’inarrestabile evoluzione delle tecnologie in ogni campo ha comportato da sempre la necessità di applicare i controlli all’esportazione su due livelli, che potremmo immaginare come due reti, una a maglie più larghe, che “blocca” solo i prodotti più chiaramente e nettamente “duplici” mentre “lascia passare” i prodotti meno critici e una rete esterna, a maglie molto più strette, che effettua un’ulteriore scrematura ai prodotti che possono e non possono essere esportati liberamente, sulla base di complesse valutazioni di ordine tecnico, ma soprattutto politico. Tutti i prodotti compresi nell'Allegato I del Regolamento 2021/821 sono sempre soggetti, infatti, a licenza per l'esportazione (prodotti listati) ma per i beni non listati scatta la possibilità di “stringere le maglie”: si tratta, come anticipato, della cosiddetta clausola catch all, che colpisce potenzialmente tutti i beni non elencati nell'Allegato I, sottoponendoli ad autorizzazione qualora l'esportatore sia stato informato dalle autorità del fatto che i beni possano essere destinati a un uso tipicamente militare (o per la repressione e la violazione dei diritti umani) o sia a conoscenza di tale possibile destinazione d’uso.
Il Regolamento 2021/821 è andato anche oltre: ha introdotto, infatti, rilevanti aggiornamenti in materia di cooperazione interistituzionale e di coordinamento a livello UE sull'esportazione di prodotti di sorveglianza informatica e, attraverso il meccanismo dei controlli trasmissibili (permettendo a uno Stato membro di controllare le esportazioni sulla base della legislazione di un altro Paese membro), consentirà un effetto transfrontaliero dell’export control.
Sul piano delle autorizzazioni, che costituiscono lo snodo cruciale per lo sviluppo dell’industria europea nell’ambito delle tecnologie più avanzate e competitive, il Regolamento, letto in uno con la normativa nazionale italiana, ne individua 5 categorie:
- autorizzazione di esportazione specifica: concessa a uno specifico esportatore per un utilizzatore finale o destinatario di un Paese terzo;
- autorizzazione globale di esportazione: concessa a un determinato esportatore per un tipo o una categoria di prodotti a duplice uso, che può essere valida per le esportazioni verso uno o più utilizzatori finali e/o in uno o più Paesi terzi;
- autorizzazione per grandi progetti: concessa a un esportatore per categorie di prodotti, valida per le esportazioni verso uno o più utilizzatori finali in uno o più Paesi terzi ai fini di uno specifico progetto su larga scala;
- autorizzazione generale di esportazione dell'Unione: per le esportazioni verso determinati Paesi concessa a tutti gli esportatori che rispettino alcuni requisiti, comprese due nuove autorizzazioni, per le esportazioni infragruppo di software e tecnologie e per la crittografia;
- autorizzazione generale di esportazione nazionale: definita dalla legislazione nazionale.
Il Regolamento aggiorna anche la definizione di esportatore, ora allineata a quella fornita dal Codice Doganale dell’Unione (all’articolo 1, punto 19 del Reg. (UE) 2015/2446) ma che si allarga anche a chiunque trasferisca al di fuori del territorio UE software, tecnologie o assistenza tecnica mediante mezzi elettronici, compresi fax, telefono, posta elettronica o qualunque altro mezzo elettronico o chiunque mette tali software e tecnologie a disposizione, in forma elettronica, di persone fisiche o giuridiche o consorzi al di fuori del territorio doganale dell'Unione.
Export control: un bene o un male per gli scambi?
Un maggior rigore nell’export control può portare danni al commercio internazionale? Assolutamente no: le limitazioni degli scambi di beni a duplice uso, al contrario, serve a favorire un commercio equo e inclusivo, sfavorendo la nascita di regimi autoritari che andrebbero a frantumare le interconnessioni commerciali e culturali tra i Paesi.
Il Regolamento 2021/821 introduce, proprio in questo spirito di collaborazione universale, nuove regole in materia di outreach, ovvero sensibilizzazione. L’outreach era un approccio originariamente volto a creare una relazione collaborativa con i governi e i Paesi che non partecipano al NSG: oggi ha assunto una diversa colorazione, essendo ormai indispensabile una collaborazione attiva delle imprese impegnate nel commercio di beni duali o di beni nel "campo delle esportazioni di prodotti a duplice uso".
Il Regolamento ha introdotto formalmente l’obbligo, per le aziende interessate a ottenere autorizzazioni globali, di adottare un Programma Interno di Conformità (IPC: Internal Compliance Program): si tratta, stando anche alla Raccomandazione 2021/1700 della Commissione - che fornisce orientamenti, sia pur non vincolanti, in merito a tali programmi interni -, di un vero e proprio approccio sistematico, collaborativo, sensibilizzato, alla gestione dell’intera materia dell’export control. In sette punti (contenuti nella Sezione 3 degli orientamenti) vengono illustrati gli elementi fondamentali di un ICP: dal committment della dirigenza fino alla ripartizione delle responsabilità, alla formazione, alla tenuta di registri, alla gestione della sicurezza e, soprattutto, al processo e alla procedura di verifica delle esportazioni. Ed è proprio nella sollecitazione verso l’adozione di un ICP da parte delle aziende esportatrici che si completa il quadro di un export control moderno, allineato alle esigenze di competitività delle imprese europee ma anche ispirato al fortissimo rispetto delle regole internazionali in materia. Un percorso, quello dell’ICP, che non si può disgiungere da quello per l’autorizzazione AEO, ulteriore tassello per la costruzione di un quadro del commercio mondiale nel quale le dogane possano svolgere la loro più profonda funzione: l’agevolazione degli scambi nel rispetto di persone, ambiente e istituzioni.