ALLEGATO

ORIENTAMENTI DELL'UE SUI PROGRAMMI INTERNI DI CONFORMITÀ (PIC) RELATIVI AI CONTROLLI DEL COMMERCIO DEI PRODOTTI A DUPLICE USO

INTRODUZIONE

Un controllo efficace del commercio dei prodotti a duplice uso (beni, software e tecnologia) è essenziale per contrastare i rischi associati alla proliferazione delle armi di distruzione di massa (ADM) e all'accumulo destabilizzante di armi convenzionali. Le imprese che trattano prodotti a duplice uso sono tenute a rispettare i requisiti in materia di controllo strategico degli scambi commerciali prescritti ai sensi delle disposizioni legislative e regolamentari dell'Unione europea (1) e dei suoi Stati membri. Esse sono tenute ad astenersi dal partecipare a transazioni laddove sussista il rischio che i prodotti scambiati possano essere utilizzati ai fini della proliferazione.

In considerazione dei rapidi progressi scientifici e tecnologici, della complessità delle attuali catene di approvvigionamento e della crescente importanza degli attori non statali, l'efficacia dei controlli del commercio dipende in larga misura dalla consapevolezza delle «imprese» (2) e degli sforzi da esse attivamente compiuti per rispettare le restrizioni commerciali. A tal fine, di norma, le imprese attuano una serie di politiche e procedure interne, note anche come di programma interno di conformità (PIC), per garantire il rispetto delle disposizioni legislative e regolamentari nazionali e dell'UE in materia di controlli del commercio dei prodotti a duplice uso. L'ambito di applicazione e la portata di tali politiche e procedure sono solitamente determinati dalle dimensioni e dalle attività commerciali dell'impresa specifica.

Al fine di aiutare le imprese a mantenere un rigoroso rispetto delle pertinenti disposizioni legislative e regolamentari dell'UE e nazionali, i presenti orientamenti forniscono un quadro di riferimento per l'individuazione e la gestione dell'impatto dei controlli del commercio dei prodotti a duplice uso e per l'attenuazione dei rischi associati. Gli orientamenti si concentrano sui sette elementi fondamentali di un PIC efficace. Ogni elemento fondamentale è descritto in modo più dettagliato nella sezione «Quali sono le aspettative?», che descrive l'obiettivo (o gli obiettivi) di ogni elemento fondamentale, e nella sezione «Quali sono le misure da adottare?», che precisa ulteriormente le azioni da intraprendere e presenta possibili soluzioni per l'elaborazione o l'attuazione di procedure di conformità. Il documento si conclude con una serie di domande utili riguardo ai PIC delle imprese e un elenco di indicatori del rischio di sviamento di destinazione e di campanelli di allarme («bandierine rosse») relativi a ordini o richieste di informazioni sospetti.

L'elaborazione degli orientamenti dell'UE sui programmi interni di conformità relativi ai controlli del commercio dei prodotti a duplice uso tiene conto e si basa sugli approcci esistenti in materia di conformità dei controlli sulle esportazioni, con particolare attenzione ai documenti seguenti:

—	gli orientamenti sulle migliori pratiche in materia di programmi interni di conformità relativi a prodotti e tecnologie a duplice uso di cui all'intesa di Wassenaar del 2011 (3);

—	la guida alle migliori pratiche per il settore industriale del gruppo dei fornitori nucleari (4);

—	gli elementi del PIC di cui alla raccomandazione 2011/24/UE della Commissione (5);

—

i risultati della quarta conferenza di Wiesbaden (2015), dal titolo Private Sector Engagement in Strategic Trade Controls: Recommendations for Effective Approaches on United Nations Security Council Resolution 1540 (2004) Implementation [Partecipazione del settore privato ai controlli strategici del commercio: raccomandazioni per approcci efficaci all'attuazione della risoluzione 1540 (2004) del Consiglio di sicurezza delle Nazioni Unite];

—	il sito web del 2017 dedicato agli orientamenti sui PIC elaborati nell'ambito del programma degli Stati Uniti relativo al controllo delle esportazioni e alla sicurezza delle frontiere (6).

Gli orientamenti comprendono sette elementi fondamentali che non devono essere considerati un elenco esaustivo, né l'ordine in cui sono riportati deve essere inteso come una classifica dal più importante al meno importante. Essi rappresentano le pietre miliari del PIC specifico di un'impresa e mirano ad assistere le imprese nelle loro riflessioni sulle procedure e sugli strumenti più adatti a garantire il rispetto delle disposizioni legislative e regolamentari dell'UE e nazionali in materia di controlli del commercio dei prodotti a duplice uso. Ci si attende che le imprese interessate dispongano di serie di politiche e procedure in relazione al controllo delle esportazioni. Per tali imprese, la struttura degli elementi fondamentali potrebbe agevolare l'analisi comparativa del loro approccio in materia di conformità. L'impresa il cui approccio alla conformità preveda politiche e procedure interne per, almeno, tutti gli elementi fondamentali dovrebbe essere in linea con gli orientamenti dell'UE sui PIC relativi ai controlli del commercio dei prodotti a duplice uso. Per le imprese il cui approccio alla conformità del commercio dei prodotti a duplice uso è in fase di elaborazione, la struttura degli elementi fondamentali rappresenta un'ossatura di base e globale per garantirne la conformità.

A livello generale, l'aspetto più importante dell'elaborazione di un PIC consiste nel preservarne l'attinenza con l'organizzazione e le attività dell'impresa, nonché nel garantire che i processi interni siano semplici da comprendere e seguire e che riflettano le operazioni e le procedure quotidiane. Le caratteristiche e i requisiti specifici di un PIC dipenderanno dalle dimensioni, dalla struttura e dall'ambito delle particolari attività commerciali dell'impresa, ma anche dalla natura strategica dei suoi prodotti e dai possibili usi o utilizzatori finali, dalla presenza geografica dei suoi clienti e dalla complessità delle procedure interne di esportazione. È pertanto importante sottolineare che, durante l'elaborazione dei presenti orientamenti, si è tenuto sistematicamente conto delle difficoltà che potrebbero sorgere per le piccole e medie imprese (PMI) al momento dell'attuazione.

Clausola di esclusione di responsabilità

I presenti orientamenti non hanno carattere vincolante e non devono essere considerati una consulenza legale. I presenti orientamenti lasciano impregiudicate le decisioni relative alle autorizzazioni che, ai sensi del regolamento (CE) n. 428/2009, sono di responsabilità delle autorità competenti.

Qualora si desideri fornire un riscontro in relazione ai contenuti del presente documento, contattare l'autorità competente di riferimento (cfr. l'allegato 3).

ORIENTAMENTI DELL'UE SUI PROGRAMMI INTERNI DI CONFORMITÀ RELATIVI AI CONTROLLI DEL COMMERCIO DEI PRODOTTI A DUPLICE USO

Di seguito sono riportati gli elementi fondamentali ritenuti essenziali ai fini dell'efficacia del programma interno di conformità relativo ai controlli del commercio dei prodotti a duplice uso.

1.	Impegno dell'alta dirigenza a garantire la conformità

2.	Struttura organizzativa, responsabilità e risorse

3.	Formazione e sensibilizzazione

4.	Processi e procedure di verifica delle transazioni

5.	Valutazione delle prestazioni, audit, segnalazioni e azioni correttive

6.	Tenuta dei registri e documentazione

7.	Sicurezza fisica e delle informazioni

La sezione «Quali sono le aspettative?» descrive l'obiettivo (o gli obiettivi) di ogni elemento fondamentale del PIC. La sezione «Quali sono le misure da adottare?» precisa ulteriormente le azioni da intraprendere e presenta possibili soluzioni per l'elaborazione o l'attuazione delle procedure di conformità.

In quest'ottica, gli elementi fondamentali andrebbero intesi come «strumenti di base» per la predisposizione dei PIC da parte delle imprese attive nel commercio dei prodotti a duplice uso. Ogni impresa deve descrivere, nel proprio PIC personalizzato, in che modo attua gli elementi fondamentali pertinenti alla luce delle circostanze specifiche che la riguardano.

Nel farlo, tutte le imprese attive nel commercio dei prodotti a duplice uso dovrebbero tenere particolarmente conto delle azioni indicate nella sezione «Quali sono le misure da adottare?», sebbene possano comunque discostarvisi per motivi specifici dell'impresa.

VALUTAZIONE DEI RISCHI

Un PIC deve essere adeguato alle dimensioni, alla struttura e all'ambito di attività dell'impresa e, soprattutto, alle specifiche attività commerciali e ai rischi- associati. Di conseguenza, se un'impresa desidera elaborare o modificare il proprio programma di conformità per i controlli del commercio dei prodotti a duplice uso, si raccomanda di iniziare con una valutazione dei rischi al fine di determinare il profilo di rischio specifico dei suoi scambi di prodotti a duplice uso. Ciò aiuterà l'impresa a individuare gli ambiti della sua attività che devono essere coperti dal PIC e a definire tale programma in funzione delle circostanze specifiche che la riguardano.

La valutazione dei rischi dovrebbe sottoporre a un attento esame la gamma di prodotti, la clientela e le attività commerciali che sono o potrebbero essere interessate dai controlli del commercio dei prodotti a duplice uso. Essa dovrebbe inoltre individuare le vulnerabilità e i rischi relativi in modo che l'impresa possa adottare, nell'ambito del PIC, le opportune misure di attenuazione. Sebbene la valutazione non possa rilevare tutti i rischi e le vulnerabilità cui l'impresa potrebbe essere esposta in futuro, essa fornirà una base migliore su cui formulare o rivedere il proprio PIC.

Spesso le imprese dispongono già di procedure interne di controllo e, di conseguenza, non devono partire da zero per elaborare i PIC. La valutazione dei rischi aiuta le imprese a esaminare le politiche e le procedure esistenti in materia di contrasto dei rischi associati al controllo delle esportazioni e, ove necessario, a elaborare una linea d'azione per adattarle. Inoltre, la promozione delle sinergie tra le politiche esistenti e i requisiti di controllo delle esportazioni rappresenta un'ulteriore misura da prendere in considerazione fin dall'inizio. Per esempio, è buona pratica inserire rimandi ai principi e ai requisiti in materia di controllo delle esportazioni nel codice di condotta aziendale, ove disponibile.

I risultati di tale valutazione dei rischi incideranno sulle misure necessarie e sulle soluzioni appropriate per elaborare o attuare le procedure di conformità specifiche dell'impresa.

Un'impresa può cercare di trarre il massimo beneficio dai vantaggi delle soluzioni PIC globali a livello di gruppo, ma deve sempre rispettare tutte le applicabili disposizioni legislative e regolamentari dell'UE e dello Stato membro.

OPERATORE ECONOMICO AUTORIZZATO (7)

Se un'impresa è in possesso di un'autorizzazione valida di operatore economico autorizzato (AEO), la valutazione della conformità dell'impresa per quanto concerne le attività doganali pertinenti potrebbe essere presa in considerazione ai fini dell'elaborazione o del riesame di un PIC.

Avendo le autorità doganali effettuato i controlli sulle pratiche e procedure doganali dell'impresa, la qualifica di AEO potrebbe essere un vantaggio per definire o rivedere le procedure relative agli elementi fondamentali del PIC, quali la tenuta dei registri e la sicurezza fisica.

1. Impegno dell'alta dirigenza a garantire la conformità

Un PIC efficace è il risultato di un processo dall'alto verso il basso, in cui l'alta dirigenza garantisce rilievo, legittimità e risorse organizzative, umane e tecniche agli impegni in materia di conformità aziendale e alla cultura della conformità.

Quali sono le aspettative?

L'impegno dell'alta dirigenza mira a creare una leadership della conformità (dare il buon esempio) nonché la cultura aziendale della conformità per i controlli del commercio dei prodotti a duplice uso.

Una dichiarazione scritta di sostegno alle procedure interne di conformità da parte dell'alta dirigenza favorisce la consapevolezza dell'impresa riguardo agli obiettivi dei controlli del commercio dei prodotti a duplice uso e il rispetto delle pertinenti disposizioni legislative e regolamentari dell'UE e dello Stato membro.

L'impegno indica un coinvolgimento e un sostegno chiari, forti e costanti da parte dell'alta dirigenza. Ne risultano risorse organizzative, umane e tecniche sufficienti per l'impegno dell'azienda in relazione al rispetto delle norme. Il personale direttivo informa con chiarezza e regolarità i dipendenti in merito all'impegno aziendale al fine di promuovere una cultura della conformità.

Quali sono le misure da adottare?

Redigere una dichiarazione di impegno aziendale che attesti il rispetto dell'impresa di tutte le disposizioni legislative e regolamentari dell'UE e dello Stato membro in materia di controlli del commercio dei prodotti a duplice uso.

Definire le aspettative specifiche del personale direttivo in termini di conformità e comunicare l'importanza e il valore attribuiti a procedure di conformità efficaci (8).

Comunicare con chiarezza e regolarità la dichiarazione di impegno aziendale a tutti i dipendenti (anche a quelli che non rivestono alcun ruolo nei controlli del commercio dei prodotti a duplice uso) al fine di promuovere una cultura della conformità (9).

2. Struttura organizzativa, responsabilità e risorse

Per elaborare ed attuare le procedure di conformità in maniera efficace sono essenziali risorse organizzative, umane e tecniche adeguate. Senza una chiara struttura organizzativa e responsabilità ben definite, un PIC rischia di risentire della mancanza di supervisione e dell'indefinitezza dei ruoli. Disporre di una struttura solida aiuta le organizzazioni a risolvere i problemi sul nascere e a evitare che siano effettuate transazioni non autorizzate.

Quali sono le aspettative?

L'impresa dispone di una struttura organizzativa interna che è definita per iscritto (per esempio in un organigramma) e che consente di effettuare controlli interni di conformità. Essa identifica e nomina il soggetto (o i soggetti) cui è affidata la responsabilità generale di garantire il rispetto degli impegni di conformità aziendale. Occorre tenere presente che in alcuni Stati membri tale soggetto deve far parte dell'alta dirigenza.

Tutte le mansioni, le funzioni e le responsabilità relative alla conformità sono definite, assegnate e collegate tra loro secondo un ordine che assicuri al personale direttivo la conformità globale dell'impresa. Ove opportuno o persino necessario, le funzioni e/o le mansioni relative ai controlli delle esportazioni (ma non la responsabilità generale) possono essere delegate all'interno dell'impresa o condivisi tra due o più imprese all'interno dell'UE.

L'impresa prevede in tutti i reparti connessi al commercio dei prodotti a duplice uso dipendenti che hanno dimostrato di possedere le competenze richieste. Almeno un soggetto all'interno dell'impresa assolve (non necessariamente in via esclusiva) la funzione di controllo del commercio dei prodotti a duplice uso. La funzione può essere condivisa tra più imprese all'interno dell'UE, purché sia mantenuto un livello di controllo adeguato. Occorre tuttavia tenere presente che in alcuni Stati membri dell'UE ciò potrebbe non essere possibile, in quanto la legislazione nazionale in materia di controllo delle esportazioni prevede la nomina in loco di un responsabile.

Il personale destinato al controllo del commercio dei prodotti a duplice uso dovrebbe essere messo il più possibile al riparo dai conflitti di interesse. Tale personale è autorizzato a riferire direttamente al soggetto (o ai soggetti) che hanno la responsabilità generale dei controlli del commercio dei prodotti a duplice uso e dovrebbe inoltre avere la facoltà di bloccare le transazioni.

Il personale destinato al controllo del commercio dei prodotti a duplice uso deve poter accedere ai testi legislativi pertinenti, compresi gli elenchi aggiornati delle merci soggette a controlli e quelli delle destinazioni ed entità oggetto di embargo o sanzioni. Procedure e processi operativi e organizzativi adeguati, rilevanti ai fini dei controlli sul commercio dei prodotti a duplice uso, sono documentati, raccolti e distribuiti a tutto il personale interessato.

L'impressa dovrebbe disporre di una raccolta aggiornata delle procedure e dei processi documentati (per esempio in un manuale di conformità). L'impresa dovrebbe considerare, in funzione delle sue dimensioni e del volume delle sue attività commerciali, la necessità di fornire assistenza informatica per le procedure interne di conformità.

Quali sono le misure da adottare?

Determinare il numero di dipendenti da destinare ai controlli del commercio dei prodotti a duplice uso, tenendo conto degli aspetti giuridici e tecnici che devono essere considerati. Affidare ad almeno un soggetto interno all'impresa la responsabilità della conformità del commercio dei prodotti a duplice uso e garantire che un sostituto ugualmente qualificato possa espletare tale mansione in caso di assenza (ad esempio per malattia, ferie ecc.). Tale soggetto potrebbe, in funzione del volume medio di ordini, dovere espletare le mansioni relative al controllo delle esportazioni dei prodotti a duplice uso solo a tempo parziale.

Individuare, definire e assegnare chiaramente tutte le funzioni, le mansioni e le responsabilità in materia di conformità, eventualmente in un organigramma. Individuare chiaramente le funzioni di riserva, ove possibile.

Garantire che tutti all'interno dell'impresa conoscano la struttura organizzativa interna di controllo del commercio dei prodotti a duplice uso e che i documenti interni relativi a tali incarichi siano regolarmente aggiornati e distribuiti ai dipendenti. Rendere noto, all'interno dell'impresa, i dati di contatto dell'individuo responsabile delle questioni relative ai controlli del commercio dei prodotti a duplice uso. In caso di esternalizzazione delle mansioni di controllo del commercio, è necessario organizzare l'interfaccia e la comunicazione con l'impresa.

Definire le conoscenze e le competenze richieste al personale giuridico e tecnico destinato al controllo del commercio dei prodotti a duplice uso. Si raccomanda di preparare descrizioni delle mansioni.

Garantire che il personale destinato al controllo del commercio dei prodotti a duplice uso sia messo il più possibile al riparo dai conflitti di interesse. In funzione delle dimensioni dell'impresa, la responsabilità della conformità può essere affidata a un reparto o a una divisione adeguati. Per esempio: il soggetto (o i soggetti) cui spetta la decisione finale in merito alla possibilità di spedire le merci non fa parte del reparto vendite, bensì dell'ufficio legale. Permettere a tale personale di fungere da consulente esperto per orientare le decisioni dell'impresa, in modo da garantire la conformità delle transazioni.

Documentare e distribuire tutte le politiche e procedure in materia di controllo del commercio dei prodotti a duplice uso a tutto il personale interessato.

Raccogliere tutte le politiche e le procedure documentate, eventualmente sotto forma di manuale di conformità.

3. Formazione e sensibilizzazione

La formazione e la sensibilizzazione in materia di controllo del commercio dei prodotti a duplice uso è essenziale affinché il personale svolga correttamente i propri compiti e prenda sul serio gli obblighi di conformità.

Quali sono le aspettative?

L'impresa garantisce, attraverso la formazione, che il personale destinato al controllo del commercio dei prodotti a duplice uso sia a conoscenza di tutte le pertinenti norme in materia di controllo delle esportazioni, nonché del PIC dell'impresa e di tutte le relative modifiche. Tra gli esempi di materiale formativo rientrano i seminari esterni, la partecipazione a sessioni informative offerte dalle autorità competenti, corsi di formazione interni ecc.

Inoltre, l'impresa svolge attività di sensibilizzazione dei dipendenti a tutti i livelli interessati.

Quali sono le misure da adottare?

Fornire una formazione obbligatoria e periodica a tutto il personale destinato al controllo del commercio dei prodotti a duplice uso per garantire che disponga delle conoscenze necessarie per rispettare i regolamenti e il PIC dell'impresa.

Garantire, attraverso la formazione, che tutti i dipendenti interessati siano a conoscenza di tutti gli elenchi di controllo, le leggi, le norme e le politiche in materia di controllo del commercio dei prodotti a duplice uso, nonché di tutte le relative modifiche, non appena questi siano resi pubblici delle autorità competenti. Ove possibile, prendere in considerazione la possibilità di fornire corsi di formazione personalizzati.

Avviare attività di sensibilizzazione generale per tutti i dipendenti e attività di formazione dedicate per esempio ad acquisti, ingegneristica, gestione dei progetti, spedizioni, assistenza al cliente e fatturazione.

Prendere in considerazione, ove opportuno, la possibilità di avvalersi delle iniziative di formazione nazionali o dell'UE in materia di controllo del commercio dei prodotti a duplice uso.

Integrare gli insegnamenti tratti da valutazioni delle prestazioni, audit, segnalazioni e misure correttive, ove possibile, nei corsi di formazione o nei programmi di sensibilizzazione sulle esportazioni offerti.

4. Processi e procedure di verifica delle transazioni

In termini attuazione operativa, la verifica delle transazioni è l'elemento cruciale di un PIC. Tale elemento comprende le misure interne dell'impresa volte a garantire che non sia effettuata alcuna transazione senza la licenza richiesta o in violazione di qualsiasi restrizione o divieto commerciale rilevante.

Le procedure di verifica delle transazioni raccolgono e analizzano informazioni pertinenti che riguardano la classificazione dei prodotti, la valutazione del rischio della transazione, la determinazione della licenza e la relativa domanda nonché i controlli successivi al rilascio della licenza.

Le misure relative alla verifica delle transazioni permettono inoltre all'impresa di sviluppare e mantenere un determinato livello di attenzione per quanto riguarda la gestione delle richieste di informazioni o degli ordini sospetti.

Quali sono le aspettative?

L'impresa istituisce un processo teso a valutare se una transazione dei prodotti a duplice uso sia soggetta o meno a controlli nazionali o dell'UE in materia di commercio dei prodotti a duplice uso nonché a determinare i processi e le procedure applicabili. Nel caso di transazioni ricorrenti, la verifica deve essere effettuata periodicamente.

Questo elemento fondamentale si divide in:

—	classificazione dei prodotti per beni, software e tecnologia;

—

valutazione del rischio della transazione, compresi:

—	controlli sulle «destinazioni ed entità sensibili» (10) o soggette a embargo o sanzioni commerciali;

—	verifica delle parti coinvolte e degli usi finali dichiarati;

—	verifica del rischio di sviamento di destinazione;

—	«controlli omnicomprensivi» sui prodotti a duplice uso che non figurano negli elenchi;

—	determinazione dei requisiti sulla licenza e relativa domanda, se del caso, anche per le attività di intermediazione, trasferimento e transito; e

—	controlli successivi al rilascio della licenza, compresi il controllo della spedizione e il rispetto delle condizioni dell'autorizzazione.

In caso di dubbi o sospetti durante il processo di verifica delle transazioni, in particolare per quanto riguarda i risultati dei controlli sulle parti coinvolte e gli usi finali dichiarati o la verifica del rischio di sviamento di destinazione, è opportuno consultare l'autorità competente dello Stato membro dell'UE in cui ha sede l'impresa.

La verifica delle transazioni può essere effettuata manualmente o con l'ausilio di strumenti automatizzati, a seconda delle esigenze e delle risorse disponibili dell'impresa.

Quali sono le misure da adottare?

Classificazione dei prodotti

La classificazione dei prodotti mira a determinare se i prodotti figurano in un elenco. Ciò avviene confrontandone le caratteristiche tecniche con gli elenchi di controllo dell'UE e nazionali dei prodotti a duplice uso. Ove applicabile, determinare se il prodotto è soggetto a misure restrittive (comprese le sanzioni) imposte dall'UE o dallo Stato membro dell'UE in cui ha sede l'impresa.

Occorre comprendere che vi sono vari motivi per cui per i prodotti a duplice uso, siano essi oggetti fisici, software o tecnologia, potrebbe essere necessaria una licenza.

Prestare particolare attenzione alla classificazione dei componenti e dei pezzi di ricambio a duplice uso nonché alla classificazione dei software e della tecnologia a duplice uso che possono essere trasmessi tramite posta elettronica oppure essere resi disponibili attraverso, per esempio, un servizio «cloud» all'estero.

Acquisire informazioni in merito al possibile abuso dei prodotti a duplice uso nel contesto, per esempio, della proliferazione di armi convenzionali o di ADM. Condividere tali informazioni all'interno dell'impresa.

Si raccomanda di chiedere informazioni al fornitore (o ai fornitori) in merito alla classificazione come prodotti a duplice uso dei materiali, componenti e sottosistemi trattati o integrati dall'impresa, compresi i macchinari utilizzati per la produzione. È comunque responsabilità dell'impresa verificare la classificazione ricevuta dal fornitore (o dai fornitori).

Come previsto dall'articolo 22, paragrafo 10, del regolamento (CE) n. 428/2009 sui prodotti a duplice uso, nei documenti commerciali relativi a trasferimenti all'interno dell'UE occorre indicare, con riferimento alla legislazione pertinente, che la transazione riguarda prodotti a duplice uso figuranti nell'elenco che sono soggetti a controllo se esportati dall'UE.

Valutazione del rischio della transazione

Controlli sulle destinazioni ed entità sensibili, soggette a embargo o a sanzioni

Accertarsi che nessuna delle parti interessate (intermediari, acquirente, destinatario o utilizzatore finale) sia soggetta a misure restrittive (sanzioni) consultando gli elenchi aggiornati delle sanzioni (11).

Verifica delle parti coinvolte e degli usi finali dichiarati

Conoscere i clienti e l'uso finale che faranno dei prodotti dell'impresa.

Consultare le informazioni fornite dall'autorità competente in merito a norme dell'UE e nazionali nonché i requisiti delle dichiarazioni relative all'uso finale. Anche in assenza di una norma nazionale che obblighi a presentare una dichiarazione relativa all'uso finale correttamente compilata e sottoscritta, tale dichiarazione può rappresentare uno strumento utile per verificare l'affidabilità dell'utilizzatore finale/del destinatario e le informazioni possono essere usate per determinare la necessità di un'autorizzazione per prodotti a duplice uso non figuranti negli elenchi qualora, ai sensi dell'articolo 4 del regolamento (CE) n. 428/2009 (12), sussistano preoccupazioni in merito all'uso finale dichiarato.

Prestare attenzione agli indicatori del rischio di sviamento di destinazione e ai segnali di richieste di informazioni o di ordini sospetti, valutando per esempio se l'uso finale dichiarato è coerente con le attività e/o i mercati dell'utilizzatore finale. L'allegato 2 riporta un elenco di domande a sostegno della verifica delle parti coinvolte e dell'uso finale dichiarato.

Verifica del rischio di sviamento di destinazione

Prestare attenzione agli indicatori del rischio di sviamento di destinazione e ai segnali di richieste di informazioni o di ordini sospetti. L'allegato 2 riporta un elenco di domande a sostegno della verifica del rischio di sviamento di destinazione.

Prestare particolare attenzione ai controlli omnicomprensivi sui prodotti a duplice uso che non figurano negli elenchi se dalla verifica dell'uso finale dichiarato e delle parti coinvolte o dalla verifica del rischio di sviamento di destinazione emergono informazioni che destano preoccupazione ai sensi dell'articolo 4 del regolamento (CE) n. 428/2009.

«Controlli omnicomprensivi» sui prodotti a duplice uso che non figurano negli elenchi

Accertarsi che l'impresa disponga di procedure volte a determinarne se «è a conoscenza» dell'esistenza di informazioni che destano preoccupazione circa l'uso finale dichiarato (ai sensi dell'articolo 4 del regolamento (CE) n. 428/2009). Se l'esportatore «ne è a conoscenza», l'impresa garantisce che non siano effettuate esportazioni senza che l'autorità competente ne sia informata e senza aver ricevuto dalla stessa la decisione finale.

Nei casi in cui l'esportatore sia stato «informato» dalle autorità competenti della presenza di informazioni che destano preoccupazione circa l'uso finale dichiarato (ai sensi dell'articolo 4 del regolamento (CE) n. 428/2009), l'impresa deve disporre di procedure che garantiscano il rapido flusso di informazioni e il blocco immediato dell'esportazione. Occorre garantire che l'esportazione non avvenga senza l'autorizzazione dell'autorità competente.

Determinazione della licenza e relativa domanda, anche per le attività di intermediazione, trasferimento e transito

Accertarsi che l'impresa disponga dei dati di contatto dell'autorità competente per il controllo delle esportazioni.

Raccogliere e diffondere informazioni in merito alla gamma dei tipi di licenza (comprese le licenze specifiche, globali e generali) e alle attività oggetto di controllo (comprese esportazione, intermediazione, trasferimento e transito), nonché alle procedure per la presentazione delle domande di licenza relative ai controlli del commercio dei prodotti a duplice uso applicabili a livello nazionale e dell'UE.

Prestare attenzione ai tipi meno evidenti di esportazione controllata (quali le esportazioni effettuate tramite «cloud» o il bagaglio personale) e alle misure di controllo del commercio dei prodotti a duplice uso relative ad attività diverse dall'esportazione, quale l'assistenza tecnica o l'intermediazione.

Controlli successivi al rilascio della licenza, compresi il controllo della spedizione e il rispetto delle condizioni dell'autorizzazione

Prima della spedizione vera e propria occorre effettuare un controllo finale per verificare che siano state adottate tutte le misure necessarie per garantire la conformità. Tale controllo rappresenta un buon momento per verificare se i prodotti sono stati classificati correttamente, se sono state individuate «bandierine rosse», se la verifica delle entità è stata effettivamente eseguita e se è stata rilasciata una licenza valida per la spedizione.

Una valutazione finale del rischio è necessaria nel caso in cui nel frattempo siano state apportate modifiche alla legislazione pertinente, per esempio se la merce in questione è stata iscritta in un elenco dei prodotti a duplice uso o se l'utilizzatore finale è ora oggetto di sanzioni.

Attuare una procedura che preveda il blocco o la sospensione dei prodotti qualora uno qualsiasi dei requisiti non sia soddisfatto o in presenza di «bandierine rosse». Tali prodotti possono essere rimessi in circolazione solo da un soggetto con responsabilità di conformità.

Accertarsi che siano stati rispettati i termini e le condizioni della licenza (comprese le segnalazioni).

Occorre tenere presente che eventuali modifiche dei dati dell'impresa esportatrice (quali il nome, l'indirizzo e la forma giuridica), dell'utilizzatore finale e/o degli intermediari nonché dei prodotti autorizzati potrebbero incidere sulla validità della licenza.

5. Valutazione delle prestazioni, audit, segnalazioni e azioni correttive

Un PIC non è un insieme statico di misure e deve quindi essere riesaminato, sperimentato e rivisto, se necessario, per garantirne la conformità.

Le valutazioni delle prestazioni e gli audit verificano se il PIC è attuato in modo da soddisfare le esigenze operative e se è coerente con i requisiti in materia di controllo delle esportazioni applicabili a livello nazionale e dell'UE.

Un PIC ben funzionante dispone di chiare procedure di segnalazione per permettere ai dipendenti di comunicare qualsiasi caso sospetto o noto di non conformità e attivare i livelli successivi di intervento. Con una solida cultura della conformità, i dipendenti devono sentirsi sicuri e tranquilli quando, in buona fede, pongono domande o manifestano preoccupazioni relative alla conformità.

Le procedure di valutazione delle prestazioni, audit e segnalazione sono concepite per rilevare le incongruenze, in modo da chiarire e rivedere le pratiche qualora (vi sia il rischio che) sfocino in casi di non conformità.

Quali sono le aspettative?

L'impresa elabora procedure di valutazione delle prestazioni per verificare le attività quotidiane di conformità all'interno dell'impresa nonché accertare che le operazioni di controllo delle esportazioni siano svolte in maniera adeguata nel rispetto del PIC. La valutazione delle prestazioni è effettuata internamente e permette l'individuazione precoce dei casi di non conformità e l'adozione di misure di follow-up per contenere i danni. Di conseguenza, la valutazione delle prestazioni riduce i rischi per l'impresa.

L'impresa dispone di procedure di audit, vale a dire ispezioni sistematiche, mirate e documentate, che confermino la corretta attuazione del PIC. Gli audit possono essere effettuati internamente o da professionisti esterni qualificati.

La segnalazione è l'insieme delle procedure che devono essere attuate dal personale destinato al controllo del commercio dei prodotti a duplice uso e da altri dipendenti interessati per quanto riguarda le misure di comunicazione e attivazione dei livelli successivi di intervento di fronte a casi sospetti o noti di non conformità nell'ambito del commercio dei prodotti a duplice uso. Non fa invece riferimento agli obblighi di segnalazione esterni, per esempio nel caso in cui l'impresa sia registrata ai fini dell'utilizzo di un'autorizzazione generale di esportazione dell'Unione ai sensi del regolamento (CE) n. 428/2009.

Le azioni correttive rappresentano l'insieme dei provvedimenti correttivi che garantiscono l'adeguata attuazione del PIC e l'eliminazione delle vulnerabilità rilevate nelle procedure di conformità.

Quali sono le misure da adottare?

Istituire meccanismi di controllo casuale nell'ambito delle operazioni quotidiane per monitorare lo svolgimento delle attività di controllo del commercio interne all'impresa, al fine di garantire l'individuazione precoce di eventuali irregolarità. Un altro approccio è rappresentato dal «principio del doppio controllo», che prevede che le decisioni in merito al controllo del commercio siano riesaminate e ricontrollate una seconda volta.

Predisporre ed effettuare audit per verificare la formulazione, l'adeguatezza e l'efficienza del PIC.

Garantire che l'audit copra tutti gli aspetti del programma interno di conformità.

Assicurarsi che i dipendenti si sentano sicuri e tranquilli quando, in buona fede, pongono domande o manifestano preoccupazioni relative alla conformità.

Istituire procedure relative alla segnalazione delle irregolarità e all'attivazione dei livelli successivi di intervento per disciplinare gli interventi dei dipendenti di fronte a casi sospetti o noti di non conformità. Tale opzione può essere estesa anche a terzi.

Documentare per iscritto qualsiasi sospetto di violazione della legislazione nazionale e dell'UE in materia di controllo dei prodotti a duplice uso e le relative misure correttive.

Predisporre azioni correttive efficaci per adattare le operazioni di controllo delle esportazioni o il PIC ai risultati della valutazione delle prestazioni, dell'audit del sistema PIC o delle segnalazioni. Si raccomanda di condividere tali risultati, comprese la revisione di procedure e azioni correttive, con il personale destinato al controllo del commercio dei prodotti a duplice uso e il personale direttivo. Una volta attuate le azioni correttive, si raccomanda di comunicare le procedure aggiornate a tutti i dipendenti interessati.

Un dialogo con l'autorità competente può contribuire a contenere i danni e a individuare possibili modi per rafforzare il controllo delle esportazioni da parte dell'impresa.

6. Tenuta dei registri e documentazione

Una tenuta dei registri proporzionata, accurata e tracciabile delle attività di controllo del commercio dei prodotti a duplice uso è essenziale per garantire la conformità dell'impresa. Un sistema di tenuta dei registri completo aiuterà l'impresa a effettuare audit e valutazioni delle prestazioni e a rispettare i requisiti dell'UE e/o nazionali in materia di conservazione della documentazione e faciliterà la cooperazione con le autorità competenti in caso di indagini relative al controllo del commercio dei prodotti a duplice uso.

Quali sono le aspettative?

La tenuta dei registri rappresenta l'insieme delle procedure e degli orientamenti in materia di conservazione della documentazione giuridica, gestione dei registri e tracciabilità delle attività relative al controllo del commercio dei prodotti a duplice uso. La tenuta in registro di alcuni documenti è obbligatoria per legge, ma la conservazione di altri documenti (per esempio un documento interno che descrive la decisione tecnica di classificazione di un prodotto) può anche rispondere agli interessi dell'impresa. La registrazione e la corretta archiviazione di tutti i documenti richiesti consentono una ricerca e un recupero più efficienti durante lo svolgimento delle attività quotidiane di controllo del commercio dei prodotti a duplice uso nonché durante gli audit periodici.

Quali sono le misure da adottare?

Verificare i requisiti giuridici in materia di tenuta dei registri (periodo di conservazione, ambito dei documenti ecc.) nella pertinente legislazione dell'UE o dello Stato membro dell'UE in cui ha sede l'impresa.

Per garantire la facile consultazione di tutti i documenti interessati, prendere in considerazione la possibilità di accludere i requisiti in materia di conservazione dei documenti ai contratti stipulati con gli intermediari, compresi gli spedizionieri e i distributori.

Istituire un sistema adeguato all'archiviazione e al recupero dei documenti relativi al controllo del commercio dei prodotti a duplice uso. Funzionalità di indicizzazione e ricerca efficaci sono essenziali sia per i sistemi cartacei che per quelli elettronici.

Garantire che i documenti relativi al controllo delle esportazioni siano conservati in maniera coerente e che possano essere messi tempestivamente a disposizione dell'autorità competente o di altre parti esterne a fini di ispezione o audit.

Si raccomanda di tenere un registro dei precedenti contatti con l'autorità competente, anche per quanto riguarda i controlli dell'uso/utilizzatore finale dei prodotti a duplice uso non figuranti negli elenchi e in caso di consulenza tecnica ai fini della classificazione.

7. Sicurezza fisica e delle informazioni

I controlli del commercio dei prodotti a duplice uso, compresi i software e la tecnologia, sono effettuati per motivi legati a obiettivi di sicurezza (inter)nazionale e politica estera. I prodotti a duplice uso, data la loro sensibilità, dovrebbero pertanto essere «protetti», e l'adozione di misure di sicurezza adeguate contribuisce a contenere i rischi di una rimozione non autorizzata dei prodotti controllati o di un accesso non autorizzato ai medesimi. Le misure di sicurezza fisica sono importanti ma, in ragione della natura elettronica del software o della tecnologia oggetto di controllo, garantire la conformità alle norme in materia di commercio dei prodotti a duplice uso può essere particolarmente impegnativo e richiede anche misure di sicurezza delle informazioni.

Quali sono le aspettative?

La sicurezza fisica e delle informazioni si riferisce all'insieme di procedure interne volte a prevenire l'accesso non autorizzato a prodotti a duplice uso, oppure la loro rimozione, da parte di dipendenti, contraenti, fornitori o visitatori. Tali procedure promuovono una cultura della sicurezza all'interno dell'impresa e garantiscono che i prodotti a duplice uso, compresi i software e la tecnologia, non vadano persi, non siano facilmente rubati né siano esportati senza una licenza valida.

Quali sono le misure da adottare?

Sicurezza fisica

Garantire, sulla base della valutazione del rischio effettuata dall'impresa, che i prodotti a duplice uso oggetto di controllo siano protetti contro la rimozione non autorizzata da parte di dipendenti o terzi. Tra le misure che potrebbero essere prese in considerazione figurano, per esempio, la protezione fisica dei prodotti, l'istituzione di zone ad accesso limitato e il controllo dell'accesso o dell'uscita del personale.

Sicurezza delle informazioni

Introdurre procedure e misure protettive di base per garantire la sicura archiviazione elettronica di software e tecnologie a duplice uso oggetto di controllo, compresi controlli antivirus, crittografia dei file, audit trail e log, controllo dell'accesso degli utenti e firewall. Se applicabile all'impresa, considerare la possibilità di adottare misure protettive per caricare software o tecnologie nel «cloud», archiviarli nel «cloud» o trasmetterli tramite «cloud».

(1) Regolamento (CE) n. 428/2009.

(2) Ai fini del presente documento, il termine «imprese» deve essere inteso in senso lato. Esso comprende anche gli istituti di ricerca, accademici e di altra natura che possono essere considerati «esportatori» ai sensi del regolamento (CE) n. 428/2009. I presenti orientamenti non forniscono (in questa fase) indicazioni specifiche per i diversi settori e attori interessati.

(3) Cfr. anche https://www.wassenaar.org/app/uploads/2015/06/2-Internal-Compliance-Programmes.pdf.

(4) Cfr. anche http://www.nuclearsuppliersgroup.org/images/Files/National_Practices/NSG_Measures_for_industry_update_revised_v3.0.pdf.

(5) Raccomandazione della Commissione, dell' 11 gennaio 2011, relativa alla certificazione delle imprese operanti nel settore della difesa conformemente all'articolo 9 della direttiva 2009/43/CE del Parlamento europeo e del Consiglio che semplifica le modalità e le condizioni dei trasferimenti all'interno della Comunità di prodotti per la difesa (GU L 11 del 15.1.2011, pag. 62)

(6) Cfr. anche http://icpguidelines.com.

(7) Cfr. anche https://ec.europa.eu/taxation_customs/general-information-customs/customs-security/authorised-economic-operator-aeo_en.

(8) La dichiarazione di impegno aziendale potrebbe, per esempio, attestare che nessun individuo che opera per conto dell'impresa può in alcun caso effettuare esportazioni, intermediazioni, transiti o trasferimenti in violazione delle disposizioni legislative e regolamentari dell'UE e dello Stato membro- in materia di controlli del commercio dei prodotti a duplice uso. La dichiarazione potrebbe spiegare brevemente gli obiettivi dei controlli delle esportazioni, in modo da chiarire meglio i motivi per cui sono necessari. Potrebbe inoltre sottolineare l'importanza del rispetto dei controlli delle esportazioni da parte dei dipendenti, in modo che questi comprendano le possibili situazioni di non conformità, comunicando i rischi delle transazioni non autorizzate e le possibili conseguenze (penali, reputazionali, finanziarie, disciplinari ecc.) per l'impresa e i dipendenti interessati. Si raccomanda di comunicare l'impegno del personale direttivo nei confronti della conformità nella maniera più semplice possibile.

(9) Le imprese potrebbero inoltre prendere in considerazione la possibilità di rendere pubblicamente accessibile la dichiarazione attraverso i siti web aziendali e altri canali commerciali al fine di informare i soggetti terzi dell'impegno dell'impresa a rispettare i controlli sulle esportazioni.

(10) Le cosiddette «destinazioni ed entità sensibili» non sono solo le destinazioni oggetto di embargo o sanzioni, bensì anche altre destinazioni per cui la spedizione di (alcuni) prodotti a duplice uso può rappresentare un problema in casi specifici, per esempio in ragione della proliferazione di ADM o di timori legati al rispetto dei diritti umani, secondo quanto stabilito dall'autorità competente. Per quanto riguarda i timori legati al rispetto dei diritti umani, occorre tenere presente che potrebbero essere applicate altre norme, quale il regolamento (UE) 2019/125 del Parlamento europeo e del Consiglio (GU L 30 del 31.1.2019, pag. 1), che introduce controlli sulle esportazioni di merci che potrebbero essere utilizzate per la pena di morte o la tortura.

(11) L'elenco consolidato delle sanzioni dell'UE (https://eeas.europa.eu/topics/sanctions-policy/8442/consolidated-list-sanctions_en) e la mappa delle sanzioni dell'UE (https://www.sanctionsmap.eu) possono essere utili per verificare le sanzioni comminate.

(12) Nel caso in cui il cliente non abbia familiarità con la richiesta di una dichiarazione relativa all'uso finale, prendere in considerazione la possibilità di redigere una lettera di accompagnamento (di una pagina) che spieghi le basi dei controlli del commercio dei prodotti a duplice uso e indichi che il documento richiesto accelera la presentazione di una domanda di licenza o potrebbe addirittura essere necessario per il rilascio della licenza.

Allegato 1

Domande utili relative al PIC di un'impresa

Le imprese o le autorità possono ricorrere al seguente elenco non esaustivo di domande utili relative al PIC di un'impresa. Le domande riguardano tutti gli elementi fondamentali, sebbene non coprano necessariamente tutte le misure descritte.

Le stesse possono inoltre essere utili durante l'elaborazione del PIC oppure durante il riesame di un PIC esistente in una fase successiva. Ai fini della valutazione del PIC dell'impresa le domande non intendono sostituire le informazioni di cui alle sezioni «Quali sono le aspettative?» e «Quali sono le misure da adottare» della parte principale dei presenti orientamenti. Inoltre, le risposte alle presenti domande non devono essere intese come garanzia di adeguatezza del PIC per il controllo del commercio dei prodotti a duplice uso.

1. Impegno dell'alta dirigenza a garantire la conformità

—	È disponibile un documento che definisce chiaramente l'impegno dell'alta dirigenza a garantire la conformità ai controlli del commercio dei prodotti a duplice uso?

—	Tale documento è facilmente accessibile a tutti i dipendenti?

2. Struttura organizzativa, responsabilità e risorse

—

L'impresa ha nominato il soggetto (o i soggetti) cui spetta la responsabilità di rispondere alle domande dei dipendenti in merito a procedure aziendali di conformità, richieste di informazioni sospette o possibili violazioni? I dati di contatto del soggetto (o dei soggetti) responsabile sono disponibili a tutto il personale interessato?

—	Quali sono i reparti o le attività dell'impresa interessati dal controllo del commercio dei prodotti a duplice uso e dalla relativa conformità?

—	In che reparto dell'impresa si trova il personale destinato alla conformità del commercio dei prodotti a duplice uso? Potrebbe esserci un conflitto di interessi?

—	Qualora l'impresa decida di esternalizzare la gestione della conformità del commercio dei prodotti a duplice uso, come sono organizzate le interazioni con l'impresa?

—	Quante persone sono destinate unicamente alla gestione dei controlli del commercio dei prodotti a duplice uso o condividono questa responsabilità con altri compiti? Vi sono altri soggetti pronti a sostituirli in caso di assenza?

—	Come sono organizzati i rapporti tra il personale destinato al controllo delle esportazioni e l'alta dirigenza per quanto riguarda, per esempio, lo scambio di informazioni?

—	L'impresa documenta e distribuisce tutte le politiche e le procedure in materia di controllo del commercio dei prodotti a duplice uso a tutto il personale interessato? In quale formato?

—	Sono disponibili strumenti elettronici che agevolano le procedure di conformità dell'impresa?

3. Formazione e sensibilizzazione

—	L'impresa offre attività (mirate) di formazione o sensibilizzazione sulla conformità?

—	In che formati è offerta la formazione o la sensibilizzazione sulla conformità da parte dell'impresa? Tra gli esempi rientrano: seminari esterni, partecipazione a sessioni informative offerte dalle autorità competenti, corsi di formazione interni ecc.

—	Come si garantisce che il personale destinato al controllo del commercio dei prodotti a duplice uso abbia accesso a tutte le disposizioni legislative e regolamentari pertinenti?

4. Processi e procedure di verifica delle transazioni

4.1. Classificazione dei prodotti

—	Tutti i pertinenti prodotti esportati sono valutati sulla base delle misure restrittive o degli elenchi di controllo dei prodotti a duplice uso dell'UE e nazionali? E chi ne è responsabile?

—	L'impresa svolge attività di trasmissione elettronica di software o tecnologia a duplice uso? Se sì, in che modo l'impresa garantisce la conformità della trasmissione elettronica di software o tecnologia?

—	Sono state introdotte procedure per i dipendenti che accedono a software o tecnologie oggetto di controllo durante le visite all'estero?

—	La classificazione dei prodotti ricevuti o realizzati dall'impresa è registrata?

—	Le modifiche apportate agli elenchi di controllo dei prodotti a duplice uso nazionali e dell'UE sono recepite nelle procedure di classificazione dell'impresa?

—

In considerazione dell'articolo 22, paragrafo 10, del regolamento (CE) n. 428/2009, relativo ai prodotti a duplice uso, i documenti commerciali relativi a trasferimenti all'interno dell'UE dei prodotti a duplice uso figuranti nell'elenco indicano che i prodotti in questione sono soggetti a controllo se esportati dall'UE?

4.2. Valutazione del rischio della transazione

Si veda l'allegato 2 per un elenco non esaustivo di domande relative ai campanelli d'allarme («bandierine rosse») che possono agevolare il processo di controllo delle transazioni al fine di individuare le richieste di informazioni sospette da parte dei clienti.

—	Quali sono le procedure per gestire i risultati positivi e negativi delle valutazioni del rischio delle transazioni?

—	Come vengono risolti i risultati «falsi positivi» (vale a dire elementi che hanno destato inutilmente preoccupazione) ottenuti dalla valutazione del rischio della transazione?

Controlli sulle destinazioni ed entità sensibili, soggette a embargo o a sanzioni

—	Durante la valutazione del rischio della transazione, in che modo l'impresa tiene conto delle misure restrittive (comprese le sanzioni)?

Verifica delle parti coinvolte e degli usi finali dichiarati

—	Quali sono le procedure interne relative al processo di valutazione delle parti coinvolte e degli usi finali dichiarati?

—	Come vengono verificate le (nuove) parti coinvolte? I clienti esistenti vengono periodicamente sottoposti a ulteriori verifiche?

«Controlli omnicomprensivi» sui prodotti a duplice uso che non figurano negli elenchi

—	In che modo vengono raccolte e utilizzate le informazioni relative all'uso finale dichiarato (ai sensi delle disposizioni in materia di controlli omnicomprensivi (1))?

Verifica del rischio di sviamento di destinazione

—	L'impresa dispone di procedure atte a verificare il rischio di sviamento di destinazione?

4.3. Determinazione della licenza e relativa domanda, anche per le attività di intermediazione, trasferimento e transito soggette a controllo

—	Come si garantisce che in ogni singolo caso sia richiesto/utilizzato il tipo di licenza corretto (specifica, globale o generale dell'Unione)?

—	Come si garantisce che i tipi meno evidenti di esportazioni e altre attività soggette a restrizioni siano identificati come tali e non si svolgano in contrasto con le norme in materia di controllo del commercio dei prodotti a duplice uso dell'UE e dello Stato membro?

4.4. Controlli successivi al rilascio della licenza, compresi il controllo della spedizione e il rispetto delle condizioni dell'autorizzazione

—	Prima della spedizione viene effettua una valutazione finale del rischio della transazione?

—	In che modo l'impresa garantisce il rispetto dei termini e delle condizioni (compresa la comunicazione) della licenza (o delle licenze)?

5. Valutazioni delle prestazioni, audit, segnalazioni interne e azioni correttive

—	Le pertinenti procedure operative messe in atto dall'impresa su base quotidiana sono soggette a una valutazione (casuale) delle prestazioni in termini di controllo del commercio dei prodotti a duplice uso?

—	L'impresa dispone di procedure di audit interne o esterne?

—	L'impresa dispone di procedure relative alla segnalazione delle irregolarità o all'attivazione dei livelli successivi di intervento?

—	Quali azioni correttive sono adottate dall'impresa in caso di non conformità?

6. Tenuta dei registri e documentazione

—	Quali sono le procedure dell'impresa per l'archiviazione e il recupero dei documenti relativi al controllo del commercio dei prodotti a duplice uso? L'impresa ha valutato la possibilità di tenere un registro dei precedenti contatti con l'autorità competente?

—	Il personale destinato al controllo del commercio dei prodotti a duplice uso e i partner commerciali pertinenti sono a conoscenza dei requisiti giuridici in materia di tenuta dei registri?

—	I documenti registrati sono sottoposti a controlli che ne verifichino la completezza, l'accuratezza e la qualità?

7. Sicurezza fisica e delle informazioni

—	L'impresa adotta misure di cibersicurezza per proteggere i software e le tecnologie a duplice uso e garantire che non vadano persi, non siano facilmente rubati né siano esportati senza una licenza valida?

—	L'impresa è in grado di individuare le fasi critiche e le relative vulnerabilità della sicurezza fisica e delle informazioni per quanto riguarda i prodotti a duplice uso?

(1) Articolo 4 del regolamento (CE) n. 428/2009.

Allegato 2

«Bandierine rosse» relative alle richieste di informazioni sospette

Prestare attenzione ai segnali di richieste di informazioni o di ordini sospetti è essenziale al fine di contrastare i rischi della proliferazione delle armi di distruzione di massa, i relativi vettori e l'accumulo destabilizzante di armi convenzionali. La condivisione di tali informazioni con l'autorità competente è altamente raccomandata e in alcuni casi potrebbe essere obbligatoria ai sensi delle disposizioni legislative e regolamentari dell'UE e nazionali. In caso di dubbi, consultare l'autorità competente.

Il seguente elenco non esaustivo di «bandierine rosse» si basa sulle migliori pratiche esistenti ed è tratto dai seguenti documenti:

—	l'elenco di domande consultive per l'industria di cui all'intesa di Wassenaar (concordato in occasione della plenaria del 2003 e aggiornato nella plenaria del 2018);

—	il codice di conformità del 2010 (dipartimento per l'innovazione e le competenze delle imprese, Regno Unito); e

—	gli approcci al PIC delle autorità competenti di altri Stati membri dell'UE.

Sulla base dell'esperienza dell'impresa, che sa meglio di chiunque altro quali siano le richieste di informazioni o gli ordini sospetti nel proprio settore di attività, è possibile effettuare aggiunte o modifiche all'elenco riportato di seguito.

L'impresa dovrebbe prestare particolare attenzione in caso di rilevamento di una o più «bandierine rosse» tra quelle riportate di seguito.

Prodotto/prodotti dell'impresa:

—	il prodotto è ancora in fase di sviluppo o non ha ancora raggiunto un elevato numero di clienti nel mercato interno;

—	le caratteristiche del prodotto sono tecnicamente superiori a quelle dei concorrenti consolidati;

—	il cliente ha richiesto un'insolita personalizzazione di un prodotto standard oppure le richieste di modifica sollevano dubbi in merito alle possibili applicazioni del prodotto personalizzato;

—	è risaputo che il prodotto è a duplice uso o ha applicazioni militari o sensibili.

Uso e utilizzatore finali:

—	il cliente è nuovo e le informazioni che l'impresa possiede al riguardo sono incomplete o incoerenti oppure è difficile reperire informazioni sul cliente da fonti aperte;

—	l'utilizzatore finale dichiarato è una società commerciale o un distributore oppure ha sede in una zona di libero scambio, che significa che l'impresa potrebbe non essere consapevole di quale sarà la destinazione finale del prodotto (o dei prodotti);

—	l'utilizzatore finale ha legami con il settore militare o della difesa oppure con un istituto di ricerca governativo e l'uso finale dichiarato è civile;

—	il cliente non sembra avere familiarità con il prodotto e le sue caratteristiche funzionali (per esempio un'evidente mancanza di conoscenze tecniche);

—	il cliente richiede un prodotto che sembra eccessivamente potente per l'applicazione prevista;

—	i dati di contatto presenti nelle richieste di informazioni (per esempio numeri di telefono e indirizzi fisici e di posta elettronica) si riferiscono a paesi diversi da quelli dell'impresa indicata o lo diventano nel corso del tempo;

—	il nome dell'impresa è in un'altra lingua (per esempio in una lingua insolita per il paese in cui ha sede l'impresa);

—	il sito web dell'impresa è privo di contenuti se paragonato a quelli solitamente reperibili sul legittimo sito web di un'impresa;

—

il cliente è restio a fornire informazioni sull'uso finale dei prodotti (per esempio attraverso una dichiarazione sull'utilizzatore finale), a rispondere in modo chiaro a domande commerciali o tecniche che sono prassi comune durante le normali trattative o a presentare una dichiarazione sull'utilizzatore finale;

—	viene fornita una spiegazione non convincente del motivo per cui sono richiesti i prodotti, data la normale attività commerciale del cliente o la sofisticatezza tecnica dei prodotti.

Spedizione:

—	sono richieste modalità di spedizione, imballaggio o etichettatura insolite; vengono rifiutati i consueti codici Incoterm per la spedizione, la sigillatura dei container/vagoni e la conferma della ricezione da parte del destinatario/dell'utilizzatore finale.

Condizioni finanziarie e contrattuali:

—	termini di pagamento insolitamente favorevoli, quale il pagamento di un prezzo irragionevolmente elevato, il pagamento anticipato dell'importo totale o la volontà di effettuare un pagamento in contanti immediatamente;

—	il pagamento è effettuato da soggetti diversi dal cliente o dagli intermediari dichiarati e segue un percorso diverso da quello dei prodotti;

—	vengono rifiutati i servizi ordinari di installazione, formazione o manutenzione;

—	il luogo in cui avviene l'installazione si trova in una zona sottoposta a severi controlli di sicurezza o in un'area ad accesso fortemente limitato;

—	il luogo in cui avviene l'installazione è insolito per il settore di attività dell'esportatore o per il tipo di attrezzatura installata;

—	vi sono requisiti insoliti di eccessiva riservatezza in merito alle destinazioni finali, ai clienti o alle specifiche dei prodotti;

—	viene ricevuto un numero eccessivo di richieste di pezzi di ricambio o si registra una mancanza di interesse nei confronti di tali pezzi.

La condivisione delle informazioni relative a richieste sospette con l'autorità competente è altamente raccomandata, nonché una buona pratica commerciale. Inoltre, ove opportuno, la condivisione delle informazioni all'interno della catena di approvvigionamento e con altri esportatori può essere utile alla luce del rischio che i proliferatori inviino richieste a imprese diverse, nella speranza che una di tali richieste possa essere accolta o con l'obiettivo di acquisire una quantità significativa di materiale da diverse fonti (in questo caso ogni richiesta, presa singolarmente, non desterebbe ancora alcun sospetto). In caso di dubbi, consultare l'autorità competente.

Allegato 3

Elenco delle autorità competenti per il controllo delle esportazioni negli Stati membri dell'UE

http://trade.ec.europa.eu/doclib/docs/2016/august/tradoc_154880.pdf