Il 29 aprile 2021, SAP, la multinazionale tedesca di software, ha raggiunto un accordo transattivo con le autorità statunitensi per chiudere un procedimento relativo alla violazione delle sanzioni economiche USA contro l’Iran e l’esportazione illegale di software.
SAP ha accettato di pagare più di 8 milioni di dollari al Dipartimento del Commercio degli Stati Uniti e all’OFAC per migliaia di esportazioni di prodotti in Iran, effettuate tramite la fornitura agli utenti iraniani dell’accesso ad aggiornamenti software, patch e servizi cloud, in violazione dell’Export Administration Regulations e dell’Iranian Transactions and Sanctions Regulations. Il gigante tedesco ha anche speso 27 milioni di dollari in attività di cooperazione con le autorità statunitensi. SAP ha infine promesso di restituire all’Amministrazione 5,14 milioni di dollari di profitti illeciti.
Il caso ha riguardato non solo il Dipartimento del Tesoro- l’Office of Foreign Assets Control (OFAC), ma anche il Bureau of Industry and Security (BIS) e ha rivelato due modalità di infrazione delle sanzioni economiche da parte di SAP.
• Dal 2010 al 2017, SAP e i suoi partner non statunitensi hanno esportato, oltre 20.000 volte, software di origine statunitense – compresi gli aggiornamenti e le correzioni di sicurezza- a utenti in Iran. La maggior parte dei trasferimenti era indirizzata a 14 società di facciata controllate dall’Iran, con sede in paesi terzi tra cui Turchia, Emirati Arabi Uniti e Germania, mentre certi software sono state scaricati direttamente da IP iraniani.
• Durante lo stesso periodo di tempo, le unità Cloud Business Group (CBG) di SAP hanno permesso a più di 2.300 utenti in Iran di accedere ai servizi cloud basati negli USA.
SAP ha ignorato per più di sette anni, nonostante molteplici audit, che le unità Cloud Business Group di SAP non disponevano di adeguati processi di controllo delle esportazioni e di conformità alle sanzioni. SAP ha inoltre permesso a tali aziende di continuare ad operare come entità indipendenti dopo averle acquisite e non è riuscita ad integrarle completamente nel suo più robusto programma di controllo delle esportazioni .
Il caso conferma sia l’importanza di effettuare adeguati screening delle controparti, soprattutto se collegate con soggetti iraniani, sia la necessità di assicurare l’applicazione dei programmi di conformità in tutte le aziende appartenenti a un determinato gruppo industriale.