Prosegue il percorso di approfondimento delle novità di maggior rilevanza per le imprese introdotte nella riforma del regolamento Dual Use, con un focus dedicato alle principali novità in materia di “catch-all” e, in particolare, di “cyber surveillance”.
Come noto, le cd. “catch-all clause” consentono all’autorità, autonomamente o su indicazione dell’esportatore, di sottoporre ad autorizzazione preventiva l’esportazione ovvero il trasferimento di beni/ tecnologie non espressamente ricompresi nella lista di cui all’allegato I al regolamento, laddove questi siano collegati ad utilizzi vietati (vedi infra).
Le disposizioni del Regolamento (UE) 2021/821 sul tema allargano considerevolmente il raggio di applicazione della “catch-all”, intensificando, soprattutto con le previsioni in materia di cyber surveillance, gli obblighi posti in capo agli operatori.
Similmente a quanto previsto dal Regolamento (CE) 428/2009, la “catch-all clause” continua ad essere attivabile in relazione agli usi proliferanti (e.g. ove l’operatore sia informato ovvero sia a conoscenza di un utilizzo della merce collegato allo sviluppo, alla produzione ovvero alla diffusione di armi di distruzioni di massa), ovvero ove il paese acquirente o il paese di destinazione siano soggetti ad un embargo sugli armamenti e l’esportatore sia stato informato dalle autorità che detti prodotti sono o possono essere destinati, in tutto o in parte, agli scopi militari (cd. military end-use) definiti dallo stesso articolo 4. Inoltre, continua ad essere richiesto alle autorità competenti di tenere in considerazione la possibilità che i beni siano o possano essere utilizzati per repressioni interne o altre violazioni dei diritti umani, prima di concedere un’autorizzazione di esportazione per i beni listati nell’Allegato I al Regolamento.
Per quanto riguarda le novità, invece, non solo la fornitura di assistenza tecnica viene ora ricompresa tra le fattispecie sottoposte a catch-all (link), ma viene anche rafforzata l’attenzione sul rispetto dei diritti umani e della sicurezza pubblica (tra cui rientra la prevenzione del terrorismo), tramite la previsione di controlli legati all’uso finale dei beni non listati di sorveglianza informatica che possano essere impiegati in repressioni interne, serie violazioni dei diritti umani e del diritto umanitario internazionale.
In particolare, le novità in materia di sicurezza informatica sono introdotte dall’articolo 2 e dall’articolo 5. Innanzitutto, la cyber surveillance viene definita dall’articolo 2 così da ricomprendere le tecnologie a duplice uso appositamente progettate per consentire la sorveglianza segreta di persone fisiche attraverso il monitoraggio, l’estrazione, la raccolta, o l’analisi di dati, compresi i dati biometrici, attraverso sistemi di informazione e telecomunicazione. Con l’articolo 5 viene inoltre introdotta una clausola catch-all specifica per le tecnologie di sorveglianza informatica non listate nell’Allegato I, che divengono soggette ad autorizzazione ove l’operatore sia informato dall’autorità di un utilizzo delle stesse in violazione dei diritti umani o del diritto umanitario internazionale, nonché laddove questi sia a conoscenza di un tale utilizzo, sulla base delle risultanze dei propri processi di due diligence.
Questo nuovo controllo ha la finalità di contrastare il rischio che le tecnologie di sorveglianza informatica provenienti dall’Unione europea possano essere sfruttate da persone che concorrano o dirigano operazioni di repressione, o per la seria violazione dei diritti umani o del diritto umanitario internazionale. Il concetto di “seria violazione” non è ancora stato definito e necessiterà di ulteriore guida interpretativa al fine di garantire controlli effettivi.
Come accennato sopra, la necessità di ottenere l’autorizzazione sorge solo nel momento in cui l’autorità competente notifichi all’esportatore che i beni in questione sono o potrebbero essere utilizzati per le finalità sopra descritte.
Quando l’esportatore, nello svolgimento delle sue attività di due diligence, viene autonomamente a conoscenza del fatto che i beni che intende esportare sono destinati ad uno degli usi descritti sopra, deve notificare l’autorità competente che avrà il compito di decidere se assoggettare l’esportazione dei beni in questione ad autorizzazione. Gli esportatori che trattano prodotti di sorveglianza informatica, pertanto, hanno l’onere di integrare i doveri di due diligence in maniera tale da includere un’analisi relativa al rischio di abuso di tali beni. Questa novità si inserisce in un nuovo contesto che attribuisce al settore privato un ruolo di primo piano nella (auto) determinazione dei rischi che il commercio di prodotti e tecnologie a duplice uso comportano per la sicurezza internazionale. Nelle intenzioni del legislatore, tale ruolo potrà essere svolto in maniera effettiva e uniforme proprio grazie alla maggior integrazione prevista tra settore pubblico e privato, che si estrinseca, tra gli altri, attraverso l’elaborazione di apposite linee guida a disposizione degli operatori, in aderenza ai principi posti dall’articolo 26.
Nell’attesa che vengano elaborate linee guida a livello europeo o nazionale italiano, segnaliamo che l’Ufficio Federale per l’Economia e i Controlli sulle Esportazioni tedesco (BAFA) ha pubblicato un’utile guida (link) che fornisce pratiche indicazioni agli operatori per la corretta interpretazione e applicazione dell’articolo 5.
Come evidenziato sopra, gli Stati membri possono ora imporre autonomamente obblighi di autorizzazione all’esportazione di prodotti per la sorveglianza informatica non elencati nell’allegato I, laddove l’esportatore abbia motivo di sospettare che tali beni siano o possano essere utilizzati, in tutto o in parte, in violazione dei diritti umani ovvero del diritto umanitario internazionale. Gli Stati membri che adottino tali controlli devono darne comunicazione alle autorità nazionali competenti che, a loro volta, devono darne comunicazione agli altri Stati membri e alla Commissione, fornendo le informazioni rilevanti della specifica operazione, compresi i prodotti e le entità interessate. Tale disposizione viene d’altro canto mitigata dalla vaga previsione secondo cui ciò non è richiesto qualora, alla luce della natura dell’operazione o della sensibilità delle informazioni in questione, non venga ritenuto appropriato. Nel caso in cui invece dette informazioni vengano fornite, gli Stati membri dovranno esaminarle e rivederle, entro un termine di 30 giorni, per verificare se vi sia un utilizzo dei prodotti/ tecnologie in questione in violazione dei diritti umani o del diritto umanitario internazionale.
A seguito di tale revisione, qualora tutti gli Stati membri concordino sulla necessità di imporre un obbligo di autorizzazione per operazioni identiche a quella oggetto di revisione, la Commissione pubblicherà in Gazzetta ufficiale le informazioni relative ai prodotti di sorveglianza informatica in questione e, se del caso, alle destinazioni analizzate che, da quel momento, saranno a soggette all’obbligo di autorizzazione.
Il legislatore europeo ha ampliato l’utilizzo delle catch-all clause non solo per intensificare i controlli sulle tecnologie di sorveglianza informatica, ma altresì per regolare e sottoporre a controllo diverse altre fattispecie; di esse ci occuperemo nel prossimo approfondimento.