• 2/5/2021
  • 5 minuti per leggere
    • r

Sulla EAR

Il Dipartimento del Commercio degli Stati Uniti fa rispettare le normative sull’amministrazione delle esportazioni (EAR) attraverso il Bureau of Industry and Security (BIS). L’EAR governa ampiamente e impone controlli sull’esportazione e la riesportazione della maggior parte dei beni commerciali, del software e della tecnologia, compresi gli articoli “dual-use” che possono essere utilizzati sia per scopi commerciali che militari e alcuni articoli di difesa.

La guida della BIS sostiene che, quando i dati o il software vengono caricati sul cloud o trasferiti tra i nodi degli utenti, il cliente, non il fornitore del cloud, è l'”esportatore” che ha la responsabilità di garantire che i trasferimenti, l’archiviazione e l’accesso a tali dati o software siano conformi all’EAR.

Secondo la BIS, l’esportazione si riferisce al trasferimento di tecnologia protetta o dati tecnici a una destinazione straniera o il suo rilascio a una persona straniera negli Stati Uniti (indicato anche come una presunta esportazione). L’EAR regola ampiamente:

  • Esportazioni dagli Stati Uniti.
  • Riesportazioni o ritrasferimenti di articoli di origine statunitense e certi articoli di origine straniera con più di una parte minima di contenuto di origine statunitense.
  • Trasferimenti o divulgazioni a persone di altri paesi.

I prodotti soggetti all’EAR possono essere trovati sulla Commerce Control List (CCL) dove ad ogni prodotto è assegnato un unico ECCN (Export Control Classification Number). Gli articoli non elencati nella CCL sono designati come EAR99 e la maggior parte dei prodotti commerciali EAR99 non richiedono una licenza per essere esportati. Tuttavia, a seconda della destinazione, dell’utente finale o dell’uso finale dell’articolo, anche un articolo EAR99 può richiedere una licenza di esportazione BIS.

La regola finale, pubblicata nel giugno 2016, ha chiarito che i requisiti di licenza EAR non si applicherebbero anche alla trasmissione e allo stoccaggio di dati tecnici e software non classificati se fossero criptati end-to-end utilizzando moduli crittografici convalidati FIPS 140-2 e non fossero intenzionalmente conservati in un paese sottoposto a embargo militare o nella Federazione Russa.

Microsoft e l’EAR

Le tecnologie, i prodotti e i servizi di Microsoft sono soggetti all’Export Administration Regulations (EAR) degli Stati Uniti. Sebbene non esista una certificazione di conformità per la EAR, Microsoft Azure, Microsoft Azure Government e Microsoft Office 365 Government (ambienti GCCHigh e DoD) offrono caratteristiche e strumenti importanti per aiutare i clienti idonei soggetti alla EAR a gestire i rischi di controllo delle esportazioni e a soddisfare i loro requisiti di conformità.

Il Dipartimento del Commercio degli Stati Uniti, che fa rispettare la EAR, ha preso la posizione che i clienti, non i fornitori di servizi cloud come Microsoft, sono considerati esportatori dei dati dei propri clienti. Mentre la maggior parte dei dati dei clienti non è considerata “tecnologia” o “dati tecnici” soggetti al controllo delle esportazioni EAR, i servizi cloud Microsoft in-scope sono strutturati per aiutare i clienti a gestire e ridurre significativamente i potenziali rischi di controllo delle esportazioni che devono affrontare. Microsoft generalmente, ma non esclusivamente, raccomanda l’uso dei suoi servizi cloud governativi per i clienti idonei. Con una pianificazione appropriata, i clienti possono utilizzare i seguenti strumenti e le loro procedure interne per aiutare a garantire la piena conformità con i controlli sulle esportazioni degli Stati Uniti.

  • Controlli sulla posizione dei dati. I clienti hanno visibilità su dove sono archiviati i loro dati e accesso a strumenti robusti per limitarne l’archiviazione. Possono quindi garantire che i loro dati siano memorizzati negli Stati Uniti e ridurre al minimo il trasferimento di tecnologia controllata o dati tecnici al di fuori degli Stati Uniti. Inoltre, i dati dei clienti non sono memorizzati in un luogo non conforme, in linea con i divieti dell’AER su dove i dati sono “intenzionalmente memorizzati”: nessun data center di Azure si trova in uno dei 25 paesi del gruppo D:5 o nella Federazione Russa.
  • Crittografia end-to-end. Sfruttando il safe harbor della crittografia end-to-end per i luoghi di archiviazione fisica specificati nell’EAR, i servizi cloud Microsoft in-scope offrono funzioni di crittografia che possono aiutare a proteggere dai rischi di controllo delle esportazioni. Offrono inoltre ai clienti una vasta gamma di opzioni per la crittografia dei dati in transito e a riposo, e la flessibilità di scegliere tra le opzioni di crittografia.
  • Strumenti e protocolli per prevenire l’esportazione ritenuta non autorizzata. L’uso della crittografia aiuta anche a proteggere da una potenziale esportazione presunta (o riesportazione presunta) sotto l’EAR, perché anche se una persona non americana ha accesso ai dati crittografati, nulla viene rivelato se non può leggere o capire i dati mentre sono crittografati; quindi non c’è “rilascio” di dati controllati.

Servizi cloud in-scope di Microsoft

  • Azure e Azure Government
  • Office 365 Government (GCC-High e DoD)
  • Intune

Come implementare

Panoramica dei controlli sulle esportazioni statunitensi e guida per i clienti che valutano i loro obblighi ai sensi dell’EAR.

  • Azure
  • Office 365

Domande frequenti

Cosa devo fare per rispettare i controlli sulle esportazioni quando utilizzo i servizi cloud di Microsoft?

Secondo l’EAR, quando i dati vengono caricati su un server cloud come il cloud di Microsoft, il cliente che possiede i dati – non il fornitore di servizi cloud – è considerato l’esportatore. Per questo motivo, il proprietario dei dati – cioè il cliente Microsoft – deve valutare attentamente come il suo utilizzo del cloud Microsoft possa implicare i controlli sulle esportazioni statunitensi e determinare se i dati che vuole utilizzare o archiviare possono essere soggetti ai controlli EAR e, in caso affermativo, quali controlli si applicano. Per saperne di più su come i servizi cloud Azure e Office 365 possono aiutare i clienti a garantire la piena conformità ai controlli sulle esportazioni degli Stati Uniti.

Le tecnologie, i prodotti e i servizi Microsoft sono soggetti all’EAR?

La maggior parte delle tecnologie, dei prodotti e dei servizi Microsoft o:

  • Non sono soggetti alla EAR e quindi non sono sulla Commerce Control List e non hanno un ECCN;
  • Oppure sono EAR99 o 5D992 Mass Market-eleggibili per l’autoclassificazione da parte di Microsoft e possono essere esportati in paesi non soggetti a embargo senza una licenza come No License Required (NLR).

Detto questo, ad alcuni prodotti Microsoft è stato assegnato un ECCN che può richiedere o meno una licenza. Consultate l’EAR o un consulente legale per determinare il tipo di licenza appropriato e i paesi idonei ai fini dell’esportazione.

Qual è la differenza tra l’EAR e l’International Traffic in Arms Regulations (ITAR)?

I principali controlli sulle esportazioni statunitensi con la più ampia applicazione sono l’EAR, amministrato dal Dipartimento del Commercio degli Stati Uniti. L’EAR è applicabile ai prodotti a doppio uso che hanno applicazioni sia commerciali che militari, e ai prodotti con applicazioni puramente commerciali.

Gli Stati Uniti hanno anche regolamenti separati e più specializzati sul controllo delle esportazioni, come l’ITAR, che governa i prodotti e le tecnologie più sensibili. Amministrati dal Dipartimento di Stato americano, impongono controlli sull’esportazione, l’importazione temporanea, la riesportazione e il trasferimento di molti articoli militari, di difesa e di intelligence (noti anche come “articoli di difesa”), compresi i relativi dati tecnici.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.