compliance e AEO

Programma di controllo interno: compliance, AEO e modello di organizzazione e gestione ai fini del decreto legislativo 231/2001

Aprile 12, 2026 /

La complessità del quadro politico internazionale, con le sue turbolenze imprevedibili, impone agli operatori economici una sempre maggiore attenzione nei confronti della corretta gestione di ogni forma di compliance legata al commercio (import/export/collaborazioni commerciali) con paesi al di fuori dell’Unione europea. Infatti, sanzioni penali, amministrative e reputazioni potrebbero ridurre e azzerare eventuali successi.

In quest’ottica, la prima opera attività che l’operatore economico deve svolgere è una ricognizione completa ed approfondita delle aree di rischio legate all’operatività doganale e commerciale.

In via preliminare, ciò implica che l’operatore economico abbia una piena padronanza dei seguenti processi:

  1. Classificazione doganale dei prodotti importati ed esportati realizzata sulla base delle peculiarità oggettive ed essenziali e all’effettivo impiego degli stessi. Tale processo richiede un’adeguata conoscenza del sistema di classificazione (HS, TARIC, NC), delle informazioni tariffarie vincolanti, note interpretative e eventuali regolamenti unionali. La classificazione doganale è un’analisi la cui attendibilità ed adeguatezza deve essere tenuta sempre sotto controllo poiché gli elementi su cui si fonda possono variare o rilevarsi fallaci;
  2. Origine preferenziale e non preferenziale. L’origine preferenziale deve basarsi su una serie di processi volti a: 1) raccogliere le dichiarazioni del fornitore o le evidenze richieste dalle regole d’origine; 2) calcolare l’origine; 3) dichiarare l’origine. L’origine preferenziale si basa sulla vigenza di un accordo di libero scambio il quale dispone le norme richieste per il riconoscimento di tale status. L’origine non preferenziale, invece, si basa sulla lavorazione sostanziale e determina la nazionalità economica del bene. In altre parole, l’origine preferenziale rappresenta un elemento eventuale del bene oggetto di importazione/esportazione mentre l’origine non preferenziale (made in) costituisce un elemento imprescindibile del prodotto.
  3. Al prodotto viene attribuito un valore doganale determinato secondo le regole disposte dal WTO e dalla disciplina unionale.

Dopo questa rapida carrellata degli elementi sintomatici dell’obbligazione doganale, è opportuno sul primo e sul secondo (origine non preferenziale) poiché questi rappresentano la base trasversale per l’interpretazione del quadro normativo sanzionatorio delineato dall’Unione europea in materia di esportazione di beni a duplice uso (dual use), sanzioni commerciali oggettive (si ricordi, ad esempio, al nutrito elenco di sanzioni nei confronti della Russia). Quindi, in un’ottica di “trade compliance” rivestono un ruolo centrale: sono i primi strumenti per affrontare la compliance in azienda. Ci sono, poi, le sanzioni commerciali soggettive che impediscono la conclusione di affari con una serie di persone fisiche e giuridiche.

Ma quanto sopra tratteggiato non è sufficiente per gestire in modo efficace la complessità dei rischi legati al commercio internazionale. Infatti, oltre alla ricognizione del rischio aziendale (risk assessment), l’operatore economico deve dotarsi di un internal compliance programm (IPC) o programma interno di compliance (PIC) il quale permette di conoscere e fotografare i processi aziendali e i ruoli delle persone dentro e fuori l’azienda e consente di comprendere in anticipo il comportamento da adottare in determinate circostante e alla luce della formazione interna assicurata.

Come si crea un IPC(internal compliance programm )/PIC (programma interno di compliance)?

La creazione di un IPC/PIC dovrebbe essere realizzata sulla base degli elementi indicati nella Raccomandazione UE 2019/1318 della Commissione, del 30 luglio 2019.

PRIMO ELEMENTO: L’impegno dell’alta dirigenza

Il primo elemento del programma interno di compliance è rappresentato dall “impegno dell’alta dirigenza a garantire la conformità”.

Il programma di compliance interno deve creare una chiara leadership del processo e promuovere la cultura aziendale della conformità per i controlli del commercio dei prodotti a duplice uso e quelli oggetto di sanzioni.

Gli obiettivi da raggiungere con il coinvolgimento dell’alta dirigenza sono:

  1. Redazione di una dichiarazione che attesti, in modo chiaro ed inequivocabile, l’impegno dell’azienda nel rispettare tutte le disposizioni legislative e regolamentari dell’UE e dello Stato membro in materia di controlli del commercio dei prodotti a duplice uso;
  2. Enucleazione delle aspettative specifiche del top management in termini di conformità insieme alla specifica attenzione verso l’importanza e il valore attribuiti a procedure di conformità efficaci;
  3. Condividere in modo chiaro, completo e regolare la suddetta dichiarazione di impegno aziendale a tutti i dipendenti anche se non direttamente coinvolti da processi interni aventi ad oggetto beni a duplice uso.

SECONDO ELEMENTO: L’adeguata struttura organizzativa

Il programma di compliance interno deve generare e rappresentare un’adeguata struttura organizzativa aziendale in cui siano visibili le responsabilità distribuite tra i dipendenti, se del caso, anche all’interno del territorio unionale.

In quest’ottica, l’operatore economico dovrebbe disporre di una struttura organizzativa interna che è definita per iscritto (per esempio in un organigramma) e che consente di effettuare controlli interni di conformità.

E’ necessario:

  1. identificare e nominare il soggetto cui è affidata la responsabilità generale di garantire il rispetto degli impegni di conformità aziendale;
  2. garantire che tutte le mansioni, le funzioni e le responsabilità relative alla conformità siano definite, assegnate e collegate tra loro secondo un ordine che assicuri controllo, consapevolezza e capacità di intervento al personale direttivo la conformità globale dell’impresa.

Partendo da queste considerazioni di carattere generale, l’organizzazione aziendale dovrebbe essere strutturata in modo tale da possedere soggetti deputati al controllo di flussi doganali internazionali aventi ad oggetto beni a duplice uso o potenzialmente tali o assoggettabili alle misure sanzionatorie.

Altresì, l’impresa dovrebbe:

  1. individuare, definire e assegnare chiaramente tutte le funzioni, le mansioni e le responsabilità in materia di conformità, eventualmente in un organigramma. Questa ripartizione di competenze e prerogative dovrebbe essere resa nota, in modo efficace, all’interno dell’azienda; è importante che siano noti i soggetti deputati al controllo dei flussi aventi ad oggetto beni dual use o potenzialmente tali. In quest’ottica è fondamentale che siano accessibile a chiunque i contatti di colui il quale si occupa di flussi aventi ad oggetto i predetti beni;
  2. il personale esporto della legislazione sui beni a duplice uso dovrebbe essere messo nella condizione di orientare le decisioni dell’impresa, in modo da garantire la conformità delle transazioni;
  3. documentare e distribuire tutte le politiche e procedure in materia di controllo del commercio dei prodotti a duplice uso a tutto il personale interessato;
  4. raccogliere tutte le politiche e le procedure documentate, eventualmente sotto forma di manuale di conformità.

TERZO ELEMENTO: La formazione e la sensibilizzazione

 Il terzo elemento del PIC è costituito dalla “formazione e sensibilizzazione” in materia di controllo del commercio dei prodotti.

Nello specifico, l’obiettivo di questa linea guida è garantire che il personale interessato sia adeguatamente aggiornato in merito a tutte le pertinenti norme in materia di controllo delle esportazioni, nonché del PIC dell’impresa e di tutte le relative modifiche.

Dal punto di vista operativo, la formazione deve essere obbligatoria e periodica a tutto il personale destinato al controllo del commercio dei prodotti a duplice uso; inoltre, deve essere capace di:

  1. garantire che tutti i dipendenti interessati siano a conoscenza di tutti gli elenchi di controllo, le leggi, le norme e le politiche in materia di controllo del commercio dei prodotti a duplice uso, nonché di tutte le relative modifiche, non appena questi siano resi pubblici delle autorità competenti;
  2. avviare attività di sensibilizzazione generale per tutti i dipendenti e attività di formazione;
  3. valutare, ove opportuno, la possibilità di avvalersi delle iniziative di formazione nazionali o dell’UE in materia di controllo del commercio dei prodotti a duplice uso;
  4. integrare gli insegnamenti tratti da valutazioni delle prestazioni, audit, segnalazioni e misure correttive, ove possibile, nei corsi di formazione o nei programmi di sensibilizzazione sulle esportazioni offerti.

QUARTO ELEMENTO: I processi e procedure di verifica delle transazioni

Il quarto punto del PIC è rappresentato dai “processi e procedure di verifica delle transazioni” che consistono nelle misure interne dell’impresa volte a garantire che non sia effettuata alcuna transazione senza la licenza richiesta o in violazione di qualsiasi restrizione o divieto commerciale rilevante.

In estrema sintesi e senza alcuna pretesa esaustiva, le procedure di verifica delle transazioni devono raccogliere e analizzare informazioni riguardanti:

  1. la classificazione dei prodotti per beni, software e tecnologia. E’ necessario riservare particolare attenzione alla classificazione dei componenti e dei pezzi di ricambio a duplice uso nonché alla classificazione dei software e della tecnologia a duplice uso che possono essere trasmessi tramite posta elettronica oppure essere resi disponibili attraverso, altri tipi di tecnologie informatiche. Parimenti, è opportuno ottenere informazioni in merito al possibile abuso dei prodotti a duplice uso. E’, poi, auspicabile chiedere informazioni al fornitore (o ai fornitori) in merito alla classificazione come prodotti a duplice uso dei materiali, componenti e sottosistemi trattati o integrati dall’impresa, compresi i macchinari utilizzati per la produzione. È comunque responsabilità dell’impresa verificare la classificazione ricevuta dal fornitore (o dai fornitori). Per terminare sul punto, è ragionevole affermare l’importanza di condividere le suddette informazioni all’interno dell’impresa.
  2. la valutazione del rischio della transazione. Nello specifico, dovrebbe sostanziarsi nei controlli sulle «destinazioni ed entità sensibili» o soggette a embargo o sanzioni commerciali oppure sulle parti coinvolte e sugli usi finali dichiarati includendo anche la verifica del rischio di sviamento di destinazione.

La verifica del flusso di beni impone all’operatore economico di sincerarsi che nessuna delle parti interessate sia soggetta a misure restrittive (sanzioni) consultando gli elenchi aggiornati delle sanzioni e che l’uso finale dei beni esportati non violi la normativa unionale e quella nazionale.

Per tale ragione, anche in assenza di una norma nazionale che obblighi a presentare una dichiarazione relativa all’uso anche finale correttamente compilata e sottoscritta, tale dichiarazione può rappresentare uno strumento utile per verificare l’affidabilità dell’utilizzatore finale/del destinatario.

Viene, poi, l’attenzione da porre nei confronti dello sviamento di destinazione e dei segnali di richieste di informazioni o di ordini sospetti, valutando per esempio se l’uso finale dichiarato è coerente con le attività e/o i mercati dell’utilizzatore finale.

Si inserisce in quest’analisi il concetto di “conoscenza dell’operatore economico” dell’esistenza di informazioni che destano preoccupazione circa l’uso finale dichiarato.

In caso in cui vi sia questa consapevolezza rafforzata dal confronto con le autorità competenti, l’operatore economico deve bloccare l’operazione commerciale.

La gestione di questa situazione richiede la presenza di procedure interne. Occorre garantire che l’esportazione, trasferimento, intermediazione, transito non avvengano senza l’autorizzazione dell’autorità competente attraverso una procedura aziendale capace di raccogliere e gestire i dati per determinare l’esigenza di richiedere un’autorizzazione.

  1. Il rischio, inoltre, dovrebbe essere descritto anche in relazione ai «controlli omnicomprensivi» sui prodotti a duplice uso che non figurano negli elenchi.
  2. la determinazione della licenza e la relativa domanda nonché i controlli successivi al rilascio della licenza compresi il controllo della spedizione e il rispetto delle condizioni dell’autorizzazione.

Parimenti, le misure in esame dovrebbero permettere di sviluppare e mantenere un determinato livello di attenzione per quanto riguarda la gestione delle richieste di informazioni o degli ordini sospetti.

Si tratta di un’attenzione che si manifesta prima della spedizione del bene giacchè proprio prima della perdita della disponibilità fisica del prodotto occorrerebbe effettuare un controllo finale al fine di verificare che siano state adottate tutte le misure necessarie per garantire la conformità. Ma, in realtà, c’è di più: infatti, la verifica che si dovrebbe realizzare richiede anche la valutazione di cambiamenti normativi intercorsi oppure modifiche all’interno dei soggetti coinvolti dall’operazione commerciale.

QUINTO ELEMENTO: valutazione delle prestazioni, audit, segnalazioni e azioni correttive

Bisogna considerare il quinto punto del PIC e cioè  la “valutazione delle prestazioni, audit, segnalazioni e azioni correttive” poiché la gestione della compliance di un operatore economico rispetto alla disciplina sui beni a duplice uso richiede un programma interno che sia dinamico e capace di rispondere e descrivere i cambiamenti all’interno dell’organizzazione aziendale.

In particolare, l’impresa è tenuta ad elaborare procedure di valutazione delle prestazioni per verificare le attività quotidiane di conformità all’interno dell’impresa nonché accertare che le operazioni di controllo delle esportazioni siano svolte in maniera adeguata nel rispetto del PIC.

Per l’effetto, la valutazione delle prestazioni è effettuata internamente e permette l’individuazione precoce dei casi di non conformità e l’adozione di misure di follow-up per contenere i danni.

Alla luce di quanto indicato in merito alla quinta linea guida indicata dalla Raccomandazione 2019/1318 della Commissione, del 30 luglio 2019, si può ragionevolmente affermare che è opportuno:

  1. prevedere meccanismi di controllo casuale nell’ambito delle operazioni quotidiane;
  2. promuovere l’approccio basato sul “principio del doppio controllo”, che prevede che le decisioni in merito al controllo del commercio siano riesaminate e ricontrollate una seconda volta;
  3. Predisporre ed effettuare audit per verificare la formulazione, l’adeguatezza e l’efficienza del PIC;
  4. Garantire che l’audit copra tutti gli aspetti del programma interno di conformità;
  5. Assicurarsi che i dipendenti si sentano sicuri e tranquilli quando, in buona fede, pongono domande o manifestano preoccupazioni relative alla conformità;
  6. Come richiesto anche in sede di AEO, istituire procedure relative alla segnalazione delle irregolarità e all’attivazione dei livelli successivi di intervento per disciplinare gli interventi dei dipendenti di fronte a casi sospetti o noti di non conformità.
  7. Documentare per iscritto qualsiasi sospetto di violazione della legislazione nazionale e dell’UE in materia di controllo dei prodotti a duplice uso e le relative misure correttive;
  8. Predisporre azioni correttive efficaci per adattare le operazioni di controllo delle esportazioni o il PIC ai risultati della valutazione delle prestazioni, dell’audit del sistema PIC o delle segnalazioni.

 

SESTO ELEMENTO: la predisposizione di registi

 

Il sesto elemento su come impostare un PIC è la predisposizione di registi per tracciare in modo proporzionale e accurato, le attività di controllo del commercio dei prodotti a duplice uso.

Vale la pena segnalare che la tenuta in registro di alcuni documenti è obbligatoria per legge, ma la conservazione di altri documenti   può anche rispondere agli interessi dell’impresa.

La registrazione e la corretta archiviazione di tutti i documenti richiesti consentono una ricerca e un recupero più efficienti durante lo svolgimento delle attività quotidiane di controllo del commercio dei prodotti a duplice uso nonché durante gli audit periodici.

Da un punto di vista operativo le misure da adottare sono:

  1. La verifica dei requisiti giuridici in materia di tenuta dei registri con riferimento alla legislazione dell’UE o dello Stato membro dell’UE in cui ha sede l’impresa;
  2. Istituzione di un sistema adeguato all’archiviazione e al recupero dei documenti relativi al controllo del commercio dei prodotti a duplice uso;
  3. Conservazione dei documenti relativi al controllo delle esportazioni effettuata in maniera coerente e che possano essere messi tempestivamente a disposizione dell’autorità competente o di altre parti esterne a fini di ispezione o audit.

 SETTIMO ELEMENTO: la sicurezza fisica e dei dati

Infine, il settimo pilastro di un PIC efficiente è rappresentato dalla sicurezza sia fisica sia delle informazioni (dati): si riferisce all’insieme di procedure interne volte a prevenire l’accesso non autorizzato a prodotti a duplice uso, oppure la loro rimozione, da parte di dipendenti, contraenti, fornitori o visitatori.

Tali procedure promuovono una cultura della sicurezza all’interno dell’impresa e garantiscono che i prodotti a duplice uso, compresi i software e la tecnologia, non vadano persi, non siano facilmente rubati né siano esportati senza una licenza valida.

Lo standard della sicurezza impone di:

  1. introdurre procedure e misure protettive di base per garantire la sicura archiviazione elettronica di software e tecnologie a duplice uso oggetto di controllo, compresi controlli antivirus, crittografia dei file, audit trail e log, controllo dell’accesso degli utenti e firewall. Se applicabile all’impresa, considerare la possibilità di adottare misure protettive per caricare software o tecnologie nel «cloud», archiviarli nel «cloud» o trasmetterli tramite «cloud»;
  2. garantire, sulla base della valutazione del rischio effettuata dall’impresa, che i prodotti a duplice uso oggetto di controllo siano protetti contro la rimozione non autorizzata da parte di dipendenti o terzi.

Tra le misure che potrebbero essere prese in considerazione figurano, per esempio, la protezione fisica dei prodotti, l’istituzione di zone ad accesso limitato e il controllo dell’accesso o dell’uscita del personale.

La natura giuridica dell’AEO. Brevi considerazioni sulla diligenza qualificata

A.Elia G.Giannusa Riforma doganale e accise: tutto su obblighi, controlli e sanzioni con casi pratici e aggiornamenti normativi con focus su SOAC, AEO e compliance aziendale;