Varonis announces strategic partnership with Microsoft to accelerate the secure adoption of Copilot.

Learn more

What is ITAR Compliance? Definition and Regulations

ITAR regola la produzione, la vendita e la distribuzione di hardware, dati e documentazione militare, di difesa e spaziale. Ecco un elenco dei requisiti di conformità ITAR e delle sanzioni che devi conoscere.
Michael Buckbee
4 minuto di lettura
Ultimo aggiornamento 19 settembre 2023

L'International Traffic in Arms Regulations (ITAR) è il regolamento statunitense che controlla la produzione, la vendita e la distribuzione di articoli e servizi spaziali e di difesa, secondo le definizioni riportate nella United States Munitions List (USML).

Oltre a lanciarazzi, siluri e altra attrezzatura militare, l'elenco USLM delinea piani, diagrammi, immagini e altra documentazione utilizzata per creare l'equipaggiamento militare controllato dall'ITAR, materiale che viene definito come "dati tecnici".

Leggi la guida essenziale gratuita alla conformità e alle normative sulla protezione dei dati negli Stati Uniti.

L'ITAR richiede che l'accesso a materiali fisici o dati tecnici relativi alle tecnologie militari e di difesa sia limitato solo ai cittadini statunitensi. Come può un'azienda garantire che solo i cittadini statunitensi possano accedere ai dati in rete in conformità con le disposizioni ITAR? Limitare l'accesso ai materiali fisici è semplice, ma per i dati digitali le cose si complicano.

Chi deve rispettare la conformità ITAR?

chi deve rispettare la conformità ITAR?

Tutte le aziende che gestiscono, producono, progettano, vendono o distribuiscono articoli contenuti nell'USML devono essere conformi a ITAR. Il Directorate of Defense Trade Controls (DDTC) del Dipartimento di Stato degli Stati Uniti d'America gestisce l'elenco delle aziende che possono trattare beni e servizi USML, mentre la creazione di politiche che rispettino le normative ITAR è a carico di ciascuna azienda.

  • Grossisti
  • Distributori
  • Fornitori di software e hardware
  • Fornitori di terze parti
  • Appaltatori

Tutte le aziende della filiera devono essere conformi all'ITAR. Se l'azienda A vende una parte all'azienda B e poi l'azienda B vende la stessa parte a una potenza straniera, anche l'azienda A viola l'ITAR.

Normative ITAR

Le normative ITAR sono semplici: solo i cittadini statunitensi possono accedere agli articoli dell'elenco USML.

Le normative ITAR rappresentano un problema per diverse aziende statunitensi. Un'azienda con sede negli Stati Uniti ma operante all'estero ha il divieto di condividere i dati tecnici ITAR con i dipendenti locali, salvo ove diversamente autorizzato dal Dipartimento di Stato. Lo stesso principio si applica quando le aziende statunitensi lavorano con subappaltatori di altri paesi.

Il Dipartimento di Stato può emettere alcune esenzioni a questa regola, e ce ne sono di già previste, stabilite per scopi specifici. Un esempio possono essere alcuni paesi che, attualmente, hanno contratti con gli Stati Uniti che riguardano anche l'ITAR, come Australia, Canada e Regno Unito.

Il governo degli Stati Uniti richiede di implementare un programma documentato sulla conformità ITAR, che deve includere il tracciamento, il monitoraggio e il controllo dei dati tecnici. Oltre ai dati tecnici, è opportuno anche etichettare ciascuna pagina con un avviso o un indicatore ITAR, in modo che i dipendenti non comunichino accidentalmente informazioni controllate a utenti non autorizzati.

L'ITAR serve a monitorare materiali sensibili di forze armate e difesa e per far sì che il materiale non entri in possesso di nemici degli Stati Uniti. La non conformità può comportare pesanti sanzioni e danni significativi al marchio e alla reputazione, per non parlare della potenziale perdita di affari in favore di un'azienda concorrente conforme.

Sanzioni per le violazioni di conformità ITAR

Sanzioni per le violazioni di conformità ITAR
Le sanzioni per le violazioni ITAR sono estremamente severe:

  • Sanzioni civili fino a 500.000 $ per violazione
  • Sanzioni penali fino a 1 milione di dollari e/o 10 anni di reclusione per violazione

Nell'aprile del 2018, il Dipartimento di Stato ha comminato a FLIR Systems, Inc 30 milioni di dollari di sanzioni civili per aver trasferito dati USML a due dipendenti nazionali. Parte della sanzione richiede che FLIR adotti misure di conformità migliori e ingaggi un funzionario esterno per supervisionare il proprio accordo con il Dipartimento di Stato.

Nel 2007, ITT ha ricevuto una multa da 100 milioni di dollari per aver esportato illegalmente visori notturni. ITT pensava di riuscire ad aggirare le restrizioni ma, il Governo degli Stati Uniti la pensava diversamente.

Tipologia di articoli per la difesa

L'USML prevede 21 categorie di articoli per la difesa. Un articolo per la difesa può essere qualsiasi voce presente in questo elenco lungo ed estremamente specifico.

    1. Armi da fuoco, armi d'assalto e fucili da combattimento
    2. Pistole e armi
    3. Munizioni/ordigni
    4. Veicoli da lancio, missili guidati, missili balistici, razzi, siluri, bombe e mine
    5. Materiali esplosivi e energetici, propellenti, agenti incendiari e loro componenti
    6. Navi da guerra di superficie e apparecchiature navali speciali
    7. Veicoli a terra
    8. Aerei e articoli correlati
    9. Attrezzatura per addestramento militare
    10. Equipaggiamento protettivo individuale
    11. Apparecchiature elettroniche militari
    12. Attrezzatura per controllo del fuoco, laser, imaging e guida alla mira
    13. Materiali e articoli vari
    14. Agenti tossicologici compresi agenti chimici e biologici e relative apparecchiature
    15. Veicoli spaziali e articoli correlati
    16. Armi nucleari e articoli correlati
    17. Articoli classificati, dati tecnici e servizi di difesa non altrimenti indicati
    18. Armi ad energia diretta
    19. Motori per turbine a gas e attrezzature correlate
    20. Navi sommergibili e articoli correlati
    21. Articoli, dati tecnici e servizi di difesa non altrimenti indicati

Come proteggere i dati ITAR

Alla luce delle sanzioni ITAR, è opportuno proteggere i dati digitali con il maggior numero possibile di livelli di sicurezza. Poiché l'ITAR è un regolamento federale degli Stati Uniti, le sue linee guida per la sicurezza dei dati sono un ottimo punto di partenza. NIST SP 800-53 definisce gli standard e le linee guida che le agenzie federali devono seguire, e qualsiasi azienda che gestisce materiali regolamentati ITAR deve utilizzare NIST SP 800-53 come base per i propri standard di sicurezza. Segui questi principi di base per proteggere i tuoi dati ITAR:

  • Scopri e classifica i dati sensibili
    Individua e proteggi tutti i dati sensibili
    Classifica i dati in base alle politiche aziendali
  • Mappa i dati e le autorizzazioni
    Identifica utenti, gruppi, cartelle e autorizzazioni dei file
    Determina chi può avere accesso a quali dati
  • Gestisci il controllo degli accessi
    Identifica e disattiva gli utenti obsoleti
    Gestisci le appartenenze di utenti e gruppi
    Rimuovi i gruppi di accesso globali
    Implementa un modello con privilegi minimi
  • Monitora i dati, le attività dei file e i comportamenti degli utenti
    Esegui controlli e report sui file e sulle attività degli eventi
    Controlla minacce interne, malware, configurazioni errate e violazioni di sicurezza
    Rileva le vulnerabilità di sicurezza e correggile

FAQ sulla conformità ITAR

  1. In che modo Varonis può aiutarmi a trovare tutti i miei dati ITAR?
    Data Classification Engine identifica e classifica i dati regolamentati sui tuoi data store di base, sia on-prem che sul cloud. Puoi configurare le regole per identificare i dati ITAR e applicare tag personalizzati, contrassegni e note ai dati regolamentati.
  2. Chi può accedere a questi dati ITAR?
    DatAdvantage di Varonis esegue la scansione dei tuoi file system per analizzare le autorizzazioni di tutti i tuoi dati, compresi i dati ITAR. Comprendere chi può accedere a questi dati è il primo passo per proteggerli dagli accessi illegali. Con DatAdvantage, queste informazioni sono visibili in modo grafico su una user interface trasparente e intuitiva, oppure come report esportabile.
  3. Come faccio a sapere se qualcuno ha avuto accesso ai miei dati ITAR?
    DatAlert di Varonis monitora e attiva gli avvisi quando viene eseguito l'accesso ai dati o a una cartella di dati ITAR. Puoi individuare, contrassegnare e indagare qualsiasi comportamento o attività insolita sui tuoi dati ITAR e mantenere un audit trail completo per aiutarti a soddisfare le normative ITAR.
  4. Come faccio a gestire l'accesso ai dati ITAR?
    L'Automation Engine ripara e mantiene automaticamente le autorizzazioni del file system, mantenendo bloccati i dati ITAR e contribuendo a raggiungere un modello con privilegio minimo. Varonis DataPrivilege aiuta a semplificare la governance degli accessi, applicare automaticamente le policy di sicurezza e dimostrare la conformità agli audit governativi.

Vuoi saperne di più su come gestire i tuoi dati ITAR per soddisfare i requisiti di conformità? Richiedi una demo 1:1 con un ingegnere della sicurezza e scopri in che modo Varonis può aiutarti.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.

Try Varonis free.

Get a detailed data risk report based on your company’s data.
Deploys in minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.