Ottenere lo status di AEOS (Sicurezza) richiede la protezione dell’intera catena di approvvigionamento internazionale da minacce e manomissioni. La sicurezza non si limita ai confini aziendali, ma è strettamente collegata all’affidabilità e agli standard di sicurezza adottati dai partner commerciali.
La responsabilità estesa dell’AEO
In base al Codice Doganale dell’Unione, l’Operatore Economico Autorizzato è responsabile del segmento di competenza nella supply chain. Tuttavia, la sicurezza delle merci dipende anche dagli standard applicati dai partner. Un AEO deve garantire che fornitori e clienti rispettino gli obblighi di sicurezza previsti dalla normativa. Pur non essendo obbligatoria la certificazione AEO per tutti i partner, l’operatore deve dimostrare che questi applicano standard di sicurezza accettabili.
Verifica e contrattualistica: blindare gli accordi
L’articolo 28, par. 1, lett. d) del RE stabilisce che l’operatore deve adottare misure per identificare i partner e garantire la sicurezza tramite accordi contrattuali idonei. In particolare, per i fornitori di servizi IT o logistici è necessario inserire clausole che prevedano:
- L’obbligo di protezione dei sistemi informatici contro manipolazioni non autorizzate.
- Il divieto di subappaltare servizi a terzi sconosciuti senza garanzie di sicurezza.
- La protezione dei dati aziendali e doganali contenuti nei contratti.
- L’impegno del partner a segnalare tempestivamente eventuali incidenti di sicurezza.
Audit sui partner: verificare l’efficacia
La conformità agli standard di sicurezza non può basarsi solo su accordi scritti. È necessario implementare procedure di monitoraggio regolare attraverso:
- Audit di sicurezza condotti direttamente o da esperti terzi presso le sedi dei partner.
- Visite regolari nei locali del fornitore per verificare il rispetto delle norme fisiche e informatiche.
- Richiesta di dichiarazioni di sicurezza o certificazioni internazionali, come la ISO 27001, che attestino il livello di protezione del partner.
FAQ – La Sicurezza dei Partner Commerciali
-
È obbligatorio che i fornitori siano AEO?
No. L’operatore non è tenuto a esigere che i partner siano certificati AEO. Tuttavia, deve garantire che essi rispettino standard di sicurezza adeguati per proteggere la catena di approvvigionamento.
-
Come si verifica la sicurezza di un fornitore IT?
La verifica avviene attraverso l’analisi dei processi di protezione dei dati, la richiesta di certificazioni ISO 27001, l’invio di questionari di autovalutazione o lo svolgimento di audit tecnici e ispezioni in loco.
-
Quali clausole contrattuali sono raccomandate?
Si raccomandano clausole sulla protezione del sistema informatico, obblighi di notifica in caso di incidenti, il diritto di effettuare audit e restrizioni sul subappalto a terzi non identificati.
-
L’operatore AEO resta responsabile in caso di incidente presso un fornitore?
Sì. L’operatore economico può esternalizzare le attività tecniche, ma non può esternalizzare la responsabilità del rispetto dei criteri AEO di fronte alle autorità doganali.
-
La valutazione dei rischi deve includere la supply chain digitale?
Sì. L’analisi dei rischi e delle minacce deve coprire tutti gli aspetti rilevanti per le attività doganali, inclusi i sistemi informatici, i fornitori di servizi esterni e la sicurezza delle informazioni scambiate con i partner.
Lo status AEOS impone di monitorare costantemente i partner commerciali, garantendo la sicurezza della supply chain anche sul piano digitale e contrattuale, secondo quanto richiesto dalla normativa vigente.