Conformidade com o ITAR: o que é, a quem se aplica e o que as equipes de TI devem fazer

De acordo com o Relatório Kaseya sobre a Situação dos MSPs em 2026, a conformidade regulatória e a prestação de contas figuram entre as dez principais necessidades de serviços dos clientes de MSPs em 2026; e, para aqueles do setor de defesa, a conformidade com a ITAR é imprescindível. Baixe o relatório completo.

O ITAR (International Traffic in Arms Regulations, ou Regulamentos sobre o Tráfico Internacional de Armas) é o quadro de controle de exportações dos Estados Unidos que rege artigos de defesa, serviços de defesa e dados técnicos relacionados listados na Lista de Munições dos Estados Unidos (USML). Para equipes de TI e MSPs, a conformidade com o ITAR é relevante sempre que lidam com dados técnicos ou prestam serviços que se enquadram em seu âmbito, e as consequências de uma violação são graves.

Ao contrário da maioria das estruturas de conformidade, nas quais as penalidades são financeiras, as violações da ITAR podem resultar em processo criminal, exclusão de contratos governamentais e responsabilidade pessoal dos funcionários. É essencial compreender se a ITAR se aplica e quais são suas exigências antes de aceitar qualquer projeto no setor de defesa. As ferramentas de conformidade da Kaseya oferecem suporte à gestão de conformidade em múltiplas estruturas para MSPs que atendem a empreiteiras do setor de defesa e clientes ligados ao governo federal.

O que é o ITAR?

O ITAR é administrado pela Diretoria de Controle do Comércio de Defesa (DDTC) do Departamento de Estado dos Estados Unidos. Ele dá cumprimento à Lei de Controle da Exportação de Armas, regulamentando a exportação e a importação de materiais e serviços relacionados à defesa, a fim de impedir que tecnologia militar sensível chegue às mãos de adversários.

O regulamento controla os itens da Lista de Munições dos Estados Unidos (USML), que inclui sistemas de armas, equipamentos eletrônicos militares, veículos espaciais, materiais nucleares, bem como os dados técnicos e serviços de defesa relacionados a esses itens. A USML possui 21 categorias, e muitos itens que não são obviamente “armas” estão incluídos em seu âmbito, incluindo simuladores de treinamento, determinados softwares com aplicações militares e dados técnicos sobre itens controlados.

A USML foi revisada em setembro de 2025, com a remoção de itens que não eram mais considerados suficientemente sensíveis para justificar o controle e a inclusão de outros. As organizações que anteriormente determinaram que o ITAR não se aplicava ao seu trabalho devem rever essa avaliação caso operem nos setores aeroespacial, de tecnologia espacial ou em categorias de tecnologias emergentes que estavam abrangidas pela revisão.

O ITAR é distinto, mas está relacionado ao EAR (Regulamentos de Administração de Exportações), administrado pelo Departamento de Comércio, que abrange itens de dupla utilização: produtos comerciais com possíveis aplicações militares. Itens que não constam na USML, mas que têm relevância para o controle de exportações, podem, em vez disso, estar sujeitos ao EAR.

A quem se aplica a ITAR

O ITAR aplica-se a pessoas dos EUA, cidadãos, residentes permanentes e entidades constituídas nos EUA que fabricam, exportam, importam temporariamente ou atuam como intermediários de artigos ou serviços de defesa.

O termo “exportação”, no âmbito do ITAR, tem um significado técnico mais amplo do que a maioria das pessoas imagina:

• O fornecimento de dados técnicos a um cidadão estrangeiro que se encontre nos Estados Unidos é considerado uma “exportação presumida”, tratada como uma exportação para o seu país de origem
• Permitir o acesso a dados técnicos sujeitos ao ITAR fora dos Estados Unidos, inclusive por meio de armazenamento em nuvem acessível do exterior, constitui uma exportação
• A transferência de dados técnicos sujeitos ao ITAR para uma entidade estrangeira, ou a concessão de acesso a esses dados a cidadãos estrangeiros, requer autorização

Os requisitos do ITAR também se estendem por toda a cadeia de suprimentos. Subcontratados, fornecedores de ferramentas e prestadores de serviços que recebem, processam ou armazenam dados controlados pelo ITAR devem, por sua vez, manter a conformidade. Um MSP que assume um contrato com uma empresa do setor de defesa não herda apenas a obrigação de conformidade do cliente: ele assume a sua própria.

Para equipes de TI e MSPs, isso significa que qualquer projeto que envolva dados técnicos sujeitos à ITAR exige o conhecimento da nacionalidade de todos os funcionários com acesso, a localização de cada sistema onde os dados estão armazenados ou são acessíveis e as autorizações de exportação aplicáveis.

O que é considerado dado técnico sujeito ao ITAR

Os dados técnicos, nos termos da ITAR, referem-se às informações necessárias para o projeto, desenvolvimento, produção, fabricação, montagem, operação, reparo, teste, manutenção ou modificação de artigos de defesa. Isso inclui:

• Desenhos técnicos, especificações e documentos de projeto
• Software diretamente relacionado ao hardware controlado por USML
• Processos de fabricação para itens USML
• Especificações de desempenho e dados de testes para artigos de defesa

Nem todos os dados técnicos das empresas contratadas pelo setor de defesa estão sujeitos ao ITAR. A questão fundamental é se as informações são necessárias para o desenvolvimento, a produção ou a operação de um item listado na USML. As empresas sujeitas ao ITAR devem possuir um programa formal de controle de tecnologia (TCP) que classifique quais dados estão sujeitos ao ITAR em seu ambiente.

Uma equipe de TI ou um MSP que não consiga obter clareza sobre isso de um cliente do setor de defesa não está em condições de assumir o projeto com segurança. Antes de aceitar qualquer trabalho que envolva sistemas do setor de defesa, obtenha uma confirmação por escrito sobre quais dados são classificados como controlados pela ITAR e o que está abrangido pelo TCP do cliente.

O conceito de exportação e por que os sistemas de TI estão incluídos no escopo

O conceito de exportação presumida representa o maior desafio em termos de conformidade de TI. Um sistema que armazene dados técnicos sujeitos ao ITAR poderia ser considerado uma exportação se:

• O sistema pode ser acessado de fora dos Estados Unidos, incluindo o armazenamento em nuvem, sem restrições geográficas
• Um estrangeiro tem acesso ao sistema ou aos seus dados, incluindo administradores de TI
• O sistema é gerenciado ou acessado remotamente a partir de um local externo

No que diz respeito especificamente ao armazenamento em nuvem, o DDTC deixou claro que o armazenamento de dados controlados pelo ITAR em infraestruturas de nuvem acessíveis a partir de locais no exterior ou operadas nesses locais requer autorização de exportação ou o uso de infraestruturas de nuvem projetadas especificamente para conformidade com o ITAR. Isso significa que a residência dos dados deve ser exclusivamente nos EUA, com restrições de acesso a pessoas dos EUA e controles contratuais e técnicos adequados. Os níveis comerciais padrão de nuvem na AWS, no Microsoft 365 e no Google Workspace normalmente não atendem a esses requisitos sem uma configuração específica. Ambientes criados para fins específicos, como o AWS GovCloud e o Microsoft Azure Government, são projetados para cargas de trabalho elegíveis para o ITAR.

Há também uma preocupação crescente específica em relação à IA e às ferramentas de colaboração. Quando conteúdos sujeitos ao ITAR são processados por plataformas de IA, redigidos em ferramentas de colaboração ou transmitidos por meio de espaços de trabalho compartilhados, cada um desses fluxos constitui um potencial evento de exportação, caso uma pessoa estrangeira tenha acesso à ferramenta ou se os dados forem encaminhados por meio de infraestrutura estrangeira.

Para os MSPs, a implicação é direta. Se um MSP prestar serviços de TI a uma empresa contratada pelo setor de defesa que lida com dados sujeitos ao ITAR, e os técnicos do MSP incluírem cidadãos estrangeiros, ou se o MSP utilizar ferramentas com suporte no exterior ou acesso remoto, o MSP poderá estar cometendo violações de exportação em nome de seu cliente e para si mesmo.

O que a ITAR exige dos sistemas de TI e dos MSPs

Não existe uma lista de verificação de controles técnicos do ITAR comparável ao PCI DSS ou à HIPAA. A conformidade com o ITAR na área de TI consiste principalmente em controlar o acesso a dados técnicos, de modo que estes não cheguem a pessoas ou locais no exterior sem a devida autorização.

Localização de dados. Os dados técnicos sujeitos ao ITAR devem ser armazenados em sistemas fisicamente localizados nos Estados Unidos e não devem ser acessíveis de fora dos EUA sem autorização de exportação.

Controle de acesso por nacionalidade. O acesso a dados sujeitos ao ITAR deve ser restrito a cidadãos norte-americanos. Cidadãos estrangeiros, incluindo equipe de TI, prestadores de serviços e quaisquer administradores de sistema, não devem ter acesso a sistemas ou dados abrangidos pelo ITAR sem uma licença de exportação específica ou isenção aplicável.

Infraestrutura em nuvem exclusivamente nos EUA. O armazenamento em nuvem de dados sujeitos ao ITAR exige que os dados permaneçam exclusivamente nos EUA e que o acesso seja controlado por cidadãos americanos. Os principais provedores de nuvem oferecem configurações compatíveis com o ITAR por meio de níveis de nuvem governamentais. Os níveis comerciais padrão normalmente não atendem aos requisitos do ITAR.

Controles de acesso remoto. O acesso remoto a sistemas abrangidos pelo ITAR deve ser restrito a cidadãos norte-americanos que acessem a partir do território dos Estados Unidos. Soluções de VPN ou acesso remoto que permitam conexões a partir de qualquer localização geográfica não são adequadas para sistemas abrangidos pelo ITAR sem controles adicionais.

Controles de subcontratados e da cadeia de suprimentos. Os MSPs que acessam dados sujeitos à ITAR devem garantir que seus próprios subcontratados e fornecedores de ferramentas também controlem o acesso de forma adequada. Um MSP que utilize um serviço de propriedade estrangeira ou com equipe estrangeira para qualquer função relacionada a clientes abrangidos pela ITAR pode estar cometendo violações, independentemente da intenção.

Programa de Controle Tecnológico (TCP). As orientações do DDTC e as práticas do setor exigem um TCP documentado: políticas e procedimentos que abranjam a forma como os dados controlados pelo ITAR são identificados, armazenados, acessados e protegidos. Para as equipes de TI e os MSPs que atuam nessa área, o TCP é o equivalente, em termos de governança, a um programa de segurança HIPAA ou a um Plano de Segurança do Sistema CMMC.

Relação com o CMMC. A maioria das organizações que lidam com dados ITAR também está sujeita às normas do Departamento de Defesa, o que significa que as obrigações ITAR se sobrepõem aos requisitos da Certificação do Modelo de Maturidade em Cibersegurança (CMMC). Os dados técnicos controlados pela ITAR normalmente se qualificam como Informações Não Classificadas Controladas (CUI), o que faz com que os requisitos do Nível 2 da CMMC entrem em jogo. Os MSPs que prestam suporte a empreiteiras do setor de defesa devem tratar a ITAR e a CMMC como um programa de conformidade combinado, e não como fluxos de trabalho separados.

Consequências do incumprimento

As violações da ITAR são consideradas infrações federais graves. O ambiente de fiscalização tornou-se mais rigoroso nos últimos anos.

Sanções civis. A sanção civil máxima atual é de US$ 1.271.078 por infração, ou o dobro do valor da transação, o que for maior, a partir de janeiro de 2025. Cada divulgação ou exportação não autorizada constitui uma infração distinta, e o valor total da indenização pode aumentar rapidamente em caso de um padrão de descumprimento.

Sanções penais. Multas de até US$ 1 milhão por infração e pena de prisão de até 20 anos para infrações dolosas. A ação penal exige a comprovação de intenção consciente ou dolosa, um critério mais rigoroso do que o da ação civil.

Exclusão. As organizações que forem consideradas culpadas de violação do ITAR podem ser excluídas dos contratos com o governo dos EUA, o que, na prática, implica o fim da elegibilidade para trabalhos federais. O restabelecimento dos privilégios de exportação não é automático e requer um pedido formal ao Departamento de Estado.

A fiscalização está se intensificando. Em outubro de 2024, a RTX (antiga Raytheon) concordou em pagar mais de US$ 950 milhões para encerrar investigações que incluíam violações do ITAR e da Lei de Controle de Exportação de Armas, o maior acordo já registrado relacionado ao ITAR. O caso reforçou que a fiscalização está em pleno andamento, as penalidades são severas e as consequências vão muito além da multa imediata, abrangendo a supervisão obrigatória da conformidade e danos à reputação.

Divulgação voluntária. O DDTC mantém um programa de divulgação voluntária que, normalmente, resulta na redução das penalidades para as organizações que comunicam espontaneamente as violações. A divulgação voluntária é, em geral, preferível a esperar por medidas coercitivas e deve ser o primeiro passo quando se identifica uma possível violação.

Lista de verificação prática para conformidade com o ITAR

Para equipes de TI e MSPs que estão avaliando ou gerenciando projetos abrangidos pela ITAR:

• Confirme com o cliente quais dados estão sujeitos ao ITAR e analise o programa de controle tecnológico da empresa
• Verifique se todos os funcionários e prestadores de serviços com acesso a sistemas abrangidos pela ITAR são cidadãos dos EUA
• Confirme se o armazenamento em nuvem utilizado para dados ITAR possui localização exclusiva nos EUA e controles de acesso restritos a cidadãos americanos
• Restringir o acesso remoto a sistemas abrangidos pela ITAR a cidadãos norte-americanos que acessem a partir do território dos Estados Unidos
• Analisar todos os fornecedores de ferramentas e subcontratados quanto a riscos relacionados ao acesso de pessoas estrangeiras
• Avaliar ferramentas de IA e de colaboração quanto ao risco de exposição de dados sujeitos ao ITAR
• Estabelecer proteções contratuais adequadas que atendam às obrigações previstas no ITAR
• Documentar todas as medidas de conformidade para fins de auditoria
• Determinar se as obrigações do CMMC se sobrepõem ao âmbito do ITAR e gerenciá-las como um programa integrado

Compliance Manager GRC Kaseya oferece suporte à gestão de conformidade com múltiplos marcos normativos, incluindo o CMMC e marcos normativos relacionados ao âmbito federal que se cruzam com as obrigações do ITAR.