UN APPROCCIO INTEGRATO: RETI, SISTEMI, DATI
Per gli operatori di telecomunicazioni diventa necessario gestire al tempo stesso infrastrutture e servizi per la gestione dati necessari al funzionamento della rete.
L’infrastruttura digitale oggi comprende anche intelligenza artificiale, Cloud, capacità computazionale distribuita, elementi che sono sempre più, soprattutto grazie al 5G, al cuore dello sviluppo della rete.
Il confronto fra i vari sistemi nazionali in seguito all’emergenza ha evidenziato come il successo o l’insuccesso sia dipeso dalla connettività, dalla qualità e integrità dell’infrastruttura trasmissiva e dalla strategia in tema di dati.
Il che chiama in causa non solo scelte aziendali ma le politiche pubbliche in tema di sviluppo e infrastrutture digitali, la governance, la geometria dei poteri, il rapporto pubblico-privato.
Qui entra in gioco il tema delle regole. L’UE negli ultimi anni ha contribuito ad elaborare un sistema di norme e procedure ben congegnate e allineate agli strumenti più avanzati dell’innovazione tecnologica.
Ha infatti compreso che la solidità del proprio mercato interno e la sua stessa sovranità, vale a dire la capacità di autodeterminarsi in modo indipendente, si fonda su un sistema normativo efficiente e aggiornato, sull’innovazione e lo sviluppo tecnologico, su infrastrutture critiche adeguate e sicure.
Il Regolamento (UE) 2021/241 del 12 febbraio 2021 che istituisce il dispositivo per la ripresa e la resilienza, lo strumento cardine del pacchetto Next Generation EU indica che “Garantire un alto livello di sicurezza informatica e di fiducia nelle tecnologie è un prerequisito per una trasformazione digitale europea di successo”.
Quindi, sono essenziali infrastrutture di comunicazione affidabili e resilienti.
A ciò si aggiunga che in questa fase di emergenza è peraltro emersa la consapevolezza che occorra un nuovo, ritrovato ruolo dello Stato e del potere pubblico, in grado di promuovere e trarre profitto dall’innovazione e dalla ricerca, al servizio del benessere collettivo.
IL CASO DEL 5G. AUTONOMIA STRATEGICA VERSUS ALLEANZA STRATEGICA
Si tratta della piattaforma tecnologica portante della società e dell’economia del futuro.
Tuttavia le sue vulnerabilità potrebbero essere sfruttate per compromettere infrastrutture critiche, sottrarre dati sensibili e personali, incidere sugli stessi processi democratici ormai sempre più basati sulle infrastrutture digitali.
In una dimensione in cui si scontrano colossi come Stati Uniti e Cina, l’autonomia tecnologica dell’UE diventa condizione necessaria per consentire agli Stati membri di tutelare sicurezza e interesse nazionale fronteggiando il rischio di influenze estere e minacce cyber, ma pur sempre in linea con la propria collocazione atlantica e con i valori che ne sono a fondamento.
Ecco perché suona beffarda la sollecitazione rivolta ieri 7 aprile dal Presidente cinese ad Angela Merkel affinché l’Europa possa raggiungere presto un’autonomia strategica. Perché l’autonomia strategica non è alternativa e non deve indurci a mettere in discussione la nostra alleanza strategica con gli Stati Uniti.
Al riguardo da Bruxelles è giunta da tempo una risposta molto convincente, con la costruzione di un assetto normativo articolato che completa quello a suo tempo previsto nel 2002 in tema di comunicazioni elettroniche, a protezione di quel complesso di reti, sistemi e dati di cui parlavo.
LE REGOLE EU. IL CANTIERE NORMATIVO IN CORSO
Si tratta in primis del regolamento del marzo 2019 sul controllo degli investimenti diretti esteri in Europa e la raccomandazione del 26 marzo 2019, che affronta il tema della sicurezza delle reti 5G.
Integra tale quadro anche il codice europeo delle comunicazioni elettroniche, la direttiva 1972 del 2018, con una parte importante dedicata alla sicurezza (Titolo V).
A questo si aggiunge un cantiere normativo tuttora in corso, avviato 16 dicembre 2021 con due nuove proposte di direttiva: le cosiddette NIS 2 (sulla sicurezza della rete e dei sistemi informativi, destinata a sostituire la NIS) e CER (sulla resilienza dei soggetti critici), che cercano di integrare cybersicurezza e sicurezza fisica con riferimento particolare alle infrastrutture critiche. Si tratta di due tasselli importanti di un mosaico in corso di composizione, che comprende anche le inziative legislative in tema di digitale e IA.
Certo, sono pur sempre gli Stati membri ad essere responsabili delle scelte strategiche in tema di reti e sicurezza nazionale, ma è la natura interconnessa delle infrastrutture digitali a giustificare un’azione integrata a livello UE.
Ecco perché rivolgere costantemente lo sguardo a Bruxelles è essenziale.
Una volta adottate le due direttive, questo comporterà la ridefinizione del quadro normativo a livello nazionale, che si sta poco a poco completando con l’adozione dei vari regolamenti attuativi della legge n. 133 del 2019 sul perimetro di sicurezza cibernetico.
QUALI STRUMENTI PER PROTEGGERE RETI E INFRASTRUTTURE CRITICHE
Il Golden Power
L’articolo 1 bis del decreto legge n. 22/2019 del 25 marzo 2019, convertito in legge n. 41/2019, ha qualificato tutti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, da chiunque forniti, come “attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale”.
Alla luce di tale previsione il governo è abilitato a utilizzare i poteri previsti per fronteggiare i rischi di un uso improprio dei dati “con implicazioni sulla sicurezza nazionale”.
In tal modo l’ombrello protettivo del Golden Power non si applica più soltanto ai mutamenti proprietari (secondo l’impostazione originaria della legge n. 56 del 2012) bensì anche a questioni eminentemente operative, come per esempio l’acquisto di apparati per accendere la rete 5G, gli appalti e le forniture commerciali di beni o servizi relativi alla progettazione, realizzazione, manutenzione e gestione delle reti.
In concreto, l’impresa che stipula, a qualsiasi titolo, contratti o accordi aventi ad oggetto l’acquisizione di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti relative ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, ovvero acquisisca, a qualsiasi titolo, componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’Unione europea, deve pertanto presentare una notifica ai sensi della normativa sul Golden Power.
La possibilità di intervenire sui contratti già conclusi
Il decreto-legge 21 settembre 2019, n. 105, convertito in legge n. 133 del 2019 sul perimetro di sicurezza nazionale cibernetica ha esteso l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori strategici, coordinandolo con l’attuazione del regolamento 2019/452 in materia di controllo degli investimenti esteri diretti.
In particolare l’articolo 3 raccorda le previsioni della legge sul perimetro di sicurezza nazionale cibernetica con quelle relative ai poteri speciali in tema di 5G. Si prevede infatti che le norme della legge citata si applichino ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica anche per i contratti o gli accordi, ove conclusi con soggetti esterni all’Unione europea, relativi ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G.
Introduce poi la possibilità di modificare o integrare con misure aggiuntive le condizioni e le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con decreti del Presidente del Consiglio dei ministri, qualora attinenti alle reti, ai sistemi informativi e ai servizi informatici inseriti negli elenchi dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Qualora infatti emergano, in seguito alle valutazioni svolte dai centri di valutazione previsti dalla stessa legge n. 133 del 2019, elementi che indicano fattori di vulnerabilità suscettibili di compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano, possono essere disposte misure aggiuntive anche prescrivendo, qualora indispensabile al fine di risolvere le vulnerabilità accertate, la sostituzione di apparati e di prodotti.
Si tratta di una previsione importante, che consente al governo di intervenire anche con riferimento ai contratti già conclusi, addirittura ordinando alle imprese la sostituzione degli apparati e prodotti non sicuri. La possibilità di fare uso di tale strumento è tuttavia consentita come extrema ratio, solo qualora si tratti di misura indispensabile.
Il Golden Power allargato
L’obiettivo di proteggere il sistema economico nazionale indebolito dall’emergenza Covid-19 e tutelare i suoi asset pregiati ha indotto il governo a integrare, con il decreto legge “Liquidità” n. 23 dell’8 aprile 2020, le norme vigenti in tema di Golden Power.
Raccogliendo le indicazioni del Copasir, è stata anticipata la valutazione prevista dal regolamento europeo 2019/452 sul controllo degli investimenti esteri allargando l’ombrello protettivo del Golden Power (limitato a difesa e sicurezza nazionale, energia, trasporti e comunicazioni), alle infrastrutture critiche, fisiche o virtuali, tra cui le comunicazioni, i media, il trattamento o l’archiviazione di dati, le infrastrutture aerospaziali, di difesa, elettorali o finanziarie, e le strutture sensibili, tecnologie critiche e prodotti a duplice uso, tra cui l’intelligenza artificiale, la robotica, i semiconduttori. Tutti i settori citati assumono pertanto rilevanza strategica e in essi operano un vasto numero di società, ivi comprese molte PMI.
Le procedure d’appalto. La raccomandazione sulla cybersicurezza delle reti 5G e la “cassetta degli attrezzi” (Toolbox) per il 5G
Per affrontare i rischi di cybersecurity nelle reti 5G occorre considerare, in primo luogo, fattori tecnici, come le vulnerabilità che possono essere sfruttate per l’accesso non autorizzato alle informazioni (cyberspionaggio, per motivi economici o politici) o per altri scopi dolosi (attacchi informatici volti a distruggere sistemi e dati o a provocarne il malfunzionamento) oppure la necessità di proteggere le reti durante il loro ciclo di vita e considerare le apparecchiature nelle fasi di progettazione, sviluppo, appalto, diffusione, funzionamento e manutenzione delle reti 5G.
Inoltre, occorre prendere in considerazione altri elementi, quali i profili di carattere strategico e regolamentare, come i requisiti normativi imposti ai fornitori di apparecchiature di comunicazione. E’ necessario infatti tener conto del rischio di influenza da parte di un Paese terzo (quale la Cina) in relazione al suo modello di governance, l’assenza di accordi di cooperazione sulla sicurezza o di una decisione di adeguatezza europea in tema di protezione dei dati, verificando altresì se il Paese in questione sia parte di accordi in materia di cybersicurezza, lotta alla criminalità informatica o protezione dei dati.
Come previsto dalla raccomandazione del 26 marzo 2019 sul 5G, il gruppo di cooperazione istituito dalla direttiva NIS ha approvato il 29 gennaio 2020 la “cassetta degli attrezzi” (Toolbox) per il 5G, cioè le misure di mitigazione per affrontare i rischi di sicurezza legati alle reti di quinta generazione.
Pur mettendo in conto valutazioni differenziate a livello nazionale, l’obiettivo del Toolbox è quello di evitare che gli Stati procedano in ordine sparso. Di qui l’indicazione di un approccio metodologico comune e un armamentario condiviso.
Al riguardo la Commissione invita gli Stati membri a far uso di tutti gli strumenti di cui dispone per garantire la sicurezza dell’infrastruttura e dell’intera “supply chain” del 5G: le regole in tema di cyber sicurezza e telecomunicazioni (contenute nel Codice europeo delle comunicazioni elettroniche), il coordinamento in tema di standardizzazione e certificazione (il Cybersecurity Act); la verifica degli investimenti diretti esteri (il regolamento 2019/452); gli strumenti di difesa commerciale (le misure antidumping); le regole in tema di concorrenza e appalti pubblici; gli stessi programmi di finanziamento UE (Connecting Europe Facility Digital).
Per ciascuna delle aree di rischio identificate nella relazione sulla valutazione coordinata dei rischi a livello europeo del 9 ottobre 2019, la citata “cassetta degli attrezzi” identifica e fornisce piani di mitigazione del rischio, che comprendono possibili combinazioni di misure strategiche e tecniche, insieme ad adeguate azioni di supporto per mitigare i possibili rischi.
Per esempio, nella procedura di aggiudicazione di un appalto la normativa vigente affida alla stazione appaltante il compito di indicare, nei documenti di gara, sia il criterio di aggiudicazione sia, nel caso dell’offerta economicamente più vantaggiosa, gli elementi da prendere in considerazione (indicati a titolo esemplificativo al par. 6 dell’art. 95 del d.lgs. n. 50/2016, il nostro codice appalti).
In tal caso è essenziale che fra tali elementi sia annoverato quello della sicurezza, soprattutto quando si tratta di beni ad alto contenuto tecnologico, come nel caso degli apparati 5G.
Al riguardo già le Linee Guida n. 2 dell’ANAC (Autorità nazionale anticorruzione) relative all’offerta economicamente più vantaggiosa (approvate il 21 settembre 2016 e aggiornate il 2 maggio 2018) indicano che nella valutazione delle offerte possono essere valutati profili di carattere soggettivo qualora consentano di “apprezzare meglio il contenuto e l’affidabilità dell’offerta o di valorizzare caratteristiche dell’offerta ritenute particolarmente meritevoli”; in ogni caso, esse devono riguardare “aspetti che incidono in maniera diretta sulla qualità della prestazione”. Il che significa, per l’amministrazione, poter valutare l’adeguatezza dell’offerta tenendo conto di una pluralità di elementi (da indicare peraltro necessariamente nei documenti di gara, a garanzia della tenuta giuridica della scelta finale), compresi quelli inerenti la sicurezza della fornitura e del servizio in questione, di cui fanno parte le caratteristiche soggettive dell’eventuale contraente.
La Commissione europea, nella raccomandazione del 26 marzo 2019, così come nel Toolbox citato, evidenzia ulteriormente l’importanza di procedure di appalto che consentano la valutazione dell’adeguatezza delle offerte in base sia agli elementi tecnici sia ai requisiti normativo-regolamentari degli operatori coinvolti nelle gare, così da verificare le caratteristiche e il profilo di rischio dei singoli fornitori (quali la possibilità che lo stesso sia soggetto a interferenze di un paese extra UE) e non sia compromessa la sicurezza della “supply chain”.
Peraltro la stessa normativa vigente in tema di comunicazioni elettroniche (art. 13 bis della direttiva 2002/21) impone agli Stati membri di garantire che gli operatori di telecomunicazioni assicurino l’integrità delle loro reti e quindi la continuità della fornitura dei servizi. Così stabilisce anche il codice europeo delle comunicazioni elettroniche (la direttiva 2018/1972) al fine ad evitare minacce alla riservatezza, alla disponibilità e all’integrità delle risorse.
Il Toolbox segnala altresì la necessità che ciascun operatore disponga di una strategia multi-vendor per evitare o limitare la dipendenza da un unico fornitore, garantire un adeguato equilibrio dei fornitori a livello nazionale ed evitare la dipendenza dai fornitori considerati alto rischio, così da consentire l’interoperabilità delle apparecchiature.
In sostanza, occorre valutare l’adeguatezza delle offerte non solo in base agli elementi tecnici ma anche ai requisiti normativo-regolamentari degli operatori coinvolti nelle gare, così da verificare le caratteristiche dei singoli fornitori. Non potrebbe, in tal senso, essere considerato affidabile un fornitore cinese, laddove la legge cinese sull’intelligence del 2016 richiede che i cittadini e le società cinesi collaborino in modo segreto con i servizi di sicurezza statale per raccogliere informazioni.
UNO SGUARDO OLTREOCEANO. LA GUERRA DEI SEMICONDUTTORI
Una parte importante del rapporto sull’intelligenza artificiale (IA) della Commissione per la Sicurezza Nazionale (NSCAI) USA presentato il 1° marzo scorso è dedicato al sistema industriale e ai semiconduttori, i microchip per i computer, che sono ormai diventati, al pari dei vaccini, risorse indispensabili per ogni Stato e componente essenziale dell’industria, non solo digitale, e della difesa. Ecco perché la loro produzione ha ormai assunto connotati geopolitici. Leader mondiale del mercato è Taiwan Semiconductor Manufacturing Corporation (TSMC) con una quota del 28 %; segue UMC (13%), anch’essa di Taiwan, quindi la cinese SMIC (11%) e la coreana Samsung (10%).
Emerge la stretta connessione fra innovazione tecnologica e sistema economico, sicurezza nazionale e sviluppo, business e regole. Come in un sistema di vasi comunicanti, un aspetto incide sull’altro.
Per la prima volta dalla fine della seconda guerra mondiale la Cina minaccia il potere economico e militare degli Stati Uniti, che potrebbero perdere entro i prossimi 10 anni la superiorità tecnica e militare. Pesa in particolare la dipendenza dalle importazioni da Taiwan, e questo crea una pericolosa vulnerabilità strategica.
Negli Stati Uniti sono a rischio indipendenza tecnologica e sicurezza nazionale, insieme alla bilancia commerciale. Consapevoli della propria debolezza, anche Giappone e UE stanno intensificando i propri sforzi per promuovere proprie industrie di semiconduttori, a beneficio di innovazione tecnologica e occupazione.
Ecco quindi l’invito ad avviare una strategia basata su: talenti (risorse umane, formazione), hardware (semiconduttori, microchip) e investimenti all’innovazione che coinvolga partner industriali, mondo della ricerca e società civile.
Si tratta di spunti molto utili anche per il nostro Paese.
Maurizio Mensi
Professore SNA e Luiss Guido Carli, direttore esecutivo del Centro MENA-OCSE Governance Programme Training.
Articoli correlati
Ok di Francia e Germania alla prima fase del carro armato del futuro (Mgcs)
Sanchez in Spagna abbraccia Telefonica per arginare i sauditi
Ecco come Bruxelles accerchia la cinese Shein
Saras da Moratti a Vitol? Il governo dice ok
