CHIARA SCIUTO
6 luglio 2020
Nella disciplina italiana si definisce “golden power” la facoltà garantita all’autorità pubblica di intervenire nelle transazioni di mercato riguardanti società qualificate come strategiche.
Attraverso il golden power, il governo può dettare condizioni ben precise nella procedura di acquisto di partecipazioni in settori strategici da parte di attori stranieri, mettere il veto su specifiche delibere prese dai consigli d’amministrazione delle società interessate o, in extrema ratio, imporre lo stop a un’operazione di acquisto di partecipazioni.
Il sistema del golden power ha acquisito, di recente, nuova notorietà, in occasione dell’applicazione della disciplina ad opera del governo sulle reti del 5G.
Già dal 2017 il golden power è stato esteso ai settori “ad alta intensità tecnologica” come l’immagazzinamento e la gestione dei dati e le infrastrutture finanziarie; le tecnologie critiche, compresa l’intelligenza artificiale, la robotica, o la sicurezza in rete e la tecnologia spaziale o nucleare.
Il golden power dunque è da vedere non come un limite o condizionamento all’attività di impresa, ma come un vero e proprio strumento di garanzia dell’economia nazionale.
Successivamente, nel 2019, è intervenuto il governo Conte II sul terreno del 5G, attraverso il suo primo atto ufficiale, con l’esercizio del golden power per condizionare e supervisionare le relazioni di Linkem, Vodafone, Tim, Wind Tre e Fastweb con le cinesi Huawei e Zte.
Si tratta del fatto di tutelare le nostre reti da componenti realizzate da produttori che non sono europei, per esempio Huawei (leader nelle apparecchiature 5G) e ZTE. Sicuramente ciò rallenta l’adozione e la messa in campo di tecnologie 5G e ne aumenta anche il costo, ma dato che la competizione internazionale si fa sempre più decisa e complessa, al governo servono strumenti di tutela che sappiano imporre, nei momenti cruciali, il ruolo della politica su quello dei mercati.
E il golden power va proprio in questa direzione.
Si menzionano le aziende cinesi Huawei e Zte: infatti, un po’ in tutto il mondo, non mancano i timori che la Cina possa utilizzare le infrastrutture 5G realizzate da queste due aziende per condurre operazioni di spionaggio, e questo è uno dei motivi che avrebbe spinto il Presidente USA Donald Trump a bloccare Huawei.
Quanto alla attuale normativa italiana di riferimento, il governo ha deciso di affrontare in via primaria, sulla spinta delle emergenze internazionali, il tema della sicurezza delle infrastrutture nazionali rispetto all’affermazione 5G con il decreto-legge 22/2019 (c.d. decreto “Brexit”, convertito con modificazioni dalla L. 20 maggio 2019 n.41), intitolato “disposizioni in materia di poteri speciali inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G”.
L’art 1 del c.d. decreto “Brexit” è dedicato alle nuove regole che modificano la legge 56/2012, la quale si occupa proprio dei poteri speciali del governo esercitabili in nome della tutela della difesa delle reti.
In particolare legge di conversione del decreto “Brexit”, la n. 41/2019, statuisce che “la stipula dei contratti aventi ad oggetto l’acquisto dei beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alle gestione delle reti, ovvero l’acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’UE, sono soggetti a “notifica” al fine dell’eventuale esercizio del potere di veto o dell’imposizione di specifiche prescrizioni o condizioni o dell’imposizione di specifiche prescrizioni o condizioni.
A tal fine, sono oggetto di valutazione anche gli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano.”
È però l’UE nel suo complesso a doversi occupare della materia generale della cybersecurity, considerando il carattere sovranazionale delle possibili minacce, oltre agli strumenti, alle strutture e alle capacità di cui dispone, indispensabili per proteggere le stesse politiche e le attività transnazionali.
Il legislatore comunitario è consapevole che una volta diffuse le reti 5G, saranno la colonna portante di un’ampia gamma di servizi essenziali per il funzionamento del mercato interno e la gestione di funzioni vitali della società e dell’economia, come l’energia, i trasporti, i servizi bancari, la sanità e l’organizzazione dei processi democratici.
La direttiva comunitaria 2018/1972, che istituisce il codice europeo delle comunicazioni elettroniche, agli art. 40-41 in particolare affronta il tema della sicurezza.
Per questi motivi si richiede all’art 40 che gli Stati Membri assicurino che i fornitori di reti o servizi di telecomunicazioni elettroniche adottino misure per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi, e che comunichino senza indebito ritardo all’autorità competente ogni incidente di sicurezza.
L’art 41 si occupa dell’attuazione e del controllo di tali misure, disponendo in particolare che gli Stati membri assicurino che le competenti autorità abbiano la facoltà di impartire istruzioni vincolanti ai fornitori di reti o servizi.
Ancora, l’UE il 29 gennaio 2020 ha disposto una serie di strumenti per proteggere le reti di comunicazione elettronica, “un insieme di misure incisive e complete per un approccio coordinato dell’UE alla sicurezza delle reti 5G” che consentirebbero di attenuare i rischi in modo efficace. Il pacchetto di strumenti delinea piani di attenuazione dettagliati per ciascun rischio individuato e raccomanda una serie di misure strategiche e tecniche che dovrebbero essere adottate da tutti gli Stati membri e/o dalla Commissione; per esempio dispone che gli Stati membri dovrebbero in particolare affrontare aspetti come: rafforzare i requisiti di sicurezza per gli operatori delle reti mobili; valutare il profilo di rischio dei fornitori; applicare restrizioni adeguate ai fornitori considerati ad alto rischio, comprese le necessarie esclusioni per gli asset critici.
È inoltre fondamentale definire il perimetro di sicurezza del cyberspazio in quanto la sua difesa è una priorità strategica per la sicurezza nazionale. Il nostro Paese, le nostre infrastrutture, tutti noi come cittadini ne siamo coinvolti a diversi livelli.
Il cyberspazio è un vero e proprio campo di battaglia. E come tale ci si deve muovere al suo interno in un’ottica intelligence: infatti secondo la NATO un attacco cibernetico a un paese membro potrebbe innescare il meccanismo di difesa collettiva.
Ma stabilire con certezza il perimetro giuridico e l’applicabilità del meccanismo di difesa collettiva della Nato in questo contesto è un esercizio legale complesso. Ciò non dipende tanto dall’assenza di una cornice normativa applicabile, quanto alle difficoltà nel considerare tutte le specificità della nuova minaccia cibernetica, tutte caratteristiche che fanno del cyberspazio una “zona grigia”.
In Italia è stato adottato il decreto-legge n.105 del 21 settembre 2019 intitolato “disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”, convertito poi con la legge n. 133/2019.
Obiettivo del provvedimento normativo è disporre di un sistema di organi, procedure e misure, che consentono efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale.
L’istituzione del perimetro di sicurezza nazionale cibernetica, è demandata ad un DPCM, da adottare su proposta del CISR (Comitato interministeriale per la sicurezza della Repubblica), previo parere delle competenti Commissioni parlamentari, entro quattro mesi dall’entrata in vigore della legge di conversione.
Entro quattro mesi, ossia entro il 21 marzo 2020, avrebbero dovuto essere individuati i criteri di fondo per dividere i soggetti da includere nel perimetro, ovvero le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati di cui al comma 1 della legge, e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo.
Questo documento ancora non è stato pubblicato, il legislatore ha allungato i tempi a causa dell’emergenza sanitaria. Forse entro luglio avremo la lista dei criteri per individuare i soggetti da includere nel perimetro, ma ci troviamo ancora in una situazione di incertezza.