FRANCESCA SACCAVINO
24/04/2019
Nel gennaio 2019 iniziano i lavori di sviluppo del progetto “Piazza Wifi Italia” che dovrebbe permettere a tutti i cittadini di connettersi gratuitamente, tramite una applicazione appositamente dedicata, ad una rete wifi libera e diffusa su tutto il territorio nazionale. Questo progetto è realizzato da Infratel, società in-house del MISE. La sua realizzazione sarà possibile grazie allo sviluppo di reti 5G, che nella Raccomandazione della Commissione europea 2019/534 del 26 marzo 2019 sulla Cybersicurezza delle reti 5G vengono definite come “le tecnologie delle comunicazioni mobili e senza fili utilizzate per la connettività e per servizi a valore aggiunto con caratteristiche di prestazione avanzate, quali capacità e velocità di trasmissione dei dati molto elevate, comunicazioni a bassa latenza, affidabilità ultra-elevata o capacità di supportare un numero elevato di dispositivi connessi”.Inoltre “Le reti 5G dovrebbero essere intese in modo da includere tutte le parti pertinenti della rete.” Nella stessa raccomandazione la commissione evidenzia l’importanza di tali infrastrutture e come questa tecnologia “costituisca un fattore abilitante fondamentale per lo sviluppo dei servizi digitali del futuro nonché una priorità per la strategia per il mercato unico digitale”. Tuttavia viene evidenziato come diventi una priorità assoluta proteggere le reti da possibili attacchi: garantire la cybersicurezza delle reti 5G “è una questione di importanza strategica per l’Unione, in un momento in cui gli attacchi informatici sono più numerosi e sofisticati che mai”. Infatti i pericoli a cui può portare una scarsa attenzione alla cybersicurezza vengono evidenziati nella raccomandazione menzionando: il cyberspionaggio sia per motivi economici che politici, nonché attacchi informatici volti a distruggere sistemi o dati o a provocarne il malfunzionamento.
Al fine di realizzare tali reti è necessario creare collegamenti in fibra ottica in maniera capillare e diffusa sul territorio, ed è proprio questo uno dei punti cruciali del progetto italiano. Infatti a seguito dei bandi di gara disposti da Infratel per la gestione e realizzazione di tali strutture i principali vincitori risultano essere Wind-Tre, Vodafone e TIM di cui Huawei è partner con una copertura delle loro tecnologie tra il 20% e il 30% delle reti, nonché partner tecnologico per la rete fissa di Tim, coprendo circa il 10% della rete e precedentemente risulta aggiudicataria dell’appalto come fornitore dei sistemi di controllo della rete in fibra ottica di Open Fiber sulle 10 principali città italiane. Si ricorda poi che nei progetti sperimentali sul 5G, Huawei risulta essere capofila per la copertura del lotto Bari-Matera e partner di Vodafone nel lotto di Milano, come risulta dall’articolo di Pelosi “Gara 5G Huawei” sul Sole 24 Ore del 21 febbraio 2019.
Il problema sorge poiché, come emerge dal report “Huawei, 5G
and China as a Security Threat” del Nato Cooperative Cyber Defence Centre of Excellence (CCDCOE) del 2019, Huawei è attualmente l’unica società in grado di produrre tutti gli elementi di una rete 5G (i suoi concorrenti, Nokia ed Ericsson, non sono in grado di offrire una valida alternativa). Allo stesso tempo viene evidenziato non solo come le reti 5G siano destinate a costituire il sistema nervoso digitale delle società contemporanee ma anche quali siano le delicate implicazioni strategiche insite nella scelta, da parte di paesi e imprese europee, di privilegiare l’interlocutore cinese, considerata l’aggressiva strategia di politica industriale di quel governo, messa in atto anche mediante lo strumento della partnership pubblico-privata. Il rapporto indica che la rete può essere utilizzata anche per le comunicazioni critiche e, a prescindere dalle vulnerabilità tecnologiche, la scelta di affidarsi alla tecnologia fornita da un solo fornitore può creare un vincolo difficilmente rescindibile, in grado di compromettere l’autonomia di un paese e la sua stessa sovranità digitale. Su questa scia il CCDCOE a pagina 8 del report, evidenzia i vari sospetti di spionaggio che spesso hanno circondato la società cinese, così come ricordato dallo stesso Ambasciatore americano in Italia, che aveva sollevato delle perplessità in merito alle attribuzioni fatte dal governo italiano. Nonostante il colosso della tecnologia abbia sempre negato tali accuse, il problema è concreto, ed è supportato dalla legge sull’intelligence cinese del 2017, entrata in vigore nell’aprile 2018, la quale per il combinato disposto dei suoi articoli 7, 10 e 14 prevede l’obbligo per gli operatori cinesi di cooperare con le autorità di intelligence e la possibilità per tali autorità di raccogliere ed analizzare le informazioni relative alle attività di enti cinesi all’estero, nonché si prevede che le agenzie di intelligence cinesi possano obbligare gli enti cinesi a collaborare con loro. Questo comporta un effettivo rischio di esporre informazioni e dati riservati e rilevanti per la sicurezza nazionale a possibili attività di spionaggio, o comunque di esporre un sistema molto esteso di telecomunicazioni a numerosissimi rischi. Alla luce di tali situazioni il governo viene sollecitato ad intervenire esercitando i golden powers.
A seguito di tali vicende viene inserito l’articolo 1 del decreto-legge 22\2019 il quale modificando il decreto-legge 2012 n. 21, contenente la disciplina per l’esercizio dei golden powers, aggiunge a questo l’articolo 1-bis al fine di “ [U]n aggiornamento della normativa in materia di poteri speciali in conseguenza dell’evoluzione tecnologica intercorsa, con particolare riferimento alla tecnologia 5G e ai connessi rischi di un uso improprio dei dati con implicazioni sulla sicurezza nazionale […].” L’articolo 1-bis rubricato “Poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G” al primo comma prevede che: “Costituiscono, ai fini dell’esercizio dei poteri di cui al comma 2, attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G”. Desta perplessità la decisione di modificare direttamente il decreto 21\2012 piuttosto che il DPR 108\2014 il quale ha il preciso scopo di individuare le attività da considerarsi a rilevanza strategica in tale ambito. Sembra ovvia la volontà del governo di mandare una chiaro segnale di rassicurazione non solo ai suoi cittadini ma anche ai suoi partner europei ed americani.
Al comma 2 vengono poi individuate le attività che fanno sorgere l’obbligo di notifica ai sensi dell’articolo 1 comma 4 D.l. 21\2012 al fine dell’esercizio del potere di veto o della imposizione di prescrizioni e condizioni, come previsto dall’articolo 1 del decreto 21\2012. Queste attività sono: (a) “La stipula di contratti o accordi aventi ad oggetto l’acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di cui al comma 1”; (b)”[L]’acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’Unione europea”. Viene introdotta così quella che è forse la parte più interessante ed innovativa della normativa, in quanto per la prima volta fanno sorgere obblighi di notifica non solo la modifica negli assetti societari e l’acquisto di partecipazioni azionarie rilevanti, ma la semplice acquisizione materiale di componenti, altri beni e servizi. Novità inserita appositamente per fronteggiare le ipotesi di partnership di semplice fornitura come nel caso Huawei. È importante notare che viene specificato che al fine dell’esercizio dei poteri speciali “sono oggetto di valutazione anche gli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano.”. Il richiamo effettuato ai “componenti ad alta intensità tecnologica” fa sorgere però una perplessità, ovvero per quale motivo le reti 5G vengano fatte rientrare nell’ambito della sicurezza nazione di cui all’articolo 1 del D.l. 21\2012 piuttosto che farle rientrare nell’ambito dei settori “ad alta intensità tecnologica” come previsti dalle modifiche apportate dal D.l. 148\2017, che permetterebbe però l’esercizio dei poteri di cui all’articolo 2 del D.l 21\2012. La risposta potrebbe risiedere nella minore rigidità delle condizioni che giustificano l’esercizio dei golden powersnelle ipotesi dell’articolo 1 piuttosto che nell’articolo 2.
Al comma 3 viene specificato cosa si intende per “Soggetto esterno all’Unione europea”:
1) qualsiasi persona fisica o persona giuridica, che non abbia la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilito; 2) qualsiasi persona giuridica che abbia stabilito la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, e che risulti controllato direttamente o indirettamente da una persona fisica o da una persona giuridica di cui al n. 1); 3) qualsiasi persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, al fine di eludere l’applicazione della
disciplina di cui al presente articolo.” Queste definizioni hanno un carattere chiaramente antielusivo, in modo da includere ogni varia possibilità ed evitare che i soggetti che più potrebbero essere interessati dalla disciplina sfruttino fraudolentemente le minuzie legislative.
Infine al comma 4 si specifica che “Con decreto del Presidente del Consiglio dei ministri, sentito il Gruppo di coordinamento costituito ai sensi dell’articolo 3 del decreto del Presidente del Consiglio dei ministri del 6 agosto 2014, possono essere individuate misure di semplificazione delle modalità di notifica, dei termini e delle procedure relativi all’istruttoria ai fini dell’eventuale esercizio dei poteri di cui al comma 2.”
Per concludere è necessario illustrare alcune delle iniziative adottate da altri paesi per fronteggiare questo fenomeno: la Nuova Zelanda ha bloccato il piano di un operatore di distribuire la tecnologia 5G di Huawei in base alla legge sulle telecomunicazioni del 2013 a causa di “rischi significativi per la sicurezza nazionale.” Negli Stati Uniti all’inizio del 2018 sono stati presentati sia al Senato che alla House of Representatives dei disegni di legge volti a vietare l’acquisto ’uso di prodotti di telecomunicazioni e sorveglianza di specifiche società cinesi. Altri paesi invece hanno deciso di non adottare nessuna misura come la Cecoslovacchia e la Germania.
Il nuovo decreto è ancora in fase di approvazione e al momento non sono ancora stati attuati degli specifici poteri speciali nei confronti di Huawei, ma sarà interessante analizzare gli sviluppi di tale vicenda prendendo anche in considerazione il nuovo approccio europeo in ambito di controllo degli investimenti diretti esteri e valutazione dei rischi nella cybersicurezza.