Chi ha a cuore le sorti della democrazia in tutto il pianeta, non può non guardare con angoscia ai fatti di Hong-Kong, dove un manipolo di studenti (che tanto ci ricordano quelli di 30 anni fa in Piazza Tienanmen) asserragliati nel politecnico stanno dimostrando al mondo come sarebbe il futuro dell’umanità nell’Era del Dragone.

Il fatto poi che l’assalto della polizia sia stato sferrato per il controllo dei router internet del campus dell’università, centro nevralgico per instaurare la censura in tutta la colonia, ci fa riflettere su quale sarà il terreno di scontro cruciale per la salvaguardia della libertà, quello della sicurezza delle infrastrutture digitali nazionali e in particolare della nuova rete di telecomunicazioni 5G dagli attacchi di entità non democratiche.

I Dazi americani

La diffusione della tecnologia 5G costituisce una grande occasione per lo sviluppo economico di paesi manifatturieri come il nostro grazie al suo potenziale abilitante, ma rappresenta anche un rischio in termini di esposizione agli attacchi informatici e “dipendenza” da parte degli operatori mobile nei confronti dei fornitori di tecnologia, in particolare qualora “il fornitore sia soggetto a interferenze da parte di un governo esterno alla UE.”

La Commissione Europea con un recente comunicato ha messo in guarda contro la supremazia delle cinesi Huawei e ZTE nella diffusione degli apparecchi tecnologici dedicati alla connettività 5G, sostenendo che, poiché il 5G andrà a costituire la spina dorsale di molte applicazioni IT critiche, le aziende cinesi non possono pensare di essere l’unico fornitore di tecnologia di rete.

Tuttavia, a parte gli avvertimenti dei servizi segreti di alcuni paesi, come Regno Unito e Australia, non c’è evidenza tecnica che quello della sicurezza sia un vero pericolo e non un semplice  pretesto per condurre una guerra commerciale. Le aziende cinesi sono, infatti, già leader nell’impiantistica e negli ultimi 3 anni circa il 40% delle istallazioni 3G e 4G sono state fatte con apparati Huawei e ZTE, fornitori difficilmente sostituibili a costi sostenibili. I dazi dell’amministrazione Trump sembrano dunque uno strumento per aiutare le aziende europee ed americane a stare al passo con le tecnologie dei competitor cinesi. Non è un caso che proprio nell’ultimo anno Nokia ed Ericsson abbiano chiuso numerosi contratti con le TelCo del vecchio e nuovo continente, oltre che con la giapponese SoftBank, raggiungendo per la prima volta i numeri di Huawei.

È evidente che il blocco commerciale imposto dagli Stati Uniti non può essere l’unica difesa contro i timori occidentali, soprattutto perché questo non è mai effettivamente entrato realmente in vigore. Secondo recenti indiscrezioni, infatti, allo scopo di raffreddare le tensioni tra gli Stati Uniti e la Cina, nei giorni dei negoziati commerciali con Pechino, è stato dato il via libera a licenze che consentiranno alle aziende americane di acquistare da Huawei beni “non sensibili”.

Dunque, in attesa allora che la UE rilasci un suo piano di misure per mitigare i rischi di cyber-offensive da parte di governi stranieri, come si stanno muovendo l’Italia e gli altri paesi europei?

L’Italia e il nuovo decreto cyber

Sono passati pochi mesi dai tempi in cui il Governo giallo-verde tesseva incaute relazioni con la Cina e il nuovo esecutivo, guidato da un Presidente del Consiglio in piena discontinuità con se stesso, ha deciso di optare per un ragionevole cambio di rotta. Siamo pur sempre un paese membro della Nato, organizzazione di cui ospitiamo molte basi e infrastrutture militari.

Come ha raccontato la puntata di Report del 18 novembre, il Governo italiano ha da poco istituito nel “decreto cyber il Perimetro di Sicurezza Nazionale Cibernetica, che introduce nuovi obblighi e vincoli per i soggetti pubblici e privati che svolgono attività rilevanti per la sicurezza nazionale, oltre che un sistema sanzionatorio in caso di violazione delle normative. I controlli sono affidati a un Centro di Valutazione e certificazione nazionale (CVCN) con sede presso il Ministero dello Sviluppo Economico, con il supporto del Ministero della Difesa e di quello dell’Interno per la fornitura di competenza. Il decreto prevede anche un’estensione alle imprese del settore 5G della normativa sul golden power, che permette al Governo di intervenire contro «soggetti esterni all’Unione europea» intenzionati all’acquisizione azionaria di società nazionali di infrastrutture critiche, gestione dati, e finanziarie. Il provvedimento ha infine recepito la Direttiva europea NIS per la creazione, presso il Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri, del CSIRT italiano (Computer Security Incident Response Team), un organo con compiti di gestione e prevenzione degli incidenti su reti e sistemi informativi segnalati da amministrazioni, enti e operatori.

Luci e ombre della nuova normativa

Nell’attesa che tutte queste disposizioni diventino davvero operative, non posso che unirmi al coro di coloro che hanno accolto con favore il provvedimento.

Tuttavia, c’è un aspetto che non mi convince. Questo nuovo decreto riorganizza in modo significativo le responsabilità di sicurezza informatica depotenziando l’attuale AGiD e trasferendo buona parte delle sue competenze alla Presidenza del Consiglio. Il timore è che, con la scusa del rischio cibernetico, si concentri troppo potere discrezionale nelle mani della parte apicale del Governo senza opportuni contrappesi, riportando alla memoria quanto successo sull’onda emotiva del pericolo terrorismo, quando venne dato all’NSA il potere di spiare qualunque organizzazione o individuo.

 

C’è anche chi, come l’Istituto Bruno Leoni, denuncia il rischio che le nuove norme consentano al Governo di “più o meno liberamente, impicciarsi di qualunque operazione societaria in quasi qualunque settore economico, specie quando sono coinvolti soggetti extraeuropei, a prescindere da chi essi siano e di quali siano le loro intenzioni e i reali rischi per la sicurezza nazionale” e dunque sia necessario diminuirne la vaghezza e specificarne l’applicabilità.

Unione Europea: è ora di fare rete

E come si comportano gli altri Paesi europei? Misure simili di cyber difesa sono state approvate in Francia, mentre in UK ancora non ci sono procedure per valutare il rischio di ingerenza di potenze straniere nella fornitura delle infrastrutture TelCo, anche se le operazioni di aggiornamento delle reti con il 5G Huawei è stato messo in pausa. In Germania, nonostante gli avvertimenti dei “falchi della sicurezza”, il governo Merkel è molto attento a non deteriorare i rapporti commerciali con la Cina e sta formulando un provvedimento per usufruire dello sviluppo tecnologico consentito dal 5G cinese intervenendo sulla rete solo nel caso in cui si materializzassero reali rischi alla sicurezza.

Non si può non concludere che l’argomento vada affrontato di concerto in Europa, mettendo da parte gli interessi dei singoli Paesi, che anche in questo campo indeboliscono la posizione complessiva dell’Unione. Visto l’argomento, fare rete non deve essere solo un gioco di parole ma un imperativo, ad esempio condividendo il database di tutti i vendor di apparati e servizi di telecomunicazione.

Sul fronte della “sicurezza civile”, ENISA, l’agenzia Europea per la Cybersecurity, ha giustamente sottolineato la necessità di intensificare la gestione transfrontaliera degli incidenti in sicurezza mediante una cooperazione più forte dei CSIRT nazionali, andando di fatto a potenziare il CSIRT network. A livello di unità cyber militari si sta cominciando solo ora a mettere a sistema le capacità dei diversi Paesi in fatto di cyber resilience e di risposta agli attacchi informatici.

Come hanno dimostrato recentemente NotPetya e WannaCry, gli attacchi informatici non si fermano ai confini nazionali e una risposta coordinata tra tutti gli stati membri dell’Unione è l’unica in grado di essere efficace. Solo così il perimetro di difesa cibernetico coinciderà con i confini dell’intero continente difendendolo dai nemici della libertà e della democrazia.