Illustrata oggi la relazione conclusiva del Copasir, Comitato Parlamentare per la Sicurezza della Repubblica, al Parlamento in relazione al perimetro di sicurezza cibernetica nazionale di cui al DL 105/2019, recentemente convertito nella legge 133/2019, in vigore dal 21 novembre scorso e contenente anche la norma recante “disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G” di cui all’art. 3 della citata legge.
Si legge nella relazione che il Comitato “non può che ritenere in gran parte fondate le preoccupazioni circa l’ingresso delle aziende cinesi nelle attività di installazione, configurazione e mantenimento delle infrastrutture delle reti 5G. Conseguentemente, oltre a ritenere necessario un innalzamento degli standard di sicurezza idonei per accedere alla implementazione di tali infrastrutture, rileva che si dovrebbe valutare anche l’ipotesi, ove necessario per tutelare la sicurezza nazionale, di escludere le predette aziende dalla attività di fornitura di tecnologia per le reti 5G”.
Eppure il Governo presentava questo nuovo DL 105/2019 come un testo normativo rivoluzionario e innovativo che avrebbe introdotto elevati standard di sicurezza.
Secondo il Copasir, “appare certamente difficile, in una realtà caratterizzata dalle leggi del mercato e della libera concorrenza, prevedere interventi autoritativi che potrebbero mettere a rischio la stessa realizzabilità di progetti ritenuti essenziali per lo sviluppo delle nuove tecnologie”, continua la relazione ricordando il caso statunitense con l’entrata in vigore del divieto per Huawei rinviato più volte (da ultimo, l’entrata in vigore del divieto è stata prorogata al febbraio 2020). “Per queste medesime ragioni – rileva il Copasir – né gli organi della Ue, né i principali Paesi europei hanno finora adottato provvedimenti di divieto o limitazione alle attività degli operatori cinesi, pur nella consapevolezza dei possibili rischi che potrebbero derivarne”.
I nostri lettori ricorderanno bene che in sede di audizione alla Camera erano già emerse delle preoccupazioni circa l’approccio del Governo verso i fornitori di tecnologie funzionali al 5G extra UE, non condividendosi l’apertura alla Cina seppur con lo stringente potere di veto univocamente avocato a sé dal Presidente del Consiglio.
Ricorderanno altresì i nostri lettori che, peraltro, che nel primo Consiglio dei ministri di settembre il nuovo esecutivo nazionale (giallo-rosso), su proposta del nuovo ministro allo Sviluppo Economico, Stefano Patuanelli, deliberava l’esercizio dei poteri speciali (golden power) in ordine all’acquisto di beni e servizi relativi alle tecnologie 5G di cui all’informativa ai sensi di legge notificata dalle società Linkem, Vodafone, Tim, Wind Tre e Fastweb. La delibera coinvolgeva Vodafone in relazione agli accordi aventi ad oggetto l’acquisto di beni e servizi per la realizzazione e la gestione di reti di comunicazione elettronica basate sulla tecnologia 5G, mentre Tim per gli accordi conclusi prima del 26 marzo riguardanti apparati e sistemi di comunicazione rispetto ai quali la tecnologia 5G può essere considerata una naturale evoluzione.
Il provvedimenti del CdM in relazione alle società Wind e Tre, invece, aveva indirette ricadute proprio sui colossi cinesi Huawei e Zte, riguardando infatti gli accordi contrattuali rispettivamente per l’acquisto di beni e servizi per la realizzazione e la gestione di reti di comunicazione elettronica basate sulla tecnologia 5G e degli apparati relativi alle componenti radio per la realizzazione dell’ultima tratta della rete 5G Fwa. Per Fastweb il Governo ha proceduto omologamente, in relazione all’informativa relativa all’acquisto dalla cinese ZTE, di apparati (componenti radio) per la realizzazione della rete 5G FWA.
Eppure, questo ancora non era sufficiente per comprendere la portata del rischio
E che fine ha fatto l’istruttoria?
Verranno imposte prescrizioni oppure condizioni? Oppure, ancora, sarà opposto il veto dal nostro Premier che, frattanto, forte della relazione del Copasir, si renderà conto delle vulnerabilità paventate in ordine alle ragioni di sicurezza nazionale?
Ed infatti, il Consiglio dei ministri dopo che lo scorso 11 luglio entrava in vigore il Decreto-Legge n. 64 recante “modifiche al decreto-legge 15 marzo 2012 n.21, convertito con modificazioni dalla legge 11 maggio 2012, n. 56” pubblicato nella GU n. 161 del 11-7-2019” che ha introdotto in via d’urgenza la regolamentazione integrativa della disciplina in materia di “golden power”, annunciava nel Governo Conte-bis il nuovo Decreto-Legge che avrebbe disciplinato il perimetro di sicurezza cibernetico del nostro paese. Il provvedimento, nella vigenza del primo Governo Conte, veniva definito come “una misura che delimita ancora più efficacemente le verifiche spettanti al Governo in caso di autorizzazioni di atti e operazioni societarie riguardanti le nuove reti di infrastrutture tecnologiche”.
Tuttavia, a pochi giorni dalla promulgazione del superiore Decreto-Legge, il Governo cambiava inspiegabilmente direzione, come veniva reso noto dal Sottosegretario di Stato alla Presidenza del Consiglio, Vincenzo Santangelo, che nel suo intervento in Commissione Finanze del Senato dichiarava che “il Governo non avrebbe intenso insistere per la conversione in legge del decreto integrativo sul Golden Power” e nel contempo rendeva noto che era in corso di definizione un disegno di legge per una più organica e strutturata disciplina della cybersecurity del perimetro nazionale, che a breve sarebbe stato sottoposto all’esame del Consiglio dei Ministri.
La dichiarazione politica appariva già controversa e, per certi versi, anche contraddittoria
Perché, infatti, rinunciare ad un decreto che in via d’urgenza andava a disciplinare una delicata materia ritenuta di strategico interesse per la sicurezza nazionale? E, soprattutto, perché non emendare in sede di conversione se si riteneva migliorabile il testo del Decreto-Legge in nome di una più organica e strutturata disciplina del Golden Power?
E così il Governo, per una eccezionale coincidenza, cambia strategia.
Certo è che Huawei si è vigorosamente opposta al decreto legge su Golden Power denunciando che “il quadro normativo delineato rischiava di mettere l’azienda in una posizione di difficoltà tale da essere discriminata per quanto riguarda lo sviluppo delle reti di tlc e del 5G” in quanto, applicandosi la norma esclusivamente ai fornitori extra-Ue, sarebbe piuttosto più legato a valutazioni geopolitiche che alla opportunità di una considerazione neutrale della tecnologia con disposizioni normative da rivolgersi più opportunamente alla generalità di fornitori.
E così, il Governo cambiava strategia, annunciando inaspettatamente un nuovo Disegno di Legge preordinato ad assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende una funzione essenziale dello Stato dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
Peraltro, nel mese di ottobre, la Commissione Europea, con un proprio comunicato stampa, rendeva noto che gli Stati membri, con il sostegno della Commissione e dell’Agenzia europea per la cybersicurezza, avevano pubblicato una relazione sulla valutazione coordinata del rischio dell’UE sulla cybersicurezza nelle reti di quinta generazione. Si è trattato di un importante step programmato della strategia europea, mentre prosegueguiva il braccio di ferro diplomatico e geo-politico tra gli Stati Uniti e la Cina.
E proprio nel mese di ottobre, mentre il disegno di legge di conversione del DL 105 del 21 settembre 2019 otteneva il via libera dalla Camera, faceva eco la notizia della concomitante inaugurazione a Roma della nuova sede del colosso cinese Huawei nel suo quindicesimo anno in Italia. A margine della cerimonia inaugurale, proprio il Ceo per l’Italia, Thomas Miao, dichiarava che il provvedimento normativo appena licenziato andava cambiato nella parte in cui richiama la legge del 2012 che “discrimina” le aziende extra europee, precisando che “servono pari opportunità per tutti e non si può giudicare un’azienda in base a dove ha il quartier generale”. Miao evidenziava comunque che Huawei “non ha avuto problemi” con la normativa italiana. Accoglieva con favore il provvedimento anche Luigi De Vecchis, presidente di Huawei Italia, che in quella sede dichiarava che l’allargamento del perimetro di applicazione delle norme “è perfetto” e va nella giusta direzione.
E chissà per quale altra eccezionale coincidenza, successivamente, in sede di voto al Senato, tra le “inaspettate” novità, si registrava l’introduzione di un ordine del giorno che aveva ad oggetto l’applicazione del Golden Power “a qualsiasi fornitore”, con auspicata espunzione dal testo in discussione del riferimento ai fornitori “Extra-UE”.
Ma torniamo alla relazione
Il Copasir evidenzia che la rilevanza del problema è stata recentemente confermata in occasione del Consiglio dell’Unione europea Trasporti, telecomunicazioni ed energia del 3-4 dicembre 2019, che nelle conclusioni sul tema del 5G ha, tra l’altro, sottolineato come i Paesi membri debbano considerare fra i fattori di rischio per la sicurezza non solo i profili attinenti la tecnologia ma altresì quelli derivanti dalle politiche e dagli ordinamenti legislativi vigenti nei Paesi terzi dai quali vengono acquisiti prodotti e servizi.
A tal riguardo, non può non rilevarsi che nel caso dei colossi cinesi operanti in Italia, il combinato disposto della legge sulla Sicurezza nazionale e quella sulla Sicurezza cibernetica della dittatura comunista impone piena collaborazione e condivisione di informazioni con le gerarchie militari e politiche.
Non bastava già questa circostanza a mettere in discussione la strategia del Governo sul golden power?
Ed infatti è puntuale la chiosa del Copasir: “A parere del Comitato, il Governo e gli organi competenti in materia dovrebbero considerare molto seriamente, anche sulla base di quanto prevede la recente disciplina dettata dal decreto-legge n. 105/2019, la possibilità di limitare i rischi per le nostre infrastrutture di rete, anche attraverso provvedimenti nei confronti di operatori i cui legami, più o meno indiretti, con gli organi di governo del loro Paese appaiono evidenti. a tali organi potrebbero infatti potenzialmente essere veicolate informazioni e dati sensibili riconducibili a cittadini, enti e aziende italiani”.
A volte precisare l’ovvio giova.
Tuttavia, la posizione del Governo rimane ambigua anche dopo che, paradossalmente, il Governo cinese ha dichiarato che vieterà la tecnologia straniera.
Beh, allora si penserà che può starci, del resto l’Italia è alleato storico degli Stati Uniti….Ebbene no.
Infatti, mentre è ferma la posizione di Donald Trump, in ordine ad una riduzione del ricorso negli States alla tecnologia Made in Cina, nel momento in cui il Presidente americano ha esteso la sua posizione agli alleati in occasione del recente vertice Nato di Londra, il premier italiano, Giuseppe Conte, si è subito premurato di replicare che la questione cinese non avrebbe costituito oggetto di discussione con Trump. Non sfuggirà che la posizione italiana rimane prudente e tuttavia non esattamente coincidente con quella del nostro storico alleato transatlantico.
Eppure l’applicazione in Italia di un divieto omologo a quello Usa nei confronti delle tecnologie cinesi, stando alla rappresentazione di una delle aziende di telecomunicazioni audite, non sarebbe così disastroso. Ed infatti, sarebbe comunque possibile procedere alla implementazione delle infrastrutture e degli apparati collegati al 5G, con costi complessivi approssimativamente quantificati in circa 600 milioni di euro, senza peraltro che ciò comporti particolari ritardi nello sviluppo della nuova tecnologia.
Sul piano poi della sicurezza dei dati personali, il Copasir “ritiene necessario che sia in sede europea sia a livello nazionale vengano assunte iniziative idonee a garantire il rispetto e la tutela dei dati personali, disciplinando con rigore le attività consentite alle piattaforme e ai social network nei riguardi degli account degli utenti. In tal senso, dovrebbe essere sostenuta la proposta del Garante rilanciata proprio a seguito dell’indagine avviata dal Governo americano volta a definire, in sede europea, un accordo per gli scambi di dati a scopo commerciale con la Cina, in analogia a quelli già conclusi con Stati Uniti e Giappone”.
Insomma, alla fine, l’unica nota positiva è l’apprezzamento del Copasir in ordine al recente decreto organizzativo del Csirt (Computer security incident response team), collocato presso il Dis ritenuto in grado di garantire efficacia e tempestività nella pronta risposta agli attacchi e soprattutto nella resilienza operativa. Il Comitato auspica peraltro che la concreta attivazione di tale organismo possa avvenire in tempi rapidi, proprio per la assoluta rilevanza dei compiti ad esso affidati.
Altra nota dolente infine è la rilevata inefficacia ed inefficienza del sistema di formazione, reclutamentoe mantenimento in forza del capitale umano dell’intelligence italiana.
Ed infatti il Copasir rileva l’esistenza di un significativo gap fra i Paesi europei e realtà quali Stati Uniti, Russia, India, con l’aggravante ulteriore per il nostro paese che i giovani formati e specializzati in cybersecurity, non sono abbastanza gratificati e vanno via perché allettati dai insostenibili proposte economiche di altre aziende del settore privato.
E questo genera un secondo e più delicato problema: monitorare quei giovani per prevenire la dispersione del know how acquisito o, peggio, la rivelazione del medesimo a paesi non esattamente amici…
Importante, infine, il rilievo del Copasir sull’esigenza evidenziata dal Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche; Ndr), circa la individuazione di figure di reato adeguate a fronteggiare il crescente fenomeno degli attacchi a infrastrutture critiche economiche del Paese. A questo proposito, il Copasir, ritiene opportuna una evoluzione della legislazione in tale settore attraverso l’individuazione di nuove e specifiche fattispecie criminose.
Ed ancora più importante e certamente innovativa, anche l’apertura del Copasir ad uno scenario di “difesa offensiva”, in un contesto di progressiva e dilagante “guerra ibrida”, che rievoca la national strategy americana piuttosto che quella Europea che attraverso il Consiglio europeo si è solo dotato per la prima volta di un apparato sanzionatorio .
A questo proposito, rileva il Copasir che allo stato attuale, per via dei limiti imposti dal nostro ordinamento, che non contempla una regolamentazione autorizzatoria analoga a quella prevista per i conflitti di tipo convenzionale, le uniche risposte ad attacchi di tipo cibernetico portati su obiettivi di rilevanza strategica nazionale sono quelle di tipo reattivo/difensivo, volte cioè a contrastare e ridurre gli effetti dell’offensiva, mettendo in sicurezza le strutture colpite per assicurarne una pronta resilienza.
Il rilievo non è banale e merita ulteriore approfondimento con l’auspicio che l’approccio alla guerra ibrida sia sempre più proattivo e, se possibile, nella prospettiva di una seria e sinergica partnership pubblico/privato, invero fortemente invocata e, ad onor del vero, anche voluta dal legislatore europeo con la Direttiva NIS.
