L’Europa non vuole la Cina nella sua infrastruttura 5G

L’Unione Europea si trova a un bivio strategico dal punto di vista della cybersicurezza. Da un lato è alla ricerca di alternative alla dipendenza tecnologica dagli Stati Uniti, complici i rapporti tesi a seguito delle posizioni del presidente Donald Trump, dall’altro necessita di partner affidabili per garantire la protezione dei dati dei propri cittadini e imprese.

La proposta di revisione del Cybersecurity Act avanzata dalla Commissione europea è finalizzata proprio a introdurre una nuova strategia per la sicurezza informatica dell’Ue.

“Le minacce non sono solo sfide tecniche, sono rischi strategici per la nostra democrazia, la nostra economia e il nostro stile di vita. Con il nuovo Pacchetto sulla sicurezza informatica, disporremo degli strumenti per proteggere meglio le nostre catene di approvvigionamento Ict critiche, ma anche per contrastare con decisione gli attacchi informatici. Si tratta di un passo importante per garantire la nostra sovranità tecnologica europea e una maggiore sicurezza per tutti”, ha dichiarato la commissaria europea alla Sovranità tecnologica e alla Sicurezza, Henna Virkkunen, presentando il nuovo pacchetto di misure. La commissaria ha anche ricordato che nel 2025 il cybercrime è costato all’Europa oltre 9 miliardi di euro.

Cybersecurity Act: le novità proposte dalla Commissione Ue

Tra le misure proposte nella revisione del Cybersecurity Act, la cui entrata in vigore risale al 2019, una delle più importanti riguarda l’obbligo di ridurre l’utilizzo di tecnologie “di fornitori di Paesi terzi ad alto rischio”. Non solo, la Commissione Ue chiede l’applicazione più rigorosa delle indicazioni del 5G Toolbox, introdotto nel 2020 ma mai pienamente adottato da diversi Stati membri.

La Commissione Ue con “fornitori ad alto rischio” si riferisce evidentemente a Huawei e ZTE, seppur non vengano citati direttamente nel documento. Nei giorni scorsi il portavoce della Commissione, Thomas Regnier, era stato più esplicito affermando che le due aziende non sono da considerarsi partner affidabili e ha ribadito l’invito agli Stati membri “a prendere misure per escludere queste due aziende dall'infrastruttura per la connettività”.

La Svezia ha bandito Huawei e ZTE dalle sue reti 5G nel 2020 mentre la Gran Bretagna ha bloccato nuove installazioni di reti di ultime generazioni da parte di Huawei nel 2022, oltre a ordinare la rimozione delle infrastrutture esistenti entro il 2027. La Germania prevede di applicare le stesse misure entro la fine di quest’anno. E l’Italia? Il nostro Paese non ha presentato piani per escludere Huawei e ZTE dalle sue reti 5G ma le telco hanno già avviato la transizione verso tecnologie europee di Ericsson e Nokia.

Stando ai dati del report di Strand Consult, in Italia la presenza di tecnologie cinesi nel settore delle telecomunicazioni è passata dal 51% del 2022 al 35% nel 2024. La percentuale, stando alle stime, dovrebbe fermarsi al 28% entro il 2028.

Va detto che abbandonare i fornitori cinesi per l’Europa non sarà affatto semplice, considerando che la sicurezza è competenza dei singoli Stati. Il Consiglio europeo dovrà poi valutare gli impatti economici del passaggio da tecnologia a rischio ad altre considerate più sicure.

In ogni caso la risposta della Cina non si è fatta attendere: “Esortiamo l'Ue a evitare di proseguire sulla strada sbagliata del protezionismo, altrimenti la Cina sarà inevitabilmente costretta ad adottare le misure necessarie per salvaguardare con determinazione i diritti e gli interessi legittimi delle imprese cinesi”, ha dichiarato il portavoce del ministero degli Esteri cinese, Guo Jiakun.

Nuove misure per la sicurezza della catena di fornitura Ict

La Connect Europe, l’associazione che rappresenta le principali telco europee, evidenzia però che le aziende delle telecomunicazioni potrebbero doversi impegnare a sostenere “costi normativi aggiuntivi di diversi miliardi di euro che attualmente sono probabilmente sottostimati”, che si sommano agli “ingenti requisiti di investimento per completare l'implementazione del 5G e della fibra”.

L’associazione quindi ritiene che ulteriori obblighi in materia di catena di fornitura Ict debbano essere basati su prove concrete e “supportati da misure di mitigazione come i meccanismi di rimborso dei costi” per non avere un impatto negativo “sull'implementazione della rete, sulla continuità operativa e sulla pianificazione degli investimenti”.

La seconda novità importante del nuovo Cybersecurity Act riguarda la messa in sicurezza di tutta la catena di fornitura Ict estendendo le misure previste per le telco anche ad altri 18 settori critici tra cui fibra ottica, comunicazioni satellitari, tecnologie per l’energia solare e scanner di sicurezza. “Le telco non sono l’unico ambito in cui la dipendenza da uno o pochi fornitori può rappresentare un alto rischio”, ha commentato la commissaria Virkkunen.

La Computer & communications industry association (Cccia) lancia però l’allarme sui possibili tentativi da parte degli Stati membri di introdurre “criteri protezionistici durante i negoziati”, anche perché la proposta della Commissione fornisce una definizione fin troppo ampia di “Paesi ad alto rischio”. Per questo motivo, per la Cccia è essenziale che i parametri per definire quali nazioni sono partner affidabili si basino su “fattori dimostrati, tangibili e oggettivi, come l'interferenza governativa, la mancanza di un efficace controllo giudiziario o l'assenza di accordi di cooperazione in materia di sicurezza e di applicazione della legge”.

In questo panorama sarà essenziale il lavoro dell’Enisa (European Union Agency for Cybersecurity) nel supportare gli Stati membri nell’applicazione delle nuove misure. Europol e i Computer security incident response teams avranno poi il compito di fornire assistenza alle aziende nel rispondere tempestivamente agli attacchi ransomware e nel porre rimedio ad eventuali danni. Inoltre, il nuovo sistema di certificazione chiamato European cybersecurity certification framework (Eccf) entro 12 mesi dovrebbe stabilire parametri ad hoc per testare in modo più efficiente la sicurezza di prodotti e servizi per i consumatori europei.