Il fenomeno tecnologico. La quinta generazione della rete mobile è alle porte, pronta ad assumere il ruolo di fattore abilitante di una vera e propria rivoluzione tecnologica che intreccerà elementi quali Internet of Things, Big Data, Smart Cities.
Più in generale, come sottolineato dalla Commissione europea in un documento del 26 marzo 2019 - la Raccomandazione C(2019)2335 “Cybersecurity of 5G networks” - il 5G rappresenterà il “major enabler” di molti dei servizi digitali che garantiranno un salto di qualità a interi settori industriali, come l’energia, i trasporti, la finanza, la salute.
Andrus Ansip, Commissario per il Mercato unico digitale, ha affermato in proposito che “la tecnologia 5G trasformerà la nostra economia e la nostra società e offrirà enormi opportunità ai singoli e alle imprese”. Tuttavia, a fronte di queste brillanti prospettive economiche (si stima che l’indotto del 5G raggiungerà i 225 miliardi di Euro entro il 2025), il dispiegamento della nuova tecnologia pone anche nuove e complesse sfide: su tutte, la cybersecurity.
Sotto questo profilo, la quantità e la qualità dei dati destinati a viaggiare sulle reti mobili ultraveloci, assieme a fenomeni come l’interconnessione delle infrastrutture e dell’ecosistema digitale, impongono un’attenta riflessione - proprio ora, durante la progettazione e la realizzazione della nuova infrastruttura - sulla sua sicurezza tecnologica. Una riflessione, questa, che deve necessariamente avere una dimensione europea e organica: l’unitarietà dei digital markets implica infatti che la vulnerabilità delle reti 5G, anche in un solo Stato membro, colpirebbe l’intera Unione europea. Non a caso, lo stesso Ansip aggiunge che “non possiamo permettere che questo [cioè l’avvento del 5G, n.d.r.] accada senza garantire la massima sicurezza. È pertanto essenziale che nell’UE le infrastrutture 5G siano resilienti e totalmente al sicuro da botole giuridiche o tecniche”.
Gli step raccomandati dalla Commissione. Proprio nel solco di questo doppio binario - giuridico e tecnologico - va a collocarsi il piano operativo armonizzato che la Commissione raccomanda agli Stati membri per assicurare una corretta analisi dei rischi infrastrutturali, a livello nazionale ed europeo: in quest’ultimo caso, con un assessment coordinato. Più in particolare, la Raccomandazione suggerisce alcune misure operative di breve e medio termine.
Il primo step è rappresentato dal livello nazionale. Ciascuno Stato membro dovrebbe infatti portare a termine, entro il 30 giugno 2019, non solo il “risk assessment” delle infrastrutture 5G, identificando i fattori rispetto ai quali le falle di sicurezza comporterebbero un significativo impatto negativo, ma anche l’aggiornamento dei requisiti di sicurezza richiesti agli operatori di rete. In questo secondo ambito gli Stati membri dovrebbero tenere in considerazione - come da doppio binario giuridico/tecnico - sia i fattori di rischio derivanti dalle policy (come il framework applicabile ai fornitori), sia i fattori di rischio tecnologici (come le specifiche caratteristiche di rete).
Il secondo step è invece rappresentato dal livello europeo, all’interno del quale il ruolo di raccordo giocato dalla Commissione e dall’ENISA (European Agency for Cybersecurity) dovrebbe facilitare lo scambio di informazioni tra best practice nazionali, propedeutico alla formazione di una “common awareness” dei rischi 5G esistenti e potenziali e alla delineazione (entro il 31 dicembre 2019) di uno strumentario comune.
Questo “toolbox” (il terzo step: la cassetta degli attrezzi) dovrebbe, secondo la Commissione, rappresentare l’output del confronto comunitario e includere:
a) un elenco completo di tutti i rischi legati, per esempio, alla catena distributiva, al software, al controllo e alla regolazione della nuova tecnologia;
b) una serie di misure volte a limitare questi rischi, come certificazioni, test, controlli e identificazione di prodotti e fornitori ritenuti non sicuri.
Il 5G come settore strategico europeo e la tutela dagli investimenti stranieri. È proprio sull’affidabilità dei fornitori, cioè di quei soggetti economici che andranno materialmente a contribuire al roll-out dell’infrastruttura 5G, che si snoda uno dei temi cruciali dell’intero discorso: quello degli investimenti stranieri sugli asset tecnologici. Nella corsa internazionale al primato sulle reti, infatti, l'Europa non sembra aver paura di fare da terzo incomodo tra USA e Cina. Anzi, la Commissione sembra voler mantenere una posizione ben precisa, seppur con dei margini di flessibilità, nel considerare il deployment del 5G come un settore vitale nella strategia per il Mercato unico digitale.
Questa posizione emerge con chiarezza dalla citata Raccomandazione, nella quale si afferma che gli investimenti stranieri nell’acquisizione di asset fondamentali, di tecnologie e di infrastrutture, nonché nella fornitura di tecnologie fondamentali può rappresentare un rischio per la sicurezza europea. Una posizione, questa, peraltro già espressa il 12 marzo 2019, in occasione della Comunicazione congiunta “UE-Cina – Una prospettiva strategica” JOIN(2019)5: se è vero che il Paese asiatico è visto come un partner commerciale essenziale per “promuovere un ordine internazionale basato su regole”, allo stesso tempo il 5G viene definito come una infrastruttura critica per l’UE, la cui sicurezza può essere messa a rischio dalla presenza di investimenti stranieri.
Il monitoraggio e il controllo dei “foreign investments” nei settori strategici come le reti 5G, pertanto, rappresentano due elementi essenziali di una politica che non vuole essere protezionistica, ma che al contempo è consapevole della necessità di tutelare una tecnologia che, nel giro di pochi anni, costituirà l’ossatura del nostro sistema di informazione e di comunicazione. La preoccupazione europea, quindi, esiste. Ed esiste soprattutto nei confronti di prodotti e aziende cinesi (in primis Huawei), alimentata in questo anche dagli USA di Trump: secondo il Presidente, per esempio, un coinvolgimento cinese nella realizzazione delle infrastrutture 5G europee comporterebbe un serio rischio per la sicurezza nazionale.
Tuttavia, il monito protezionistico proveniente da oltreatlantico non sembra essere stato accolto in forma piena: né la Raccomandazione “Cybersecurity of 5G networks”, né l’altrettanto recente Regolamento UE 2019/452 che “istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione” puntano a bloccare o impedire l’apporto di capitali o di tecnologie provenienti dall’estero (compresa la temuta Cina), limitandosi a procedimentalizzare lo screening degli investimenti stranieri. In sostanza, il Regolamento appena richiamato istituisce un meccanismo di controllo dei foreign investments in settori strategici per la sicurezza e l’ordine pubblico, e lo sviluppo delle reti 5G, come anticipato, è uno di essi.
Il Golden Power italiano. Si tratta perciò non di un approccio escludente, ma dialogico: una filosofia che sembra aver fatto breccia anche nella regolazione italiana, con il recente Decreto Legge n. 22/2019 che, tra le altre cose, estende anche al 5G il cosiddetto Golden Power. Coerentemente con gli orientamenti comunitari, pertanto, i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G sono considerati anche in Italia “attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale”. In considerazione di ciò, le operazioni di acquisto di beni o servizi (anche di singole componenti “ad alta intensità tecnologica”) relativi alla progettazione, realizzazione, manutenzione o gestione delle reti di nuova generazione sono soggetti alla notifica alla Presidenza del Consiglio dei Ministri, “al fine dell’eventuale esercizio del potere di veto o dell’imposizione di specifiche prescrizioni o condizioni”.
Nessun divieto imposto per principio, quindi, ma solo un attento monitoraggio degli investimenti stranieri, per tenere il polso dello sviluppo di un’infrastruttura tecnologica determinante, in un contesto in cui anche il Garante Privacy ha recentemente espresso preoccupazione per l’aumento dei flussi informativi e delle minacce cibernetiche legato al roll-out del 5G. La superficie di attacco, sostiene il Garante, “si amplia in progressione geometrica”, ed è in quest’ottica che andrebbe monitorata la presenza di aziende straniere (e cinesi in particolare, perché sono soprattutto loro ad avere know-how e tecnologia di nuova generazione) nello sviluppo delle nuove infrastrutture.
© Graziadei Studio Legale