Valutare l’esclusione delle aziende cinesi dalla realizzazione delle reti 5G. E’ questa, in sintesi, la conclusione della relazione al Parlamento sui rischi cibernetici approvata dal Copasir. “Il Comitato non può che ritenere in gran parte fondate le preoccupazioni circa l’ingresso delle aziende cinesi nelle attività di installazione, configurazione e mantenimento delle infrastrutture delle reti 5G – si legge nella relazione – Conseguentemente, oltre a ritenere necessario un innalzamento degli standard di sicurezza idonei per accedere alla implementazione di tali infrastrutture, rileva che si dovrebbe valutare anche l’ipotesi, ove necessario per tutelare la sicurezza nazionale, di escludere le predette aziende dalla attività di fornitura di tecnologia per le reti 5G”.
“Appare certamente difficile, in una realtà caratterizzata dalle leggi del mercato e della libera concorrenza, prevedere interventi autoritativi che potrebbero mettere a rischio la stessa realizzabilità di progetti ritenuti essenziali per lo sviluppo delle nuove tecnologie”, continua la relazione ricordando il caso statunitense con l’entrata in vigore del divieto per Huawei rinviato più volte (da ultimo, l’entrata in vigore del divieto è stata prorogata al febbraio 2020).
“Per queste medesime ragioni – rileva il Copasir – né gli organi della Ue, né i principali Paesi europei hanno finora adottato provvedimenti di divieto o limitazione alle attività degli operatori cinesi, pur nella consapevolezza dei possibili rischi che potrebbero derivarne”.
“La rilevanza del problema è stata, peraltro, recentemente confermata in occasione del Consiglio dell’Unione europea Trasporti, telecomunicazioni ed energia del 3-4 dicembre 2019, che nelle conclusioni sul tema del 5G ha, tra l’altro, sottolineato come i Paesi membri debbano considerare fra i fattori di rischio per la sicurezza non solo i profili attinenti la tecnologia ma altresì quelli derivanti dalle politiche e dagli ordinamenti legislativi vigenti nei Paesi terzi dai quali vengono acquisiti prodotti e servizi – prosegue la relazione – In proposito, il Comitato ritiene di sottolineare che le pur significative esigenze commerciali e di mercato, che assumono un ruolo fondamentale in una economia aperta, non possono prevalere su quelle che attengono alla sicurezza nazionale, ove queste siano messe in pericolo”.
“Non si ritiene pertanto di condividere le valutazioni espresse da molti degli operatori ascoltati in audizione, secondo i quali i rapporti e la interconnessione con le aziende cinesi sarebbero ormai tali da non consentire interventi limitativi della presenza di queste ultime nell’assetto delle infrastrutture di rete del nostro Paese, e ciò anche con riferimento alla rete 5G – sostiene il Copasir – A parere del Comitato, il Governo e gli organi competenti in materia dovrebbero considerare molto seriamente, anche sulla base di quanto prevede la recente disciplina dettata dal decreto-legge n. 105/2019, la possibilità di limitare i rischi per le nostre infrastrutture di rete, anche attraverso provvedimenti nei confronti di operatori i cui legami, più o meno indiretti, con gli organi di governo del loro Paese appaiono evidenti. A tali organi potrebbero infatti potenzialmente essere veicolate informazioni e dati sensibili riconducibili a cittadini, enti e aziende italiani”.
“In tal senso, su sollecitazione dei membri del Comitato, i rappresentanti di una delle aziende audite hanno affermato che nel caso si dovesse giungere a un divieto per le aziende cinesi, simile a quello adottato dagli Stati Uniti, sarebbe comunque possibile procedere alla implementazione delle infrastrutture e degli apparati collegati al 5G, con costi complessivi approssimativamente quantificati in circa 600 milioni di euro, senza peraltro che ciò comporti particolari ritardi nello sviluppo della nuova tecnologia”, prosegue il Copasir. In tema di sicurezza dei dati personali, il Comitato parlamentare “ritiene necessario che sia in sede europea sia a livello nazionale vengano assunte iniziative idonee a garantire il rispetto e la tutela dei dati personali, disciplinando con rigore le attività consentite alle piattaforme e ai social network nei riguardi degli account degli utenti. In tal senso, dovrebbe essere sostenuta la proposta del Garante rilanciata proprio a seguito dell’indagine avviata dal Governo americano volta a definire, in sede europea, un accordo per gli scambi di dati a scopo commerciale con la Cina, in analogia a quelli già conclusi con Stati Uniti e Giappone”.
In merito al recente decreto organizzativo del Csirt (Computer security incident response team), collocato presso il Dis, per il Copasir “appare fondamentale che il nuovo organismo, una volta pienamente operativo, possa garantire efficacia e tempestività nelle risposte agli attacchi, considerato che nella maggior parte dei casi la riduzione del danno e la protezione dei dati sono strettamente connessi alla durata e alla pervasività delle azioni offensive. Il Comitato auspica peraltro – si legge ancora – che la concreta attivazione di tale organismo possa avvenire in tempi rapidi, proprio per la assoluta rilevanza dei compiti ad esso affidati”.
In tema di formazione e specializzazione del personale dell’intelligence, il Copasir sottolinea come “in questo campo si sconta un divario significativo fra i Paesi europei e realtà quali Stati Uniti, Russia, India, che hanno investito massicciamente sul reclutamento e la formazione di personale specializzato, generalmente molto giovane e quindi in grado di sviluppare e accrescere nel tempo le proprie competenze. Il problema coinvolge ovviamente anche il comparto Intelligence del nostro Paese, che ha avviato negli anni scorsi iniziative volte proprio a colmare almeno in parte le carenze riscontrate, attraverso la realizzazione di corsi specializzati per la cybersicurezza, differenziati secondo le competenze e le esigenze delle Agenzie. Tuttavia – prosegue il Comitato – il personale formato e reso operativo nel comparto trova spesso opportunità professionali più remunerative presso aziende private, e questo determina un oggettivo indebolimento del patrimonio di competenze delle Agenzie. Il problema, a parere del Comitato, dovrebbe essere attentamente valutato, anche in termini di possibili investimenti aggiuntivi finalizzati a questo specifico obiettivo, in considerazione della rilevanza strategica che la sicurezza cibernetica, nei suoi vari aspetti, ha ormai assunto per i cittadini e per l’intero sistema Paese”.
In relazione al tema dei possibili interventi sulla normativa nazionale, il Comitato ritiene “di segnalare, in primo luogo, l’esigenza messa in rilievo dal Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche; Ndr), circa la individuazione di figure di reato adeguate a fronteggiare il crescente fenomeno degli attacchi a infrastrutture critiche economiche del Paese”.
Infine, per il Copasir, “una evoluzione della legislazione in tale settore appare opportuna, anche individuando nuove specifiche fattispecie di reato, ove si consideri che gli atti di criminalità cibernetica finanziaria sono allo stato attuale perseguibili facendo ricorso a fattispecie generiche (quali in particolare l’articolo 640 del codice penale), e comunque non aderenti ai contenuti e alle modalità operative che caratterizzano tali attività criminose. In secondo luogo, si ritiene opportuna una attenta riflessione circa il tema della cosiddetta guerra ibrida. Come già si è detto, le iniziative ostili da parte di attori esterni contro infrastrutture nazionali si sono notevolmente sviluppate. Allo stato attuale, le uniche risposte ad attacchi di tipo cibernetico portati su obiettivi di rilevanza strategica nazionale sono quelle di tipo reattivo/difensivo, volte cioè a contrastare e ridurre gli effetti dell’offensiva, mettendo in sicurezza le strutture colpite. Non è invece prevista la cosiddetta risposta proattiva, che preveda cioè anche un’attività offensiva nei confronti del soggetto attaccante, in quanto nel nostro ordinamento non è ancora contemplata una regolamentazione autorizzatoria analoga a quella prevista per i conflitti di tipo convenzionale”.
La reazione di Huawei
“Huawei è a conoscenza del contenuto del rapporto annuale di Copasir. – rerplica l’aziedna in uno statement – Huawei ha sempre sottolineato che il dibattito sulla cyber security dovrebbe essere basato sui fatti e ha chiesto di dimostrare le accuse mosse all’azienda. Fino ad ora non sono state fornite prove. Considerando che in 30 anni di storia dell’azienda nel settore ICT, non si sono verificati incidenti relativi alla sicurezza delle reti, Huawei crede fermamente che qualsiasi accusa contro di essa sia motivata puramente da ragioni geopolitiche”.
“Huawei è una società privata al 100% e Huawei Italia si attiene alla legge italiana – prosegue la nota dell’azienda – Nessuna legge cinese impone alle società private cinesi di impegnarsi in attività di cyber-spionaggio. Gli avvocati di Clifford Chance, uno studio legale globale con sede a Londra, hanno concluso che la legge cinese non conferisce a Pechino l’autorità di obbligare i fornitori di apparati di telecomunicazioni a installare backdoor o dispositivi di ascolto o ad assumere comportamenti che potrebbero compromettere la sicurezza della rete”.
“A causa della natura globale della catena di approvvigionamento – conclue Huawei – escludere un’azienda in base a dove si trova il suo headquarter, non garantisce maggiore sicurezza alle infrastrutture. Huawei comprende le preoccupazioni dei regolatori europei e italiani sulla sicurezza informatica. Un’Europa e un’Italia aperte, digitali e prospere richiedono un ambiente digitale sicuro e affidabile che risponda alle sfide di oggi e di domani. Pertanto, Huawei è aperta a collaborare con tutte le entità governative e fornire tutte le garanzie necessarie per consentire agli operatori di implementare rapidamente le reti 5G”.