Il caso 5G ha tenuto banco nel vertice Ue-Cina. Oggi il l’Alto rappresentante per la politica estera e di sicurezza dell’Unione Europea, Federica Mogherini, ha incontrato il ministro degli Esteri cinese Wang Yi. L’attenzione è stata focalizzata soprattutto sul 5G e sulla posizione dei fornitori cinesi di apparecchiature per le reti, “accusati” di attività di spionaggio.
L’incontro è avvenuto a qualche giorno di distanza dall’approvazione del Cybersecurity Act che punta a rafforzare i sistemi di certificazione delle reti di Tlc nonché ad aumentare la concorrenza sugli appalti del 5G. Il pacchetto di norme, approvato da Strasburgo, rappresenta il primo pilastro di un piano con cui il Vecchio Continente prova a tirarsi fuori dalla “trade war” tra Usa e Cina e adottare una linea autonoma che preservi la sicurezza e allo stesso tempo non tagli del tutto fuori i vendor cinesi dal mercato, rallentando così il roll out del 5G europeo. Con impatti pesanti sullo sviluppo economico di tutta la Ue, come evidenziato qualche settimana dalla Gsma che aveva lanciato l’allarme su un eventuale ban europeo a Huawei & co.
La strategia predisposta dall’Europarlamento si basa su due documenti: le norme di legge (Il Cybersecurity Act) e una risoluzione non legislativa, in cui si chiede a Commissione e Stati un’azione contro le minacce alla sicurezza legate alla crescente presenza tecnologica della Cina nell’Ue.
In occasione dell’incontro odierno, Wan Yi ha chiesto agli Stati Ue di prendere le loro decisioni in modo “indipendente” sulla partecipazione di Huawei alla costruzione delle reti 5G, definendo come “immorali” e “senza fondamento” le accusa lanciate dagli Stati Uniti. “Abbiamo parlato della tecnologia 5G“, ha reso noto Wang. “La Cina spera che tutti gli Stati membri creino un clima equo e giuso per accogliere le imprese di tutti i Paesi, compresi Paesi terzi. Quello che non vogliamo sono accuse senza fondamento, guidate da ragioni politiche, che hanno come unico obiettivo di distruggere imprese straniere”. Queste accuse – secondo il ministro cinese – sono “abnormi, immorali e non hanno il sostegno di altri paesi. Ci auguriamo che tutti i Paesi europei saranno indipendenti nel prendere le loro decisioni”, ha concluso Wan.
Mogherini ha chiarito che la questione della partecipazione di Huawei alla costruzione delle reti 5G “è competenza nazionale degli Stati membri” e non dell’Unione Europea.
“Ne abbiamo discusso nel dialogo strategico (Ue-Cina). Lo discuteremo ulteriormente con i ministri (degli Esteri dell’Ue) a pranzo”, ha spiegato Mogherini. Ma “tocca agli Stati membri scegliere quali società includere o escludere dai mercati nazionali per ragioni di sicurezza”, ha aggiunto Mogherini.
“Tra la Cina e l’Europa abbiamo qualche volta delle differenze, ma abbiamo un terreno comune e possiamo avere ancora più punti convergenza”, ha detto Wang Yi. Il ministro ha poi spiegato che c’è della competizione tra Ue e Cina, ma che la cosa “importante è la cooperazione” e questo “è il tema principale nelle relazioni tra Ue e Cina”. Secondo Wang Yi, “in termini di sistema sociale e retroterra culturale, Cina e Europa hanno molte differenze, ma l’obiettivo condiviso è una cooperazione vantaggiosa per entrambi”.
Per quanto riguarda le tecnologie informatiche e il 5G, il ministro è stato sempre in contatto con l’Alto rappresentante e “la Cina spera che tutti i paesi creeranno un ambiente competitivo equo e giusto per le imprese di tutti i paesi, incluse quelle di altri paesi”, ha proseguito. ”
La cybersicurezza “è una sfida mondiale e la Cina è pronta a lavorare con i paesi europei e gli altri” in questo campo così da “elaborare principi e regole accettati universalmente”.
La risoluzione del Parlamento Ue
Secondo i deputati europei le leggi cinesi sulla sicurezza dello Stato sono una minaccia per la sicurezza informatica dell’Ue ed esprimono dunque forte preoccupazione per le recenti affermazioni secondo cui le infrastrutture per le reti 5G potrebbero avere delle “backdoor” incorporate che consentirebbero ai fornitori e alle autorità cinesi di avere un accesso non autorizzato ai dati personali e alle telecomunicazioni nell’Ue. Si teme che i fornitori di dispositivi di paesi terzi possano presentare un rischio per la sicurezza dell’Ue a causa delle leggi del loro paese che obbligano le imprese a cooperare con lo Stato grazie a una definizione molto ampia della sicurezza nazionale. In particolare, le leggi cinesi sulla sicurezza dello Stato hanno suscitato reazioni negative in vari paesi.
Con la risoluzione i deputati chiedono dunque alla Commissione e agli Stati membri di fornire soluzioni per affrontare le vulnerabilità informatiche nell’acquisto dei materiali per il 5G, e propongono di diversificare gli acquisti con diversi fornitori e introdurre procedure di appalto in più fasi; serve inoltre stabilire una strategia per ridurre la dipendenza dell’Europa dalla tecnologia di sicurezza informatica straniera e creare un sistema di certificazione cyber-sicurezza per l’introduzione del 5G.
Il Cybersecurity Act
Le nuove norme istituiscono il primo schema di certificazione a livello europeo per garantire che i prodotti, i processi e i servizi venduti nell’Ue soddisfino gli standard di sicurezza informatica. Entrando nel dettaglio il Cybersecurity Act dell’Ue, già concordato informalmente con i Ministri Ue, prevede la certificazione delle infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a prodotti, processi e servizi. Entro il 2023 la Commissione valuterà se tali nuovi sistemi volontari debbano essere resi obbligatori.
La legge sulla sicurezza informatica prevede inoltre un mandato permanente e maggiori risorse per l’Agenzia europea per la sicurezza informatica, l’Enisa. L’Agenzia europea per la sicurezza delle reti e dell’informazione riceverà più risorse finanziarie e umane, inoltre sarà intensificata la cooperazione sulla sicurezza informatica fra gli stati membri. Sono previste delle certificazioni standardizzate per l’attrezzatura informatica in Europa; inizialmente le certificazioni saranno volontarie, ma la Commissione valuterà come e in che misura rendere obbligatorio questo requisito a partire dal 2023.
Il Consiglio deve ora approvare formalmente la legge sulla sicurezza informatica. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione. La risoluzione sulla presenza cinese nell’Ue sarà inviata alla Commissione e agli Stati membri.
La posizione italiana
E anche l’Italia è a lavoro su un sistema di certificazione delle reti di Tlc. E’ stato istituito presso l’Iscti (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazioni), il Centro di valutazione e certificazione nazionale (Cvnc) “per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture strategiche, nonché di ogni altro operatore per cui sussiste un interesse nazionale”, si legge sul sito del Mise. “Si tratta di una delle azioni qualificanti per la costruzione dell’architettura nazionale sulla sicurezza cibernetica, tracciata per la prima volta dal Dpcm del 24 del gennaio 2013”. Per l’operatività del Cvcn bisognerà però attendere il decreto applicativo che dovrà essere emanato dal direttore dell’Icsti.