L'Europa alza il livello di guardia sulla sicurezza delle infrastrutture digitali critiche con una revisione sostanziale del Cybersecurity Act, la normativa comunitaria in vigore dal 2019 che ora affronta direttamente il nodo della dipendenza tecnologica da fornitori extracomunitari ad alto rischio. Il nuovo pacchetto di misure presentato dalla Commissione europea punta a proteggere non solo le reti 5G, ma l'intera catena di fornitura dell'Information and Communication Technology, con implicazioni dirette per gli operatori telco, i fornitori di servizi cloud, i produttori di hardware di rete e l'intero ecosistema digitale europeo. Una strategia che arriva in un momento critico: il cybercrime ha superato i 9mila miliardi di euro di costi annuali nel continente, trasformando la sicurezza informatica da questione tecnica a priorità geopolitica.
Al centro della strategia comunitaria c'è l'obbligo per gli Stati membri di ridurre drasticamente l'utilizzo di tecnologie provenienti da "fornitori di paesi terzi ad alto rischio", con Huawei e ZTE come destinatari impliciti delle misure, seppur non citati esplicitamente nel documento ufficiale. Il portavoce della Commissione Thomas Regnier ha tuttavia chiarito senza ambiguità la posizione europea durante un briefing con la stampa a Bruxelles: i due produttori cinesi sono considerati fornitori ad alto rischio e solo una minoranza di paesi UE ha adottato misure appropriate per escluderli dalle infrastrutture di connettività. L'applicazione rigorosa del 5G Toolbox, operativo dal 2020 ma mai pienamente implementato, diventa ora un requisito vincolante per le reti mobili di nuova generazione.
La situazione italiana riflette le complessità dell'intero continente: secondo i dati di Strand Consult, nel nostro Paese la presenza di tecnologie cinesi nelle reti 5G è passata dal 51% nel 2022 al 35% nel 2024, con una proiezione al 28% entro il 2028. Un trend in diminuzione, ma ancora significativo se confrontato con i pochi Stati membri che hanno imposto divieti espliciti: la Svezia ha bandito Huawei e ZTE dal 5G nel 2020, il Regno Unito ha bloccato le nuove installazioni nel 2022 ordinando la rimozione completa entro il 2027, mentre la Germania prevede l'eliminazione dai sistemi core quest'anno. L'Italia non ha mai presentato un piano ufficiale di esclusione, affidandosi invece a una transizione graduale verso le soluzioni europee di Ericsson e Nokia da parte degli operatori telefonici.
La resistenza degli operatori non è trascurabile. Connect Europe, l'associazione che rappresenta i principali player telco del continente, ha lanciato un allarme preciso: gli obblighi proposti potrebbero gravare sul settore con costi normativi di miliardi di euro, attualmente sottostimati, in un momento in cui le aziende devono già affrontare ingenti investimenti per completare il rollout del 5G e della fibra ottica. L'associazione sottolinea che senza meccanismi di rimborso dei costi e valutazioni del rischio basate su prove concrete, le nuove regole avranno un impatto negativo sulla continuità operativa e sulla pianificazione degli investimenti proprio quando l'Europa ha urgente bisogno di maggiore connettività, non minore.
La vera novità del Cybersecurity Act rivisto riguarda l'estensione del perimetro di sicurezza ben oltre le telecomunicazioni tradizionali. Sono 18 i settori critici individuati dalla Commissione, che includono la fibra ottica, le comunicazioni satellitari, i sistemi per l'energia solare, gli scanner di sicurezza e l'intera filiera dell'information technology. Come ha spiegato la commissaria europea alla Sovranità tecnologica Henna Virkkunen, le telco non sono l'unico ambito in cui la dipendenza da uno o pochi fornitori può rappresentare un alto rischio sistemico. L'intera catena di fornitura ICT deve essere messa in sicurezza, con particolare attenzione alle vulnerabilità che recenti incidenti hanno evidenziato nei servizi e nelle infrastrutture critiche.
La Computer & Communications Industry Association ha però espresso preoccupazioni sul rischio protezionistico insito nella proposta, sottolineando come la definizione di "paesi ad alto rischio" rimanga volutamente ampia. L'associazione chiede che i parametri per determinare tale status si basino su fattori dimostrati, tangibili e oggettivi come l'interferenza governativa, la mancanza di controllo giudiziario efficace o l'assenza di accordi di cooperazione in materia di sicurezza, evitando che durante i negoziati al Parlamento europeo e tra Stati membri vengano introdotti criteri arbitrari o discriminatori.
Sul fronte operativo, il pacchetto rafforza significativamente il ruolo dell'ENISA, l'Agenzia UE per la sicurezza informatica, che dovrà supportare gli Stati membri nella gestione della nuova roadmap e collaborare con Europol e i Computer Security Incident Response Teams per assistere le aziende nella risposta agli attacchi ransomware. Viene introdotto l'European Cybersecurity Certification Framework (ECCF), un nuovo sistema di certificazione che dovrà sviluppare schemi specifici entro 12 mesi per testare in modo più efficiente la sicurezza dei prodotti e servizi destinati ai consumatori europei.
Le modifiche mirate alla Direttiva NIS2 puntano a semplificare la conformità per circa 28.700 aziende europee, tra cui 6.200 microimprese e piccole imprese, attraverso l'introduzione di una categoria dedicata alle piccole imprese a media capitalizzazione che ridurrà i costi di conformità per 22.500 realtà. Il Digital Omnibus introduce uno sportello unico per la segnalazione degli incidenti, semplificando le norme giurisdizionali e snellendo la raccolta dati sugli attacchi ransomware, con l'ENISA in ruolo di coordinamento rafforzato per la supervisione delle entità transfrontaliere.
La sfida principale rimane l'implementazione pratica: la sicurezza informatica è competenza degli Stati membri, rendendo la negoziazione in fase di Consiglio europeo particolarmente complessa. Sarà necessario bilanciare le esigenze di sovranità tecnologica con l'impatto economico della migrazione da tecnologie considerate a rischio verso alternative certificate, una transizione che richiederà anni di investimenti e potrebbe creare temporanee vulnerabilità operative. Il fatto che in oltre cinque anni dal lancio del 5G Toolbox i divieti espliciti siano rimasti rari testimonia la difficoltà di tradurre le strategie europee in azioni concrete a livello nazionale, specialmente quando coinvolgono fornitori profondamente radicati nelle infrastrutture esistenti.
