Nei giorni scorsi si è riunito a Palazzo Chigi il Consiglio dei ministri, sotto la presidenza dell’uscente presidente Mario Draghi, per deliberare l’esercizio del Golden power, sotto forma di prescrizioni, in relazione all’approvazione dei piani annuali 5G per l’anno 2022, presentati da Tim e da Vodafone Italia e l’approvazione, con raccomandazione, del piano annuale 2022 di Inwit, (il tower operator italiano controllato da Tim e da Vodafone), relativo al programma di acquisti dei beni, dei servizi e delle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle proprie attività.

L'obiettivo è quello di limitare potenziali rischi per la cybersicurezza e dunque determinare una progressiva uscita di scena dell'operatore cinese Huawei dai piani annuali dei contratti di Tim e Vodafone, impedendo che il governo cinese possa avere accesso a un'infrastruttura strategica nazionale come le reti di quinta generazione.

Per comprendere quali sono i potenziali rischi in termini di sicurezza informatica, basti pensare che un apparato che risiede nel Core della rete può potenzialmente intercettare tutto il traffico che vi passa attraverso. Questa è la ragione per la quale il Regno Unito ha recentemente deciso di bandire Huawei dalle reti 5G. Nel caso di Tim, il piano annuale presentato prevede per la parte Core della rete, cioè il "cervello" dell'infrastruttura che connette le parti di accesso e che è deputata al trasporto dei dati degli utenti su scala geografica, l'utilizzo al 100% di apparati della società svedese Ericsson.

L’implementazione di reti private dedicate è affidata alla società italiana Athonet, mentre la sezione di accesso della rete (Ran, radio access network), prevede allo stato attuale tra i fornitori Ericsson (al 53%), Nokia (al 27%) e Huawei (al 20%). Usando una metafora, potremmo dire che la rete di accesso è un po' come la ramificazione di strade urbane, extra-urbane e tangenziali che portano fino all'autostrada, che nel nostro caso è rappresentata dalla 5G Core.

Il piano presentato garantisce però che la partecipazione di Huawei è solo temporanea, dal momento che Tim ha già avviato un processo di dismissione degli apparati di quest’ultima, che saranno in breve tempo sostituiti da quelli degli altri due fornitori (Ericsson al 70% e Nokia al 30%). Questo ha consentito l’approvazione del programma di diversificazione presentato, in favore di operatori Ue e Usa. Quanto a Vodafone, Huawei e Nokia allo stato attuale possiedono ognuno praticamente la metà degli apparati.Il provvedimento approvato dal Cdm stabilisce invece che "l'operatore realizzi un drastico riequilibrio del peso di fornitori extra-Ue a vantaggio di quelli europei nella componente radio della rete". Significa che Vodafone dovrà procedere alla sostituzione graduale degli apparati cinesi già installati con quelli di società europee, entro sei anni (è il tempo stimato per il loro ciclo di vita utile).

Dopo quella deadline, la compagnia cinese dovrà necessariamente essere fuori dalle reti. Nei mesi scorsi, in occasione della pubblicazione in Gazzetta ufficiale del cosiddetto decreto Ucraina, la Cgil ha commentato positivamente la decisione di rafforzare quanto già previsto in ambito di applicazione della normativa relativa al Golden Power (comma 1 dell’articolo 1-bis del decreto-legge n. 21 del 2012) in tema di “rafforzamento dei presidi per la sicurezza, la difesa nazionale e per le reti di comunicazione elettronica”. Il cosiddetto decreto Ucraina ha infatti previsto il consolidamento dell’applicazione del Golden Power per il settore del 5G, ma anche, per la prima volta, l’inclusione del cloud che, con le novità introdotte, assurge a infrastruttura critica per la sicurezza nazionale, alla stregua delle reti di telecomunicazione.

L’esercizio del Golden Power, sotto forma di prescrizioni nel caso di Tim e Vodafone e l’approvazione, con raccomandazione, del piano annuale 2022 di Inwit sembrano dunque confermare la volontà di accompagnare la diffusione di nuove tecnologie con un adeguamento delle norme riguardo alla modalità con cui è necessario governarne i processi, tutelando la sicurezza nazionale. In linea con quanto previsto dal decreto, la presentazione dei piani rappresenta infatti una sorta di “valutazione preliminare sulla applicabilità” della disciplina e sulla autorizzabilità di eventuali operazioni di acquisizione.

Nel caso di aziende che investono nell’infrastruttura e nell’erogazione dei nuovi servizi di connettività per le reti 5G, è stabilito che le comunicazioni debbano essere maggiormente dettagliate, ed è richiesta la presentazione di un piano di investimenti annuale (comma 2 dell’art. 28 del decreto legge 21 marzo 2022, n. 21) che deve specificare molti elementi: “il settore interessato dalla notifica; dettagliati dati identificativi del soggetto notificante; il programma di acquisti; dettagliati dati identificativi dei relativi, anche potenziali, fornitori; dettagliata descrizione, comprensiva delle specifiche tecniche, dei beni, dei servizi e delle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1” (ovvero banda larga, 5G, cloud e attività e tecnologie rilevanti ai fini della sicurezza cibernetica).  

Questo piano può essere aggiornato anche in corso d’anno, in particolare in presenza di “possibili fattori di vulnerabilità, che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi”. In questo caso, come è avvenuto in questi giorni nei confronti dei Piani presentati dagli operatori sopra menzionati, i poteri speciali sono esercitati nella forma dell’imposizione di specifiche prescrizioni o condizioni per evitare il rischio di vulnerabilità. Entro 30 giorni dalla notifica, con Dpcm, il governo può infatti approvare il piano, imponendo prescrizioni o condizioni, può esercitare il potere di veto a tutela della difesa e sicurezza nazionale oppure può dare un via libera parziale e temporale indicando un termine per la sostituzione degli apparati.

All’operatore che non rispetti i nuovi obblighi di notifica viene comminata una sanzione amministrativa che può essere fino al 3% del fatturato (un inasprimento delle precedenti sanzioni dovuto alla estrema delicatezza della sicurezza cibernetica). Contestualmente, i contratti stipulati in violazione vengono annullati. Crediamo si tratti di una scelta coerente e condivisibile, in risposta alla grande preoccupazione espressa sul tema della cybersicurezza. Una scelta che sembra tentare di ricercare un equilibrio possibile tra l’esigenza di attrarre capitali stranieri e quella di mantenere il controllo sugli asset strategici.

Quello che manca adesso però è una chiara e seria politica industriale sul tema delle telecomunicazioni, perché oltre ad arginare bisogna avere la capacità di costruire e consolidare. Ma questa è un’altra storia. Quello che è certo è che sullo sfondo di questa nuova cornice si dovrà da oggi misurare l’evoluzione dei sistemi di telecomunicazione che saranno sempre più orientati verso lo sviluppo di tecnologie 5G.

Barbara Apuzzo è responsabile Politiche e sistemi integrati di telecomunicazione Cgil