“Il Governo cinese sta penetrando negli ecosistemi tecnologici statali degli Stati Uniti”. Inizia con questo monito un recente rapporto1 pubblicato da China Tech Threat, un centro di ricerca americano specializzato nell’analisi delle “minacce alla sicurezza nazionale derivanti dalle partnership delle società tecnologiche di Pechino con l’esercito cinese”, dal titolo: “States of denial vs. States of momentum: dangerous Chinese technology in US State Government systems and rising efforts to prohibit contracts supplying it”.
L’influenza cinese nella logistica internazionale: i rischi per la sicurezza (anche italiana)
Tale documento, che aggiorna un precedente lavoro del marzo 20202, è riuscito a mettere il luce come aziende cinesi “bandite o limitate dalle reti militari e di sicurezza nazionale degli Stati Uniti”, continuano a stipulare contratti con i governi statali3. “Vari enti governativi statali USA, come uffici, scuole e forze dell’ordine, hanno acquistato prodotti da ciascuna di queste società e alcuni in quantità sostanziali. In tal modo, hanno creato minacce per il popolo americano. In quanto società domiciliate in Cina o sostanzialmente possedute da entità con sede in Cina, sono vincolate dalla legge cinese a fare ciò che il Partito comunista cinese comanda ai sensi della legge del 2017 sull’intelligence nazionale. Lexmark, Lenovo, Hikvision e DJI possono in vario modo raccogliere o rubare dati personali sensibili o proprietà intellettuale proprietaria, essere impiegati come canali per armi informatiche e condurre una sorveglianza surrettizia sugli americani”4. “Lexmark e Lenovo possono accedere a informazioni personali e finanziarie riservate detenute da tribunali, dipartimenti di polizia, dipartimenti elettorali, dipartimenti dell’istruzione, servizi per l’infanzia e la famiglia e altri fornitori e agenzie di servizi sociali. Nel caso di Hikvision e DJI, possono anche raccogliere dati sul riconoscimento facciale e sulle infrastrutture critiche”, sostiene China Tech Threat.5
Secondo tale centro di ricerca, inoltre, nonostante le crescenti minacce provenienti dalla Cina e la maggiore consapevolezza sulle vulnerabilità della sicurezza nazionale, gli acquisti del Governo statale da Lexmark e Lenovo sono continuati e in alcuni casi sono addirittura aumentati in modo significativo dal 2020, anno di pubblicazione del precedente report. Ad esempio, “Il Dipartimento delle elezioni del Delaware, il Dipartimento delle imposte delle Hawaii e il Dipartimento della gestione delle emergenze del South Dakota hanno tutti utilizzato prodotti Lexmark o Lenovo”6.
Tuttavia, emergono anche evidenze di un cambiamento a livello federale per prendere più seriamente queste minacce, afferma il think tank. Mentre nel 2020 solo uno Stato federale aveva limitato i contratti con produttori di tecnologia di proprietà o gestiti da cinesi, oggi almeno cinque di essi hanno adottato restrizioni ed altri 11 circa stanno valutando l’adozione di norme ad hoc.
Azioni come il Georgia Senate Bill 3467 e il Florida Executive Order 22-2168 hanno inaugurato una nuova ondata di azioni del Governo statale volte a bandire i sistemi tecnologici di informazione e comunicazione (ICTS) cinesi dai contratti del governo statale.
Comprendere il cyberespionaggio di stato cinese
Negli ultimi dieci anni, la Cina ha posto in essere un massiccio accumulo delle sue capacità informatiche ed oggi rappresenta una formidabile minaccia nel cyberspazio. Il Paese ha compiuto questa trasformazione realizzando tre obiettivi:
- ha riorganizzato le sue istituzioni di elaborazione delle politiche informatiche;
- ha sviluppato sofisticate capacità cyber offensive;
- attua lo spionaggio informatico per rubare su scala industriale la proprietà intellettuale straniera.
Tali operazioni informatiche rappresentano una seria minaccia per i Governi di molti Paesi, per le imprese e per le reti di infrastrutture critiche. Sotto “l’egemonia” del Segretario generale del Partito comunista cinese (PCC) Xi Jinping, i leader cinesi hanno costantemente espresso la loro intenzione di diventare una “superpotenza informatica”. Pechino, infatti, ha sviluppato impressionanti capacità informatiche offensive ed ora è leader mondiale nello sfruttamento delle vulnerabilità9.
Le loro attività di cyberspionaggio sono sempre più sofisticate perché utilizzano tattiche, tecniche e procedure avanzate (TTP) come lo sfruttamento della vulnerabilità e la compromissione da parte di terzi per infiltrarsi nelle reti delle vittime. La principale agenzia di spionaggio cinese, il Ministero della Sicurezza di Stato (MSS), conduce la maggior parte delle operazioni di spionaggio informatico globale per acquisire informazioni politiche, economiche (come l’acquisizione illecita di tecnologia di cui si parlerà più avanti) e di identificazione personale10.
Lo spionaggio informatico di stato, dunque, si inquadra nel genus dei vari strumenti – Xi Jinping le chiama le Armi Magiche – implementati dal PCC per perseguire una strategia economica predatoria11. La legislazione sulla sicurezza informatica, ad esempio, costituisce un’arma per l’industria e per la ricerca sulla sicurezza informatica della Cina perché impone alle aziende e ai ricercatori di segnalare al Governo tutte le vulnerabilità software e hardware scoperte prima di indicarle ai fornitori. Questa politica, sfruttata in combinazione con gare di hacking interno e accordi di cooperazione con le università cinesi, fornisce ai servizi di sicurezza di Pechino un flusso costante di vulnerabilità da sfruttare per le operazioni sponsorizzate dallo Stato12.
Secondo esperti di intelligence, per spionaggio informatico si intende “l’attività di sorvegliare clandestinamente le reti di un’organizzazione ed esfiltrare i dati per realizzare un guadagno economico, un vantaggio competitivo, per ragioni politiche o militari o per obiettivi accademici che può essere realizzato anche da appaltatori indipendenti (o “hacker a pagamento”) incaricati dallo Stato”13. Il cyberespionaggio, inoltre, presenta dei vantaggi perché elimina alcuni dei rischi associati alle tecniche di spionaggio tradizionali e consente un aumento della quantità di informazioni che possono essere raccolte in un dato momento14.
Il cyber-esproprio della tecnologia e dei big data è un esempio di come il PCC sfrutti le proprie capacità per raggiungere obiettivi strategici15. Pechino è generalmente considerata l’autrice del danno di maggiore gravità a livello globale. Oltre allo spionaggio clandestino – realizzato da Agenzie governative, Organizzazioni, entità commerciali, singoli imprenditori, espatriati cinesi, ricercatori cinesi e stranieri – il furto di tecnologia e di dati avviene attraverso incursioni informatiche. “La RPC ha perpetrato il più grande trasferimento illegittimo di ricchezza nella storia umana, rubando innovazione tecnologica e segreti commerciali da aziende, Università e dai settori della difesa degli Stati Uniti e di altre nazioni”, ha concluso un gruppo di esperti della Casa Bianca16.
Anche l’ex direttore della National Security Agency (NSA) – l’organismo del Dipartimento della Difesa degli Stati Uniti che si occupa, insieme alla CIA e all’FBI, della sicurezza nazionale – il generale statunitense Keith Alexander, ha definito questa attività predatoria come il “più grande trasferimento di ricchezza della storia”. Attualmente, tutti i 56 uffici dell’FBI conducono indagini di spionaggio economico legate alla Cina17.
Nel 2017, la Commission on the Theft of American Intellectual Property ha stimato che il furto della proprietà intellettuale costa all’economia statunitense fino a 600 miliardi di dollari l’anno, con un impatto significativo sull’occupazione e sull’innovazione18. Questa cifra si avvicina al budget annuale della difesa nazionale del Pentagono e supera i profitti totali delle prime 50 aziende di Fortune 50019.
Un rapporto del CNBC Global CFO Council ha rilevato che nel 2019 un’azienda americana su cinque ha avuto la propria IP rubata in Cina20. Tutto ciò che ha valore commerciale può essere oggetto di acquisizione illecita da parte di Pechino.
Quanto alla dinamica, la raccolta non tradizionale ed il furto di IP non vengono svolti in modo casuale da individui che agiscono per proprio conto. Pechino ha emanato almeno due decine di leggi che hanno creato un apparato statale per il trasferimento di tecnologia straniera a laboratori in Cina che operano su informazioni fornite da connazionali che lavorano all’estero. L’apparato mantiene anche database di cooperative straniere e distribuisce stipendi, cure e denaro a donatori stranieri di innovazioni high tech. Inoltre, la struttura è responsabile della cura degli agenti disposti a servire la Cina da fuori nazione. Pechino prende di mira tutte le fonti di innovazione estere, comprese Università, aziende e laboratori governativi, sfruttando sia la loro apertura che la loro ingenuità.
Come si vedrà in seguito, una potenziale minaccia alla sicurezza nazionale deriva proprio dagli acquisti (e dall’uso) di hardware e software “commerciali pronti all’uso” (COTS) da società di proprietà o controllate cinesi. Su questo aspetto, gli Stati Uniti hanno già lanciato l’allarme nel 2019 quando un rapporto dell’Ispettore generale del DOD individuava negli acquisti di computer, stampanti e videocamere cinesi un potenziale rischio21.
Secondo consulenti del governo statunitense, le attività di raccolta illecite coprono quattro aree principali22:
- lo spionaggio informatico, perpetrato su scala planetaria attraverso un programma ad hoc23;
- lo spionaggio tecnologico su larga scala24;
- la raccolta non tradizionale25;
- nuovi tipi di spionaggio ibrido tra cyber e tecnologia umana.
Il rapporto della US China Economic and Security Review Commission del 2016 afferma: “Sembra che la Cina stia conducendo una campagna di spionaggio commerciale contro le società statunitensi che coinvolge una combinazione di spionaggio informatico e infiltrazione umana per penetrare sistematicamente i sistemi informativi delle aziende statunitensi per rubare la loro proprietà intellettuale, svalutarla ed acquisirla a prezzi drasticamente ridotti”26.
Il canale più dannoso per il furto della proprietà intellettuale resta lo spionaggio informatico cinese. Come detto, il cyberspionaggio è sia un mezzo per rubare scienza e tecnologia a Stati esteri, sia un metodo di raccolta di informazioni per potenziali attacchi contro i sistemi tecnici militari, governativi e commerciali di Paesi target. Queste intrusioni informatiche, quindi, rappresentano una minaccia fondamentale per la competitività economica e la sicurezza nazionale degli Stati colpiti.
L’FBI ha costantemente avvertito che la Cina rappresenta la più grande minaccia di spionaggio per gli Stati Uniti27. Il suo direttore, Christopher Wray, nel giugno 2022 ha ribadito che il governo cinese è metodico e “hackera a sostegno di obiettivi economici a lungo termine”28.
“La Cina opera su una scala alla quale la Russia non si avvicina. Hanno un programma di hacking più grande di quello di tutte le altre principali nazioni messe insieme. Hanno rubato più dati personali e aziendali americani di tutte le nazioni messe insieme. E non mostrano alcun segno di temperare la loro ambizione e aggressività”29. Attualmente, l’FBI apre una nuova indagine di controspionaggio per azioni cinesi ogni 12 ore.
A marzo di quest’anno, la società di sicurezza informatica Mandiant ha riferito che “criminali informatici cinesi hanno violato i dipartimenti del governo degli Stati Uniti e le società di telecomunicazioni”30. La divisione di sicurezza informatica Mandiant di Google ha pubblicato un rapporto31 sulle tecniche e le procedure degli hacker, che rivela l’utilizzo di una vulnerabilità nel software Fortinet come parte di questa campagna malevola. La banda è altamente sofisticata e, secondo quanto riferito, può rimanere all’interno di un sistema inosservato per anni. Il gruppo criminale, soprannominato UNC3886 da Mandiant, ha colpito due volte negli ultimi sei mesi, avendo precedentemente utilizzato una vulnerabilità VMware per prendere di mira le stesse vittime a settembre 202232.
Non bisogna dimenticare che la Cina non rispetta alcuna legge straniera, men che meno quelle sulla privacy e sulla protezione dei dati. Non c’è alcuna possibilità di impugnare le decisioni del PCC nei Tribunali cinesi. E non vi è alcun mandato per la richiesta di dati o per un giusto processo nel caso in cui un attore voglia contestare un’intrusione illegale. Gli utenti che accedono a fornitori di tecnologia della Cina come TikTok, WeChat o AliPay si espongono al sistema di credito sociale di Pechino e ad altri trattamenti dei dati. La Cina tiene anche una banca dati sui cittadini stranieri per una varietà di scopi. I rischi, dunque, sono incalcolabili.
I Governi, quindi, dovrebbero essere consapevoli che gli attori maligni cinesi stanno ottenendo l’accesso ai loro sistemi attraverso scappatoie nelle tecnologie ordinarie disponibili in commercio, indipendentemente dal fatto che siano – o meno – di proprietà e gestite in Cina. E le aziende cinesi sono particolarmente pericolose, perché l’istituzione della National Intelligence Law cinese del 2017 aumenta il rischio che esse trasmettano a Pechino dati sensibili di terzi33.
Impedire al PCC di infiltrarsi
“L’approvvigionamento di componenti critici dalla Cina presenta il rischio di prodotti deliberatamente compromessi o sabotati” riferisce l’U.S.-China Economic and Security Review Commission nel suo ultimo rapporto inviato al Congresso34. Gli scrittori militari cinesi, come il teorico Ye Zheng, considerano il sabotaggio e lo sfruttamento delle catene di approvvigionamento di un avversario un’efficace tattica militare e di spionaggio35. Nel 2020, un rapporto di SOSI International ha rilevato che i documenti strategici dell’Esercito popolare di liberazione danno la priorità allo “sfruttamento delle catene di approvvigionamento nemiche e ad altre vulnerabilità”, inclusi “attacchi hardware nascosti con mine, interfacce o backdoor incluse nelle infrastrutture di trasporto, informazione e comunicazione”36. Sebbene non tutto l’hardware prodotto in Cina rappresenti una minaccia per la sicurezza nazionale delle infrastrutture, l’Esercito popolare di liberazione (PLA) considera il sabotaggio delle catene di approvvigionamento di un avversario come una tattica di guerra. L’esperto Jan-Peter Kleinhans ha avvertito gli Stati Uniti che “i semiconduttori sono particolarmente vulnerabili al sabotaggio e ad altri exploit durante le fasi di produzione APT di back-end in cui la Cina rivendica una quota di mercato sostanziale”37. Il fatto che il 90% dei telefoni del mondo e quasi l’80% dei computer siano fabbricati in Cina rende lo sfruttamento dei prodotti tecnologici una seria minaccia38. Un rapporto del 2019 dell’ispettore generale del Dipartimento della Difesa americano (DOD) evidenziava che gli Stati Uniti non avevano sviluppato controlli per impedire l’acquisto di prodotti informatici (IT) commerciali offthe-shelf (COTS) con rischi noti per la sicurezza informatica39. Ad esempio, il rapporto stabiliva che l’esercito e l’aeronautica degli Stati Uniti avevano acquistato più di 32 milioni di dollari di articoli IT COTS, tra cui Computer Lenovo di proprietà cinese, con vulnerabilità note della sicurezza informatica40. Nella sua valutazione sulle minacce provenienti dall’uso dei computer Lenovo, il DOD elenca lo spionaggio informatico, l’accesso alla rete e la proprietà, il controllo e l’influenza del governo cinese41. L’approvvigionamento persistente da fornitori cinesi come Lenovo, comporta, quindi, seri rischi alle catene di approvvigionamento della difesa degli Stati Uniti e dei suoi alleati42.
L’ingresso di una qualsiasi società cinese fornitrice di tecnologia (ad esempio di 5G) nel mercato interno di uno Stato equivale, dunque, ad autorizzare un’infiltrazione di Pechino43. Nel 2017, infatti, in Cina è stata adottata la legge sull’intelligence nazionale che dispone l’obbligo, per tutte le organizzazioni e i cittadini cinesi, di collaborare con il governo per questioni di sicurezza44. A fronte di questa regolamentazione “pervasiva”, gli Stati Uniti hanno reagito adottando misure per limitare il ruolo di numerose imprese cinesi, tra cui Huawei45.
Una rapida lettura della legge cinese sull’intelligence nazionale (NIL), adottata il 27 giugno 2017 alla 28a riunione del Comitato Permanente del 20° Congresso Nazionale del Popolo46, rafforza l’argomento secondo cui nessun Paese dovrebbe consentire la presenza di aziende cinesi nell’infrastruttura critica nazionale.
- “Articolo 7: Tutte le organizzazioni e i cittadini devono sostenere, assistere e cooperare con gli sforzi di intelligence nazionali in conformità con la Legge e proteggere i segreti del lavoro di intelligence nazionale di cui sono a conoscenza”47;
- “Articolo 9: Lo Stato dà elogi e premi a individui e organizzazioni che 137 danno un contributo importante agli sforzi di intelligence nazionale”48;
- “Articolo 12: “In conformità con le pertinenti disposizioni statali, le istituzioni nazionali di lavoro di intelligence possono stabilire rapporti di cooperazione con individui e organizzazioni pertinenti e trattenerli per svolgere il lavoro correlato49”. Aziende e individui cinesi possono dunque ricevere incarichi dalle Agenzie di intelligence nazionali50
- “Articolo 14: “Le istituzioni nazionali di lavoro di intelligence che svolgono legalmente attività di intelligence possono richiedere che gli organi, le organizzazioni e i cittadini pertinenti forniscano il supporto, l’assistenza e la cooperazione necessari.” Queste “richieste” sono dei veri e propri obblighi giuridici come risulta evidente da una lettura combinata degli articoli 14 e 7.
Un rapporto dello studio legale svedese Mannheimer Swartling chiarisce ulteriormente la vastità della portata applicativa di questa legge51:
- “La NIL si applica a livello globale ai gruppi cinesi, per cui tutte le filiali, anche quelle al di fuori della Cina, potrebbero essere soggette alla NIL. Poiché la società madre cinese è soggetta alla NIL, la NIL potrebbe, dal punto di vista del diritto internazionale pubblico, avere giurisdizione anche sulle filiali estere del gruppo. Inoltre, la capogruppo cinese ha poteri di governance sulle filiali estere, che potrebbero imporre la loro conformità alla NIL. […] La NIL si applica a tutte le organizzazioni in Cina, un termine che sembra includere tutti i tipi di società stabilite in Cina, indipendentemente dalla proprietà, cioè azionisti cinesi privati e pubblici così come azionisti stranieri. […] La NIL si applica a tutti i cittadini cinesi e, poiché non sembra avere un’esplicita limitazione geografica, potrebbe essere interpretata per applicarsi a tutti i cittadini cinesi anche quando risiedono al di fuori della Cina”.
In un contesto del genere, tutti gli attori commerciali cinesi divengono una potenziale estensione del PCC all’estero52.
Di seguito sono riportati estratti delle osservazioni di un alto funzionario del governo degli Stati Uniti, Christopher Ashley Ford, assistente segretario di Stato per la sicurezza internazionale e la non proliferazione53:
- “Huawei54 è anche un attore importante nello sforzo in corso di fusione militare-civile di Pechino per mettere a disposizione dell’esercito cinese tutte le tecnologie che desidera, tra quelle a cui il settore civile del Paese potrebbe avere accesso.
- […] prodotti e tecnologie di Huawei, Tencent, Alibaba, Xiaomi, Lenovo e altre aziende sono già stati utilizzati in ricerca, produzione e riparazione di armi e attrezzature per la PLA. Queste società hanno anche fornito servizi di supporto per l’industria militare cinese in aree relative all’elettronica, all’aerospaziale, alla costruzione navale e alle armi – che, per inciso, sono tutte aree chiave dell’obiettivo della fusione militare-civile quando si tratta di acquisizione di tecnologia straniera – per migliorare il nucleo di competitività dei settori scientifici e tecnologici della difesa nazionale cinese.
- La fusione militare-civile della Cina evidenzia la preoccupante mancanza di una chiara separazione tra governo, strategie nazionali per la modernizzazione militare e aziende che stanno implementando e consentendo a tali strategie di avere successo.
- […] in base alla progettazione, è sempre più difficile separare dove finisce il commercio e dove inizia il governo”.
È per questo motivo che dozzine di Paesi in tutto il mondo hanno bloccato la società di telecomunicazioni cinese Huawei dalle loro reti 5G. Negli ultimi anni, il Governo degli Stati Uniti ha adottato una serie di misure e sanzioni contro le società tecnologiche cinesi. Secondo uno studio del China Development Institute, dal gennaio 2017, cioè da quando l’Amministrazione Trump è entrata in carica, fino a quando Biden ha approvato lo United States Innovation and Competition Act (USICA) nel giugno 2021, il Congresso, il governo e i principali gruppi di riflessione hanno pubblicato 209 progetti di legge e rapporti riguardanti le politiche scientifiche e tecnologiche nei confronti della Cina55. In qualità di uno dei più importanti produttori cinesi di apparecchiature per le comunicazioni, Huawei ne sopporta il peso maggiore. Gli Stati Uniti hanno represso Huawei per oltre un decennio, da quando la proposta di acquisizione di 3Com Corporation è stata respinta nel 2008 dal Comitato per gli Investimenti Esteri negli Stati Uniti (CFIUS). Da allora, i contratti di vendita di apparecchiature di Huawei o le partnership in R&S con diverse società statunitensi, tra cui AT&T e Google, sono state chiuse. A partire dal 2018, la repressione nei confronti di Huawei è aumentata bruscamente.
Nel maggio 2019, il Dipartimento del Commercio degli Stati Uniti ha deciso di inserire Huawei nella Entity List per i controlli sulle esportazioni ed ha iniziato a sanzionarla globalmente. Nel maggio 2020 il Dipartimento del Commercio ha ampliato l’ambito delle restrizioni all’esportazione, richiedendo ai produttori stranieri di chip che utilizzano apparecchiature e software statunitensi di ottenere l’approvazione prima di poter dare chip a Huawei. Tre mesi dopo, il Dipartimento del Commercio ha limitato ulteriormente i prodotti Huawei realizzati con tecnologia e software statunitensi, aggiungendo 38 filiali Huawei nella Entity List. In pratica, il divieto era stato già intensificato il 15 settembre, con un nuovo regolamento che vietava a qualsiasi entità di fornire a Huawei chip con componenti tecnologici statunitensi. L’Amministrazione Biden è rimasta coerente con le misure punitive adottate contro la Cina sotto l’amministrazione Trump. Lo United States Innovation and Competition Act (USICA) del 2021 include una disposizione che vieta al Dipartimento del Commercio di rimuovere Huawei dalla Entity List senza avere prima dimostrato che non rappresenta più una minaccia nazionale56.
Dopo gli USA, molti Paesi hanno bandito Huawei dalle reti 5G, in particolare Australia, Vietnam, Nuova Zelanda, Macedonia del Nord, Bulgaria, Giappone, Taiwan, Repubblica di Nauru, Regno Unito, India (di fatto) e Canada, dove si è anche disposto che le aziende locali avranno tempo fino al 28 giugno 2024 per rimuovere le apparecchiature 5G e fino al 31 dicembre 2027 per le 4G57.
Le limitazioni statunitensi per prodotti cinesi
Il Dipartimento di Stato statunitense ha bandito i sistemi Lenovo dalla sua rete classificata nel 200658. Il DOD ha anche adottato ulteriori misure per tenere tali prodotti lontani dai suoi sistemi59. Nel 2008, il Corpo dei Marines degli Stati Uniti in Iraq ha scoperto che i prodotti Lenovo, alterati attraverso l’inclusione di chip piantati segretamente, stavano trasmettendo dati alla Cina, costringendo il Corpo ad abbandonare i prodotti dell’azienda60.
Per paura che la Cina potesse accedere ai dati sulla tecnologia dei missili balistici statunitensi, nel 2015 la Marina degli Stati Uniti ha sostituito i suoi server IBM per un valore di 378 milioni di dollari dopo che Lenovo li aveva acquistati. L’Air Force è stata anche costretta a chiedere a Raytheon di rippare e sostituire l’hardware IBM dopo l’acquisizione di Lenovo61 e nel 2016 ha deciso di abbandonare i router Lenovo62.
Nel 2019, come detto, l’ufficio dell’ispettore generale del Dipartimento della difesa ha rilasciato un audit63 riguardante l’acquisto di articoli commerciali off-the-shelf (COTS) da parte dei dipendenti e le relative conseguenze sulla sicurezza nazionale. Nel rapporto si faceva riferimento espressamente all’acquisto di laptop Lenovo. Il rapporto, che ha definito tali prodotti “rischi noti per la sicurezza informatica”, faceva riferimento alle persistenti vulnerabilità presenti nella tecnologia cinese, incluso il noto software Superfish preinstallato sui laptop Lenovo venduti negli Stati Uniti nel 201464. Questo software si autodefiniva come un mezzo per il targeting pubblicitario, ma in realtà fungeva da aggregatore di informazioni per identificare le tendenze degli utenti, monitorare le loro credenziali e incanalare i relativi dati verso i centri di archiviazione nella Cina continentale65.
“Lenovo è il più grande produttore mondiale di personal computer con sede in Cina e una sede negli Stati Uniti a Morrisville, North Carolina. Quella che oggi è diventata Lenovo è stata fondata in Cina nel 1984 dallo scienziato informatico cinese Liu Chuanzi e da dieci suoi colleghi dell’Accademia cinese delle scienze (CAS). Secondo propri documenti finanziari, una società chiamata Legend Holdings detiene una partecipazione del 32,5% in Lenovo. Legend Holdings si vanta di essere ‘classificata tra le prime 10 tra le ‘500 migliori imprese private in Cina dalla All-China Federation of Industry and Commerce’.
Ma Legend Holdings, come tutte le società in Cina, è solo nominalmente privata. Legend Holdings elenca la Chinese Academy of Science Holdings come ‘un azionista sostanziale’, e infatti CAS possiede il 63% delle azioni domestiche di Legend e il 29% delle azioni totali emesse.
Di conseguenza, il governo cinese è il maggiore azionista di Lenovo. Il ramo di capitale di rischio di Legend Holdings, Legend Capital, è stato un investitore nella società cinese iFlytek, che ha fornito tecnologie di riconoscimento delle impronte vocali al Bureau of Prisons dello Xinjiang è [..] Secondo la Commissione di revisione economica e di sicurezza USA-Cina del Congresso, CAS ha ‘collegamenti con programmi cinesi di spionaggio militare, nucleare e cibernetico’. Coerentemente con la sua strategia di acquisizione delle divisioni PC, server e comunicazioni mobili dalle principali società americane, Lenovo ha consolidato la sua posizione di leader internazionale dell’hardware per computer nel 2005 con l’acquisto da parte dell’azienda della divisione ThinkPad di IBM.
Alla fine del 2022, Lenovo controllava circa il 16% del mercato dei PC negli Stati Uniti e a fine 2019 si vantava di fornire più di 900 governi statali e locali. Relativamente sconosciuta nel mercato globale prima dell’acquisto, Lenovo si è trovata tra i principali attori della tecnologia, facendo affidamento sul riconoscimento del marchio e del nome della sua linea di prodotti ThinkPad appena acquisita per competere per contratti governativi. Poco dopo l’acquisizione, il Dipartimento di Stato degli Stati Uniti si è mosso per acquistare laptop Lenovo per i dipendenti.”66.
Lexmark
Come con Lenovo, varie Agenzie governative federali statunitensi hanno limitato l’utilizzo dei prodotti Lexmark. “La Social Security Administration, determinata a mitigare i rischi della catena di fornitura nelle pratiche di approvvigionamento, ha vinto la sua argomentazione in un Tribunale federale nel 2018 secondo cui le stampanti prodotte da Lexmark presentavano ‘un rischio inaccettabile per la catena di fornitura per il governo’ a causa della proprietà cinese dell’azienda e dei legami con il Governo cinese”67.
Nel citato rapporto dell’ispettore generale del DOD del 2019, i prodotti Lexmark venivano etichettati come “rischi noti per la sicurezza informatica“, rilevando come l’esercito e l’aeronautica degli Stati Uniti avevano acquistato 8.000 stampanti di quella marca68. Nel documento, l’ispettore aveva anche dichiarato che Lexmark ha “collegamenti con programmi cinesi militari, nucleari e di spionaggio informatico”69.
Secondo China Tech Threat, “Sebbene nominalmente sia una società americana con sede a Lexington, Kentucky, Lexmark è posseduta al 49% da un consorzio di società con sede in Cina, tra cui Legend Holdings, la stessa società cinese finanziata dallo stato con una grossa partecipazione in Lenovo. Lexmark è stata a lungo la oggetto di varie segnalazioni riguardanti minacce informatiche e rischio di spionaggio, con l’azienda di stampanti che deve affrontare accuse da vari esperti di tecnologia e conglomerati secondo cui le stampanti dell’azienda potrebbero essere utilizzate come mezzo per l’intrusione informatica. Le stampanti, uno dei dispositivi Internet of Things meno sicuri, memorizzano i dati sensibili su dischi rigidi interni derivati dai vari lavori di stampa eseguiti quotidianamente. È possibile accedere a questi dati sensibili attraverso varie vulnerabilità del software nella stampante, rendendo la documentazione sensibile visibile ad avversari e attori stranieri”70.
DIJ
Quanto alla Da Jiang Innovations (DJI), nel 2021 il Department of Homeland Security – che si occupa di sicurezza interna – ha avvertito che la società cinese rappresenta “una minaccia alla sicurezza nazionale” e “stava fornendo infrastrutture critiche statunitensi e dati sulle forze dell’ordine al governo cinese”71. Nel 2017, l’U.S. Immigration and Customs Enforcement ha anche emesso un avviso dove si affermava che “le infrastrutture critiche e le forze dell’ordine che utilizzano i sistemi DJI stanno raccogliendo informazioni sensibili che il governo cinese potrebbe utilizzare per condurre attacchi fisici o informatici contro gli Stati Uniti e la sua popolazione”72. Nel 2018, il Dipartimento della Difesa ha vietato l’acquisto di tutta la tecnologia dei droni standard e nel 2021 ha dichiarato che “i sistemi prodotti da Da Jiang Innovations (DJI) rappresentano potenziali minacce alla sicurezza nazionale”73.
“Fondato nel 2006, il produttore cinese di droni Da Jiang Innovations, o DJI in breve, è rapidamente diventato un colosso, controllando circa il 54% del mercato globale dei droni a partire dal 2021 e il 77% del mercato dei droni per hobby a partire dal 2020. Ha prelevato fondi di investimento dal China Chengtong Holdings Group, che è amministrato direttamente dalla Commissione statale per la supervisione e l’amministrazione dei beni di Pechino (SASAC). Nel 2020, The Wire China ha riferito che più di 900 governi statali e locali degli Stati Uniti e servizi di emergenza hanno utilizzato i prodotti DJI.
DJI ha anche contribuito a portare a termine gli atti di genocidio che il Partito Comunista Cinese sta perpetrando nello Xinjiang fornendo attrezzature all’Ufficio di Pubblica Sicurezza dello Xinjiang, portando così l’azienda nella lista nera del Dipartimento del Commercio nel 2021”74.
Hikvision
Nel novembre 2021 il presidente Joe Biden ha adottato un Secure Equipment Act che vieta alla FCC (Federal Communications Commission) di concedere licenze per le apparecchiature di rete ad aziende che rappresentano un pericolo per la sicurezza nazionale. A farne le spese sono state subito Huawei e ZTE. Inoltre, la sezione 889 del John S. McCain National Defense Authorization Act vieta agli appaltatori governativi di fornire al governo federale apparecchiature, sistemi o servizi di telecomunicazione o videosorveglianza (o un loro componente essenziale) o altri prodotti forniti da cinque società cinesi e dalle loro sussidiarie e affiliate. A parte, la sezione 889 vieta anche agli appaltatori governativi di utilizzare questi articoli o specifici servizi, indipendentemente dal fatto che vengano utilizzati nell’esecuzione di lavori nell’ambito di un contratto federale. Le cinque società cinesi vietate sono: Società di tecnologie Huawei, ZTE Corporation, Hytera Communications Corporation, Azienda di tecnologia digitale Hangzhou Hikvision e Azienda tecnologica Dahua75. Anche il Pentagono ha bandito Hikvision dai suoi sistemi76.
“Gli Stati Uniti potrebbero anche inserire Hikvision nell’elenco delle Specially Designated Nationals (SDN), la “black list” più punitiva in assoluto. Se questo avvenisse, rappresenterebbe uno sviluppo storico nelle relazioni USA-Cina, con un potenziale impatto negativo sull’accesso a servizi finanziari o ai rapporti commerciali a livello globale. Infatti, secondo l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti, i beni degli individui che fanno parte della compagine sociale e delle imprese ivi classificate sarebbero immediatamente “congelati” e negli Stati Uniti sarebbe fatto divieto assoluto di trattare con loro, per ragioni di sicurezza nazionale”77.
Le ultime indagini internazionali dimostrano che Hikvision fornisce attrezzature di sorveglianza anche alle strutture cinesi per la repressione degli uiguri nello Xinjiang78. Un recente rapporto, infatti, ha scoperto, sulla base di documenti provenienti dagli archivi della polizia dello Xinjiang, che le telecamere realizzate dalla società di sorveglianza cinese Hikvision sono profondamente integrate in un programma di intelligence, volto a rintracciare e detenere uiguri e persone di altri gruppi etnici nello Xinjiang. Il rapporto esamina il ruolo della Hikvision nella violazione dei diritti umani, inclusa la sorveglianza di moschee e campi di concentramento, le enormi reti di sorveglianza di massa dello Xinjiang e l’IA di rilevamento dell’etnia uigura79.
La polizia della regione uigura controlla tutti i 23 milioni di residenti per l’ipotesi generica di “terrorismo”, con riconoscimento facciale e telecamere per targhe, segnalando quelli che hanno legami con l’estero, per “l’arresto immediato”. Il rapporto mostra che la tecnologia Hikvision, in alcuni casi identificata fino ai numeri di serie di alcune telecamere, ha catturato filmati che hanno portato alla detenzione di specifici individui uiguri. In un caso esemplare, la polizia ha rintracciato l’auto di un uiguro dopo che una telecamera Hikvision ne ha filmato la targa80.
“Il programma di sorveglianza di massa della Cina è uno dei più grandi sulla Terra e si sta espandendo rapidamente. Nel 2017 la Cina aveva 176 milioni di telecamere di sorveglianza e nel luglio 2018 il loro numero era salito a 200 milioni. I responsabili politici cinesi ritengono che la costruzione di città intelligenti sia una componente vitale della Belt and Road Initiative. L’abbinamento delle città intelligenti con la BRI proviene dal più alto livello del governo cinese: in un discorso del maggio 2017, Xi Jinping ha affermato che la BRI deve ‘promuovere i big data, il cloud computing e la costruzione di città intelligenti’”81.
“Hikvision, un produttore di apparecchiature di sorveglianza, è una filiale della China Electronics Technology Group Corporation, di proprietà statale cinese. Il Dipartimento del Commercio ha saggiamente aggiunto Hikvision alla Entity List nel 2019 per complicità nel genocidio (il termine legale applicato dal governo degli Stati Uniti) che il Partito Comunista Cinese ha perpetrato contro i musulmani uiguri nello Xinjiang, in Cina. La FCC ha anche aggiunto Hikvision alla sua lista coperta, il che significa che ai prodotti Hikvision è vietato l’accesso allo spettro di frequenze radio americane”82.
Perché gli Stati non attuano restrizioni?
Secondo China Tech Threat83, le aziende controllate da entità con sede in Cina come Lenovo, Lexmark, Hikvision e DJI hanno diffuso i loro prodotti in tutti i sistemi tecnologici del governo statale americano; ciò pone la domanda: perché gli Stati lo hanno permesso?
Mentre il governo federale statunitense ha compiuto negli ultimi anni passi lodevoli per affrontare le minacce tecnologiche cinesi, i singoli Stati, invece, non hanno tenuto il passo. Di conseguenza, continua a crescere il disallineamento delle politiche federali e statali riguardo alle tecnologie cinesi. Ad esempio, aggiunge il think tank84, la sezione 889 del National Defense Authorization Act vieta al governo federale di acquistare o utilizzare prodotti e servizi di tecnologia e servizi di informazione e comunicazione (ICTS) dalle società cinesi Huawei, ZTE, Hikvision, Dahua e Hytera85. Eppure uno studio condotto dal Center for Security and Emerging Technology (CSET) della Georgetown University ha rilevato che “negli ultimi anni, quasi 1.700 enti pubblici hanno acquistato ICTS coperti dalla Sezione 889, introducendo potenziali vulnerabilità nelle reti di scuole pubbliche, università, ospedali, carceri, sistemi di trasporto pubblico e uffici governativi a livello nazionale”86.
Il motivo per cui gli stati sono rimasti indietro rispetto al governo federale è “principalmente una questione di denaro, ignoranza e volontà politica”, sostiene il centro di ricerca americano87. In particolare, le ragioni di questo ritardo si rinvengono:
- nella mancanza di best practice uniformi a livello nazionale importanti per mitigare il pericolo proveniente da queste aziende; il che ha consentito alla relativa minaccia per la sicurezza nazionale di rimanere relativamente incontrollata;
- nel fatto che pochi legislatori statali hanno compreso appieno le implicazioni per la sicurezza nazionale proveniente dall’attività maligna esercitata da Pechino all’interno dei Stati;
- in ragioni di economicità perché i governi statali, molti dei quali agiscono con ristretti vincoli di bilancio, sono disincentivati dallo scegliere tecnologie generalmente più costose rispetto alle loro controparti cinesi.
Alcuni se alcuni Stati si sono attivati – è il caso ad esempio della la Georgia (SB 346) e della Florida (ordine esecutivo 22-216) – a febbraio 2023 China Tech Threat ha avuto modo di scoprire che dal 2015, su un totale di oltre 230 milioni di dollari di acquisti, gli Stati avevano speso 47 milioni di dollari circa in prodotti Lexmark o Lenovo88. La precedente ricerca del 2020 aveva già rilevato che circa 40 Stati avevano stipulato contratti ed effettuato pagamenti con i produttori di tecnologia di proprietà del governo cinese come Lenovo e Lexmark89.
L’introduzione delle attrezzature Lexmark e Lenovo negli ecosistemi tecnologici statali significa, dunque, che l’operazione di raccolta di informazioni del Partito Comunista Cinese è maggiormente in grado di accedere ad alcuni pool di informazioni dei cittadini più sensibili. Le agenzie che hanno acquistato la tecnologia da Lexmark e/o Lenovo includono Arizona Board of Fingerprinting, Kentucky State Police, Delaware Department of Elections, Wisconsin Supreme Court, Ohio Department of Public Safety, Idaho Military Division, South Dakota National Guard Armory e le legislature in Alaska, Colorado, Kansas e New Hampshire90.
A gennaio scorso, inoltre, il revisore dei conti del Mississippi, Shad White, sul Sun Herald ha avvertito che gli uffici governativi nel suo Stato “potrebbero acquistare pericolosa tecnologia cinese”. Il Mississippi, precisa China Tech Threat, tra il 2018 e il 2022 ha speso più di 400.000 dollari in tecnologia Lexmark e Lenovo91. “Questa pericolosa tecnologia”, aggiungono i ricercatori, “limitata dal governo federale viene utilizzata in agenzie statali tra cui la Divisione di Medicaid, il Dipartimento dei servizi di riabilitazione e l’Ufficio amministrativo della Corte suprema. I dati sanitari e personali, così come le informazioni giudiziarie e finanziarie altamente sensibili, sono resi vulnerabili allo spionaggio cinese dall’uso di questa tecnologia inaffidabile da parte di produttori già limitati dalle agenzie militari e di intelligence statunitensi a causa della loro connessione con il governo e con l’esercito cinese”92.
A fronte di ciò, i legislatori del Mississipi hanno presentato progetti di legge per aiutare a salvaguardare le infrastrutture e le informazioni statali dalle minacce alla sicurezza nazionale provenienti dalla tecnologia cinese ritenuta non sicura. Nello specifico, la Senatrice Angela Burks-Hill ha sponsorizzato il Senate Bill 2046 , un atto per vietare le apparecchiature tecnologiche prodotte all’interno dei confini di Nazioni straniere ritenute ostili, tra cui appunto la Repubblica popolare cinese.
Con questo disegno di legge, il Mississippi è attualmente uno dei circa dodici Stati americani che, per impedire l’esposizione di informazioni sensibili al governo cinese, sta agendo al fine di vietare alle proprie agenzie l’acquisto e la distribuzione di tecnologia proveniente da Pechino93.
Tuttavia, avverte China Tech Threat – che dal 2019 studia le minacce e i rischi provenienti dalla tecnologia dell’informazione (IT) prodotta da entità di proprietà e/o affiliate al Governo della Repubblica popolare cinese – negli Stati Uniti la strada da percorrere è ancora lunga affinché tutti gli Stati prendano atto della gravità del problema e adottino soluzioni adeguate.
Note e bibliografia
1 China Tech Threat, “States of denial vs. States of momentum: dangerous Chinese technology in US State Government systems and rising efforts to prohibit contracts supplying it” 2020, 23.2.2023
2 Dr. Roslyn Layton, “Stealing From the States: China’s Power Play in IT Contracts US State Governments’ Failure to Scrutinize the Purchase of Lenovo and Lexmark Equipment Jeopardizes Data Security”, China Tech Threat, marzo 2020
3 China Tech Threat, “States of denial vs. States of momentum: dangerous Chinese technology in US State Government systems and rising efforts to prohibit contracts supplying it”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit. I computer Lenovo sono stati vietati dal Dipartimento di Stato nel 2006 a seguito di segnalazioni di hardware o software nascosti utilizzati per il cyber-spionaggio. Il rapporto dell’ispettore generale del DOD del 2019 (https://www.oversight.gov/sites/default/files/oig-reports/DODIG-2019-106.pdf), ad esempio, ha elencato i computer Lenovo, le stampanti Lexmark e le fotocamere GoPro come esempi di apparecchiature non protette elencate nel National Vulnerabilities Database. Le stampanti Lexmark e i computer Lenovo sono fabbricati in Cina e hanno collegamenti con agenzie di intelligence statali, secondo il rapporto. Con i crescenti timori del controspionaggio cinese e della grande competizione di potere, i collegamenti con la Cina si aggiungono alle minacce poste dalle vulnerabilità. Vedi anche: Jackson Barnett, DOD continues to buy products it knows have cybersecurity vulnerabilities, FEDSOOP, 31.7.2019.
4China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM:, cit.
5Ibidem.
6Ibidem.
7 Georgia Senate Bill 346, Department of Administrative Services; companies owned or operated by China to bid on or submit a proposal for a state contract; prohibit, Effective Date 2022-07-01
8 State of Florida, Office of Governor, Executive Order number 22-216
9 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, Antonio Stango Editore, 2023.
11 Ibidem.
12 Ibidem.
13 National Counterintelligence and Security Center, “Foreign Economic Espionage in Cyberspace”, 2018, https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf; Recorded Future, “The Unfortunate Many: How Nation-States Select Targets”, 13.7.2017, https://www.recordedfuture.com/nation-state-cyber-threats; BAE Systems, “The Nation State Actor: Cyber Threats, Methods and Motivations”, https://www.baesystems.com/en/cybersecurity/feature/the-nation-state-actor.
14Jon R. Lindsay, Tai Ming Cheung, and Derek S. Reveron (eds), “China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain” New York, 2015; online edn, Oxford Academic, 23 Apr. 2015 https://doi.org/.
15Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, pagg. 95, cit.
16Office of Policy Planning, U.S Department of State, The Elements of the China Challenge, novembre 2020 (rivisto in dicembre 2020): https://www.state.gov/wp-content/uploads/2020/11/20 -02832-Elements-of-China-Challenge-508.pdf
17Ibidem.
18The Commission on the Theft of American Intellectual Property, Update to the IP Commission Report: The Theft of American Intellectual Property: Reassessments of the Challenge and United States Policy, “The National Bureau of Asian Research”, 2017: https://www.nbr.org/wp-content/uploads/pdfs/publications/IP_Commission_Report_Update.pdf
19 Office of Policy Planning U.S Department of State, The Elements of the China Challenge, cit.
20 Eric Rosenbaum, “1 in 5 corporations say China has stolen their IP within the last year: CNBC CFO Survey”, CNBC, 1.3.2019: https://www.cnbc.com/2019/02/28/1-in-5-companiessay-china-stole-their-ip-within-the-last-year-cnbc.h
21 Nicola Iuvinale, “Tutti i Paesi assistono con superficialità al dilagare dello spyware del Partito Comunista Cinese”, “Extrema Ratio”, 18.1.2022.
22 William Hannas, James Mulvenon e Anna Puglisi, Chinese Industrial Espionage: Technology Acquisition and Military Modernization, “Routledge”, 15.5.2013.
23 Vedi: U.S. Office of the National Counterintelligence Executive, Foreign Spies Stealing US Economic Secrets in Cyberspace: Report to Congress on Foreign Economic Collection and Industrial Espionage, 2009-2011, ottobre 2011, https://www.dni.gov/files/documents/ Newsroom/Reports%20and%20Pubs/20111103_report_fecie.pdf; Threat Connect, Project Camera Shy Closing The Aperture On China’s Unit 78020, 31.1.2019: https://threatconnect. com/resource/project-camerashy-closing-the-aperture-on-chinas-unit-78020/; Dan McWhorter, “APT1: Exposing One of China’s Cyber Espionage Units”, “Mandiant”, https://www. mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units; Dmitri Alperovitch, Revealed: Operation Shady RAT, “McAfee”, agosto 2011: https://icscsi.org/library/Documents/ Cyber_Events/McAfee%20-%20Operation%20Shady%20RAT.pdf; McAfee Foundstone Professional Services and McAfee Labs, Global Energy Cyberattacks: ‘Night Dragon’, 10.2.2011: https://www.mcafee.com/wp-content/uploads/2011/02/McAfee_NightDragon _wp_draft_to_customersv1-1.pdf; Bryan Krekel, Patton Adams, e George Bakos, Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage, U.S.-China Economic and Security Review Commission, 7.3.2012: https://www.uscc.gov/sites/default/files/Research/USCC_Report_Chinese_Capabilities_for_ Computer_Network_Operations_and_Cyber_%20Espionage.pdf.
24 Peter Mattis, Chinese Human Intelligence Operations against the United States, U.S.- China Economic and Security Review Commission, 9.6.2016: https://www.uscc.gov/ sites/default/files/Peter%20Mattis_Written%20Testimony060916.pdf
25 William Hannas, James Mulvenon e Anna Puglisi, Chinese Industrial Espionage: Technology Acquisition and Military Modernization, cit;
26 U.S.-China Economic and Security Review Commission, 2016 Annual Report to Congress, novembre 2016: https://www.uscc.gov/sites/default/files/annual_reports/2016 %20Annual%20Report%20to%20Congress.pdf
27 Dichiarazione del Direttore dell’FBI Christopher Wray, https://www.cbsnews.com/video/ wray-china-is-biggest-counterintelligence-threat-facing-the-u-s/
28 Christopher Wray, “Director’s Remarks to the Boston Conference on Cyber Security 2022”, FBI Boston Conference on Cyber Security, 1.6.2022: https://www.fbi.gov/news/ speeches/directors-remarks-to-boston-conference-on-cyber-security-2022.
29 Ibidem.
30 ALEXANDER MARVI, BRAD SLAYBAUGH, DAN EBREO, TUFAIL AHMED, MUHAMMAD UMAIR and TINA JOHNSON, Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation, Mandiant, 16.3.2023, https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem.
31 Ibidem.
32 Ibidem.
33 Legge sull’intelligence nazionale della Repubblica popolare cinese adottata in occasione della 28a riunione del Comitato permanente della XII Assemblea nazionale del popolo il 27 giugno 2017, https://www.12339.gov.cn/article/law_con.
34 U.S.-China Economic and Security Review Commission, “2022 REPORT TO CONGRESS of the U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION”, Novembre 2022
35Ibidem.
36 Ibidem; Pointe Bello, “Beijing’s Backdoors into Infrastructure Technology Have a Name …and a Far-Reaching Purpose,” Febbraio 2020.
37 Jan-Peter Kleinhans, testimony before the U.S.-China Economic and Security Review Commission, Hearing on U.S.-China Competition in Global Supply Chains, 9.6.2022
38 U.S. Department of Defense, Assessing and Strengthening the Manufacturing and Defense Industrial Base and Supply Chain Resiliency of the United States, Settembre 2018, p. 36
39 U.S. Department of Defense, Inspector General, (U) Audit of the DoD’s Management of the Cybersecurity Risks for Government Purchase Card Purchases of Commercial Off-the-Shelf Items, 26.7.2019. Vedi anche sub nota 3.
40 Ibidem.
41Ibidem.
42Ibidem.
43 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, pagg. 137, cit.
44 Cfr. Risoluzione del Parlamento Europeo del 12 marzo 2019 su “Minacce per la sicurezza connesse all’aumento della presenza tecnologica cinese nell’Unione e possibile azione a livello di Unione per ridurre tali minacce” (2019/2575(RSP): https://www. europarl.europa.eu/doceo/document/TA-8-2019-0156_IT.pdf; Art. 14 Legge sull’Intelligence nazionale della Repubblica Popolare Cinese del 27.6.2017, revisionata il 27.4.2018: http://www.lawinfochina.com/display.aspx?id=23733&lib=law; Kadri Kaska, Henrik Beckvard e Tomas Minarik, Huawei, 5G and China as a Security Threat, NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), 2019: https://ccdcoe.org/uploads/2019/03/ CCDCOE-Huawei-2019-03-28-FINAL.pdf.
45 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, pagg 140 cit: “Nel maggio 2019, il Dipartimento del Commercio degli Stati Uniti ha deciso di inserire Huawei nella Entity List per i controlli sulle esportazioni ed ha iniziato a sanzionarla globalmente. Nel maggio 2020 il Dipartimento del Commercio ha ampliato l’ambito delle restrizioni all’esportazione, richiedendo ai produttori stranieri di chip che utilizzano apparecchiature e software statunitensi di ottenere l’approvazione prima di poter dare chip a Huawei. Tre mesi dopo, il Dipartimento del Commercio ha limitato ulteriormente i prodotti Huawei realizzati con tecnologia e software statunitensi, aggiungendo 38 filiali Huawei nella Entity List. In pratica, il divieto era stato già intensificato il 15 settembre, con un nuovo regolamento che vietava a qualsiasi entità di fornire a Huawei chip con componenti tecnologici statunitensi. L’Amministrazione Biden è rimasta coerente con le misure punitive adottate contro la Cina sotto l’amministrazione Trump. Lo United States Innovation and Competition Act (USICA) del 2021 include una disposizione che vieta al Dipartimento del Commercio di rimuovere Huawei dalla Entity List senza avere prima dimostrato che non rappresenta più una minaccia nazionale”; vedi anche U.S. Department of Defence, DOD Releases List of People’s Republic of China (PRC) Military Companies in Accordance With Section 1260H of the National Defense Authorization Act for Fiscal Year 2021, 5.10.2022, https://media.defense.gov/2022/Oct/05/2003091659/-1/-1/0/1260H%20COMPANIES.PDF.
46 National Intelligence Law of the People’s Republic of China CLI.1.297110(EN)
47 Ibidem.
48 Ibidem.
49 Ibidem.
50 Ibidem.
51 Carolina Dacko e Lucas Jonsson, Applicability of Chinese National Intelligence Law to Chinese and non Chinese Entities, “Mannheimer Swartling”, gennaio 2019: https://www.mannheimerswartling.se/app/uploads/2021/04/msa_nyhetsbrev_national-intelligencelaw_jan-19.pdf
52 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, pag. 138, cit.
53 Christopher Ashley Ford, “Huawei and its Siblings, the Chinese Tech Giants: National Security and Foreign Policy Implications”, Dipartimento di Stato degli Stati Uniti, 11 settembre 2019: https://2017-2021.state.gov/huawei-and-its-siblings-the-chinese-tech-giantsnational-security-and-foreign-policy-implications/index
54 Huawei ha sempre negato accuse di avere legami con il PCC, sostenendo che il mondo interpreta male la NIL. Secondo la dichiarazione ufficiale di Huawei, l’azienda non avrebbe nessun collegamento con lo Stato cinese, come si evince dalle FAQ (Frequently Asked Questions) pubblicate sul sito ufficiale dell’azienda: 8. “Q&A”, Huawei Facts, sito Web aziendale di Huawei: https://www.huawei.com/en/facts. Tuttavia, i servizi segreti statunitensi sostengono che il governo cinese abbia contribuito a finanziare Huawei (“U.S. intelligence says Huawei funded by Chinese state security: report”, Reuters, 20.4.2019), oltre ad avere consentito il furto di proprietà intellettuale (Dan Strumpf e Patricia Kowsmann, “US Prosecutors Probe Huawei on New Allegations of Technology Theft”, “The Wall Street Journal”, 29.8.2019: https://www.wsj.com/articles/us-prosecutors-probe-huawei-on-new-allegations-of-technology-theft-11567102622).
55 Dingding Chen e Wang Lei, “Where Is China-US Technology Competition Going?”, “The Diplomat”, 2.5.2002: https://thediplomat.com/2022/05/where-is-china-us-technologycompetition-going/.
56 Ibidem.
57 Per una disamina completa vedi Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, pag. 140, cit.
58 Steve Lohr, State Department Yields on PC’s From China, 23.6.2006; China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit.
59 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit;.
60 Jordan Robertson e Michael Riley, The Long Hack: How China Exploited a U.S. Tech Supplier, Bloomberg, 12,2,2021
61 Sandra Erwin, U.S. military doubles down on GPS despite vulnerabilities, SpaceNews, 9.8.2021
62 Hayley Tsukayama e Dan Lamothe, Come un’e-mail ha scatenato un battibecco sul ruolo di Lenovo di proprietà cinese al Pentagono, The Washington Post, 22.4.2016
63 Rapporto dell’ispettore generale del DOD del 2019
64 Ibidem.
65 Roslyn Layton, New Pentagon Report Shows How Restricted Chinese IT Products Routinely Enter US Military Networks, AEI, 12.8.2019, https://www.aei.org/technology-and-innovation/new-pentagon-reports-shows-how-restricted-chinese-it-products-routinely-make-their-way-into-us-military-networks/
66 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit.
67 Ibidem; Jason Miller, SSA bid protest win demonstrates power of acquisition to protect the supply chains, Federal News Network, https://federalnewsnetwork.com/reporters-notebook-jason-miller/2018/05/ssa-bid-protest-win-demonstrates-power-of-acquisition-to-protect-the-supply-chains/
68 Rapporto dell’ispettore generale del DOD del 2019
69 Ibidem.
70 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit.
71 Ibidem.
72 U.S. Immigration and Customs Enforcement, “U) Da Jiang Innovations (DJI) Likely Providing U.S. Critical Infrastructure and Law Enforcement Data to Chinese Government”, UNCLASSIFIED//LAW ENFORCEMENT SENSITIVE, 9.8.2017, https://info.publicintelligence.net/ICE-DJI-China.pdf.
73 DOD, Dichiarazione del Dipartimento sui sistemi DJI, 23 luglio 2021
74 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit; RICHARD LAWLER, Il Tesoro degli Stati Uniti afferma che DJI assiste la sorveglianza cinese degli uiguri e blocca gli investimenti, The Verge, 16.12.2021
75 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, cit.
76 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit.
77 Ibidem.
78 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, cit.
79 Conor Healy, “Hikvision,Xinjiang, Uyghurs & Human Rights Abuses – White Paper”, IPVM, 17 maggio 2022
80 Gabriele e Nicola Iuvinale, “La Cina di Xi Jinping – Verso un nuovo ordine mondiale sinocentrico?”, cit.
81 Ibidem.
82 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit.
83 Ibidem.
84 Ibidem.
85 NDAA Section 889
86 Jack Corrigan, Sergio Fontanez e Michael Kratsios, “Banned in D.C. Examining Government Approaches to Foreign Technology Threats”, CSET, ottobre 2022, https://cset.georgetown.edu/wp-content/uploads/CSET-Banned-in-D.C.-1.pdf.
87 China Tech Threat, “STATES OF DENIAL VS. STATES OF MOMENTUM: DANGEROUS CHINESE TECHNOLOGY IN U.S. STATE GOVERNMENT SYSTEMS AND RISING EFFORTS TO PROHIBIT CONTRACTS SUPPLYING IT”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit.
88 Ibidem.
89 Dr. Roslyn Layton, “Stealing From the States: China’s Power Play in IT Contracts US State Governments’ Failure to Scrutinize the Purchase of Lenovo and Lexmark Equipment Jeopardizes Data Security”, cit.
90 China Tech Threat, “ States of denial vs. States of momentum: dangerous Chinese technology in US State Government systems and rising efforts to prohibit contracts supplying it”, REFRESH OF RESEARCH ORIGINALLY PUBLISHED IN MARCH 2020, cit
91 Ibidem.
92 China Tech Threat, Mississippi State Auditor Issues China Tech Spending Warning, Legislators Respond, 20.3.2023,https://chinatechthreat.com/mississippi-state-auditor-issues-china-tech-spending-warning-legislators-respond/.
93 China Tech Threat, 2023 State Momentum, https://chinatechthreat.com/states-stop-china-tech/2023-state-momentum-map/.