Nel corrente contesto geopolitico globale la governance della supply chain digitale sta assumendo una rilevanza sempre più preponderante. Il technological decoupling, la separazione tecnologica tra gli USA e la Cina – e tra i paesi appartenenti alle rispettive sfere di influenza – si è trasformato in pochi anni da uno scenario paventato nei circoli politici e imprenditoriali in una realtà che appare, allo stato, irreversibile.
Le restrizioni commerciali sugli hi-tech tra USA e Cina
Tra i fronti caldi di confronto tra le due superpotenze spiccano i divieti di esportazione di determinati prodotti tecnologici cutting-edge sanciti dall’Amministrazione Biden al fine di rallentare la rincorsa di una Cina che va sempre più acquisendo capacità di progettazione e fabbricazione di semiconduttori avanzati ed altri componenti high tech.
E così i microprocessori progettati da Nvidia, le Graphics Processing Unit o GPU, che costituiscono una componente essenziale dei supercomputer richiesti dai sistemi di Intelligenza Artificiale Generativa non possono essere più venduti a imprese cinesi. A Nvidia è unicamente concesso di vendere ai propri clienti cinesi dei chip meno avanzati, non in grado di supportare i modelli più evoluti di IA. Similmente, anche Intel e Qualcomm hanno visto parzialmente pregiudicati i propri risultati commerciali nella Repubblica Popolare Cinese a seguito di una serie di divieti di esportazione dei loro prodotti verso il colosso asiatico.
Le sfide regolatorie nel contesto della Guerra Fredda digitale
Ma se, da un lato, la preoccupazione degli Stati Uniti concerne la crescente capacità progettuale e produttiva di componenti elettronici e strumenti digitali del proprio concorrente geopolitico, dall’altra parte cresce altresì il timore che la Cina possa utilizzare le risorse tecnologiche già in proprio possesso nel contesto della nuova guerra fredda con l’Occidente. In primo luogo mediante l’utilizzo dei social media al fine di diffondere contenuti propagandistici o, comunque, che veicolano messaggi incompatibili con i valori delle liberal democrazie occidentali.
Tale timore ha portato il Congresso statunitense ad approvare una misura legislativa ad hoc volta a mettere al bando TikTok, il noto social network controllato dall’azienda cinese ByteDance, negli Stati Uniti. L’unica alternativa per ByteDance è di trovare dei nuovi proprietari geopoliticamente più accettabili.
L’Unione Europea, da parte sua, ha individuato TikTok quale grande gestore di piattaforme digitali a cui si applica il Digital Services Act, un recente regolamento che disciplina, tra le altre cose, l’obbligo di monitorare i contenuti online condivisi dagli utenti. A febbraio la Commissione Europea ha annunciato di aver aperto un’indagine nei confronti di TikTok per verificarne la conformità delle condotte in relazione alla protezione dei minori, alla trasparenza della pubblicità, all’accesso ai dati per i ricercatori, nonché alla gestione di contenuti potenzialmente dannosi. Non solo TikTok, ma anche Temu una piattaforma di e-commerce cinese sempre più usata dai teenager in tutto il mondo, potrebbe entrare nel mirino della Commissione Europea per aver violato il DSA.
I rischi di violazione dei dati personali nelle piattaforme digitali cinesi
E le sfide regolatorie non finiscono qui per le piattaforme digitali cinesi. Il sospetto, infatti, è che le stesse trasmettano i dati personali dei propri utenti alle autorità della madre patria. Sebbene nessuna prova inequivocabile sia stata raggiunta in merito a tali paventate violazioni dei dati personali, il timore per la sicurezza dei dati ha certamente contribuito alla messa al bando di TikTok dagli Stati Uniti. E ciò nonostante la piattaforma avesse effettuato degli importanti investimenti per la realizzazione del Progetto Texas, con il quale, mediante una partnership con Oracle, intendeva gradualmente localizzare tutti i dati dei propri utenti statunitensi negli USA.
La guerra dei dati: il caso Didi
Ma il timore che la potenza avversaria possa violare i dati, personali o commerciali, di utenti o aziende nazionali si è insinuato altresì tra le autorità cinesi. Episodio esemplificativo della guerra dei dati è stata la vicenda della quotazione di Didi, un concorrente cinese di Uber che nel 2021 si quotò sulla borsa di New York nonostante il parere contrario delle autorità cinesi.
Nei giorni immediatamente successivi, i regolatori cinesi sottoposero Didi ad una intensa attività ispettiva, temendo che gli obblighi di disclosure imposti alla società dalle autorità statunitensi di regolamentazione dei mercati finanziari potessero violare gli obblighi di riservatezza dei dati sanciti dalla normativa cinese. Ciò causò un crollo del valore delle azioni di Didi a pochi giorni dall’IPO, ed un seguente rapido delisting l’anno successivo. La parabola di Didi continua a gettare un’ombra sinistra di incertezze sulle prospettive di quotazione di società cinesi nelle borse statunitensi, tanto che Shein – un’altra piattaforma cinese di e-commerce in rapidissima crescita – sembra recentemente aver accantonato i suoi piani di quotarsi negli USA, optando invece per la borsa di Londra, considerata meno esposta a pressioni geopolitiche.
Il rischio geopolitico digitale e la cyber sicurezza nel mondo della finanza
D’altra parte, negli ultimi anni il mondo della finanza ha percepito il rischio geopolitico digitale anche sotto altri profili, in primo luogo sotto quello della cyber sicurezza. Infatti, mentre molti attacchi cyber subiti da banche e altre istituzioni finanziarie sono riconducibili ad attori malevoli che tentano di appropriarsi di dati personali e credenziali dei clienti al fine di poter accedere ai conti degli stessi o per venderli sul Dark Web, altri attacchi sono portati da nation-state actor, ossia da elementi collegati ad apparati statali di paesi avversari a scopo non economico, o non esclusivamente economico. Tali attacchi, ad esempio, specialmente se indirizzati a banche o altre istituzioni finanziarie di rilevanza sistemica, possono avere la finalità di danneggiare le infrastrutture stesse dei mercati finanziari o dei sistemi di pagamento, con effetti potenzialmente destabilizzanti per tutto il sistema economico.
Cyber resilienza delle istituzioni finanziarie: il regolamento DORA
Negli ordinamenti più avanzati, il legislatore è intervenuto adottando misure ad hoc per garantire la cyber resilienza delle istituzioni finanziarie. In Europa è stato adottato il Regolamento UE n. 2022/2554 sulla resilienza operativa del settore finanziario (DORA) al fine garantire la tenuta dei sistemi informativi delle istituzioni finanziarie con un’applicazione molto estesa anche ad enti quali istituti di pagamento, fornitori di servizi per cripto attività, etc.
Il DORA impone agli istituti finanziari un’attività di due diligence e di verifica periodica sui fornitori di prodotti e servizi hardware e software, al fine di ridurre il Third Party Risk, ossia il rischio che l’anello debole della cyber sicurezza si annidi in una delle componenti della supply chain digitale.
Il ruolo dei CdA nella gestione del rischio cyber e della supply chain digitale
Ed è in questo contesto generale di attenzione alla filiera digitale che i Consigli di Amministrazione dovranno affrontare ulteriori sfide, maturando appropriate conoscenze in merito ai sistemi informativi aziendali e al rischio cyber, ma anche in relazione all’intersezione tra rischio cyber e situazione geopolitica.
Gli amministratori, infatti dovranno, tra le altre cose, esaminare la supply chain dei loro fornitori di prodotti e servizi ICT e valutarne le metodologie e i sistemi di sourcing tecnologico. Sarà, pertanto, fondamentale comprendere la provenienza dei componenti hardware (sono stati disegnati o fabbricati in centri produttivi situati in paesi avversari, con il rischio che contengano backdoor per sviare i dati dei clienti?). Sarà, inoltre, fondamentale sapere dove si trovano i data center dei fornitori di servizi cloud, in un contesto nel quale sussiste la tendenza generale a conservare i dati in giurisdizioni geopoliticamente allineate.
Non è un caso, infatti, che il recente Disegno Legge sull’Intelligenza Artificiale prevede la possibilità di imporre il requisito della conservazione dei dati “critici” sul territorio nazionale.
