Rispetto alla sicurezza cibernetica, l’evoluzione della normativa europea ed italiana è stata costante. Il Governo Conte I, dopo aver esteso i poteri della golden share a una forma di golden power che consente il controllo sugli accordi tra operatori di rete e fornitori di apparati 5G (tramite il decreto Brexit, che chiameremo per semplicità “Golden Power 1”), ha ulteriormente rafforzato tali poteri con il Dl n. 64 del 2019 “Golden Power 2” che ha allungato le tempistiche per esercitare tale potere (da 15 a 45 giorni per esercitare il controllo e da 10 a 30 per le informazioni aggiuntive) e introdotto la possibilità di comminare forti sanzioni.
Lo stesso Governo Conte I ha poi approvato il disegno di legge sulla cyber security (19 luglio) che a regime prevedeva l’individuazione di amministrazioni pubbliche e aziende da includere nel perimetro di sicurezza e definiva le procedure di notifica e le misure volte a garantire la sicurezza delle informazioni (così come ruoli e compiti delle strutture incaricate di vigilare, in particolare il nascente CVCN).
Le mosse del Conte II sulla cyber
Il Governo Conte II ha effettuato due ulteriori azioni: in primo luogo, pur lasciando decadere il dl Golden Power 2, ne ha esercitato fino all’ultimo i poteri, esaminando nella prima seduta utile del nuovo CdM (5 settembre) le notifiche presentate da Vodafone, Wind e Fastweb relative alle forniture di apparecchiature 5G. In secondo luogo, lo scorso 19 settembre ha approvato un decreto-legge che sostituisce il precedente Ddl riproponendo l’impianto già definito a luglio (individuazione di enti e soggetti pubblici e privati da includere nel perimetro di sicurezza cibernetica, sistema di procurement più sicuro, sistema di vigilanza e sanzioni e assegnazione al CVCN di una serie di competenze tra il potere di imporre condizioni e test di hardware e software).
Inoltre sono state aggiunte tre disposizioni:
- vengono spostate sotto la Presidenza del Consiglio le attività già individuate nel disegno di legge in relazione ai soggetti pubblici;
- vengono ridotti, rispettivamente, a quattro e dieci mesi, i termini per individuare i soggetti da includere nel perimetro cibernetico;
- si consente all’Esecutivo, anche in caso di contratti già autorizzati con DPCM, di modificare o integrare le misure prescrivendo la sostituzione di apparati e prodotti.
Spunti di policy e criteri da tenere presenti
Alla luce delle considerazioni e delle osservazioni svolte, sembra utile sottolineare tre criteri in vista delle ulteriori evoluzioni della disciplina sulla sicurezza cibernetica che avverranno nel prossimo futuro:
- Armonizzazione europea. Per garantire un clima di concorrenza e stabilità per le aziende sarà importante armonizzare il più possibile la normativa a livello europeo, pur mantenendo delle peculiarità a livello nazionale, introducendo specifiche certificazioni e procedure quanto più standardizzate e snelle, in modo da favorire nel contempo sicurezza e competitività;
- Controllo delle tempistiche, appare fondamentale sia rispetto alle operazioni di notifica e feedback, sia per l’identificazione di enti e operatori da includere nel perimetro di sicurezza, sia per quanto concerne l’operatività del CVCN;
- Bilanciamento tra sicurezza e competitività, che consisterà nel trovare risposte che tengano insieme sia la contingenza geopolitica, che in alcune fasi temporali può presentare momenti di criticità, sia la giusta modulazione dell’impatto che le procedure possono determinare sul mercato.
A tal proposito, le recenti dichiarazioni del Premier, oltre a mostrare come il tema sia tra le priorità del Governo, appaiono un’importante apertura, puntando sulla difesa dell’interesse nazionale senza aprioristiche distinzioni geografiche relative alla provenienza degli operatori.
Allo stesso modo, il sottosegretario Chieppa ha mostrato un’ampia consapevolezza delle istanze provenienti dagli operatori rispetto alla necessità di certezza e stabilità delle regole e alla loro proporzionalità, insieme all’esigenza di tutelare gli aspetti competitivi in ambito 5G.
In generale, appare utile favorire un clima di stabilità e proporzionalità, in grado di assicurare efficacemente la sicurezza nazionale consentendo il rapido sviluppo delle reti 5G in un ecosistema favorevole agli investimenti.
Per dirla con il vicedirettore del Dis Roberto Baldoni, la rete 5G è un amplificatore di opportunità e rischio: l’Esecutivo ha lo scopo di minimizzare quest’ultimo, tutelando gli interessi nazionali (politici, economici, industriali e scientifici) e avendo allo stesso tempo ben chiaro il concetto di innovazione del Paese. La nostra prosperità economica dipenderà dall’equazione che sapremo fare tra questi due elementi.
5G, benefici economici minacciati dal rischio cyber e norme: il quadro
