Sicurezza 5G: le tante questioni ancora irrisolte

G Iuvinale

Tra il 2021 e il 2025, il 5G potrebbe far aumentare il PIL dell'Unione Europea per un importo pari fino a 1.000 miliardi di euro, con un potenziale di creazione o trasformazione di 20 milioni posti di lavoro. Questo a fronte di investimenti nello sviluppo della rete che, sempre a livello Ue, potrebbero toccare a quella data i 400 miliardi di euro. È quanto emerge da una relazione speciale della Corte dei conti europea, che sottolinea, però, come gli Stati membri stiano accumulando notevoli ritardi nell’attuazione delle rispettive reti 5G, ostacolando il raggiungimento degli obiettivi europei di accesso e copertura.

Secondo un recente studio della Commissione UE, è probabile che solo 11 Stati membri - tra cui l'Italia - conseguano una copertura 5G ininterrotta di tutte le loro aree urbane e dei loro principali assi di trasporto terrestre entro il 2025: per i restanti 16 Stati membri, la probabilità di conseguire tale obiettivo viene ritenuta media (Austria, Repubblica Ceca, Estonia, Germania, Irlanda, Polonia, Lituania e Slovenia) o bassa (Belgio, Bulgaria, Croazia, Cipro e Grecia).

Il dispiegamento del 5G, però, pone problemi di sicurezza tuttora irrisolti

Nel 2015 l’UE ha firmato una dichiarazione congiunta con la Cina sulla cooperazione strategica in materia di 5G, impegnandosi a favore della reciprocità e dell’apertura in termini di accesso ai finanziamenti per la ricerca sulle reti 5G e di accesso al relativo mercato.



Nel 2017 la Cina ha adottato una legge sull’intelligence nazionale che dispone l’obbligo, per tutte le organizzazioni e i cittadini cinesi, di collaborare ai fini dell’intelligence nazionale, con tutele concernenti la segretezza.

In risposta, nel 2018 gli Stati Uniti hanno adottato misure per limitare il ruolo di numerose imprese cinesi, tra cui Huawei, un importantissimo fornitore di apparecchiature 5G.

Nel marzo 2019, anche il Parlamento europeo si è detto preoccupato che i fornitori cinesi di apparecchiature 5G possano rappresentare un rischio per la sicurezza dell’UE a causa delle leggi del loro paese di origine.

È in questo contesto che l’UE ha iniziato a sviluppare iniziative nel campo della sicurezza del 5G.

Quando la sicurezza del 5G è divenuta una delle principali preoccupazioni a livello dell’UE, la Commissione ha reagito rapidamente, ha precisato la Corte

Originariamente, il piano d’azione per il 5G del 2016 non includeva alcuna considerazione in materia di sicurezza. La sicurezza delle reti 5G e la dipendenza eccessiva da fornitori di paesi non-UE, in particolare cinesi, sono state individuate come una problematica cruciale solo nel marzo 2019. Nella risoluzione del 12 marzo 2019, il Parlamento europeo ha espresso preoccupazione in merito ai fornitori non-UE diapparecchiature 5G che potrebbero rappresentare un rischio per l’UE a causa della legislazione dei loro paesi di origine. Lo stesso giorno, nelle sua prospettiva strategica sulle relazioni UE-Cina, la Commissione ha sottolineato la necessità di un approccio comune dell’UE alla sicurezza delle reti 5G per tutelarsi da potenziali gravi implicazioni per la sicurezza di cruciali infrastrutture digitali. Nelle conclusioni del 21 e 22 marzo 2019, il Consiglio europeo ha chiesto alla Commissione di formulare una raccomandazione su un approccio concertato in materia di sicurezza delle reti 5G.

Pochi giorni dopo, la Commissione ha pubblicato una raccomandazione contenente una serie di misure sia a livello nazionale (ad esempio, valutazione dei rischi per il 5G) che a livello dell’UE (ad esempio, valutazione coordinata dei rischi), al fine di garantire un elevato livello di cibersicurezza delle reti 5G nell’UE.

PRIMO RISCHIO

Considerare la sicurezza delle reti 5G come una competenza di sicurezza nazionale limita il campo d’azione della Commissione, dice la corte conti UE

La sicurezza delle reti 5G ricade allo stesso tempo nelle competenze UE e nazionali e riguarda anche la sicurezza nazionale. La Commissione ha affrontato la sicurezza delle reti nel senso di minacce alla sicurezza nazionale ed ha dunque optato per misure di soft law. Ciò implica che l’UE non può adottare misure giuridicamente vincolanti che obblighino gli Stati membri ad applicare misure uniformi di mitigazione dei rischi o che impongano obblighi aventi forza esecutiva. La

La Commissione può invece emettere raccomandazioni e comunicazioni non vincolanti, contribuire a diffondere le migliori pratiche e coordinare le azioni nazionali degli Stati membri. Tuttavia, dice la Corte, è possibile adottare un approccio diverso. Ne è un esempio la “direttiva NIS”40, atto normativo dell’UE che tratta la sicurezza delle reti e dei sistemi informativi nell’UE. Tale atto normativo è stato proposto dalla Commissione e adottato nell’ambito della base giuridica del “mercato unico”, sebbene la cibersicurezza sia in larga misura una prerogativa nazionale.


SECONDO RISCHIO

Il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G è stato adottato in una delle prime fasi del dispiegamento, ma alcuni gestori di reti mobili avevano già scelto i propri fornitori. Dunque, l'intervento è tardivo

Nel gennaio 2020, il gruppo di cooperazione NIS ha adottato il “pacchetto di strumenti dell’UE sulla cibersicurezza del 5G”, che specifica una serie di misure strategiche, tecniche e di sostegno volte ad affrontare le minacce alla sicurezza delle reti 5G ed identifica gli attori pertinenti per ciascuna di dette misure. Questo pacchetto di strumenti, approvato dalla Commissione e dal Consiglio europeo, è stato adottato solo nove mesi dopo che il Parlamento europeo e il Consiglio avevano sollevato per la prima volta preoccupazioni in merito alla sicurezza del 5G. Più di recente, il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G è stato menzionato, nella nuova strategia europea per il potenziamento di connessioni intelligenti, pulite e sicure nei sistemi digitali mondiali, come uno strumento per guidare gli investimenti in infrastrutture digitali. L’approccio di soft law adottato dalla Commissione ha contribuito a mettere in atto rapidamente misure per affrontare le minacce alla sicurezza anche a livello dell’UE e ad agevolare la cooperazione degli Stati membri su questa tematica transfrontaliera. A titolo di confronto, per la direttiva NIS sono stati necessari più di tre anni dalla proposta della Commissione all’adozione e per la direttiva sul codice europeo per le comunicazioni elettroniche ci sono voluti più di due anni. Ancora più tempo è stato necessario per recepire le direttive negli ordinamenti giuridici nazionali degli Stati membri Il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G è stato adottato quattro anni dopo che la politica in materia di 5G era stata definita nel piano d’azione per il 5G, ossia nello stesso anno in cui le tappe intermedie di dispiegamento stabilite nell’ambito di detto piano avrebbero dovuto essere raggiunte. In tale contesto, i rappresentanti dei ministeri degli Stati membri, delle autorità nazionali di regolamentazione e dei gestori di reti mobili intervistati ai fini del presente audit ritenevano che e misure relative agli aspetti di sicurezza del 5G fossero state avviate troppo tardi.

Allo stesso tempo, il pacchetto di strumenti è stato pubblicato quando il dispiegamento ed i piani per il 5G erano nelle primissime fasi nella maggior parte degli Stati membri. La maggior parte dei contratti per apparecchiature 5G tra fornitori ed operatori è stata conclusa nel 2020 e nel 2021. Tuttavia, secondo l’Associazione degli operatori di reti di telecomunicazioni europei (ETNO), alcuni gestori di reti mobili avevano già scelto i propri fornitori quando il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G è stato reso disponibile.


TERZO RISCHIO

Il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G ha fornito un quadro per valutare il profilo di rischio dei fornitori, ma sono rimaste carenze

Alcuni Stati membri ed alcune autorità nazionali ritengono che una parte dei criteri utilizzati per classificare i fornitori ad alto rischio non sia sufficientemente chiara

Una caratteristica fondamentale del pacchetto di strumenti dell’UE sulla cibersicurezza del 5G è la necessità per gli Stati membri di valutare i fornitori e di applicare, per “gli asset chiave definiti critici”, restrizioni ai fornitori considerati ad alto rischio.

Gli Stati membri dovrebbero effettuare tale valutazione sulla base di un elenco non esaustivo di criteri estratti dalla valutazione dei rischi coordinata a livello dell’UE.

Tali criteri sono, ad esempio:

  • la probabilità che un fornitore sia soggetto a ingerenze del governo di un paese non-UE: ad esempio, in ragione dell’esistenza di un forte legame tra il fornitore e il governo di un paese non-UE; oppure a causa della legislazione del paese non UE, specialmente dove non sono operanti controlli ed equilibri legislativi e/o democratici, oppure in assenza di accordi sulla sicurezza o sulla protezione dei dati conclusi tra l’UE e il paese non-UE;

  • la capacità del fornitore di assicurare l’approvvigionamento;

  • la qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei fornitori

Il pacchetto di strumenti è stato concepito per evitare la frammentazione e promuovere la coerenza nel mercato interno ma resta la responsabilità delle autorità nazionali ad applicare detti criteri nel valutare i rischi associati a specifici fornitori. A ottobre 2021, tenendo conto di questo quadro, 13 Stati membri hanno introdotto o modificato disposizioni normative sulla sicurezza del 5G.

La Svezia è stata molto rigida. Nell’ottobre 2020 l’autorità nazionale svedese di regolamentazione delle telecomunicazioni (PTS) ha posto le seguenti condizioni per la partecipazione all’asta dello spettro 5G: — i nuovi impianti e l’attuazione delle funzioni centrali per l’uso radio delle bande di frequenza non devono utilizzare prodotti di fornitori cinesi; — qualsiasi infrastruttura esistente di tali fornitori deve essere gradualmente dismessa entro e non oltre il 1° gennaio 2025.

In Germania, la legge sulla sicurezza informatica 2.0 del maggio 2021 prevede la certificazione obbligatoria delle componenti cruciali prima che ne possa essere autorizzato l’impiego. A norma di detta legge, inoltre, il ministero federale dell’Interno può vietare l’uso di componenti cruciali, qualora possano rappresentare una minaccia per la sicurezza nazionale.

A settembre 2021, l’Ungheria invece non aveva limitato il ricorso ad alcun fornitore di tecnologie 5G ed è improbabile che lo faccia in un prossimo futuro. Tale paese ha anche ufficialmente rifiutato di aderire al programma internazionale per reti 5G pulite (Clean Network Program), promosso dagli Stati Uniti, che mira a limitare la presenza di fornitori cinesi nelle reti centrali 5G. L'Italia ha optato per ricomprendere il 5G nella materia disciplinata dalla Golden Power. In paarticolare, la materia è disciplinata dall’articolo 1-bis del decreto-legge n. 21 del 2012, introdotto dal decreto-legge 25 marzo 2019, n. 22, è relativo all’esercizio dei poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G.

L’impresa che stipula, a qualsiasi titolo, contratti o accordi aventi ad oggetto l’acquisizione di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti relative ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, ovvero acquisisca, a qualsiasi titolo, componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’Unione europea, deve pertanto presentare una notifica ai sensi della normativa sul Golden Power.



QUARTO RISCHIO

I fornitori di tecnologie 5G variano in termini di caratteristiche societarie e provengono da paesi aventi legami diversi con l’UE

Uno dei fattori di rischio è la misura in cui il paese d’origine del fornitore rispetta i valori politici ed economici fondamentali dell’UE.

Mentre i fornitori aventi sede negli Stati membri dell’UE sono tenuti a rispettare le norme e gli obblighi giuridici dell’UE, ciò non vale per sei dei principali fornitori, situati in paesi non-UE, che operano nel quadro della legislazione di paesi non-UE

La Commissione ha iniziato ad affrontare tali preoccupazioni, ritenendo che tutte le imprese che forniscono servizi ai cittadini dell’UE debbano rispettare le norme e i valori dell’UE

QUINTO RISCHIO

La probabilità che un fornitore subisca interferenze da parte del governo di un paese non-UE è un altro fattore importante, definito nel pacchetto di strumenti come determinante per il profilo di rischio del fornitore.

In tale contesto, la proprietà svolge un ruolo importante, in quanto i proprietari con un gran numero di azioni potrebbero esercitare pressioni o influenzare le decisioni di gestione. Inoltre, le società di proprietà privata o statale sono considerate meno aperte al controllo pubblico, in termini di audit e obbligo di rendiconto, rispetto alle società quotate in borsa soggette a rigorosi obblighi di informativa nel corso dell’anno a beneficio degli investitori generali e delle autorità di regolamentazione. La maggior parte dei fornitori di apparecchiature 5G è quotata in borsa, nel proprio paese di origine o all’estero, mentre i fornitori cinesi sono più difficili da classificare e sono generalmente percepiti come strettamente collegati al governo cinese.

Inoltre, vi sono scarse informazioni di dominio pubblico sul modo in cui gli Stati membri entrano in contatto con i fornitori ad alto rischio (cioè come avvenga la loro individuazione) e sull’eventuale esclusione dei fornitori per l’approvvigionamento di apparecchiature 5G; peraltro, le informazioni disponibili sono contraddittorie e incomplete.

Nonostante la natura transfrontaliera dei timori circa la sicurezza del 5G, nel complesso sono disponibili al pubblico poche informazioni sul modo in cui gli Stati membri affrontano le questioni di sicurezza, in particolare per quanto concerne i fornitori ad alto rischio. Ciò ostacola la condivisione delle conoscenze tra Stati membri e la possibilità di applicare misure concertate. Questo limita anche le possibilità per la Commissione di proporre miglioramenti alla sicurezza delle reti 5G.

SESTO RISCHIO

Vi sono indizi secondo i quali alcuni Stati membri seguono approcci divergenti nei confronti dei fornitori di tecnologie 5G

Nell’attuare le misure chiave in materia di sicurezza del 5G, le autorità nazionali godono di un ampio margine discrezionale.

Dall’adozione del pacchetto di strumenti UE, sono stati compiuti progressi per rafforzare la sicurezza delle reti 5G: la maggioranza degli Stati membri applica o è sul punto di applicare restrizioni nei confronti dei fornitori ad alto rischio. A fine 2021, 13 Stati membri avevano adottato o modificato leggi nazionali sulla sicurezza del 5G. Queste misure di regolamentazione tengono conto dei criteri fissati nel pacchetto di strumenti dell’UE, ma seguono approcci diversi Altri Stati membri sono in procinto di introdurre disposizioni normative di questo tipo. Negli anni a venire ciò potrebbe portare ad approcci più convergenti nei confronti dei fornitori ad alto rischio di apparecchiature 5G, almeno tra quelli stati membri che hanno posto in essere detta normativa.

La Commissione ha iniziato di recente ad affrontare il problema delle sovvenzioni estere distorsive del mercato interno

A dicembre 2020, oltre la metà delle apparecchiature 4G e 5G nell’UE proveniva da fornitori non-UE. In particolare, alla fine del 2019, 286 milioni di clienti nell’UE-27 (il 64 % della popolazione totale) utilizzavano reti di telecomunicazione basate sulle apparecchiature 4G di fornitori cinesi. Nell’ottobre 2020, un gruppo di deputati del Parlamento europeo si è rivolto con preoccupazione ai ministri delle telecomunicazioni e del commercio degli Stati membri e alla Commissione affermando che uno dei motivi di tale grande quota di mercato dei fornitori cinesi è che questi ultimi hanno goduto di un vantaggio economico sleale, ossia hanno percepito sovvenzioni pubbliche alle quali i fornitori UE non hanno accesso nel quadro della normativa dell’UE sugli aiuti di Stato. In un’analisi recente, la Corte ha evidenziato rischi analoghi a tale riguardo. Tali sovvenzioni possono falsare il mercato interno, creando così condizioni di disparità tra i fornitori di tecnologie 5G, con eventuali implicazioni per la sicurezza. Nel maggio 2021, per affrontare questo problema, la Commissione ha proposto un nuovo regolamento che stabilisce procedure per indagare su tali sovvenzioni e correggere le relative distorsioni del mercato.

La Commissione non dispone di informazioni sufficienti circa i possibili costi di sostituzione delle apparecchiature dei fornitori cinesi

Stando a una relazione del giugno 2020, estromettere dall’UE un importante fornitore di infrastrutture 5G comporterebbe un aumento dei costi totali di investimento pari a quasi 2,4 miliardi di euro all’anno nei prossimi dieci anni (ossia 24 miliardi di euro in totale). Secondo un altro studio, gli operatori europei stanno già affrontando il potenziamento delle reti 4G costruite tra il 2012 e il 2016, in quanto è prassi commerciale corrente revisionare e ammodernare le apparecchiature di rete che hanno più di tre o quattro anni. Secondo questo studio, il costo totale per “eliminare e sostituire” le apparecchiature aggiornabili acquistate dai fornitori cinesi a partire dal 2016 ammonterà a circa 3 miliardi di euro.

La quota elevata di apparecchiature provenienti da fornitori cinesi, insieme alla loro eventuale classificazione nella categoria “ad alto rischio” in taluni Stati membri, potrebbe comportare costi di sostituzione dell’ordine di miliardi di euro se i gestori di reti mobili fossero obbligati a rimuovere e sostituire le apparecchiature dei fornitori cinesi dalle reti europee senza che venga previsto un periodo di transizione.

In linea di principio, non possono essere concessi aiuti di Stato per compensare gli operatori per l’adempimento di un obbligo giuridico, a meno che gli Stati membri non riescano a dimostrare alla Commissione che sono soddisfatti i necessari requisiti (come ad esempio un effetto incentivante). Dall’analisi compiuta dagli auditor della Corte è emerso un caso in cui il diritto nazionale potrebbe consentire che i costi di sostituzione siano sostenuti da finanziamenti pubblici nazionali (cfr. legge finlandese sui servizi di comunicazione elettronica).


SETTIMO RISCHIO

La Commissione non ha definito la qualità di servizio attesa delle reti 5G

Finora la Commissione non ha definito la qualità di servizio attesa delle reti 5G, ad esempio in termini di velocità minima e latenza massima. Inoltre, nel piano d’azione del 2016 veniva chiesto agli Stati membri di varare servizi 5G “pienamente commerciali” in Europa entro la fine del 2020, senza tuttavia definire questi concetti relativi alla qualità.

La mancanza di chiarezza sulla qualità del servizio attesa genera il rischio che questi termini siano interpretati in modo diverso dagli Stati membri. Gli auditor della Corte hanno rilevato esempi di approcci divergenti al dispiegamento del 5G tra gli Stati membri. Esempi di approcci divergenti al dispiegamento del 5G

La velocità e la latenza sono due aspetti essenziali delle prestazioni dei servizi che utilizzano il 5G. Ad esempio, gli interventi chirurgici a distanza o l’automazione industriale tramite 5G necessitano di velocità elevatissima e di bassa latenza. Ciononostante, finora solo due Stati membri (Germania e Grecia) hanno definito requisiti in materia di velocità minima e di latenza massima. Il requisito che vi fosse “almeno una grande città avente accesso ai servizi 5G entro il 2020” è stato interpretato in modo differente dagli Stati membri. Ciò porta ad una situazione per cui una città classificata come “avente accesso ai servizi 5G” conta una copertura che va da poche strade soltanto (come in Lussemburgo) a quasi tutto il territorio cittadino (come ad Helsinki).

Se persiste, questa situazione potrebbe condurre a disuguaglianze per l’accesso e la qualità dei servizi 5G nell’UE (digital divide): in una parte dell’UE le persone godrebbero di un migliore accesso e di una migliore qualità del servizio 5G rispetto ad altre parti dell’UE. Questo divario digitale potrebbe anche incidere negativamente sul potenziale di sviluppo economico, in quanto il 5G può rivoluzionare settori quali l’assistenza sanitaria, l’istruzione e la forza lavoro solo se accompagnato da prestazioni sufficienti per il 5G.

È inoltre necessario fare chiarezza sulle prestazioni attese delle reti 5G, alla luce dell’iniziativa della Commissione di imporre una maggiore trasparenza circa la qualità del servizio fornito dai gestori di reti mobili per il roaming, per la quale la Commissione ha recentemente presentato una proposta legislativa.


CAPITOLO COSTI

Il costo totale del dispiegamento del 5G in tutti gli Stati membri potrebbe raggiungere i 400 miliardi di euro. Nel 2021, il costo totale del dispiegamento del 5G in tutti gli Stati membri dell’UE fino al 2025 è stato stimato pari ad una cifra compresa tra i 281 e i 391 miliardi di euro, equamente suddivisi tra costruzione di nuove infrastrutture 5G e potenziamento delle infrastrutture fisse fino a velocità dell’ordine di gigabit13. Il grosso di questi investimenti deve essere finanziato dai gestori di reti mobili.

Nel periodo 2014-2020, l’UE ha sostenuto lo sviluppo del 5G con oltre 4 miliardi di euro, sia direttamente tramite il bilancio dell’UE che tramite il finanziamento della Banca europea per gli investimenti (BEI). Il bilancio dell’UE ha finanziato progetti relativi esclusivamente alla ricerca, mentre la BEI ha sostenuto sia la ricerca che il dispiegamento.

Il dispositivo per la ripresa e la resilienza fornirà una fonte supplementare di finanziamento per il dispiegamento del 5G nei prossimi anni. Al settembre 2021, 16 Stati membri prevedevano di finanziare il dispiegamento del 5G attraverso tale dispositivo e 10 avevano deciso di non farlo. Per il rimanente Stato membro non erano ancora disponibili informazioni.

21 visualizzazioni0 commenti