Con l'annunciato accantonamento del decreto sul Golden Power rafforzato e la decisione di puntare su un disegno di legge complessivo sulla cyber security dai tempi più lunghi, spiegano gli addetti ai lavori, il rischio è che l'Italia non sia attrezzata per fronteggiare i problemi di sicurezza legati alle nuove reti 5G

Fare presto. È questo l’auspicio e l’invito che circola con insistenza negli ambienti di chi si occupa di sicurezza informatica. L’oggetto della richiesta è la velocità con la quale si dovrebbe procedere sin da subito alla conversione del decreto legge sul Golden Power rafforzato e all’esame, da parte del Parlamento, del corposo impianto normativo e operativo che in futuro dovrà sostenere tecnicamente la valutazione delle possibili vulnerabilità delle componenti utili a implementare le prossime reti 5G e che è stato votato oggi in Consiglio dei ministri.

Questa la ricostruzione dei vari passaggi. A marzo scorso, sull’onda dei timori domestici e internazionali alimentati dall’imminente firma dell’Italia al memorandum di adesione alla Via della Seta, il governo inserì e approvò in fretta nel Decreto Brexit, poi convertito in legge il 20 maggio, un articolo che estendeva al 5G il Golden Power, ovvero la normativa sulle prerogative ‘speciali’ che lo Stato può usare a difesa degli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica in ambiti come l’energia, i trasporti e le comunicazioni (comprese le nuove reti mobili ultraveloci).

Questo primo provvedimento è stato poi integrato recentemente da un ulteriore decreto legge approvato l’11 luglio, che interveniva modificando alcuni aspetti tecnici del Golden Power per il 5G ma non solo: misure di controllo, potere di veto, obblighi di notifica e istruttoria.

L’altro ieri, durante la prima seduta in Senato per la conversione, il sottosegretario alla presidenza del Consiglio Vincenzo Santangelo ha però detto che quest’ultimo decreto non avrà vita lunga, ma sarà fatto decadere alla scadenza dei 60 giorni dalla pubblicazione in Gazzetta Ufficiale, ovvero nella prima decade di settembre. La ragione data dal sottosegretario è stata che in tempi brevi si sarebbe proceduto, come poi è accaduto oggi, alla definizione di un disegno complessivo – dai contenuti anticipati il 15 luglio da Formiche.net – per “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato”, da raggiungere con la definizione di un perimetro di sicurezza nazionale cibernetica e l’assegnazione di compiti e risorse all’Agid e al Cvcn, il Centro di Valutazione e Certificazione Nazionale istituito presso il ministero dello Sviluppo economico (un cambiamento, questo, che non interviene direttamente sul Golden Power, ma vi è in qualche modo legato, perché stabilisce – in prospettiva e fino a che questo aspetto sarà disciplinato dalla normativa sui poteri speciali – gli aspetti operativi per esercitarlo non in relazione alla verifica degli assetti societari, ma a quelli, molto più insidiosi, della tecnologia alla base delle reti).

Ora però, secondo gli osservatori, il rischio è quello che – complici il clima politico, le tante materie in discussione e la pausa estiva – si vanifichi il lavoro fatto, qualora il provvedimento non godesse di una ‘corsia preferenziale’ che possa portare a un suo rapido esame da parte del Parlamento.

Anche perché il disegno di legge in questione dovrà essere a sua volta accompagnato da altri decreti amministrativi e, comunque, prevede un percorso di implementazione e analisi dei soggetti coinvolti che necessiterà di mesi di ulteriore lavoro.

Ancora più delicato il tema riguardante il Golden Power rafforzato. Attraverso quest’ultimo, si interviene su un aspetto considerato cruciale, ovvero viene elevato da 15 a 45 giorni il periodo durante il quale il governo può esercitare un eventuale veto o l’imposizione di specifiche prescrizioni o condizioni. Quindici giorni sono considerati troppo pochi per analizzare qualsivoglia apparato, tanto più in assenza di una struttura nazionale come il Cvcn non ancora operativa.

Il tutto mentre sulle reti 5G continua a consumarsi uno scontro geopolitico tra Stati Uniti e Cina che vede coinvolti alcuni principali player del mercato sponsorizzati da Pechino – Huawei e Zte in particolar modo – e pone al centro proprio aspetti legati alla sicurezza delle nuove reti.
Il pericolo, per l’Italia – evidenziano gli esperti del settore – è dunque quello di non essere attrezzata, a livello normativo e di controlli, per affrontare la verifica e la certificazione di apparati destinati a cambiare il nostro modo di vivere e comunicare, ma che introdurranno anche nuove e preoccupanti vulnerabilità in un quadro contraddistinto, secondo la relazione annuale dell’intelligence, da minacce sempre più ibride e multiformi.

Da qui l’appello degli addetti ai lavori al governo e Parlamento a mettere da parte tentennamenti e divisioni e a non sottovalutare il fatto che, in questo ambito, anche il fattore tempo è fondamentale. Con la sicurezza nazionale, ricordano, non si scherza.

Condividi tramite