Nei giorni in cui il Copasir (Comitato parlamentare per la sicurezza della Repubblica) mette in guardia dai rischi della presenza cinese nel settore delle telecomunicazioni un articolo su la Stampa riporta alla memoria il fatto che da diversi anni funzionari della Pubblica amministrazione siano in possesso di dispositivi di proprietà Huawei, nella fattispecie il ministero della Difesa. Un’abitudine tutta italiana, e non solo, che non riguarda solo i telefonini, ma servizi e infrastrutture ben più critiche. Prima ancora che arrivasse l’allarme del Copasir, qualcuno, non appena iniziarono a circolare i telefonini nel dicastero, ha provveduto a una rapida sostituzione degli apparecchi. Adesso è lo stesso ministro della Difesa, Lorenzo Guerini, ad aver preso molto sul serio l’allarme parlando di “dibattito da non ignorare”.
Ma come sono arrivati telefoni Huawei a Palazzo Baracchini? Con una gara indetta dalla Consip, la centrale acquisti per la Pa del ministero dell’Economia, nata nel 1997 con l’obiettivo di rifornire le amministrazioni di tutti i beni necessari. La mission? Quella di garantire risparmi di spesa su ogni partita di beni acquistati. Solo nel 2018, bilancio alla mano, la spa ha riportato risparmi per 3 miliardi su un valore di acquisti di 12,5.
Ma questo ragionamento può valere quando c’è di mezzo la sicurezza nazionale? “Consip è una centrale acquisti, serve per risparmiare sulle forniture, e funziona se la si usa nel modo giusto, ossia per comprare prodotti standardizzati che va bene comprare al massimo ribasso. Più difficile è comprare tramite Consip competenze, consulenze, ovvero cose che non siano oggetti”, spiega in una conversazione con Formiche.net Corrado Giustozzi, esperto di sicurezza cibernetica del CERT-PA e componente l’Advisory Group dell’Agenzia dell’Unione Europea per la cybersecurity (Enisa).
Consip è solo uno strumento dunque, ma come funziona? “Gli hanno dato delle indicazioni, e le segue. In particolare bandisce le gare su specifiche fornite di volta in volta dal committente e regolate dalle norme sugli appalti e le forniture pubbliche. Se il committente non include considerazioni sulla sicurezza della fornitura che vuole, Consip non ce le può mettere di suo. AgID un anno fa ha avviato un’iniziativa con Consip proprio per inserire almeno delle clausole di default sulla sicurezza nei bandi di gara. Ma è chiaro che il problema in esame esula dai normali requisiti di sicurezza che si pretendono quando tutte le parti sono ‘in buona fede’”, aggiunge l’esperto.
Non è Consip dunque che può decidere se ammettere o no i cinesi ad una gara, in mancanza di un sostegno normativo. “Altrimenti diventa un’esclusione unilaterale ed immotivata, che va contro le norme che regolano gli appalti pubblici ai quali chiunque può partecipare se in possesso degli opportuni requisiti. Vince chi rispettando le regole fa il prezzo minore. Se Huawei o Pinco Pallino hanno i previsti requisiti di legge non possono essere esclusi dalle gare, altrimenti fioccherebbero i ricorsi (legittimi). E non è Consip che può stilare i requisiti, soprattutto se riguardano la sicurezza nazionale”, aggiunge Giustozzi.
In estrema sintesi: “O per questi settori il governo italiano fa una legge in deroga al Codice degli appalti e tutto il resto, aprendo la porta solo a tecnologie italiane o europee, oppure si viola la legge”.
Ma non confondiamo i telefoni in mano ai funzionari dei ministeri con le reti 5G, ancora inesistenti. Per le stesse ragioni, racconta Giustozzi, la rete cellulare europea che fino a 6/7 anni fa era grosso modo al 40% Siemens, 40% Ericson e 20% Nokia, oggi è in mano principalmente a Huawei e in parte minore ad altri. “L’infrastruttura telefonica europea, gli apparati della cosiddetta ‘core network’, è da anni monopolio di Huawei, sotto gli occhi di tutti. Partecipano alle gare e vincono, perché offrono prodotti validi a costi migliori rispetto alla concorrenza. Nessuno ha detto alle Telco che non dovevano comprare prodotti cinesi, quindi il risultato era prevedibile. C’è scritto in tutti i bilanci delle telco che hanno risparmiato in questi anni cambiando i fornitori di apparati”, sottolinea l’esperto.
Un altra soluzione c’è: “Potrebbe essere il ritorno alla tecnologia sovrana, ma non è ipotizzabile che ogni Paese metta su la propria industria dei cellulari, dei televisori e via dicendo. Una cosa che si sarebbe dovuta fare, e di cui si era raccomandata la Commissione europea nel 2013, era l’invito ai governi e al Parlamento europeo di creare le condizioni per cui in Europa si potesse sviluppare un’industria europea per alcuni prodotti critici nell’ambito della sicurezza ad esempio per non essere a ricatto dei fornitori russi, americani o cinesi, un po’ come è stato fatto con Airbus per competere con Boeing. Ma questo è l’unico indirizzo della cyber strategy che non è stato neanche iniziato perché ci sono troppe barriere”.
Che fare allora? “Credo che l’approccio giusto sia quello introdotto dall’Europa col Cybersecurity Act per i prodotti consumer che prevede una certificazione oggettiva di cybersecurity fatta da organismi tecnici accreditati mediante standard pubblici. I prodotti che superano i test possono essere venduti sul territorio dell’Ue, quelli che non li superano no. Non è un approccio politico o discriminatorio su base geografica, ma un approccio tecnico. Che poi è quello che l’Italia sta mettendo in piedi col Perimetro cibernetico, estendendo il concetto dai soli prodotti consumer alle forniture critiche per la sicurezza dello Stato”.
Ma c’è un però. “Per poterlo fare devi aver messo in piedi un sistema di verifica delle effettive caratteristiche tecniche che stai cercando di verificare. E se è difficile farlo con soggetti che cooperano, con soggetti in buona fede, è difficilissimo farlo con soggetti in mala fede. La storia delle emissioni inquinanti con la Volkswagen insegna come si possano taroccare le verifiche”.
Giustozzi ricorda che l’approvazione del perimetro mette in piedi un sistema di questo tipo, di certificazione della sicurezza di prodotti e servizi critici per la sicurezza dello Stato. Altri settori sono già coperti. Il settore consumer (router, televisori, forni a microonde che vanno su internet) è coperto dal Cybersecurity Act europeo che muove adesso i primi passi. Poi c’è la direttiva Nis che riguarda i servizi critici per la società. Restavano scoperti per l’Italia i prodotti e i servizi verso lo Stato. “Il perimetro chiude il cerchio, ci vorrà un po’ di tempo ma è la strada giusta”, afferma l’esperto.
In conclusione per Giustozzi “il Copasir ha fatto bene a lanciare l’allarme. Ma calma e gesso, ragioniamo su cosa fare, tenendo conto di come funziona il contesto nel quale siamo inseriti, le leggi a cui dobbiamo sottostare. Il perimetro cibernetico entrerà a regime tra un anno. Prendere delle misure frettolose potrebbe essere una toppa peggiore del buco”.
