La stretta c’è, ed è notevole. Il documento del governo italiano contenente le linee guida sul 5G svelato da Formiche.net indica un chiaro cambio di marcia.
Tre pagine di nuove, stringenti regole cui le telco italiane dovranno adeguarsi per garantire la sicurezza del 5G. Le previsioni sono pensate per i fornitori extra-Ue. Esclude dunque le europee Ericsson e Nokia, incluse invece le cinesi Huawei e Zte, uniche due realtà extracomunitarie in pole per l’affidamento della banda ultralarga.
Fra le nuove disposizioni alcune rischiano di rendere quasi insostenibile la collaborazione con i provider cinesi. Come i nuovi controlli settimanali dell’equipaggiamento da parte dei tecnici di Palazzo Chigi. O la consegna ripetuta nel tempo del codice sorgente del software.
La normativa, così, è “a dir poco proibitiva” per Huawei e Zte e per chi ci lavora, ha confidato a Formiche.net un alto funzionario della presidenza del Consiglio sotto anonimato. Ma è anche abbastanza sicura? Lo abbiamo chiesto a due fra i maggiori esperti del settore.
Per Stefano Zanero, professore associato presso il Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano, il cavillo normativo, da solo, non è sufficiente.
“Se io, operatore o Stato, considero un fornitore un potenziale avversario o ho informazioni di intelligence per ritenerlo una minaccia, posso introdurre tutti i controlli possibili, ma non avrò mai la certezza di mettere al sicuro il network. Esistono sempre delle trust boundaries oltre le quali neanche i tecnici possono spingersi”.
Vale anche per Huawei, il colosso di Shenzen nell’occhio del ciclone, che Tim ha deciso di non invitare alla gara per la rete core del 5G (in Italia e in Brasile). “Huawei non è solo un fornitore di hardware e software ma anche di servizi – spiega Zanero a Formiche.net – Se io ho un fornitore che per qualche motivo ritengo potenzialmente sospetto, non posso affidargli la gestione delle reti. Una volta che gestisce la rete, un fornitore può manipolare gli apparati senza che nessuno se ne accorga”.
La consegna del codice sorgente è una buona soluzione, spiega l’esperto, ma solo a una condizione. “Non deve essere solo consegnato, ma anche essere riproducibile. Servono altri codici per verificare che il sorgente sia identico al firmware sul router o sulla macchina che mi è stata consegnata”.
Il 5G, ha spiegato di recente l’ex capo della Fcc (Federal Communicatin Commission) Usa Tom Wheeler, è una tecnologia che richiede aggiornamenti del software costanti. “Ogni volta che c’è un aggiornamento, ci deve essere la base di codice corrispondente che consenta di ricostruire il firmware. È una richiesta proibitiva, ma è l’unica che ha senso”, dice Zanero.
“Una buona idea, ma non è sufficiente” ribadisce Andrea Rossetti, professore di Informatica giuridica all’Università di Milano Bicocca, co-fondatore e partner di Red Open, società specializzata nell’Intelligenza Artificiale. “È stato dimostrato che si possono inserire backdoor al livello della compilazione del codice. Per evitarlo, è necessario verificare la corrispondenza dell’eseguibile con il codice”.
Tecniche onerose per gli operatori e i fornitori, ma anche un po’ border line per il diritto alla concorrenza, dice l’esperto. “Non dobbiamo dimenticare che il codice sorgente è protetto dal diritto di autore. Significa chiedere a una società di rivelare parte dei suoi segreti industriali. Come se domani chiedessimo a Google l’algoritmo con cui fa ranking”. Una pratica insolita, come dimostra il caso Immuni. “Anche l’app Immuni ha il codice sorgente aperto, ma non ha fornito codici per garantire la corrispondenza fra codice sorgente e “compilato”, dice Rossetti.
Il partner di Red Open è scettico tanto sulla soluzione sottesa alle linee guida quanto sulla possibilità di un’esclusione tout-court dalla rete di Huawei e Zte (come chiesto da Washington Dc). “Ci deve essere una decisione presa a livello europeo. Ma l’Europa non deve necessariamente schierarsi con gli Stati Uniti e la Cina. Un conto è illudersi che possa competere con questi due giganti, un conto è ignorare che ci sono diritti e regole da rispettare per chiunque”.
