Si è finalmente fatta strada nel governo — dopo oltre vent’anni — l’idea che la sicurezza nazionale passa per l’indipendenza tecnologica non solo e non tanto dell’Italia ma dell’Europa. Tradurre in norme e poi in fatti questa nuova consapevolezza politica richiederà tempo e investimenti, e sarà interessante vedere quanto del Recovery fund verrà stanziato per ricreare un comparto industriale di avanguardia nel settore tecnologico al pari della mai abbastanza rimpianta Olivetti. Nell’attesa, però, si può già fare molto con le norme in vigore e con l’emanazione di alcuni provvedimenti mirati che potrebbero addirittura non richiedere un passaggio parlamentare. Vediamo quali.
Generalizzazione ed estensione del Decreto Conte-Huawei
Il decreto Conte-Huawei che rende più difficile la negoziazione con la big tech cinese è sbagliato politicamente, discutibile giuridicamente e inutile in termini pratici per tutelare la sicurezza nazionale. Ma a prescindere dagli aspetti problematici del provvedimento, una sua estensione a tutti i fornitori di tecnologia eviterebbe accuse di alterazione delle dinamiche di mercato ma soprattuto creerebbe un quadro regolamentare armonizzato e coeso in materia di sicurezza. In attesa dello European National Security Independence Day, quindi, i fornitori extracomunitari potrebbero essere costretti dalla presidenza del Consiglio a offrire all’Italia prodotti effettivamente sicuri.
Un Dpcm (visto che già è stato usato in deroga al Codice civile, intervenendo sul diritto dei contratti nel rapporto fra TIM e Huawei) potrebbe anche eliminare l’impenetrabilità giuridica degli apparati, software e firmware delle big tech (Usa e non solo). Questi, infatti, al contrario dei brevetti che sono pubblici per legge, sono resi giuridicamente oscuri dalla legge sul diritto d’autore. Di conseguenza gli Stati che acquistano prodotti di sicurezza possono solo “fidarsi”, rinunciando alla possibilità di verificare effettivamente “cosa” stanno acquistando. Lo scandalo Crypto AG chiarisce bene i termini della questione.
Emanazione di decreti ministeriali a cura del MISE
L’articolo 16bis del Codice delle comunicazioni elettroniche stabilisce per gli operatori di telecomunicazioni l’obbligo di proteggere le reti pubbliche di comunicazione elettronica. Nulla vieta che il MISE emani, dunque, decreti e altri atti di natura regolamentare per fornire prescrizioni agli operatori sulla progettazione della loro infrastruttura, sui criteri di selezione dei fornitori e sullo “stato di salute” della sicurezza delle loro reti.
Verifiche a tappeto sull’applicazione del data protection by design
L’articolo 25 del Regolamento UE 679/16 (il Gdpr) impone che tutti i sistemi che trattano dati personali siano progettati e utilizzati considerando la protezione dei dati personali come elemento strutturale del prodotto. L’Autorità garante per la protezione dei dati personali potrebbe avviare un’indagine verso i fornitori di tecnologia e software della pubblica amministrazione italiana per verificare l’effettivo rispetto di questa norma.
Estensione delle regole AgID sulla sicurezza dei sistemi informatici
L’Agenzia per l’Italia digitale ha da tempo stabilito un elenco di misure di sicurezza per le piattaforme software della Pubblica Amministrazione. Nulla vieta di estenderne la portata agli aspetti specifici della sicurezza nazionale.
Verifica sul rispetto dei principi di correttezza nella concorrenza
L’Antitrust potrebbe avviare un’indagine sulle pratiche commerciali relative ad apparati e software di sicurezza. Immettere sul mercato un prodotto non adeguatamente progettato e collaudato consente un vantaggio competitivo ingiusto nei confronti di altri attori che devono investire di più e arrivano sul mercato in ritardo. E, se tutti i produttori seguissero lo stesso (irresponsabile) approccio, allora saremmo di fronte a un’intesa o a un cartello.
Il processo di costruzione di prodotti del genere è lungo e costoso, e la tentazione di prendere scorciatoie sulle componenti software in termini di sviluppo collaudo è molto forte. Il caso più drammatico —ma non certo il solo— è quello del software che controlla il Boeing 737Max .
Conclusioni
Un’azione coordinata fra governo, dicasteri, autorità garanti e agenzie pubbliche consentirebbe, in tempi realmente contenuti, di creare un quadro giuridico omogeneo di regolamentazione dei rapporti pubblico-privato per quanto concerne la sicurezza nazionale.
Quadrando il cerchio, in questo modo potrebbe orientare fortemente lo sviluppo del mercato di settore, senza tuttavia assumere un ruolo dirigistico e anticoncorrenziale.
Infine, muovendosi per primo, il governo potrebbe offrire all’Europa un esempio concreto di regolamentazione, diventando promotore e non mero follower di decisioni prese in altri contesti.
