Il rafforzamento del golden power da parte del governo, fra l’altro, sul Cloud e il 5G estende notevolmente la tutela degli asset strategici con una disciplina complessa. Ecco perché, come per la cybersecurity, è arrivato il momento di un’autorità nazionale indipendente che se ne occupi. La proposta di Fabio Bassan, professore di Diritto internazionale dell’Economia all’Università Roma Tre
Il decreto legge contenente ‘Misure urgenti per contrastare gli effetti economici e umanitari della crisi Ucraina” approvato venerdì e in corso di pubblicazione ha contenuti numerosi e diversi, tutti rilevanti nella criticità della situazione attuale. Tra questi, il titolo IV (rafforzamento dei presidi per le imprese nazionali) – Capo I (golden power) prevede un’integrazione articolata della disciplina del golden power, già modificata un numero rilevante di volte, e la rende coerente e compatibile con l’evoluzione degli attuali scenari economici e geopolitici.
Apparentemente, il decreto di venerdì si limita a ridefinire i poteri speciali in materia di difesa e sicurezza nazionale (art. 23), energia, trasporti e comunicazioni (art. 24), comunicazione elettronica a banda larga basata su tecnologia 5G e cloud (art. 27).
Aumenta poi la possibilità di interlocuzione tra imprese e Presidenza del Consiglio (semplificazione delle notifiche, maggiori garanzie nella partecipazione al procedimento), in conformità anche alla giurisprudenza amministrativa che nel frattempo si va consolidando, e aumenta la dotazione di specialisti presso la presidenza (nucleo di valutazione e analisi strategica). Infine, rafforza la disciplina cyber consentendo alla Pa l’acquisto di prodotti sostitutivi di quelli attualmente utilizzati di provenienza russa (Kaspersky, per intenderci).
In verità, rispetto alle numerose altre modifiche che in questi anni hanno incrementato di volta in volta il numero dei settori e degli attivi assoggettati alla disciplina, questo decreto ha un rilievo specifico su un piano qualitativo che impone di avviare una riflessione approfondita.
Mi riferisco alla disciplina golden power per il 5G e il cloud, che ora costituiscono “attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale”. Tutto ciò che è collegato all’acquisto, alla progettazione, alla manutenzione, alla fornitura di beni o servizi o all’uso di componenti ad alta intensità tecnologica, diviene soggetto non più solo a notifica preventiva, ma anche alla presentazione di un piano annuale molto dettagliato, sul quale il governo può imporre prescrizioni, condizioni, o addirittura il veto.
Il governo può anche “svolgere approfondimenti su aspetti tecnici relativi alla valutazione dei fattori di vulnerabilità, che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi”, anche formulando richieste istruttorie a soggetti terzi. Il governo può inoltre: ingiungere all’impresa di rispristinare la situazione anteriore all’attività svolta in misura non conforme; imporre una sanzione amministrativa pecuniaria fino al tre per cento del fatturato del soggetto tenuto alla notifica; imporre un’ulteriore sanzione per ogni mese di ritardo nell’adempimento, commisurata al ritardo. Il decreto infine sancisce la nullità di tutti i contratti stipulati in violazione della disciplina sui poteri speciali.
Per realizzare questi obiettivi, è necessario il coordinamento tra presidenza del Consiglio, i ministeri dello Sviluppo economico, Economia e finanze, Interno, Difesa, Affari esteri e cooperazione internazionale, Innovazione tecnologica e transizione digitale, l’Agenzia per la cybersicurezza nazionale e il Centro di valutazione e certificazione nazionale. Coordinamento, evidentemente, complesso, incompatibile con le esigenze di celerità previste dal sistema di notifica e coerente invece con un sistema di monitoraggio e controllo continuo.
Ora, già le modifiche e integrazioni della disciplina sui poteri speciali che si sono succedute freneticamente in questi ultimi anni, pur necessarie, hanno reso lo strumento golden power sempre più incisivo nel tessuto economico del paese, incrementando il numero dei settori strategici, degli attivi strategici, e precisando le modalità di presentazione delle notifiche e di valutazione delle richieste.
Se però nella fase iniziale lo strumento, pure utilizzato, non ha dato luogo a particolari criticità, in tempi recenti il numero di veti alle operazioni o di misure comportamentali o strutturali imposte è cresciuto esponenzialmente.
Nel decreto di venerdì, per un settore specifico (5G e cloud) troviamo ora una disciplina che, ancora più che nella difesa, consente alla presidenza del Consiglio azioni investigative e di monitoraggio, e impone alle imprese di settore un’interlocuzione costante con la presentazione di piani annuali, relazioni semestrali, pena il rischio di incorrere in sanzioni economiche rilevanti, e l’assoggettamento a misure comportamenti o strutturali. Ovvero, e questo è il punto, tutto lo strumentario tipico di un’autorità indipendente.
È probabilmente venuta l’ora di avviare una discussione sull’opportunità di trasferire dalla Presidenza del Consiglio e in generale dal governo a un’agenzia o un’autorità indipendente la competenza a valutare le domande e a gestire un complesso processo di notifiche, interlocuzioni, misure, ispezioni, monitoraggio, sanzioni.
Governo e Parlamento dovrebbero adottare le norme di volta in volta ritenute necessarie per adeguare la disciplina del golden power all’evoluzione tecnologica e al contesto geopolitico, affidando però a un soggetto terzo l’applicazione delle norme, che hanno ormai raggiunto, in questi dieci anni (la norma sul golden power è del 2012) un grado di dettaglio estremamente elevato, confortato da una prassi ormai consolidata, e hanno trasformato quella che è nata come una procedura di notifica di operazioni potenzialmente critiche, in un sistema di vigilanza e controllo continuativo e costante sull’operato delle imprese.
Sistema che ha tutte le caratteristiche di oggettività che la norma sul golden power impone, e che deriva dalla sua funzione originaria, di sostituzione di quella disciplina delle golden shares ritenuta dalla Commissione europea a più riprese e nei confronti di più stati membri contraria al diritto di stabilimento e alla libertà di circolazione.
L’origine è importante e non va dimenticata: il golden power, oggi inteso prevalentemente come strumento di controllo e tutela, nasce come sistema per garantire trasparenza dell’intervento dello Stato, soggetto anche a sindacato giurisdizionale.
È dunque sempre più difficile comprendere e giustificare il mantenimento presso la presidenza del Consiglio di un sistema che è ormai liberato dalla discrezionalità della politica ed è affidato a criteri oggettivi, fondati su strumenti valutativi e di indagine sperimentati e dotato di poteri sanzionatori efficaci. Elementi, tutti, caratteristici della discrezionalità sì, ma amministrativa.
Un percorso analogo, del resto, è stato seguito recentemente per la costituzione dell’Agenzia per la cybersicurezza nazionale, che è stata fondata su ragioni ed esigenze analoghe a quelle che qui ho sintetizzato, e che rafforza le garanzie del paese in relazione a pericoli e rischi che corrono infrastrutture, prodotti e servizi anche qui, critici e strategici.