“L’inclusione nella Black List Usa di Huawei Italia è un indiretto segnale rivolto anche al nostro governo, che dopo aver adottato l’11 luglio scorso il decreto legge sul Golden Power pare esitante nel procedere alla sua rapida conversione”. Ne è convinto Maurizio Mensi, professore SNA e Luiss, responsabile del @LawLab dell’ateneo romano, che in questa conversazione con Formiche.net auspica un immediato intervento del governo italiano per evitare fra l’altro la delicata situazione che si verificherebbe in caso di decadenza del decreto che modifica e rafforza la normativa sui poteri speciali.

Professor Mensi, come valuta l’inserimento di Huawei Italia nella Black List?

Non si tratta di un fulmine a ciel sereno. I segnali, forti e chiari, erano da tempo visibili, a imprese e paesi, nell’ambito di una strategia ad ampio raggio avviata dal Dipartimento di Stato e da quello del Commercio USA a tutela della sicurezza nazionale. Nel mirino, più in generale la Cina e alcune società cinesi, Huawei in particolare, il maggiore fornitore di apparati di telecomunicazioni che nel 2018 ha superato Apple come secondo produttore di smartphones al mondo dopo Samsung.
Lo scorso gennaio il Dipartimento di Giustizia USA ha contestato a Huawei 23 reati, relativi a furto di proprietà intellettuale, ostruzione della giustizia e frodi legate all’inosservanza delle sanzioni contro l’Iran. Ma già dal 2012 gli Stati Uniti avevano vietato alle proprie aziende di utilizzare apparecchiature di rete Huawei, società che dal maggio 2019 è stata inserita nel “Security Entity List” del Dipartimento del Commercio ed esclusa da tutte le reti di comunicazione dopo l’ordine esecutivo del presidente Trump. Nel frattempo, una legge del 2018 aveva vietato l’acquisto e l’uso di prodotti di telecomunicazioni e sorveglianza di una serie di società cinesi. Obiettivo, insieme a Hytera Communications Corporation, Hangzhou Hikvision, e Dahua Technology, soprattutto ZTE (di proprietà statale) e Huawei, sospettate di costituire un potenziale veicolo di spionaggio.

Insomma, la Cina come concorrente strategico anche sul piano economico …

Certamente. Se gli investimenti in infrastrutture costituiscono la cifra distintiva dell’espansionismo cinese, non c’è solo il 5G e le telecomunicazioni ad essere al centro dell’interesse di Pechino. Per esempio è bene ricordare che nel delicato e talora trascurato (dal punto di vista strategico) settore dei cavi sottomarini, Huawei è da tempo presente sia come fornitore attraverso Huawei Marine, sia come acquirente diretto in consorzio con altre società. Si tratta di una joint venture (anch’essa presente nella Black List in cui è stata da poco inserita Huawei Italia) creata nel 2008 tra Huawei (51%) e una controllata della britannica Global Marine Systems (49 %), attiva in tutto il mondo e che, come altri attori cinesi, partecipa a progetti di finanziamento in diversi paesi in via di sviluppo, sostenuti da China ExIm Bank.
Non si tratta pertanto di fronteggiare soltanto i rischi per la sicurezza di reti e sistemi o per la raccolta e il trasferimento indebito di informazioni critiche, ma anche di rafforzare gli strumenti di controllo degli investimenti e delle esportazioni mediante una verifica di sicurezza nazionale.

Ci può fare qualche esempio?

Negli Stati Uniti nel 2018 è stata aggiornata la legislazione sul controllo delle esportazioni e degli investimenti con l’Export control reform act (Ecra) e l’External investment risk review modernization act (Firrma), divenuti legge il 13 agosto dello stesso anno. Nel 2018 il governo del Regno Unito ha annunciato l’intenzione di prevedere una siffatta verifica per le fusioni e gli investimenti esteri suscettibili di creare rischi per la sicurezza nazionale, con la possibilità di bloccarli o sospenderli. Lo stesso è avvenuto in Germania.
A livello di UE, il regolamento 2019/452 del 19 marzo scorso, entrato in vigore il 10 aprile e applicabile dal novembre 2020, prevede un sistema di controllo degli investimenti diretti esteri in Europa nei beni, nelle tecnologie e nelle infrastrutture critiche, al fine di proteggere sicurezza e ordine pubblico. A ciò si aggiunga che sia la direttiva 2014/24/EU in tema di appalti sia la 2002/21/CE in tema di comunicazioni elettroniche, che riguarda le reti e l’assegnazione delle frequente, (compreso il 5G), consentono agli Stati membri di prendere le misure necessarie per assicurare la protezione dei propri interessi nazionali, l’incolumità e la sicurezza pubblica. Lo stesso articolo XXI del WTO/GATT prevede che uno Stato parte dell’accordo possa adottare le azioni o prendere le misure più appropriate per proteggere la sicurezza dei propri interessi essenziali.

E per quanto riguarda in particolare il 5G, che è la principale preoccupazione?

In tema di reti 5G è la raccomandazione della Commissione europea del 26 marzo 2019 a fornire concrete e specifiche indicazioni, sul piano tecnico e regolamentare. Il 15 luglio scorso era il termine per trasmettere alla Commissione e all’Enisa, ad opera di ogni Stato membro, la propria valutazione sui rischi per le reti 5G così da consentire la valutazione congiunta a livello europeo, che dovrà essere effettuata entro il prossimo 1° ottobre. In seguito il Gruppo di Cooperazione avrà il compito di individuare gli strumenti per identificare i rischi e le misure di mitigazione, tra cui certificazioni, prove e controlli degli accessi.

Quali i riflessi per il nostro Paese? 

Ritengo che l’inclusione nella Black List Usa di Huawei Italia sia anche un indiretto segnale rivolto anche al nostro governo, che dopo aver adottato l’11 luglio scorso il decreto legge sul Golden Power pare esitante nel procedere alla sua rapida conversione. Tutto ciò nonostante si tratti di un intervento auspicabile sotto vari profili, ad evitare fra l’altro la delicata situazione che si verificherebbe in caso di sua decadenza, destinata a travolgere tutti gli effetti che nel frattempo si sono prodotti.
Tale decreto – lo ricordo – modifica, rafforzandolo, quello del marzo 2019, che aveva esteso il raggio d’azione dei poteri speciali non solo ai mutamenti proprietari ma anche a questioni eminentemente operative, come per esempio l’acquisto di determinati apparati per accendere la rete 5G.

Come cambia la normativa?

Il decreto dell’11 luglio precisa campo di applicazione e obblighi di notifica, termini e modalità di esercizio dei poteri speciali, introduce l’obbligo di fornire una informativa completa sui contratti o accordi la cui efficacia è cessata lo scorso 26 marzo. Stabilisce poi che è l’impresa acquirente dei beni o servizi a dover notificare la conclusione del contratto o dell’accordo entro dieci giorni dalla sua conclusione, così da sensibilizzare le imprese nazionali sui temi della sicurezza cibernetica. A ciò si aggiungono nuovi termini e la previsione che le modifiche introdotte si applichino anche ai procedimenti in corso alla data di entrata in vigore del decreto. Si tratta per lo più di interventi necessari per permettere al Gruppo di coordinamento presso la presidenza del Consiglio di effettuare una valutazione tempestiva, accurata e non meramente tecnica dell’operazione.

Sarebbero necessari altri interventi sul fronte della sicurezza?

Per taluni profili, sarebbe importante che oltre alla conversione in legge del citato decreto sul Golden Power si provveda quanto prima anche alla trasposizione del codice europeo delle comunicazioni elettroniche, la direttiva 1972 del 2018, il cui termine scade il 21 dicembre 2020. Il suo Titolo V è dedicato alla sicurezza, con una serie di delicate e puntuali previsioni. Affida fra l’altro poteri rilevanti alle autorità competenti, che al riguardo avranno la possibilità di impartire agli operatori istruzioni vincolanti e attivare in taluni casi un raccordo con i gruppi di intervento per la sicurezza informatica (Csirt) ai sensi della direttiva Nis. Si tratta pertanto di un ulteriore, importante tassello di un mosaico da completare quanto prima, a tutela della sicurezza di reti e servizi.