La Commissione europea accelera sulla sicurezza digitale. Le proposte presentate questa settimana da Bruxelles per rafforzare la resilienza cibernetica dell’Unione, attraverso la revisione del Cybersecurity Act e della direttiva Nis (Network Information Systems), mirano a ridurre drasticamente la presenza di fornitori considerati “ad alto rischio” nelle infrastrutture critiche nazionali.

Il testo, diffuso in bozza questa settimana, programma la progressiva eliminazione da parte degli Stati membri di componenti e servizi provenienti da soggetti ritenuti vulnerabili sul piano della sicurezza. Azione che appare come una risposta politica, normativa e operativa alla consapevolezza del fitto intreccio tra minacce ibride, leve economiche, tensioni geopolitiche e del crescente fenomeno della weaponizzazione delle supply chain.  Le proposte sono, infatti, volutamente ampie e mirano alle costruzioni di difese normative e preventive di fronte al ruolo delle aziende cinesi nelle infrastrutture strategiche europee.

La valutazione

“La sicurezza della supply chain non riguarda più solo prodotti e servizi, ma anche il profilo del fornitore, le dipendenze e il rischio di interferenze straniere”: secondo la Commissione, ransomware, spionaggio informatico e attacchi mirati a interrompere servizi essenziali si muovono in uno scenario in cui criminalità organizzata, attori statuali ostili e competizione geopolitica si sovrappongono. Da qui l’idea di intervenire in maniera preventiva, riducendo i rischi lungo l’intera catena di fornitura IT e introducendo criteri comuni di certificazione per i fornitori ritenuti affidabili.

Quindi? Le nuove regole puntano a chiarire requisiti di test e certificazione prima dell’immissione dei prodotti sul mercato unico; mentre per gli operatori di telecomunicazioni è previsto un periodo di transizione fino a tre anni per rimuovere componenti provenienti da fornitori giudicati a rischio significativo.

Il fronte cinese

Il ministero degli Esteri cinese ha accusato l’Unione di scivolare verso il protezionismo, sostenendo che le aziende cinesi operano in Europa nel rispetto delle leggi e senza minacciare la sicurezza nazionale dei Paesi ospitanti. Una reazione che riflette la crescente irritazione per un orientamento europeo che lascia sempre meno campo per le operazioni di Pechino, di Huawei e Zte, già oggetto in passato di restrizioni a livello nazionale o oggetto di frizioni tra Alleati. La Spagna, ad esempio, era finita sotto osservazione per il suo rapporto con fornitori cinesi. Lo scorso anno Madrid ha annullato un contratto da 10 milioni di euro con Huawei dopo la perplessità dei Paesi europei e le pressioni della Casa Bianca, che avevano evocato possibili conseguenze sulla cooperazione di intelligence.

Il quadro completo

Ma la questione non riguarda solo la Cina. Anche il rapporto con gli Stati Uniti resta irrisolto. In Europa cresce il disagio per la dipendenza da tecnologie e servizi americani, soprattutto alla luce delle decisioni imprevedibili dell’amministrazione Trump, dalle sanzioni personali che hanno comportato il blocco dell’accesso a servizi digitali, fino alle minacce commerciali legate ad altri dossier geopolitici. Preoccupazioni che hanno visto in Microsoft una rassicurazione ufficiale, il presidente Brad Smith ha infatti promesso di opporsi legalmente a qualsiasi ordine del governo statunitense che imponesse la sospensione delle operazioni cloud in Europa.

Da Bruxelles per Bruxelles

La stretta sulla cybersicurezza è messaggio geopolitico, tecnico, simbolico. Bruxelles vuole ridurre le vulnerabilità strategiche dell’Unione, consapevole che la neutralità tecnologica è qualcosa che, de facto, non esiste. Non più, almeno. L’autonomia strategica dev’essere energetica quanto militare, politica quanto economica, cognitiva quanto digitale. Altrimenti si rischia nuovamente di esporre le proprie necessità a chi le vede come opportunità di mercato, di conquista, di potere e di sovversione dello status quo.