Per ragioni di sicurezza nazionale bisogna escludere le aziende cinesi dalla realizzazione delle reti 5G in Italia. Questo è il succo della relazione annuale del Copasir al Parlamento sui rischi cibernetici. Il Comitato parlamentare per la sicurezza della Repubblica spiega di «ritenere in gran parte fondate le preoccupazioni circa l’ingresso delle aziende cinesi nelle attività di installazione, configurazione e mantenimento delle infrastrutture delle reti 5G». L’annuncio è in burocratese, ma il significato è una bomba mediatica che lascerà importanti conseguenze.
Perché per la prima volta il comitato parlamentare che sovrintende ai servizi segreti prende una posizione chiara sulla questione. Il rischio che aziende cinesi dopo aver costruito le infrastrutture per le connessioni di quinta generazione, usino queste celle e antenne per spiare conversazioni e passare le informazioni al loro governo non è più un’accusa politica, ma una valutazione tecnica. «Contrariamente a quanto avviene per le imprese occidentali, le aziende cinesi, pur formalmente indipendenti dal potere governativo, sono tuttavia indirettamente collegate alle istituzioni del loro Paese, anche in virtù di alcune norme della legislazione interna». Il rapporto del Copasir cita un attacco hacker del 2009 che, «sarebbe stato portato attraverso l’installazione di backdoor su apparecchi forniti dall’azienda cinese Huawei a Vodafone Italia, in grado di effettuare accessi non autorizzati all’infrastruttura e quindi alle informazioni veicolate. La vicenda, per quanto ridimensionata secondo quanto sostenuto dalle aziende, ha posto in evidenza la permeabilità dei sistemi, e la loro possibile infiltrazione».
A maggio, Trump ha annunciato di aver inserito Huawei nella lista nera delle società che non possono fornire infrastrutture per il 5G alle aziende statunitensi perché rappresenta un rischio per la sicurezza nazionale. L’atto però è stato rinviato più volte ed entrerà in vigore nel febbraio del 2020. Da mesi il presidente degli Stati Uniti chiede agli alleati di fare lo stesso per evitare che acceda ai dati delle infrastrutture strategiche dei Paesi Nato. Ma finora a livello politico non ha avuto grandi riscontri. Norvegia, Germania e Regno Unito non hanno mai preso una posizione chiara nell’escludere compagnie cinesi dai bandi per l’assegnazione dei progetti. Addirittura la compagnia tedesca Telefonica Deutschland ha scelto la cinese Huawei (oltre a Nokia) per realizzare la rete 5G in Germania, Eppure a fine ottobre anche il capo dell’intelligence tedesca Bruno Khal in un’audizione al Bundestag aveva avvertito la cancelliera Angela Merkel: «L’infrastruttura 5g è troppo importante per basarsi su una compagnia di cui non ci possiamo completamente fidare».
«Huawei ha sempre sottolineato che il dibattito sulla cybersecurity dovrebbe essere basato sui fatti e ha chiesto di dimostrare le accuse mosse all’azienda. Fino ad ora non sono state fornite prove.», ha risposto la compagnia cinese che si è offerta di collaborare con il governo per fornire tutte le garanzie necessarie. «Huawei è una società privata al 100% e Huawei Italia si attiene alla legge italiana. Nessuna legge cinese impone alle società private cinesi di impegnarsi in attività di cyber-spionaggio. Considerando che in 30 anni di storia dell’azienda nel settore Ict, non si sono verificati incidenti relativi alla sicurezza delle reti, Huawei crede fermamente che qualsiasi accusa contro di essa sia motivata puramente da ragioni geopolitiche».
Nella relazione anche il Copasir ammettere che in un mercato in libera concorrenza, un intervento a gamba tesa contro un’azienda che controlla il 30% del mercato mondiale potrebbero mettere a rischio la possibilità di realizzare progetti ritenuti essenziali per lo sviluppo delle nuove tecnologie. La rete 5G è fondamentale per rendere il Paese più connesso e moderno. Ma «le esigenze commerciali e di mercato, che assumono un ruolo fondamentale in una economia aperta, non possono prevalere su quelle che attengono alla sicurezza nazionale, ove queste siano messe in pericolo». Il Copasir ha calcolato anche che in caso di esclusione delle aziende cinesi si potrebbe comunque implementare le infrastrutture del 5G con un costo complessivo di 600 milioni di euro «senza peraltro che ciò comporti particolari ritardi nello sviluppo della nuova tecnologia»
Il rischio c’è ma non si può fare un processo alle intenzioni. Però il Copasir fa notare che la legge di sicurezza nazionale cinese «obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità di pubblica sicurezza militari e alle agenzie di intelligence. E la Cyber Security Law prevede che gli operatori di rete debbano fornire supporto agli organi di polizia e alle agenzie di intelligence nella salvaguardia della sicurezza e degli interessi nazionali».
Per il Copasir la minaccia di attacchi alle nostre infrastrutture strategiche è un dato di sicuro allarme confermato dalle tante audizioni fatte dal Comitato nel corso del 2019. I servizi segreti hanno scoperto che durante i cyberattacchi vengono affittate temporaneamente delle piattaforme tecnologiche che rendono difficile individaure il punto da cui provengono gli attacchi. Per esempio la rete The Onion Router (Tor) permette agli hacker di fare breccia nei sistemi mantenendo l’anominato perché il software usato per l’attacco «viene scomposto in pacchetti, che per raggiungere l’obiettivo finale seguono percorsi diversi, attraverso una serie di piattaforme, rendendo di fatto quasi impossibile l’individuazione della fonte». Nel 2017 il virus Wanna Cry ha colpito centomila postazioni informatiche negli uffici delle pubbliche amministrazioni: ospedali, università, aziende di trasporti e del settore tecnologico. Si tratta di un virus capace di attaccare criptando le chiavi di accesso del sistema infettato, per poi far seguire la richiesta di un riscatto al fine di poter recuperare il proprio patrimonio di dati.
Il governo Conte 2 ha approvato a novembre il decreto sulla Cybersicurezza che accorcerà i tempi per la notifica degli incidenti informatici e renderà più veloce il passaggio di informazioni nella catena di comando per chi dovrà gestire un attacco informatico su scala nazionale.Ma soprattuto il decreto amplia il Golden Power sul 5G. Ovvero il Governo avrà il potere di intervenire sulle scelte relative a infrastrutture strategiche, escludendo aziende se ci saranno problemi di sicurezza nazionale. Il decreto ha istituito il concetto di Perimetro di sicurezza nazionale cibernetica, che impone obblighi nuovi più stringenti a soggetti pubblici e privati interessati. Ma secondo il Copasir non basta perché gli attacchi sono sempre più numerosi e innovativi.