Infrastrutture critiche, la Commissione vuol vietare agli Stati membri la scelta dei fornitori: si indicheranno a Bruxelles

Dall’inviato a Strasburgo – Dopo sei anni di lavoro sulle misure per affrontare i rischi per la sicurezza legati all’introduzione del 5G, la Commissione europea cambia passo e propone di rendere obbligatoria per gli Stati membri quella che finora è stata solo una raccomandazione, cioè garantire che componenti provenienti da fornitori ad alto rischio non siano utilizzati nelle infrastrutture chiave della rete. Tradotto, Bruxelles getta le basi per imporre l’esclusione di fornitori, come i cinesi Huawei e Zte, dalle infrastrutture critiche.

È il passaggio fondamentale del pacchetto sulla cybersicurezza presentato oggi (20 gennaio) a Strasburgo dalla vicepresidente esecutiva della Commissione europea, Henna Virkkunen. In sostanza, l’esecutivo propone di modificare la legge sulla sicurezza informatica varata nel 2019, in modo da ridurre i rischi nella catena di approvvigionamento delle Tecnologie dell’Informazione e della Comunicazione (TIC) provenienti da fornitori di paesi terzi che presentano problemi di sicurezza informatica.

“Nell’attuale contesto geopolitico, la sicurezza della catena di approvvigionamento non riguarda più solo la sicurezza tecnica dei prodotti o dei servizi, ma anche i rischi legati ai fornitori, in particolare le dipendenze e le interferenze straniere“, si legge nella nota diffusa dalla Commissione europea.

Già nel 2023, l’allora commissario per il Mercato interno, Thierry Breton, indicò le cinesi Huawei e ZTE come fornitori ad alto rischio e salutò con favore le decisioni adottate da alcuni Paesi membri per limitare o escludere le due aziende tecnologiche cinesi dalla lista dei fornitori di reti 5G. Il punto è – ha affermato in conferenza stampa Virkkunen – che alcuni Stati membri sono rimasti sordi alle raccomandazioni contenute nel ‘Toolbox UE per la sicurezza informatica’.

“Non ha funzionato su base volontaria”, ha dichiarato Virkkunen. Solo quest’estate l’ultimo esempio, quando la Spagna di Pedro Sanchez ha scelto di affidare i propri servizi di telecomunicazione in fibra ottica proprio a Huawei. Una scelta che – aveva avvertito immediatamente la vicepresidente esecutiva – “può potenzialmente creare una dipendenza da un fornitore ad alto rischio in un settore critico e sensibile, aumentando il rischio di interferenze straniere“.

Ora Bruxelles vuole cambiare musica: la riduzione dei rischi in 18 settori critici identificati da Bruxelles diventerebbe così obbligatoria e gli Stati membri avrebbero “tre anni” per adeguarsi alla lista nera della Commissione europea e alle restrizioni indicate da Bruxelles. Non solo 5G e fibra ottica, ma anche fornitura di acqua ed elettricità, servizi di cloud computing, apparecchiature di sorveglianza, dispositivi medici o semiconduttori. Tutte aree in cui può verificarsi la necessità di vietare l’accesso a società che rappresentino un rischio per la sicurezza europea.

“Quando identifichiamo i Paesi che destano preoccupazione e i fornitori ad alto rischio provenienti da tali Paesi, possiamo imporre restrizioni alla partecipazione a programmi finanziati dall’UE o alla partecipazione ai nostri appalti pubblici”, ha spiegato Virkkunen. A volte “potremo limitare totalmente questi fornitori ad alto rischio”, ha aggiunto.

La Commissione non ha ancora individuato alcun Paese o azienda. Lo farà in un secondo momento, quando e se il Consiglio dell’UE e l’Eurocamera approveranno il nuovo approccio. “Dovremo anche considerare le implicazioni economiche (della sostituzione di fornitori, ndr), perché la resilienza ha un prezzo, questo è certo”, ha ammesso Virkkunen.