Il concetto di sicurezza nazionale, anche in ambito telco, non va dilatato all’estremo: vale per gli asset strategici, per il resto ci sono le regole del libero mercato. È la posizione di Gennaro Vecchione, direttore generale del Dis, il Dipartimento delle informazioni per la sicurezza, nell’intervista a DigitEconomy.24, il report Luiss Business School e Il Sole 24 Ore, una delle prime da lui rilasciate.
di Ivan Dompé, Adjunct Professor Luiss Business School
«L’architettura della rete 5G è complessa e per ciò stesso presenta rischi per la sicurezza» e quindi «la principale preoccupazione è quella di coniugare la capacità di cogliere appieno tutte le opportunità che il 5G offre con l’abilità nel mitigare al massimo i fattori di rischio, agendo in ottica preventiva». In generale in ambito telco, tra rete fissa e data center dove gli apparati cinesi sono presenti, Vecchione avverte che «non si può dilatare sino all’estremo il concetto di “sicurezza nazionale”, a meno che non si ritenga di abbandonare il modello di economia aperta» e «quindi, il criterio in base al quale la protezione dei superiori interessi del Paese deve prevalere sulle regole del libero mercato è quello della rilevanza strategica dei settori e degli asset. Negli altri casi, non si interferisce nelle dinamiche della concorrenza».
Riguardo alla proprietà delle telco che per Gennaro Vecchione, direttore generale del Dis in molti casi hanno azionisti di riferimento stranieri, Vecchione ricorda che c’è sempre la possibilità di applicare il Golden power, ma ribadisce: «deve trattarsi di asset strategici per la sicurezza nazionale. Altrimenti, non possono essere messe in discussione né la necessità di attrarre investi-menti esteri né la contendibilità delle aziende».
Il 5G costituirà il futuro delle tlc, ma abiliterà anche servizi cruciali come le smart cities o la telemedicina: la sicurezza di queste reti è quindi fondamentale. Qual è l’approccio del DIS?
Buona parte della risposta sta già nella Sua domanda. Il 5G è una tecnologia abilitante. È un acceleratore della trasformazione digitale, offre opportunità di innovazione imperdibili. Ma, allo stesso tempo, costituisce un cambio di paradigma: non sono più i servizi ad adattarsi alla rete, è la rete che si adatta ai servizi, quindi chi la controlla si ritrova ad avere in mano leve importanti dello sviluppo economico. Non solo. L’architettura della rete 5G è complessa e per ciò stesso presenta rischi per la sicurezza. Al contempo, nella filiera del 5G si intrecciano, al livello globale, numerosi attori, in forte competizione fra loro, intenti a guadagnare posizioni di supremazia tecnologica. Il nostro approccio prende le mosse da queste consapevolezze. La principale preoccupazione è quella di coniugare la capacità di cogliere appieno tutte le opportunità che il 5G offre con l’abilità nel mitigare al massimo i fattori di rischio, agendo in ottica preventiva.
Con il 5G e l’IoT, il perimetro dei potenziali cyber attacchi crescerà esponenzialmente. Come tutelarsi?
Certo, è come se in una casa aumentassero le finestre e le porte ed allo stesso tempo diminuisse la superficie dei muri. È evidente che quella casa sarà molto vulnerabile, specie se, fuor di metafora, i produttori e i fornitori dei diversi dispositivi e servizi tendono a privilegiare l’abbattimento dei costi rispetto alle funzionalità di sicurezza. Ci si tutela mettendo il giusto accento sulle misure di sicurezza cibernetica e sul controllo degli approvvigionamenti. Con “giusto accento” intendo dire che guardiamo non alla totalità delle infrastrutture tecnologiche, ma solo a quelle dalla cui permeabilità può derivare un pregiudizio per la nostra sicurezza. La nostra preoccupazione riguarda le componenti più sensibili degli asset digitali critici, il cui malfunzionamento può danneggiare gravemente i nostri interessi nazionali. L’iniziativa legislativa del Perimetro di sicurezza nazionale cibernetica nasce proprio dall’esigenza di tutelare quegli asset.
Dati, intelligenza artificiale, profilazione da una parte, privacy e sicurezza dall’altra: quale equilibrio?
Rispondo relativamente alla sfera di responsabilità che mi compete. Nel nostro ordinamento vige un articolato sistema di garanzie che assicura il giusto bilanciamento tra le istanze di protezione dei dati personali e le esigenze operative degli Organismi informativi. Noi possiamo raccogliere e trattare notizie e informazioni esclusivamente per il perseguimento degli scopi istituzionali dell’Intelligence, secondo criteri sottoposti al controllo parlamentare. A completare la cornice delle garanzie, oltre ad una disciplina ad hoc armonizzata con quella comunitaria, vi è anche una nostra collaborazione strutturata con il Garante della Privacy, estesa pure alla cooperazione nel campo della sicurezza informatica.
La sicurezza nazionale viene prima di ogni altra cosa: i produttori cinesi tuttavia investono e creano posti di lavoro in Italia. Il Copasir ha di recente invitato ad alzare la guardia: quale l’approccio corretto di lungo termine?
Dipende, bisogna distinguere fra tre aspetti, che comunque sono collegati fra loro, anche sul piano normativo.
Per quel che riguarda il procurement, l’approccio corretto è quello che ha ispirato il Governo nel promuovere l’iniziativa del Perimetro, di cui Le parlavo prima. È una soluzione legislativa che non lascia margini all’arbitrarietà, non ci saranno né aperture a priori né chiusure pregiudiziali, verso nessuno. Verranno sottoposti a scrutinio tecnologico i dispositivi identificati come particolarmente sensibili da un’analisi del rischio effettuata dal competente Centro di valutazione.
Per quanto concerne gli investimenti esteri, l’impianto legislativo nazionale è coerente con la normativa europea. Nel marzo del 2019 è stato introdotto un Regolamento che prevede un significativo ampliamento dei settori rispetto ai quali gli Stati membri possono scrutinare operazioni di investimento da parte di soggetti extraeuropei, tra cui l’alta tecnologia. Con le iniziative legislative nazionali abbiamo saputo anticipare l’implementazione di quelle norme europee.
Per quel che attiene, infine, al 5G, la principale novità apportata lo scorso anno alla normativa sull’esercizio dei poteri speciali, il cosiddetto Golden Power, ha inteso ricomprendere proprio il 5G tra le attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale. Anche in questo caso, ci siamo trovati avanti in Europa, tanto da sedere nel gruppo di testa dell’assessment comunitario sulle reti 5G che ha originato il toolbox pubblicato a gennaio.
Naturalmente, le norme sull’estensione dei poteri speciali al 5G sono raccordate con quelle del Perimetro, così che possiamo fare affidamento su un quadro legislativo coerente ed organico.
Sicurezza delle reti non è solo 5G, ma anche rete fissa e data center, dove gli apparati cinesi sono presenti a tutti i livelli. La “vigilanza” su questi elementi è oggi meno importante?
La legge attribuisce all’Intelligence il compito di difendere i nostri interessi politici, militari, economici, scientifici ed industriali. Come vede, è un novero molto ampio, nel cui ambito è fondamentale distinguere fra gli interessi vitali, che se venissero compromessi metterebbero a repentaglio il Paese, e tutti gli altri. Non si può dilatare sino all’estremo il concetto di “sicurezza nazionale”, a meno che non si ritenga di abbandonare il modello di economia aperta, che invece deve continuare a caratterizzarci al pari delle altre democrazie occidentali, per abbracciare formule dirigistiche o protezionistiche che non ci appartengono. Quindi, il criterio in base al quale la protezione dei superiori interessi del Paese deve prevalere sulle regole del libero mercato è quello della rilevanza strategica dei settori e degli asset. Negli altri casi, non si interferisce nelle dinamiche della concorrenza.
Gli assetti proprietari delle telco nel nostro Paese vedono azionisti di riferimento cinesi, inglesi, francesi: può essere un problema nel lungo periodo?
Il punto importante è che, qualora lo divenisse, saremmo in grado di intervenire alla luce della normativa vigente. Quanto alle telco, la disciplina sul Golden Power può applicarsi o alle reti attraverso le quali transitano dati e informazioni sensibili; oppure agli operatori, a fronte di operazioni di acquisto di partecipazioni societarie, fusioni, scissioni, trasferimento di controllate. In entrambi i casi, a seguito della notifica che la legge impone, il Governo valuta l’esercizio dei poteri speciali, attenendosi ai criteri stabiliti. Ma, ripeto, deve trattarsi di asset strategici per la sicurezza nazionale. Altrimenti, non possono essere messe in discussione né la necessità di attrarre investimenti esteri né la contendibilità delle aziende.
28/02/2019
