Il 20 gennaio 2026, la Commissione Europea ha presentato il cosiddetto “pacchetto sulla cybersicurezza”, un insieme di iniziative legislative e strategiche che pongono la difesa delle infrastrutture critiche e la sovranità tecnologica al centro dell’agenda politica dell’Unione. In un contesto geopolitico sempre più frammentato, dove anche gli attacchi ransomware sono aumentati in numero e sofisticazione, la nuova proposta di Regolamento sulla Cybersicurezza 2 (CSA2) mira a superare le potenziali debolezze del mercato unico digitale.
Indice degli argomenti
Cybersecurity Act 2, il pacchetto europeo sulla cybersicurezza
Questo intervento legislativo non configura più solo una risposta tecnica a vulnerabilità informatiche accertate, ma rappresenta un vero e proprio atto politico di rilevanza strategica.
L’obiettivo primario punta a ridurre le dipendenze da attori extra-europei nelle infrastrutture critiche, anche attraverso il divieto di commercializzazione e impiego di prodotti riconducibili a paesi esteri che pongano preoccupazioni sulla sicurezza, arrivando persino a formulare un obbligo di sostituzione degli apparati in capo messi già in campo dagli operatori senza alcuna misura compensativa. In altre parole, viene solidamente introdotto un criterio fortemente innovativo: la valutazione della sicurezza di un prodotto non è più legata esclusivamente a rischi tecnici verificabili, ma anche a decisioni politiche esclusivamente in capo a Bruxelles.
Un nuovo paradigma per la governance della cybersicurezza
Il CSA2 non nasce nel vuoto, ma si inserisce in una cornice giuridica estremamente complessa e stratificata, volta a creare una resilienza “olistica” che abbraccia la dimensione fisica e digitale dell’Unione.
Il punto di partenza è la Direttiva NIS 2 (UE 2022/2555), che rappresenta oggi il principale riferimento per la sicurezza delle reti e dei sistemi informativi, ampliando drasticamente il numero di settori critici coinvolti rispetto al passato. Accanto ad essa, solo per citare i più recenti, ci sono il Digital Networks Act e il Cyber Resilience Act, rispetto ai quali il CSA2 agirebbe come strumento orizzontale per la mitigazione dei rischi di natura non tecnica e per la riforma della governance europea della cybersicurezza attribuendo in questo campo molto più potere alla Commissione e all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza.
La proposta di regolamento CSA2 nasce dalla necessità di correggere i disallineamenti tra il quadro normativo vigente e un panorama di minacce in continua evoluzione, segnato ormai anche dall’emergere dell’intelligenza artificiale e del calcolo quantistico. I problemi principali individuati dalla Commissione sono quattro: il disallineamento strategico, la limitata attuazione della certificazione europea, la frammentazione delle politiche nazionali e l’aumento dei rischi nelle catene di approvvigionamento ICT. Proprio su quest’ultimo punto, analizzando le possibili criticità evidenziate nelle memorie pubblicamente disponibili e presentate nell’ambito delle valutazioni del rispetto del principio di sussidiarietà e di proporzionalità, emergono forti perplessità condivise da più soggetti.
Fornitori ad alto rischio e catene di approvvigionamento ICT
In effetti, la misura politicamente più rilevante del CSA2 è senza dubbio l’intenzione di introdurre un quadro armonizzato per la gestione dei rischi di natura geopolitica nelle catene di approvvigionamento per le Tecnologie dell’Informazione e della Comunicazione, promuovendo un approccio unificato per prodotti, servizi e processi. Il CSA2 mira ad accelerare l’adozione dei sistemi europei di certificazione per semplificare la conformità normativa, introducendo una presunzione di conformità che riduca gli oneri per le imprese e che in effetti potrebbe far guadagnare in velocità e snellezza.
La Commissione propone però anche un meccanismo orizzontale che consenta di designare Stati terzi come “posing cybersecurity concerns” e i produttori riconducibili a questi come “fornitori ad alto rischio” (HRV). Tali valutazioni non si limiterebbero ad aspetti quindi strettamente tecnici, ma includerebbero fattori geopolitici, come l’assetto proprietario, il controllo esercitato da governi stranieri e la legislazione del Paese di stabilimento in materia di protezione dei dati e sicurezza nazionale.
Per le reti di comunicazione 5G, la proposta prevede misure ancora più stringenti, prendendo le mosse dall’esperienza del 5G Toolbox. Si stabilisce un periodo di transizione massimo di 36 mesi per l’eliminazione graduale (phase-out) dei componenti forniti da operatori ad alto rischio nelle risorse chiave delle reti mobili, estendendo il raggio anche alla rete di accesso RAN.
Per le reti fisse, sebbene soggette alla medesima logica di sicurezza della catena di approvvigionamento, varrebbero alcune differenze procedurali, in particolare le tempistiche sarebbero variabili e i periodi transitori saranno specificati dalla Commissione Europea mediante successivi atti di esecuzione, su cui gli stati membri non potranno intervenire in alcun modo. Queste disposizioni in particolare rappresentano una sfida enorme per il settore delle telecomunicazioni, in particolare in Italia, dove gli operatori hanno già effettuato ingenti investimenti pluriennali per lo sviluppo delle reti FTTH e mobili.
Le preoccupazioni del settore industriale sul CSA2
Il settore industriale ha ovviamente espresso forti preoccupazioni circa la sostenibilità economica di tale accelerazione. Basti pensare che nella consultazione che è stata svolta precedentemente sul testo del CSA2, l’Italia è stato il terzo paese per numero di contributi, e la maggioranza dei rispondenti (circa il 65% secondo una fonte reperibile sul sito della Camera dei Deputati) si è espressa esplicitamente contro l’esclusione ex-ante basata su rischi non-tecnici.
Il testo emerso dalla consultazione ha però mantenuto un approccio di certificazione basato anche su criteri non-tecnici, in antitesi evidente con quanto espresso dai rispondenti. Questo spiega le recenti critiche degli operatori fondate principalmente sul rischio di una svalutazione degli investimenti recenti ancora in fase di ammortamento, ma anche un possibile rallentamento dell’innovazione in Europa che ne conseguirebbe. Da un punto di vista meramente competitivo, appare chiaro che l’esclusione di fornitori che detengono significative quote di mercato potrebbe portare a una eccessiva concentrazione dello stesso, creando condizioni di monopolio o duopolio di fatto per i pochi produttori semi-europei rimasti, con conseguenti aumenti dei prezzi e criticità nelle catene di approvvigionamento e diminuendo significativamente la resilienza delle reti che non potranno più beneficiare del maggior numero possibile di fornitori.
Il modello italiano
L’Italia si presenta a questo appuntamento europeo con un buon posizionamento di partenza.
Con un “role model” riconosciuto a livello internazionale, avendo ottenuto un punteggio di eccellenza nel Global Cybersecurity Index 2024, il nostro Paese dispone di un impianto normativo e di governance tra i più avanzati, imperniato sul Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e sulla disciplina del Golden Power. Questi strumenti consentono già oggi al Governo italiano di esercitare controlli granulari sulle tecnologie critiche e di intervenire in difesa degli interessi strategici nazionali. Inoltre, nell’ambito della Strategia Nazionale per la Banda Ultra Larga – Piano Italia 5G – aggiornata tra il 2021 e il 2022, è stato previsto che gli operatori di telecomunicazioni che ricevono fondi pubblici (PNRR) per il dispiegamento di infrastrutture 5G debbano rispettare con il Governo un rigido piano di monitoraggio, trasparenza e condivisione dei dati sugli investimenti.
Quindi gli strumenti ci sono, e se il testo del CSA2 andrà avanti così, si potrebbe anche ravvisare un grande punto interrogativo per chi vorrà investire in futuro, perché la clearance del Governo acquisirebbe un valore storicamente effimero, che non favorisce un’industria che, prima di investire, cerca orizzonti con regole chiare e stabili.
Gli strumenti disponibili hanno assicurato all’Italia la solidità necessaria sul fronte della sicurezza, e quindi l’ampiezza e l’urgenza della proposta redatta dalla Commissione, non sembrano proprio relazionati a eventi puntuali di incidenti noti, e sembra questo essere il caso anche per altri paesi europei. Ora, il CSA2 è al vaglio degli stati membri per la valutazione del rispetto del principio di sussidiarietà, il quale stabilisce che l’Unione europea possa intervenire solo se un obiettivo non può essere realizzato in modo sufficiente dagli stati membri singolarmente. Per l’Italia è quindi legittimo interrogarsi sulla validità in tal senso del CSA2. Ovviamente l’obiettivo della sicurezza di tutta l’Unione può essere ottimizzato se coordinato al livello europeo, quindi prima facie l’adeguatezza alla sussidiarietà del CSA2 in alcune delle sue parti è condivisibile.
Una riflessione sulla sua proporzionalità è però necessaria e doverosa.
In effetti, sebbene la natura transfrontaliera delle minacce richieda un’azione coordinata, la sicurezza nazionale rimane, ai sensi dei Trattati, una competenza esclusiva degli Stati membri. Un trasferimento di competenze strategiche dal livello nazionale a quello europeo deve dunque essere bilanciato, garantendo che le realtà nazionali mantengano i margini di discrezionalità necessari per rispondere alle proprie specificità territoriali e geopolitiche.
Nel CSA2 la Commissione guadagna spazi ampi di propria discrezionalità a scapito degli stati membri. Se il testo vedrà la luce nella sua forma attuale, la Commissione sarà l’unico organo che potrà definire una lista nera di paesi, dettare i tempi per la sostituzione degli apparati in campo e definire quali prodotti siano idonei o meno.
Questa espansione del raggio d’azione della Commissione si legge parallelamente anche su altri provvedimenti sinergici che l’Europa sta costruendo in maniera articolata sul fronte del Digitale, ma a volte forse frettolosa.
Per esempio, si pensi al DNA – proposta di regolamento complementare al CSA2 – che propone aste per le frequenze centralizzate al livello europeo, con assegnazioni di durata sostanzialmente illimitata. Leggendo la prima consultazione che lo riguardava, il DNA muove dalla considerazione che in Europa gli investimenti nelle infrastrutture di telecomunicazione sono stati carenti a causa dell’eccessiva concorrenza che ha caratterizzato gli ultimi anni.
Anche l’audacia di una proposta come questa mostra un sottostante senso di urgenza che allontana dalla ragionevolezza. Primo, perché la concorrenza è motore di investimenti e innovazione da sempre e di questo ne era profondamente convinta anche Bruxelles sino a pochi anni fa, quando le fusioni tra operatori di telecomunicazioni configuravano un oligopolio da riequilibrare con l’ingresso di nuovi soggetti.
Secondo, perché le frequenze sono una risorsa scarsa – come le spiagge del demanio – e quindi motivarne l’assegnazione mediante asta centralizzata e per periodi di tempo irragionevolmente estesi in ragione della presunta carenza di investimenti, sarebbe come affermare che, poiché non tutti gli stabilimenti balneari rispondono all’aspettativa, allora sarebbe necessaria un’asta centralizzata con periodi di concessione lunghissimi.
Verso un’autonomia strategica sostenibile
Mettendo insieme i contributi disponibili sul sito della Camera dei deputati proprio in merito alle considerazioni che vari soggetti, industriali e non, hanno espresso in merito al CSA2, emerge un set di osservazioni e proposte difficilmente non condivisibili.
Il primo aspetto sottolinea la sfida che il Cybersecurity Act 2 dovrebbe porre: è quella di costruire una reale autonomia strategica senza compromettere la propria competitività economica. Come evidenziato dai rapporti sulla competitività europea, la sicurezza non può essere disgiunta dallo sviluppo industriale. Senza una strategia di lungo periodo che rafforzi il tessuto produttivo interno e promuova l’acquisizione di know-how tecnologico in ambito UE, l’Europa rischia di rimanere un consumatore regolato che sostituisce una dipendenza extra-europea con un’altra.
È necessario che il legislatore accompagni gli obblighi normativi con adeguati strumenti di supporto finanziario, incentivando la produzione locale di tecnologie ICT critiche e semplificando i processi burocratici che ostacolano l’innovazione. La transizione verso una supply chain più sicura deve essere graduale e basata su solide evidenze economiche e tecniche, per evitare che i costi della sicurezza ricadano interamente, ma anche arbitrariamente, solo su alcuni soggetti industriali che nel passato hanno fatto scelte legittime e ponderate. In alcuni casi, persino condivise con il Governo.
I costi di dismissione per gli apparati HRV di rete mobile sono stimati dalla Commissione tra i 3,4 e i 4,3 miliardi di euro l’anno, per tre anni. Una cifra che deve confrontarsi con un valore espresso dagli operatori di “non meno” di 10 Miliardi all’anno. A questo si aggiungerebbe il costo per la rete fissa, in un contesto di duopolio dove ovviamente, come anche paventato da ACN, l’incremento dei costi sarebbe molto probabile, ma anche la componente dovuta ai disagi delle operazioni di sostituzione – per gli operatori e per gli utenti – con tempi incerti. Tempi che dovrebbero anche fare i conti con la capacità dei fornitori rimanenti di incrementare i volumi di produzione in tempi rapidi: una crescita della domanda dettata “per legge” sarebbe una sfida estremamente complessa da cui difficilmente i clienti ne uscirebbero soddisfatti. E forse anche l’Europa.
Sempre sul fronte economico, viene poi richiamato da diversi soggetti una fondamentale carenza tanto di approfondite analisi tecnico-economiche, quanto un’assenza di analisi dei rischi estesa e compiuta. In effetti, un provvedimento del genere non passerà certamente inosservato dai governi dei paesi impattati. Basti pensare che in aprile il Ministero del Commercio cinese ha in più occasioni espresso preoccupazioni sul CSA2, arrivando a paventare possibili contromisure contro un provvedimento che politicizzerebbe questioni economiche e commerciali.
Oltre ai rischi della concentrazione, delle conseguenze commerciali nel rapporto con paesi terzi, dei costi di sostituzione e del rallentamento degli investimenti, c’è un aspetto che forse dovrebbe far riflettere più di tutti: quello di creare un precedente pericoloso. Un provvedimento siffatto rischierebbe di superare il diritto di proprietà così come sancito nell’articolo 17 della Carta dei diritti fondamentali dell’Unione europea, rappresentando un’incertezza pericolosa per il futuro dei consumatori e dell’industria.
Cybersecurity Act 2, il nodo dell’equilibrio finale
In conclusione, il CSA2 potrebbe rappresentare un passo avanti coraggioso verso un’Unione più resiliente e sicura, ma sembra che ci sia ancora molto lavoro da fare. Il successo di questa riforma dipenderà dalla capacità delle istituzioni europee di ascoltare le preoccupazioni degli Stati membri e degli stakeholder industriali, di fondarsi su analisi tecnico-economiche e trovare il giusto equilibrio tra le ambizioni geopolitiche e la realtà di un mercato globale interconnesso. Solo attraverso un approccio autenticamente proporzionato e coordinato l’Europa potrà trasformare la propria vulnerabilità digitale in una forza strategica per il decennio a venire.
