Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sovranità digitale

Rischio tecnologico UE: dalla Corte di Giustizia i criteri per governarlo

Home Infrastrutture digitali
Partecipa al dibattito
Indirizzo copiato

Le conclusioni dell’Avvocata Generale Ćapeta alla Corte di Giustizia UE nella causa Elisa Eesti definiscono un criterio europeo per valutare il rischio tecnologico. Non bloccare in astratto un fornitore, ma misurare con proporzionalità dove il rischio si manifesta e come incide sulle infrastrutture critiche

Pubblicato il 19 mar 2026
Maurizio Carmignani

Founder & CEO – Management Consultant, Trainer & Startup Advisor

rischio tecnologico UE
Photo by imageBROKER/REX/Shutterstock (2028654a) Office towers of the European Court of Justice, European Quarter on the Kirchberg-Plateau, Luxembourg City, Luxembourg, Europe, PublicGround VARIOUS
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Era il 2022 quando Elisa Eesti AS, uno dei tre principali operatori di telecomunicazioni mobili in Estonia, presentò alle autorità di Tallinn una richiesta apparentemente routinaria: ottenere l’autorizzazione a utilizzare hardware e software del produttore cinese Huawei nella propria rete 2G, 4G e 5G. La risposta fu un diniego. Le autorità estoni ritennero che gli apparati rappresentassero un rischio per la sicurezza nazionale, sulla base del carattere ad alto rischio già attribuito a Huawei nel quadro delle valutazioni europee.

Elisa Eesti impugnò la decisione davanti al Tribunale amministrativo di Tallinn, che sollevò una questione pregiudiziale alla Corte di Giustizia dell’Unione Europea. La domanda era semplice nella forma, complessa nella sostanza: uno Stato membro può escludere un fornitore dalle proprie infrastrutture di telecomunicazione per motivi di sicurezza nazionale, anche a costo di limitare la libera circolazione delle merci e dei servizi garantita dal diritto UE? Il 19 marzo 2026, l’Avvocata Generale Tamara Ćapeta ha depositato le proprie conclusioni nella causa C-354/24. La risposta è sì, ma con condizioni che ridisegnano i confini della sovranità digitale europea.

Rischio tecnologico e posizione degli apparati nella rete

C’è un dettaglio tecnico che il comunicato ufficiale non evidenzia ma che emerge chiaramente dalle conclusioni: il caso riguarda esclusivamente la rete radio periferica di Elisa Eesti, le stazioni base che connettono i dispositivi mobili alla rete. Il nucleo centrale dell’infrastruttura, la cosiddetta rete principale che controlla l’intera architettura di telecomunicazioni, è già composta da apparati delle europee Ericsson e Nokia.

In altri termini: Huawei era presente ai margini, non nel cervello della rete ma le autorità estoni hanno ritenuto sufficiente questa presenza periferica per configurare un rischio per la sicurezza nazionale. La distinzione tecnica ha una rilevanza giuridica precisa. Le conclusioni chiariscono che la valutazione del rischio deve tenere conto della funzionalità, della localizzazione e della rilevanza degli specifici apparati all’interno dell’infrastruttura. Non conta solo chi produce, ma dove e come l’apparato è installato.

Questo principio diventerà diritto giurisprudenziale quando la Corte si pronuncerà applicandola a qualsiasi infrastruttura digitale critica, non solo alle reti mobili. Un ulteriore elemento tecnico rilevante: la distinzione tra 5G autonomo e non autonomo. Il 5G non autonomo si appoggia all’infrastruttura 2G-4G esistente; il 5G autonomo crea una rete indipendente in grado di far comunicare i dispositivi direttamente, senza passare per la rete principale.

Come il rischio tecnologico entra nel diritto UE

Al di là della specificità tecnica, le conclusioni si reggono su tre assi portanti. Il primo: gli Stati membri possono, in linea di principio, escludere hardware e software dalle proprie infrastrutture di telecomunicazione se il produttore rappresenta un rischio per la sicurezza nazionale. Non si tratta di una novità assoluta, ma è la prima volta che la Corte di Giustizia viene chiamata a pronunciarsi in modo sistematico su questa facoltà nel contesto del mercato interno delle comunicazioni elettroniche. La sovranità digitale trova qui una legittimazione giuridica esplicita.

Proporzionalità e controllo giurisdizionale

Il secondo: qualsiasi decisione adottata per motivi di sicurezza nazionale deve essere soggetta a controllo giurisdizionale, anche riguardo alla sua proporzionalità. Una decisione non può basarsi su un sospetto generico: deve includere una valutazione specifica dell’uso concreto delle apparecchiature, dei rischi che esse comportano in quella specifica configurazione di rete, e dell’impatto del quadro normativo del paese d’origine del produttore.

Proprietà, limitazioni e possibili indennizzi

Il terzo riguarda i diritti fondamentali e la questione degli indennizzi. L’AG chiarisce che vietare l’uso di certi apparati non equivale a una privazione della proprietà ai sensi dell’articolo 17 della Carta dei Diritti Fondamentali dell’UE, bensì a una limitazione dell’uso. In linea di principio, non sorge un diritto automatico all’indennizzo ma il testo integrale aggiunge una sfumatura importante: il giudice nazionale deve valutare se l’intero periodo di preavviso concesso all’impresa fosse sufficientemente lungo. Se non lo ritiene tale, si apre la strada a un sistema di ragionevole ristoro.

I criteri del rischio tecnologico nel modello estone

La legge estone sulle comunicazioni elettroniche (ESS) non si limita a dichiarare Huawei rischiosa. Elenca 12 criteri specifici per qualificare qualsiasi produttore come fornitore ad alto rischio. Tra i più rilevanti per il dibattito europeo:

Criteri legati al paese d’origine

Sede in paese non membro di UE, NATO o OCSE

Assenza di stato di diritto democratico o tutela dei diritti umani nel paese del produttore

Il paese può obbligare il produttore ad agire contro gli interessi di sicurezza dello Stato membro

Criteri legati a governance e controlli

Struttura proprietaria e finanziamento non trasparenti

Il produttore è soggetto all’autorità governativa di un paese privo di controllo giurisdizionale indipendente

I prodotti contengono vulnerabilità senza misure di sicurezza adeguate

Questa griglia è esattamente il modello che l’AI Act applica ai sistemi AI ad alto rischio: non una classificazione astratta, ma una valutazione contestuale basata su criteri verificabili. La lezione estone potrebbe diventare il prototipo di un futuro AI Vendor Risk Assessment europeo.

Perché il rischio tecnologico diventa un metodo europeo

Al di là delle conclusioni sul caso Elisa Eesti, ciò che emerge dal documento ha una portata molto più ampia. L’AG non si limita a rispondere a una domanda su Huawei: delinea un framework metodologico per valutare i rischi associati a tecnologie di origine extra-UE nelle infrastrutture critiche.

I tre livelli del framework

Il framework funziona su tre livelli. Il primo è la legittimità dell’obiettivo: proteggere la sicurezza nazionale delle infrastrutture digitali è un fine legittimo, riconosciuto sia dal diritto nazionale sia dal diritto UE. Il secondo è la specificità della valutazione: non basta classificare un fornitore come ad alto rischio in astratto. Occorre dimostrare come e dove quel rischio si materializzi concretamente. Il terzo è la proporzionalità della misura: anche un obiettivo legittimo, raggiunto con una valutazione specifica, può essere contestato se la restrizione imposta è eccessiva rispetto ai risultati attesi.

Il parallelismo con l’AI Act

La stessa architettura logica dell’AI Act. La classificazione dei sistemi AI per livelli di rischio non categorizza le tecnologie in astratto, ma in relazione al contesto d’uso. Un sistema di riconoscimento facciale è ad alto rischio se impiegato in un contesto di pubblica sicurezza, non se usato per sbloccare uno smartphone. La causa Elisa Eesti è, sotto questo profilo, il precedente giurisprudenziale che valida retroattivamente il metodo dell’AI Act, prima ancora che la Corte si pronunci definitivamente.

Gli effetti del rischio tecnologico su imprese e istituzioni

Le conclusioni hanno conseguenze concrete per tre categorie di attori. Per gli operatori TLC europei che hanno già installato apparati Huawei o ZTE, in Italia, come in Germania, la quota è significativa, la questione del rip-and-replace rimane aperta. Le conclusioni confermano la legittimità giuridica dell’esclusione, ma la questione economica resta affidata al giudice nazionale. Il testo integrale introduce però una garanzia procedurale: il giudice deve verificare che il periodo di preavviso concesso per adeguarsi sia stato sufficientemente lungo. Se non lo ritiene tale, può riconoscere un ristoro.

Operatori TLC e costi di sostituzione

Chi sostiene i costi di sostituzione degli apparati è dunque ancora una questione aperta, ma non più un vuoto normativo totale.

AI extra-UE e nuovi obblighi di valutazione

Per le imprese che integrano AI di fornitori extra-UE in processi critici, dalla sanità alla finanza, dall’energia alla difesa, la logica delle conclusioni suggerisce che una valutazione documentata del rischio non è solo buona pratica, ma potrebbe diventare un requisito regolatorio. L’AI Act già prevede obblighi di conformità per i sistemi ad alto rischio; le conclusioni Ćapeta aggiungono un ulteriore strato di legittimazione a quella logica.

Il 5G Toolbox come modello replicabile

Per i policy maker a Bruxelles e nelle capitali nazionali, il messaggio è che il 5G Toolbox è un modello replicabile. La struttura, valutazione congiunta del rischio, misure nazionali di mitigazione, convergenza tra interessi UE e interessi nazionali, può essere applicata ad altri strati dell’infrastruttura digitale critica: cloud, AI, identità digitale, pagamenti.

Il rischio tecnologico come architettura regolatoria europea

L’Europa non sta costruendo un muro contro le tecnologie straniere. Sta costruendo qualcosa di più sofisticato, nel lungo periodo più duraturo: un metodo.

Proporzionalità, valutazione specifica, motivazione documentata, controllo giurisdizionale. Lo stesso metodo che si trova nell’AI Act, nel Cyber Resilience Act, nel Digital Operational Resilience Act (DORA), nel Data Governance Act. Non è protezionismo, è ingegneria regolatoria.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Maurizio Carmignani
Founder & CEO – Management Consultant, Trainer & Startup Advisor
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • infrastrutture digitali pubbliche DevSecOps nella PA

  • dopo il pnrr

    Italia 2030: infrastrutture critiche più smart per crescere e difendersi

    17 Dic 2025

    di Stefano Pileri

    Condividi
  • regolamento 2025/2592 europeo

  • protezionismo

    TLC in crisi: la miopia strategica del mercato tradizionale

    12 Dic 2025

    di Massimo Carboni

    Condividi
  • Piano Italia a 1 Giga

  • Banda ultralarga,

    Piano BUL, l'alert della Corte dei conti: Italia a 1 Giga a rischio

    16 Gen 2026

    di Sergio Boccadutri

    Condividi
0
Lascia un commento, la tua opinione conta.x