Sulla certificazione dei prodotti e dei servizi destinati ad essere utilizzati nelle reti e nelle infrastrutture strategiche, si giocherà, nei prossimi anni, la crescita del mercato connesso alla cybersecurity.
E’ pertanto di particolare rilevanza, anche alla luce della “questione Huawei”, l’istituzione del Centro di Valutazione e Certificazione Nazionale (CVCN) che dovrà verificare, appunto, le condizioni di sicurezza e l’assenza di vulnerabilità di prodotti, apparati e sistemi utilizzati nelle infrastrutture e nelle reti di interesse nazionale.
La creazione del Centro, costituito dal Ministro Di Maio presso l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione del Mise è, dicevamo, di è particolare rilevanza. Come sostiene Roberto Baldoni, Vicedirettore del DIS con delega alla cyber security, solo la crescita delle capacità e della qualità dell’offerta potrà infatti contribuire allo sviluppo di un ambiente complessivamente favorevole alla sicurezza cyber.
Sicurezza delle reti e geopolitica
La costituzione del CVCN si inserisce in un complesso contesto geopolitico: la sua importanza è, quindi, strategica sia per i motivi di carattere generale e sistemico di cui abbiamo già parlato, sia per motivi assai urgenti e d’attualità, in primis la guerra dichiarata dal governo americano a Huawei, la compagnia cinese leader nelle infrastrutture evolute di rete e di telecomunicazioni mobili e pronta ad entrare da protagonista assoluta nella costruzione e sfruttamento delle reti mobili 5G.
La guerra si è concretizzata in un atto in cui sorprendentemente il Canada, di solito alieno da posizioni pro-Trump, ha arrestato Meng Wanzhou, la figlia del fondatore di Huawei Ren Zhengfei. L’arresto è avvenuto ad opera della polizia Canadese su mandato Usa, perché l’azienda avrebbe violato l’embargo degli Stati Uniti all’Iran.
Ren ha protestato, ricordando anche che la posizione del Regno Unito è diversa da quella americana, e che se tale fiducia fosse confermata, gli investimenti di Huawei potrebbero spostarsi nel Regno Unito.
Il Canada deve essere sotto forte pressione dell’amministrazione Usa se, per dichiarazioni sull’inopportunità dell’arresto, e sul ruolo politico di Trump nella vicenda, l’ambasciatore Canadese a Pechino John Mc Callum ha dovuto dimettersi su richiesta del Premier Trudeau.
La posizione del Regno Unito nella guerra Usa-Huawei
La posizione del Regno Unito, che sostiene come gli apparati di Huawei siano sotto esame, ma in modo routinario, ossia con l’obiettivo di migliorane la sicurezza e quindi di rendere gestibili i rischi che essi possono comportare, è stata espresso dal National Cyber Security Center, che rientra nel Government Communication Headquarters (GCHQ), l’organismo di sicurezza (6000 dipendenti) che costituisce il grande occhio (vedi foto in basso) rivolto a tutelare sia le forze armate sia il governo del Regno Unito.
La posizione è molto autorevole. Ciò non toglie che, in ultima istanza, sulla sicurezza l’ultima parola appartenga alla politica e che quindi la possibilità dell’amministrazione americana di fare pressioni anche sul Regno Unito possa non esser priva di efficacia. La Germania sembra assumere un atteggiamento simile a quello del Regno Unito.
L’importanza del CVCN
Nel nostro Paese la costituzione del CVCN ci dovrebbe dotare della capacità tecnica di valutare, come nel caso del Regno Unito, il rischio effettivo dei nuovi apparati 5G, non solo di quelli Huawei.
Il sospetto che le aziende cinesi, in quanto sottoposte alla giurisdizione del loro paese in materie concernenti la sicurezza, siano per tale motivo più rischiose di altri fornitori, lascia il tempo che trova: si è visto che nel 2013 le grandi aziende americane della rete cooperavano con la National Security Agency (NSA) in violazione delle norme sulla privacy. Non c’è motivo di dubitare che il buon funzionamento del CVCN sia la miglior garanzia, assai più delle pressioni di Trump, per la tutela della sicurezza delle infrastrutture critiche.
Il vero problema tra i paesi occidentali e la Cina
Ma qui veniamo al punto dolente della divisione tra i paesi occidentali, in particolare tra Usa ed Europa. Il problema delle democrazie occidentali con la Cina, va al di là del caso Huawei.
Il problema, come si diceva, non consiste nella sovranità cinese sui funzionari delle compagnie che lavorano all’estero e neppure sul “modello duale” di governance delle grandi compagnie, ossia la presenza di funzionari di partito a fianco del management o dell’imprenditore. Questo è, semmai un problema per gli azionisti e per gli investitori. Il problema delle democrazie occidentali è che in Cina le compagnie basate sulla rule of law dei paesi liberali possono lavorare soltanto in condizioni di limitazione della propria autonomia decisionale e di limitazione dell’accesso al mercato cinese, in assenza di condizioni di parità nel competere “on a level playing field”, in un campo di gioco livellato e con regole uguali per tutti.
Tradotto in parole semplici, il problema non è che aziende cinesi (e non solo) possano accedere a informazioni classificate dei paesi occidentali, ma che le aziende occidentali (e cinesi) non possano accedere a informazioni classificate cinesi: è la reciprocità dell’esposizione ai rischi che manca, e questo è un problema che non si risolve se non portando la Cina fuori dalla sua posizione di violazione delle norme di mercato aperto al proprio interno.
Naturalmente questo obiettivo è raggiungibile solo con un processo di cooperazione e di integrazione, che riduca l’isolamento istituzionale e politico della Cina nel contesto dei paesi industrializzati, ai quali, con ogni evidenza ormai appartiene.
Infine, per ritornare alle questioni della cybersecurity, è evidente che questa asimmetria dell’esposizione al rischio delle società occidentali che operano in Cina, impone l’abbattimento del Great Firewall applicato a internet per isolare la sub-rete cinese. Nessuna reciprocità può essere raggiunta se i rischi cui vanno incontro gli operatori economici non sono caratterizzati dal “level playing field”. Ciò significa che le società operanti in Cina devono avere le stesse chance, le stesse opportunità di difesa che hanno sugli altri mercati.
La cyberwar con la Cina, che forse porterà ad una tregua e poi forse ad accordi di pace che consentano questi sviluppi positivi dopo un periodo più o meno lungo di dannosi atti di guerriglia, deve ancora cominciare.
