In questo contesto, il Cybersecurity Act diventa qualcosa di più di una legge. È un atto di sovranità, un segnale politico, una dichiarazione di intenti. E, come ogni dichiarazione di questo tipo, genera una reazione.
C’è una soglia, sottile ma decisiva, oltre la quale il diritto smette di essere un insieme di norme e diventa una forma di potere. L’Europa sembra averla attraversata con la revisione del Cybersecurity Act: ciò che nasceva come architettura tecnica per la sicurezza informatica si sta trasformando in uno strumento di selezione geopolitica, capace di ridefinire non solo chi può operare nel mercato europeo, ma anche chi può esistere, industrialmente, nel nuovo ordine digitale.
La proposta della Commissione europea, parte di un più ampio pacchetto sulla resilienza cibernetica, si muove infatti lungo una direttrice chiara. L’obbiettivo è rafforzare il controllo sulle catene di approvvigionamento ICT, rendere vincolanti strumenti come il 5G Toolbox e introdurre criteri più stringenti per identificare i cosiddetti “fornitori ad alto rischio”. È un passaggio cruciale, perché segna il superamento di una concezione puramente tecnica della sicurezza e l’ingresso esplicito della dimensione politica nella valutazione del rischio.
Non è un caso che, pur senza essere nominati formalmente nei testi normativi, i destinatari impliciti siano evidenti. Aziende come Huawei e ZTE vengono considerate da Bruxelles fornitori critici sulla base di valutazioni già maturate nell’ambito del 5G Toolbox, che gli Stati membri sono stati invitati ad applicare in modo più rigoroso. La novità, però, non sta tanto nell’individuazione del rischio, quanto nella volontà di trasformare raccomandazioni politiche in obblighi giuridici, vincolando l’intero mercato europeo a una scelta di campo.
Pechino risponde
La reazione cinese, ça va sans dire, diventa inevitabile, quasi strutturale. Il Ministero del Commercio di Pechino ha formalmente presentato osservazioni alla Commissione europea, denunciando una “politicizzazione” della cybersicurezza e mettendo in guardia contro possibili contromisure qualora le aziende cinesi venissero discriminate. Non si tratta di una semplice protesta diplomatica ma di un passaggio che richiama, esplicitamente, il quadro normativo internazionale, in particolare le regole del WTO, che secondo la Cina verrebbero violate da criteri ritenuti arbitrari e non tecnici.
In questo scambio si intravede, però, un cambiamento più profondo. Ora più che mai, la sicurezza non è una categoria neutra, è diventata una variabile geopolitica, una leva attraverso cui ridefinire le relazioni economiche globali. Quando Bruxelles afferma che il rischio può essere anche “non tecnico”, sta introducendo un principio radicale, per cui la fiducia in un fornitore dipende non solo dalle sue tecnologie, ma dal sistema politico e istituzionale da cui proviene.
“Una rottura rispetto al paradigma liberale che ha governato la globalizzazione tecnologica degli ultimi trent’anni“
È una rottura rispetto al paradigma liberale che ha governato la globalizzazione tecnologica degli ultimi trent’anni, fondato sull’idea che il mercato potesse essere separato dalla politica. Un mutamente che interviene mentre le infrastrutture digitali, quali reti 5G, fibra, sistemi energetici connessi, persino scanner di sicurezza, sono diventate la spina dorsale delle società contemporanee, e quindi irrinunciabile terreno di confronto tra potenze.
L’Unione europea lo sa bene, e non lo nasconde più. La revisione del Cybersecurity Act, in questo senso, è parte di una strategia più ampia di “sovranità tecnologica”, che mira a ridurre la dipendenza da fornitori extra-europei e a costruire un ecosistema digitale autonomo. Una linea ribadita anche a livello istituzionale, dove si sottolinea la necessità di garantire che ogni prodotto digitale sia sicuro “fin dalla progettazione” e che le catene di fornitura siano resilienti a interferenze esterne.
Questo orientamento trova riscontro diretto anche nei documenti ufficiali dell’Unione europea, come il testo del regolamento sul Cybersecurity Act e le attività dell’ENISA, che definiscono un quadro comune di certificazione e gestione del rischio a livello continentale. Parallelamente, anche governi nazionali, incluso quello italiano, hanno rafforzato negli ultimi anni i meccanismi di controllo sugli asset strategici digitali attraverso strumenti come il Golden Power, applicato più volte proprio nel settore delle telecomunicazioni.
Fronte o cyber trincea?
Ma ogni scelta strategica ha un costo, e nel caso europeo il prezzo si misura in termini di competitività. Gli operatori delle telecomunicazioni, pur condividendo l’obiettivo della sicurezza, temono l’impatto economico di una riduzione forzata dei fornitori, che potrebbe tradursi in un aumento dei costi infrastrutturali e in un rallentamento degli investimenti. È il paradosso di una politica industriale che, nel tentativo di proteggere il sistema, rischia di indebolirne la capacità competitiva nel breve periodo.
La questione è particolarmente delicata in paesi come l’Italia, dove si è resa significativa la presenza di tecnologie cinesi nelle reti e solo progressivamente ridotta negli ultimi anni, attraverso una transizione verso fornitori europei come Ericsson e Nokia. Questo processo, già in atto, potrebbe accelerare sotto la pressione normativa europea, ma non senza tensioni tra esigenze di sicurezza e sostenibilità economica.
In controluce, ciò che emerge è la progressiva costruzione di blocchi tecnologici. Da un lato l’Occidente, che tende a integrare sicurezza, regolazione e alleanze strategiche; dall’altro la Cina, che difende un modello alternativo basato su controllo statale e integrazione verticale delle proprie filiere industriali. Il rischio, sempre più concreto, è la frammentazione dello spazio digitale globale in sfere di influenza separate, dove standard, tecnologie e fornitori non sono più interoperabili ma politicamente connotati.
“Il Cybersecurity Act diventa qualcosa di più di una legge“
Ecco perché, in questo contesto, il Cybersecurity Act diventa qualcosa di più di una legge. È un atto di sovranità, un segnale politico, una dichiarazione di intenti. E, come ogni dichiarazione di questo tipo, genera una reazione.
La Cina lo ha già fatto capire, con chiarezza: se l’Europa chiude, Pechino è pronta a rispondere. Non necessariamente sullo stesso terreno, ma con strumenti analoghi, capaci di colpire le catene di approvvigionamento globali e ridefinire gli equilibri commerciali.
La guerra invisibile, dunque, non solo è diventata visibile ma ha cambiato forma. Non passa più soltanto dai data center o dagli attacchi informatici, ma dalle norme che stabiliscono chi può costruire, gestire e controllare le infrastrutture del mondo digitale.
E in quella guerra, oggi, la legge è l’arma più sofisticata.
Seguici anche sul nostro canale WhatsApp
