L'Unione Europea stringe i cordoni della sicurezza digitale con una revisione sostanziale del Cybersecurity Act, proponendo misure drastiche che obbligano gli Stati membri a ridurre drasticamente la dipendenza da fornitori tecnologici extracomunitari considerati ad alto rischio. La Commissione europea ha presentato un pacchetto di norme che estende il perimetro della sicurezza informatica dalle telecomunicazioni a 18 settori critici, con l'obiettivo dichiarato di proteggere le catene di approvvigionamento dalle interferenze straniere. Il costo del cybercrime nel continente ha superato i 9mila miliardi di euro nel 2025, spingendo Bruxelles ad accelerare su sovranità tecnologica e autonomia strategica.
La portata dell'intervento è significativa perché tocca il cuore dell'infrastruttura digitale europea, in un momento in cui le tensioni geopolitiche impongono scelte nette sui fornitori tecnologici. Il riferimento implicito a Huawei e ZTE è evidente, nonostante i documenti ufficiali evitino di nominarle esplicitamente. La proposta impone l'applicazione rigorosa del 5G Toolbox, strumento operativo dal 2020 ma rimasto largamente inattuato, rivelando una frattura tra intenzioni politiche e realtà industriale.
I dati italiani fotografano questa contraddizione: secondo il report di Strand Consult, oltre il 30% delle infrastrutture nazionali dipendeva ancora da tecnologie cinesi nel 2024, in calo rispetto al 51% del 2022. Gli operatori italiani hanno avviato una migrazione verso Ericsson e Nokia, con proiezioni che stimano un ulteriore ridimensionamento al 28% entro il 2028. Tuttavia, nessun piano ufficiale di dismissione è stato mai formalizzato dal governo.
La resistenza degli Stati membri emerge chiaramente dall'esperienza quinquennale del 5G Toolbox: solo Svezia, Regno Unito e Germania hanno adottato divieti concreti. Stoccolma ha bandito i due colossi cinesi nel 2020, Londra ha imposto un blocco alle installazioni nel 2022 con rimozione completa entro il 2027, mentre Berlino punta all'eliminazione dai sistemi principali entro quest'anno. Il portavoce della Commissione Thomas Regnier ha dichiarato esplicitamente che solo una minoranza di paesi ha preso misure appropriate, invitando gli altri ad escludere le due società dall'infrastruttura di connettività.
L'ampliamento del perimetro rappresenta il vero salto qualitativo dell'intervento. La commissaria alla Sovranità tecnologica Henna Virkkunen ha specificato che le misure riguarderanno fibra ottica, comunicazioni satellitari, sistemi per energia solare e scanner di sicurezza, riconoscendo che le telecomunicazioni non sono l'unico ambito esposto a dipendenze critiche. L'intera filiera dell'Information and Communication Technology dovrà sottoporsi a verifiche stringenti sulla catena di fornitura.
Le telco europee sollevano però preoccupazioni concrete sui costi. Connect Europe, l'associazione di categoria, avverte che gli operatori affrontano già requisiti di investimento ingenti per completare l'implementazione del 5G e della fibra, mentre le condizioni normative e la mancanza di scala limitano la capacità di spesa. L'associazione stima oneri aggiuntivi di diversi miliardi di euro, probabilmente sottostimati, che rischiano di aggravare una situazione già critica. La Computer & Communications Industry Association aggiunge preoccupazioni sul rischio protezionismo, sollecitando criteri oggettivi per definire i "paesi ad alto rischio".
Dal punto di vista operativo, la proposta introduce un nuovo sistema di certificazione, l'European Cybersecurity Certification Framework, che dovrà elaborare schemi specifici entro 12 mesi. Prodotti e servizi destinati ai consumatori europei subiranno test di sicurezza più rigorosi. L'Agenzia europea per la sicurezza informatica vedrà rafforzato il proprio ruolo di coordinamento, collaborando con Europol e i team di risposta agli incidenti per supportare le aziende colpite da ransomware.
Le modifiche alla Direttiva NIS2 puntano a semplificare la conformità per 28.700 aziende, includendo 6.200 tra microimprese e piccole realtà. Viene introdotta una categoria dedicata alle piccole imprese a media capitalizzazione per ridurre i costi di adeguamento per 22.500 società. La proposta prevede uno sportello unico per la segnalazione degli incidenti e una governance più agile, con consultazioni pubbliche per coinvolgere le parti interessate.
La questione cruciale rimane la negoziazione in sede di Consiglio europeo, dove la sicurezza resta competenza nazionale. La valutazione degli impatti economici della migrazione tecnologica si scontrerà con interessi divergenti tra Stati membri, alcuni dei quali hanno costruito reti intere su fornitori oggi considerati problematici. La Computer & Communications Industry Association sottolinea la necessità di parametri dimostrati e tangibili per stabilire lo status di alto rischio, basati su interferenza governativa, assenza di controllo giudiziario o mancanza di accordi di cooperazione.
Resta da verificare se questa seconda vita del Cybersecurity Act riuscirà dove la prima ha fallito, trasformando principi ambiziosi in cambiamenti concreti. La distanza tra dichiarazioni politiche sulla sovranità tecnologica e vincoli economici reali potrebbe nuovamente rivelarsi incolmabile, soprattutto in un momento in cui l'Europa necessita di massicci investimenti in connettività. La scommessa europea è trovare un equilibrio tra autonomia strategica e sostenibilità economica, in un contesto geopolitico che non ammette più ambiguità ma impone scelte dai costi misurabili in miliardi.