Le criticità del decreto Conte-Huawei

TIM potrà utilizzare apparati 5G prodotti da Huawei, a condizione di seguire le regole dettate dalla Presidenza del Consiglio. Ma la sicurezza nazionale è veramente al sicuro? di Andrea Monti – originariamente pubblicato da Infosec News

Antefatto

Il 7 agosto 2020 la Presidenza del Consiglio ha emanato un decreto con il quale fissa le condizioni alle quali Huawei può fornire all’Italia, tramite TIM S.p.a., le proprie infrastrutture 5G.

A prescindere da questioni di sistema (ennesimo uso “creativo” del DPCM) e da aspetti politici (non si tratterebbe di una “resa” alla Cina né, dunque, di un “tradimento” degli alleati atlantici), il DPCM Conte-Huawei solleva diverse perplessità dal punto di vista giuridico e tecnico che creano dubbi sulla sua reale efficacia.

Partiamo da un presupposto: il governo italiano non ha (rin)negato gli allarmi sul rischio costituito dall’uso di tecnologia cinese nel network 5G italiano, ma ha ritenuto di poterlo controllare imponendo a TIM di seguire delle prescrizioni tecniche e organizzative.

L’impatto del decreto Conte-Huawei sul mercato TLC
Benché emanato nei soli confronti di TIM, è chiaro che il DPCM Conte-Huawei ha un effetto strutturale sull’intero settore delle telecomunicazioni perché è, di fatto, uno standard al quale dovranno conformarsi anche gli altri operatori (carrier e Internet Provider), alcuni dei quali potrebbero essere costretti ad uscire dal mercato.

Le prescrizioni imposte dal governo a TIM, e che inevitabilmente saranno le stesse anche per gli altri operatori grandi e piccoli che volessero utilizzare le tecnologie di Huawei, sono estremamente costose. A meno di non voler praticare il classicissimo approccio di management basato sul “tanto che vuoi che succeda”, non è detto che le realtà più piccole possano permettersi gli investimenti necessari e rimanere nel mercato. La conseguenza è che se non si può unificare la rete, allora si eliminano gli operatori, in perfetta coerenza con chi vede con fastidio un mercato concorrenziale.

Una gestione delegata della sicurezza nazionale

Invece di mantenere un controllo governativo autonomo, il DPCM Conte-Huawei attribuisce esclusivamente a TIM (cioè a un soggetto privato) l’obbligo di tenere sotto controllo gli apparati cinesi. In altri termini, il governo compie un altro passo verso la co-gestione by default della sicurezza nazionale con soggetti privati, i quali diventano parte integrante e strutturale del sistema.

TIM dovrà, da un lato, notificare al governo la dislocazione degli apparati Huawei e dall’altro, tramite anche la sua funzione security, accreditare i propri fornitori (e dunque anche Huawei) tenendo presente gli aspetti legati alla sicurezza, eseguire periodiche analisi del rischio, e verificare, a livello hardware e software, che gli apparati Huawei possano essere utilizzati in tranquillità.

Le criticità provocate dal Decreto Conte-Huawei

Sulla carta tutto sarebbe perfetto, ma siccome il diavolo è nei dettagli, la lettura del DPCM fa nascere più di una perplessità.

In primo luogo, la valutazione dei requisiti di sicurezza nella procedura di accreditamento dei fornitori può essere fatta, letteralmente, “sulla carta”: il DPCM stabilisce infatti che sono utilizzabili le dichiarazioni del fornitore o quelle di un certificatore internazionalmente riconosciuto. È come chiedere all’oste se il vino è buono.

In secondo luogo, il controllo su hardware e codici sorgenti è facoltativo. TIM “potrà” (questo è il verbo utilizzato dal DPCM) eseguire questi controlli, ma non è obbligata a farlo.

In terzo luogo, se anche volesse (o dovesse) i costi sarebbero elevatissimi e i risultati prossimi allo zero. A meno di non controllare ogni singolo componente già nelle fabbriche e nella catena di produzione e poi nella logistica, non ci sarebbe alcun modo di garantire la certezza che il prodotto è conforme alle specifiche di sicurezza dichiarate. Inoltre, Huawei avrebbe il diritto di chiedere a TIM (e non al governo italiano) la sottoscrizione di una clausola di riservatezza e un’assunzione di responsabilità per la circolazione non autorizzata delle informazioni. A questo proposito, peraltro, vale la pena di osservare che il DPCM impone di non rivelare alcun dato tecnico a Paesi stranieri. Ma siccome non fa alcuna limitazione geografica, la norma vieta di scambiare dati anche con i Paesi NATO, che non saranno certo contenti di questo isolazionismo informativo dell’Italia.

In quarto luogo, dal punto di vista tecnico, controlli del genere non avrebbero senso. Giovanni Zorzoni, direttore generale di MyNet e vicepresidente dell’Associazione Italiana Internet Provider, rileva sul punto: “Rispetto alla possibilità di analizzare il codice sorgente, le reti SDN hanno una quantità e una stratificazione di codice talmente enorme che, sebbene con qualche tool di verifica si possano evincere gli errori più grossolani, trovare bug più seri o backdoor è come trovare un ago in un pagliaio. Giusto per dare l’idea, sfido chiunque a prendere il codice del client di Telegram e ri-targettizzarlo per un server chat fatto in casa. Pochissimi commenti, “codice spaghetti”: si fa prima a riscrivere tutto. E stiamo parlando di una cosetta in confronto di un intero (e scritto caoticamente per l’affanno del time-to-market) stack di rete complesso e distribuito. La rete 5G con antenne diffuse sarà il più grande buco di sicurezza che le reti abbiano mai visto. Di peggio, nelle infrastrutture telco di oggi il livello di complessità delle interazioni fra sistemi è enorme. Tra FPGA e simili, ASIC complessi e processori secondari con blob binari caricati al momento dell’esecuzioni di cui a volte non si sa nemmeno di chi sia la proprietà intellettuale ed il codice sorgente, è impossibile garantire un livello tale da soddisfare i requisiti della sicurezza nazionale.”

Peraltro, se la paura è lo “spionaggio”, la scarsa qualità dei processi produttivi del software fa già la sua parte senza bisogno di altro, e a Huawei, come a qualsiasi altro soggetto anche dall’altro lato dell’Atlantico, non serve nemmeno rischiare la reputazione commerciale: il numero di Zero-Day che periodicamente vengono scoperti è tale da non rendere nemmeno necessario installare backdoor o altre diavolerie per farsi i fatti altrui.

Inefficacia delle sanzioni

Infine (ma non troppo) c’è la questione delle “sanzioni” che il DPCM stabilisce in caso di violazione delle prescrizioni.

Anche in questo caso siamo di fronte a un uso “creativo” del DPCM, che detta delle clausole contrattuali obbligatorie nei rapporti con Huawei, il cui mancato rispetto deve essere gestito ai sensi dell’articolo 1456 del Codice civile, e dunque attivando un automatismo in base al quale il mancato rispetto delle prescrizioni implica la risoluzione del contratto.

A parte i dubbi strutturali sulla correttezza di una norma del genere, in termini pratici usare la risoluzione contrattuale come forma di sanzione, oltre che improprio da un punto di vista civilistico, è inutile.

Azionare la clausola di risoluzione significa andare in tribunale. Anche ipotizzando gli avvocati di TIM riuscissero a scrivere l’atto in un giorno, la causa non inizierebbe prima di novanta giorni, l’assunzione delle prove richiederebbe mesi (se non anni) e la sentenza arriverebbe non si sa quando. Certo, ci sono i cosiddetti “provvedimenti d’urgenza”, ma che effetto avrebbero, se non quello di spegnere cautelativamente gli apparati in contestazione? E come potrebbe TIM, nel frattempo, continuare ad erogare il servizio ai clienti?

In Italia abbiamo già vissuto una situazione del genere con la causa sulla violazione del brevetto sul sistema Tutor, che inizialmente ne aveva bloccato l’utilizzo. Fino alla decisione definitiva della Cassazione che ne consentiva la riattivazione gli automobilisti italiani hanno subito per parecchio tempo un aumento del rischio di incidenti perché Autostrade per l’Italia non aveva sostituito gli apparati contestati. Alla fine, ha avuto ragione e se avesse dato esecuzione alla sentenza della Corte d’appello di Roma senza attendere la decisione finale della Cassazione avrebbe inutilmente speso una quantità enorme di risorse, non solo finanziarie. Ma nel frattempo?

Conclusioni

Il decreto Conte-Huawei genera un intricatissima giungla di adempimenti burocratici, il cui (mancato) rispetto sarà molto difficile da accertare in tempi rapidi e in modo chiaro, oltre a generare costi potenziali enormi in termini di azioni giudiziarie e gestione delle loro conseguenze.

Può avere degli effetti distorsivi sul mercato delle telecomunicazioni, andando a condizionare anche il dibattito sulla (in)opportunità della rete unica, e dunque di soffocare la concorrenza nel mercato telco.

Soprattutto, però, il decreto Conte-Huawei lascia qualche dubbio su una questione di sostanza. Delle due, l’una, infatti: o l’intelligence USA e quella degli altri Paesi che ne hanno sostenuto le affermazioni, hanno sbagliato clamorosamente nel dire che non c’erano alternative al bando commerciale della tecnologia di Huawei, oppure i tecnici della Presidenza del consiglio hanno commesso, loro, un clamoroso errore di valutazione.

Nota di trasparenza: benché l’autore sia consulente dell’Associazione Italiana Internet Provider, le opinioni espresse in questo articolo sono formulate a titolo personale e non rappresentano la posizione di AIIP.

 

Possibly Related Posts: